Vad är säkerhetsskyddslagen?
Säkerhetsskyddslagen (SFS 2018:585) trädde i kraft 1 april 2019 och ersatte den tidigare säkerhetsskyddslagen från 1996. Lagen kompletteras av säkerhetsskyddsförordningen (SFS 2021:955) och av föreskrifter från Säkerhetspolisen och Försvarsmakten. Syftet är att skydda verksamhet som är av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota den nationella säkerheten.
Lagen är teknikneutral och riktar in sig på vad som ska skyddas, inte på vilken sektor verksamheten tillhör. Den som bedriver säkerhetskänslig verksamhet kallas verksamhetsutövare och bär det fulla ansvaret för att säkerhetsskyddet håller en tillräcklig nivå. Kärnan är att verksamhetsutövaren själv ska utreda sitt behov av skydd genom en säkerhetsskyddsanalys och därefter besluta om åtgärder.
Vad är säkerhetskänslig verksamhet?
Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett internationellt åtagande om säkerhetsskydd. Begreppet är avgörande, eftersom lagen bara gäller den som bedriver sådan verksamhet. Bedömningen görs i två delar.
- Säkerhetskänslig verksamhet i sig. Verksamhet vars funktion är så viktig att en antagonistisk handling mot den kan skada Sveriges säkerhet, till exempel viss elförsörjning, vattenförsörjning, elektronisk kommunikation eller verksamhet inom totalförsvaret.
- Säkerhetsskyddsklassificerade uppgifter. Uppgifter som rör säkerhetskänslig verksamhet och som därför ska hållas hemliga med hänsyn till Sveriges säkerhet.
- Verksamhet av betydelse för Sveriges säkerhet kan finnas hos såväl myndigheter som privata bolag, oavsett storlek.
Vem omfattas av säkerhetsskyddslagen?
Lagen gäller den som till någon del bedriver säkerhetskänslig verksamhet, oavsett om aktören är offentlig eller privat. Det finns ingen storleksgräns och ingen sektorslista på samma sätt som i NIS2. Avgörande är verksamhetens betydelse för Sveriges säkerhet.
- Statliga myndigheter som hanterar uppgifter eller funktioner som rör Sveriges säkerhet.
- Kommuner och regioner med verksamhet av betydelse för Sveriges säkerhet, exempelvis viss dricksvattenförsörjning eller räddningstjänst.
- Privata bolag som driver säkerhetskänslig verksamhet, till exempel inom energi, elektronisk kommunikation, transport eller försvarsindustri.
- Leverantörer och underleverantörer som genom avtal får tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter.
De tre skyddsområdena
Säkerhetsskydd består av tre delar som ska samverka. Säkerhetsskyddsanalysen avgör vilken nivå varje del ska ha, men alla tre måste alltid övervägas.
| Skyddsområde | Vad det omfattar |
|---|---|
| Informationssäkerhet | Skydd av säkerhetsskyddsklassificerade uppgifter och av informationssystem som hanterar dem, mot obehörig åtkomst, förändring och förstörelse |
| Fysisk säkerhet | Skydd av byggnader, anläggningar, objekt och områden mot obehörigt tillträde och mot skadlig påverkan |
| Personalsäkerhet | Säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet eller få del av säkerhetsskyddsklassificerade uppgifter, inklusive registerkontroll i vissa fall |
Säkerhetsskyddsanalysen är grundkravet
Varje verksamhetsutövare ska utreda behovet av säkerhetsskydd. Den utredningen kallas säkerhetsskyddsanalys och är fundamentet i hela lagen. Utan en aktuell analys går det inte att motivera varför skyddsnivån ser ut som den gör, och tillsynsmyndigheten har då svårt att bedöma att verksamheten lever upp till kraven.
Analysen ska identifiera vad i verksamheten som ska skyddas, vilka hot och sårbarheter som finns, hur skyddsvärdena ska klassificeras och vilka säkerhetsskyddsåtgärder som behövs inom de tre skyddsområdena. Den ska dokumenteras och hållas uppdaterad i takt med att verksamheten eller hotbilden förändras. En djupgenomgång steg för steg finns i [säkerhetsskyddsanalysen](/sakerhetsskyddslagen/sakerhetsskyddsanalys).
Säkerhetsskyddsklasser
Säkerhetsskyddsklassificerade uppgifter delas in i fyra klasser efter hur allvarlig skadan på Sveriges säkerhet skulle bli om uppgiften röjdes. Klassningen styr kraven på informationssäkerhet och på säkerhetsprövning av den som ska få del av uppgiften.
| Klass | Skada vid röjande |
|---|---|
| Kvalificerat hemlig | Synnerligen allvarlig skada för Sveriges säkerhet |
| Hemlig | Allvarlig skada för Sveriges säkerhet |
| Konfidentiell | Inte obetydlig skada för Sveriges säkerhet |
| Begränsat hemlig | Endast ringa skada för Sveriges säkerhet |
Samrådsplikt vid utkontraktering och överlåtelse
Reglerna om samråd skärptes 2021. Innan en verksamhetsutövare genomför vissa åtgärder som kan påverka säkerhetskänslig verksamhet ska samråd ske med tillsynsmyndigheten. Syftet är att förhindra att säkerhetskänslig verksamhet röjs eller hamnar under olämpligt inflytande genom affärsbeslut.
