SvKFS 2013:1
Affärsverket svenska kraftnäts föreskrifter och allmänna råd om säkerhetsskydd
1
Affärsverket svenska kraftnäts
författningssamling
Utgivare: chefsjurist Bertil Persson, Svenska Kraftnät, Box 1200, 172 24 Sundbyberg
ISSN 1402-9049
Affärsverket svenska kraftnäts föreskrifter och
allmänna råd om säkerhetsskydd;
beslutade den 8 april 2013.
Affärsverket svenska kraftnät (Svenska Kraftnät) föreskriver följande med
stöd av 45 § säkerhetsskyddsförordningen (1996:633) och meddelar följande
allmänna råd.
Föreskrifterna gäller för enskilda och juridiska personer som bedriver el-
försörjningsverksamhet vilken omfattas av säkerhetsskyddslagen (1996:627).
Allmänna bestämmelser
1 §
Den säkerhetsanalys som ska genomföras enligt 5 § säkerhetsskydds-
förordningen ska göras minst en gång vartannat år. Resultatet av analysen ska
dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av sådan
analys.
2 §
Svenska Kraftnät ska underrättas om vem som är säkerhetsskyddschef
och ersättare för denne. Om det har ansetts uppenbart obehövligt att utse en
säkerhetsskyddschef ska Svenska Kraftnät även underrättas härom.
3 §
Säkerhetsskyddet ska anpassas till verksamhetens art, omfattning och
övriga omständigheter samt, i fråga om uppgifter som rör rikets säkerhet eller
skyddet mot terrorism, till vilken säkerhetsskyddsnivå uppgiften hör.
4 §
Fel och brister i säkerhetsskyddet, vilka inte är av endast ringa betydel-
se, ska snarast åtgärdas. Vid incidenter som har eller kan ha betydelse för
säkerhetsskyddet ska Svenska Kraftnät informeras. Säkerhetsskyddschef bör
göra en bedömning i varje enskilt tillfälle om fel och brister är av sådan
karaktär att de ska rapporteras till Svenska Kraftnät.
Informationssäkerhet för handlingar som rör rikets säkerhet
eller skyddet mot terrorism i skrift eller bild
5 §
Verksamhetens chef (VD eller motsvarande) eller den som denne be-
stämmer ska besluta om vem som är behörig att ta del av uppgifter som är av
betydelse för rikets säkerhet eller skyddet mot terrorism. Med uppgifter avses
här information eller data oavsett lagringsform och format.
6 §
Handlingar som rör rikets säkerhet eller skyddet mot terrorism ska mär-
kas särskilt. Av märkningen ska tydligt framgå att handlingen innehåller in-
SvKFS 2013:1
Utkom från trycket
den 1 juli 2013
SvKFS 2013:1
2
formation som rör rikets säkerhet eller skyddet mot terrorism. På första sidan
av sådan handling antecknas handlingens informationsklass, beteckning, ex-
emplarnummer, antal sidor samt eventuella bilagor. Sidorna ska numreras i
följd. Om en handling består av flera sidor, ska på varje sida finnas en marke-
ring som hänvisar till märkningen på första sidan.
7 §
Antal exemplar/kopior och mottagare av en handling som rör rikets sä-
kerhet eller skyddet mot terrorism ska dokumenteras i ett register och sparas i
minst 10 år. För handlingar som är av synnerlig betydelse för rikets säkerhet
så ska sådant register sparas i minst 25 år. Om verksamhet upphör inom
nämnda tidsintervall ska registret överföras till Svenska Kraftnät. I ett regis-
ter, där en handling som rör rikets säkerhet eller skyddet mot terrorism är för-
tecknad, ska det framgå var handlingen förvaras eller om den gallrats eller
kommit bort.
8 §
Om en handling inte längre bedöms röra rikets säkerhet eller skyddet
mot terrorism, ska detta antecknas på handlingen. Anteckningen ska innehål-
la uppgift om verksamhetens namn, datum för anteckningen och vem som
fattat beslut i saken. Åtgärden ska antecknas i det register där handlingen är
diarieförd eller motsvarande.
Förstöring av handlingar som rör rikets säkerhet eller skyddet mot terro-
rism ska ske på sådant sätt att åtkomst och återskapande av uppgifterna omöj-
liggörs. Förstöringen ska dokumenteras.
