I säkerhetsskyddslagstiftningen finns regler för hur det ska gå till när en extern aktör – till exempel en leverantör eller konsult – får tillgång till en verksamhets säkerhetskänsliga information eller funktioner. För att skyddet ska uppfylla lagens krav måste verksamheten som lämnar ut informationen ställa tydliga krav på den externa parten. Det görs genom att parterna tecknar ett säkerhetsskyddsavtal, som visar hur säkerheten ska hanteras. Säkerhetsskyddsavtalen nivåer delas in i tre: 1, 2 och 3.
Säkerhetsskyddsavtalen nivåer delas in i tre: 1, 2 och 3.
Nivå 1-avtal krävs när leverantören får tillgång till säkerhetskänslig information eller verksamhet – och detta sker utanför uppdragsgivarens egna lokaler, byggnader eller system.
Ett typiskt exempel är om en leverantör får ta med sig känslig information till sin arbetsplats eller om någon ges fjärråtkomst till ett skyddsvärt system. Då ligger ansvaret för säkerheten också utanför verksamhetsutövarens direkta kontroll – och därför krävs ett nivå 1-avtal.
Nivå 2 gäller om leverantören får tillgång till samma typ av säkerhetskänslig information eller verksamhet – men inom uppdragsgivarens lokaler eller system.
Här sker arbetet alltså ”på plats”, och inom ramen för den befintliga säkerhetsmiljön. Det kan till exempel vara en konsult som arbetar i uppdragsgivarens lokaler med säkerhetsskyddsklassificerade uppgifter eller som ges åtkomst till ett känsligt system.
Även här krävs ett säkerhetsskyddsavtal, men nivån anpassas eftersom risken är något lägre när kontrollen ligger hos verksamhetsutövaren.
Nivå 3 gäller när leverantören inte behöver tillgång till skyddsvärden för att utföra sitt uppdrag – men ändå kan komma i kontakt med dem. Ett vanligt exempel är lokalvårdare eller fastighetsskötare som arbetar i utrymmen där säkerhetskänslig verksamhet bedrivs. Även om de inte aktivt deltar i den känsliga verksamheten, finns ändå en potentiell risk att de får insyn eller påverkar säkerheten.
Det som främst avgör säkerhetsskyddsavtalen nivåer är:
Tillgångsformuleringen: Kommer leverantören att få tillgång – eller kan leverantören komma att få tillgång till säkerhetskänslig information eller verksamhet?
Platsen: Sker tillgången inom eller utanför verksamhetsutövarens områden, lokaler, anläggningar eller system?
Att välja rätt nivå på säkerhetsskyddsavtalet handlar inte om byråkrati – det är en avgörande del av arbetet med att skydda Sveriges säkerhet. Grunden för beslutet ska alltid vara verksamhetsutövarens säkerhetsskyddsanalys, men för att avtalet verkligen ska fungera i praktiken krävs att även leverantören förstår vad det innebär och vilket ansvar som medföljer. Först när båda parter har en gemensam förståelse för riskerna och åtgärderna kan skyddet bli ändamålsenligt, proportionerligt och följa lagens krav.
Nästa kurstillfälle för vår utbildning – Diplomerad säkerhetsskyddschef 2025:
Lund 17-18 september + 24-25 september – middag den 24 september
Göteborg 15-16 oktober + 29-30 oktober – middag den 29 oktober
Mer information och anmälan