- Utkontraktering. Innan verksamhetsutövaren ingår avtal som innebär att en leverantör får tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter ska en särskild säkerhetsskyddsbedömning och lämplighetsprövning göras, och i vissa fall ska samråd ske.
- Upplåtelse. Att låta någon annan ta del av eller använda säkerhetskänslig verksamhet kan kräva samma prövning och samråd.
- Överlåtelse. Försäljning eller annan överlåtelse av säkerhetskänslig verksamhet, eller av viss egendom som rör sådan verksamhet, omfattas av samrådsplikt. Tillsynsmyndigheten kan i sista hand förbjuda en överlåtelse.
Tillsyn och sanktioner
Tillsynen är delad. Säkerhetspolisen är central tillsynsmyndighet tillsammans med Försvarsmakten. Därutöver finns sektorsvisa tillsynsmyndigheter som utövar tillsyn inom sina respektive områden, bland annat Post- och telestyrelsen, Finansinspektionen, Energimyndigheten, Transportstyrelsen, Affärsverket svenska kraftnät och sex länsstyrelser.
Sedan 2021 kan en sanktionsavgift tas ut av den som brister i sina skyldigheter enligt lagen, exempelvis genom att sakna säkerhetsskyddsanalys, försumma samråd eller låta bli att vidta nödvändiga åtgärder. Avgiften kan uppgå till högst 50 miljoner kronor. Tillsynsmyndigheten kan också besluta om förelägganden, i vissa fall förenade med vite, och i sista hand förbjuda en överlåtelse av säkerhetskänslig verksamhet.
| Brist | Möjlig följd |
|---|---|
| Saknad eller inaktuell säkerhetsskyddsanalys | Föreläggande att åtgärda, eventuellt vite, sanktionsavgift |
| Försummat samråd vid utkontraktering, upplåtelse eller överlåtelse | Sanktionsavgift, i sista hand förbud mot åtgärden |
| Bristande informations-, fysisk eller personalsäkerhet | Föreläggande, vite, sanktionsavgift upp till 50 miljoner kronor |
Relation till NIS2 och Cybersäkerhetslagen
Säkerhetsskyddslagen och Cybersäkerhetslagen (SFS 2025:1506, den svenska implementeringen av NIS2) reglerar olika saker, men träffar ofta samma verksamheter. Säkerhetsskyddslagen skyddar det som rör Sveriges säkerhet. Cybersäkerhetslagen ställer krav på cybersäkerhet och incidentrapportering i samhällsviktig och digital verksamhet i bredare bemärkelse.
Många verksamheter inom energi, vatten, digital infrastruktur och offentlig förvaltning omfattas av båda regelverken parallellt. När de överlappar har säkerhetsskyddet företräde för det som rör Sveriges säkerhet, medan NIS2 fortsätter att gälla för den bredare cyberrisken. En fullständig genomgång av när det ena, det andra eller båda gäller finns i [säkerhetsskyddslagen jämfört med NIS2](/sakerhetsskyddslagen/vs-nis2).
Så täcker CyberKlar säkerhetsskydd
Säkerhetsskydd är en egen modul i plattformen, 18 000 kr per år exklusive moms som fristående tillägg eller som del av Komplett-paketet. Modulen ger arbetsflödet för säkerhetsskyddsanalysens dokumentation: skyddsvärden, åtgärder och samråd i en stomme som delar struktur med NIS2-arbetet. Den som omfattas av båda regelverken slipper bygga två parallella dokumentationsspår från grunden.
- Skyddsvärden med säkerhetsskyddsklass. Registrera uppgifter, informationssystem, anläggningar och verksamheter med klassificering och motivering.
- Åtgärder per skyddsområde. Följ upp säkerhetsskyddsåtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet med status och ansvarig.
- Samrådslogg. Logga samråd med Säkerhetspolisen, Försvarsmakten eller sektorsmyndighet vid utkontraktering, upplåtelse och överlåtelse.
Vanliga missuppfattningar
Säkerhetsskyddslagen gäller bara myndigheter. Fel. Lagen gäller var och en som bedriver säkerhetskänslig verksamhet, även privata bolag och oavsett storlek.
Om vi följer NIS2 är vi klara med säkerhetsskyddet. Felaktigt. Regelverken överlappar men är inte utbytbara. Säkerhetsskyddslagen ställer egna krav på säkerhetsskyddsanalys, samråd och personalsäkerhet som inte täcks av Cybersäkerhetslagen.
Samråd behövs bara vid stora affärer. Inte sant. Samrådsplikten utgår från om en åtgärd kan påverka säkerhetskänslig verksamhet, inte från affärens storlek. Även mindre utkontrakteringar kan kräva prövning.
Vi har en gammal säkerhetsskyddsanalys, det räcker. Det håller inte. Analysen ska hållas aktuell. En inaktuell analys är i praktiken en brist som tillsynsmyndigheten kan ingripa mot.