9 §
Handling som rör rikets säkerhet eller skyddet mot terrorism, i skrift
eller bild, ska förvaras i ett förvaringsutrymme med en sådan skyddsnivå att
den inte obehörigen röjs, ändras eller förstörs. Endast behörig personal får ha
tillgång till dessa utrymmen.
Handling som är av synnerlig betydelse för rikets säkerhet ska förvaras i ut-
rymme till vilket endast behörig personal i säkerhetsklass 1 och 2 har tillgång.
Skyddsnivån ska motsvara lägst säkerhetsskåp Svensk Standard SS 3492.
Ytterligare säkerhetsskyddsåtgärder för förvaringen ska vidtas om säkerhets-
analysen ger anledning till det.
10 §
Handlingar som rör rikets säkerhet eller skyddet mot terrorism, ska
sändas som värdepost, rekommenderad post eller motsvarande.
Utförsel eller sändning utanför rikets gränser av handlingar som rör rikets
säkerhet eller skyddet mot terrorism ska ske efter samråd med Svensk Kraft-
nät.
Vid val av distributör av sådan handling som anges i första stycket ska en
riskanalys genomföras och dokumenteras.
11 §
Inventering av handlingar innehållande uppgifter som rör rikets säker-
het eller som särskilt behöver skyddas mot terrorism ska göras. Inventeringen
ska dokumenteras och sparas minst till dess att förnyad inventering genom-
förts.
12 §
Vid röjande eller misstanke om röjande av uppgifter som rör rikets sä-
kerhet eller skyddet mot terrorism ska skyndsam anmälan till Svenska Kraft-
nät och polis ske.
SvKFS 2013:1
3
Informationssäkerhet för IT-system
13 §
Med IT-system avses i detta kapitel ett system som baseras på infor-
mationsteknik, såsom radio-, telefoni-, datorkommunikations- eller datorsys-
tem.
14 §
Det ska finnas fastställda instruktioner för användning, förvaltning,
drift och avveckling av IT-system som är avsedda för behandling av uppgifter
som rör rikets säkerhet eller som särskilt behöver skyddas mot terrorism. Så-
dana instruktioner ska dokumenteras och fastställas av verksamhetens chef
(VD eller motsvarande) eller den som denne bestämmer.
Allmänna råd
Skyddet mot terrorism innefattar även skydd av IT-system som är cen-
trala eller kritiska komponenter i energisystemet eller som används
som centrala eller kritiska delar i fysiska eller logiska säkerhetssystem.
15 §
Vid anskaffning, användning, utveckling, förändring eller avveckling
av ett IT-system, som är avsett för behandling av uppgifter som rör rikets
säkerhet eller som särskilt behöver skyddas mot terrorism ska de säkerhetsris-
ker och de sårbarheter som kan finnas i och kring systemet analyseras.
Analysen ska resultera i en sammanställning över de åtgärder som ska vid-
tas för att erforderligt säkerhetsskydd ska upprätthållas. En sådan analys ska
dokumenteras.
Vad som sägs i första stycket ska även tillämpas innan en verksamhet upp-
låter drift eller förvaltning av ett IT-system som är avsett för behandling av
uppgifter som rör rikets säkerhet eller som särskilt behöver skyddas mot ter-
rorism, till en enskild eller juridisk person i utlandet eller där berörda uppgif-
ter avses behandlas eller på annat sätt lagras utomlands. En sådan upplåtelse
ska ske efter samråd med Svenska Kraftnät.
16 §
För IT-system där behandling sker av uppgifter som rör rikets säkerhet
eller skyddet mot terrorism sker och som kan användas av utländska medbor-
gare eller verksamhet som bedrivs utanför Sverige, ska det upprättas särskild
dokumentation avseende drift, förvaltning och säkerhet. Denna dokumenta-
tion ska särskilt beskriva hur kraven på säkerhetsskydd uppnås vid använd-
ning av IT-systemet. En sådan användning får endast ske efter samråd med
Svenska Kraftnät.
Allmänna råd
Av en sådan dokumentation bör det tydligt framgå hur säkerhets-
skyddsavtal, säkerhetsprövning av utländsk personal (på engelska be-
nämnd Personnel Security Clearance) och fysisk åtkomst till utrymme
där hårdvara som ingår i det berörda IT-systemet förvaras eller drift-
hålls (på engenska benämnd Facility Security Clearance) genomförs.
17 §
Vid drifttagning av IT-system som avses behandla uppgifter som rör
rikets säkerhet eller särskilt behöver skyddas mot terrorism ska en granskning
SvKFS 2013:1
4
av säkerheten i och kring IT-systemet göras. Resultatet av en sådan säkerhets-
granskning ska dokumenteras.
18 §
För ett IT-system, som är avsett för behandling av uppgifter som rör ri-
kets säkerhet eller som särskilt behöver skyddas mot terrorism, ska finnas en
utsedd person som ansvarar för säkerheten i systemet.
19 §
Ett IT-system, som är avsett för behandling av uppgifter som rör rikets
säkerhet eller som särskilt behöver skyddas mot terrorism ska vara försett
med de tekniska och administrativa åtgärder som krävs för bland annat iden-
tifiering av användaren, verifiering av den föregivna identiteten, styrning av
användarens åtkomsträttigheter till systemet.
Allmänna råd
Ett IT-system, som är avsett för behandling av uppgifter som rör rikets
säkerhet eller som särskilt behöver skyddas mot terrorism och som är
avsett att användas av flera personer, bör förses med ett förstärkt in-
loggningsskydd, exempelvis aktiva kort.
20 §
I ett IT-system som är avsett för behandling av uppgifter som rör rikets
säkerhet eller skyddet mot terrorism och som är avsett att användas av flera
personer, ska loggning ske av användaridentitet, datum och tidpunkt för in-
loggning och utloggning samt i övrigt sådana användaraktiviteter som är av
betydelse för säkerheten i systemet.
Det ska finnas ett dokumenterat beslut om hur ofta säkerhetsloggar ska ana-
lyseras, vad som ska analyseras och vem som ska ansvara för sådan analys
samt hur länge säkerhetsloggar ska bevaras.
21 §
Det ska finnas dokumenterade och fastställda rutiner för hantering,
rapportering och uppföljning av incidenter av betydelse för säkerheten i eller
kring ett IT-system om incidenten kan påverka rikets säkerhet eller skyddet
mot terrorism eller om IT-systemet behandlar uppgifter som rör rikets säker-
het eller som särskilt behöver skyddas mot terrorism.
Tillträdesbegränsning
22 §
Det ska finnas dokumenterade rutiner för att utfärda skriftligt besöks-
tillstånd för utomstående personer som ska få tillträde till en plats där säker-
hetskänslig verksamhet bedrivs eller som särskilt behöver skyddas mot terro-
rism. När personen besöker platsen ska hans eller hennes rätt att få tillträde
kontrolleras.
23 §
Kort, koder och nycklar till utrymmen där uppgifter som rör rikets sä-
kerhet finns, där säkerhetskänslig verksamhet bedrivs eller som särskilt behö-
ver skyddas mot terrorism ska förvaras så att inte någon obehörig kan komma
åt dem.
En förteckning över samtliga kort, koder och nycklar som hör till förva-
ringsutrymmen som anges i första stycke ska upprättas. Förteckningen skall
SvKFS 2013:1
5
sparas och hållas uppdaterad så länge verksamhet enligt första stycket pågår i
utrymmet.
Säkerhetsprövning och registerkontroll
24 §
För inplacering i säkerhetsklass 2 eller 3 vid anställning eller uppdrag
gäller, om inte Svenska Kraftnät beslutar annat, vad som anges i bilagorna 1
och 2. Om en anställning bedöms vara säkerhetsklassad ska information om
detta framgå tidigt i anställningsprocessen och om så är tillämpligt redan i
eventuell platsannons.
25 §
Verksamhetens chef (VD eller motsvarande) eller den som denne utser
ska i samråd med Svenska Kraftnät fastställa vilka befattningar eller annat
deltagande i verksamheten som ska utgöra föremål för säkerhetsprövning.
Resultatet av denna undersökning ska dokumenteras.
Allmänna råd
Verksamhetsansvariga bör löpande pröva pålitligheten från säkerhets-
skyddssynpunkt, särskilt i fråga om de personer som har anställning
eller deltar i verksamhet som är placerad i säkerhetsklass eller som är
registerkontrollerade till skydd mot terrorism.
26 §
Ny registerkontroll ska göras när den som har en befattning i säker-
hetsklass 1 eller 2 har ingått äktenskap, partnerskap eller inlett ett samboför-
hållande efter den senaste registerkontrollen.
27 §
Den som avser att anställa någon på säkerhetsklassad anställning eller
ge någon ett säkerhetsklassat uppdrag ska hos Svenska Kraftnät begära att re-
gisterkontroll görs av den som kan antas komma att anställas eller på annat
sätt delta i den aktuella verksamheten. Om det finns synnerliga skäl får kon-
troll begäras utan ett sådant antagande.
Vad som sägs i första stycket gäller även för registerkontroll av person som
kan antas komma att anställas eller på annat sätt delta i verksamhet vid sådana
anläggningar, byggnader, bostäder m.m. inom elförsörjningen som förklarats
som skyddsobjekt enligt 4 § 4 i skyddslagen (2010:305). Om det finns syn-
nerliga skäl får kontroll begäras utan ett sådant antagande.
Om den som begär att registerkontroll sker anser att det föreligger sådana
synnerliga skäl som sägs i första och andra styckena ska dessa skäl redovisas
i samband med att begäran om registerkontroll ges in till Svenska Kraftnät.
Det samtycke som krävs enligt 19 § säkerhetsskyddslagen ska dokumente-
ras av den som beslutat om säkerhetsprövning.
Allmänna råd.
Utöver vad som anges i 27 § bör normalt även registerkontroll också
ske beträffande följande personer som deltar i eller som kan antas delta
i verksamhet vid skyddsobjekt.
Kärnkraftverken
Personer med tillsvidareanställning och sådan persons vikarie om vi-
SvKFS 2013:1
6
karien utför samma uppgifter som den ordinarie innehavaren av befatt-
ningen.
Personer som äger rätt att utan ledsagare vistas inom kärnkraftblock.
Personer som äger tillträde till kontrollrum, telerum eller datarum.
Personer som får insyn i kärnkraftsblockens säkerhetsskydd.
Övriga anläggningar som är skyddsobjekt
Personer som äger tillträde till kontrollrum, telerum eller datarum.
Personer som äger tillträde till driftcentral varifrån skyddsobjektet
styrs och övervakas.
Personer som äger tillträde till skyddade utrymmen i s.k. teknikbodar
som används för optofiberkommunikation och som förklarats som
skyddsobjekt eller som är placerade i anslutning till anläggning som
förklarats som skyddsobjekt.
Det erinras om att beträffande redan anställda och andra som deltar i
säkerhetsklassad verksamhet ska förnyad registerkontroll genomföras
innan någon får anlitas i en högre säkerhetsklass. Vidare ska en ny re-
gisterkontroll göras minst vart femte år av den som har anlitats i säker-
hetsklass 1 eller 2 och att i övrigt en ny kontroll ska göras när det finns
särskild anledning till det (se 24–25 §§säkerhetsskyddsförordningen).
28 §
Om det vid registerkontrollen framkommer uppgifter som kan ge an-
ledning till osäkerhet huruvida den person som kontrollen gäller kan placeras
i säkerhetsklassad anställning, säkerhetsklassat uppdrag, kan anställas eller
på annat sätt delta i verksamhet vid sådana anläggningar, byggnader, bostäder
m.m. inom elförsörjningen som förklarats som skyddsobjekt enligt 4 § 4 i
skyddslagen (2010:305) ska samråd ske mellan Svenska Kraftnät och den
som till Svenska Kraftnät ingivit begäran om att registerkontroll sker.
29 §
Innan uppgifter som rör rikets säkerhet eller som särskilt behöver
skyddas mot terrorism lämnas till ett annat företag ska en säkerhetsprövning
ske av de personer inom företaget som avses få del av uppgifterna.
30 §
För genomförande av registerkontrollen ska begäran härom göras på
av Svenska Kraftnät anvisade blanketter vilka ska skickas till Svenska Kraft-
nät. Om den registerkontrollerade erhåller anställning eller uppdrag ska den
som till Svenska Kraftnät har begärt om registerkontroll informera Svenska
Kraftnät härom. Meddelande ska även lämnas om anställning eller uppdrag
upphör.
31 §
När särskilda skäl föreligger får Svenska Kraftnät medge undantag
från bestämmelserna i dessa föreskrifter.
1. Dessa föreskrifter och allmänna råd träder i kraft den 1 juli 2013.
2. Genom dessa föreskrifter och allmänna råd upphävs Affärsverket svens-
ka kraftnäts föreskrifter (SvKFS 2005:1) om säkerhetsskydd.
Mikael Odenberg
Bertil Persson
SvKFS 2013:1
7
Bilaga 1
Inplacering i säkerhetsklass 2 inom elförsörjningen
Nedanstående befattningar eller annat deltagande i verksamhet inom elför-
sörjningen ska placeras i säkerhetsklass 2.
• Säkerhetsskyddschef som i sin tjänsteutövning får del av uppgifter som har
betydelse för rikets säkerhet.
• Verksamhetens chef (VD eller motsvarande) som i sin tjänsteutövning får
del av uppgifter som har betydelse för rikets säkerhet.
• Befattningar vid säkerhetsskyddad upphandling jämlikt 8 § säkerhets-
skyddslagen som får del av uppgifter som omfattas av sekretess och som är
av synnerlig betydelse för rikets säkerhet.
• Befattningar som ingår i elförsörjningens gemensamma krisorganisation.
• Befattningar som regelmässigt hanterar uppgifter som rör rikets säkerhet
eller som särskilt behöver skyddas mot terrorism, t.ex. beredskapsplanlägg-
ning.
• Befattningar som får del av uppgifter som rör rikets säkerhet eller som sär-
skilt behöver skyddas mot terrorism vid utredning, utbildning eller övning.
• Befattningar som utför ej enbart tillfälliga arbeten vid ett flertal sådana an-
läggningar som förklarats som skyddsobjekt enligt 4 § 4 skyddslagen
(2010:305) och som därvid kan få del av uppgifter som rör rikets säkerhet
eller som särskilt behöver skyddas mot terrorism.
• Befattningar som i arbete med IT-system, tele/datakommunikation eller på
annat sätt får en sådan insyn i överföringssystem av el att de vid utförande
av sina arbetsuppgifter kan få del av uppgifter som rör rikets säkerhet eller
som särskilt behöver skyddas mot terrorism.
Till befattningar i säkerhetsklass 2 hänförs också vikariat och/eller ersättare
om denne får ta del av uppgifter i samma omfattning som den ordinarie inne-
havaren av befattningen.
SvKFS 2013:1
8
Elanders Sverige AB, 2013
Bilaga 2
Inplacering i säkerhetsklass 3 inom elförsörjningen
Nedanstående befattningar eller annat deltagande i verksamhet inom elför-
sörjningen ska inplaceras i säkerhetsklass 3.
• Befattningar som omfattar tillfälliga arbeten vid ett flertal sådana an-
läggningar som förklarats som skyddsobjekt enligt 4 § 4 skyddslagen
(2010:305) och som därvid kan få del av uppgifter som rör rikets säkerhet
eller som särskilt behöver skyddas mot terrorism.
• Befattningar som innefattar besök eller på annat sätt tillträde till ett flertal
sådana anläggningar som förklarats som skyddsobjekt enligt 4 § 4 skydds-
lagen (2010:305) och som därvid kan få del av uppgifter som rör rikets sä-
kerhet eller som särskilt behöver skyddas mot terrorism.
• Befattningar hos enskilda eller juridiska personer som har träffat säkerhets-
skyddsavtal med Svenska Kraftnät och/eller andra myndigheter och som
innebär att man kan få del av uppgifter som rör rikets säkerhet eller som
särskilt behöver skyddas mot terrorism.
• Befattningar i lednings-, styrelsefunktion eller motsvarande som medför att
innehavaren i sin utövning kan få del av uppgifter som rör rikets säkerhet
eller som särskilt behöver skyddas mot terrorism.
• Personer som i utbildning vid universitet, högskolor eller motsvarande vid
examens-, special- eller tentamensarbete kan få del av uppgifter som rör ri-
kets säkerhet eller som särskilt behöver skyddas mot terrorism.
Till befattningar i säkerhetsklass 3 hänförs också vikariat och/eller ersättare
om denne får ta del av uppgifter i samma omfattning som den ordinarie inne-
havaren av befattningen.