Minska företagets sårbarhet
MSB rekommenderar att företag genomför åtgärder inom följande områden för att minska sina sårbarheter och stärka sin beredskap.
På den här sidan
Att förbereda ditt företag behöver inte vara dyrt eller krångligt: gör en plan för att hantera avbrott och hur du ska kunna starta upp verksamheten igen.
Håll ditt företag uppdaterat om hotbilden mot Sverige
MSB uppmuntrar företag att hålla sig uppdaterade om den aktuella hotbilden mot Sverige och den bransch företaget bedriver verksamhet inom. Det är särskilt viktigt att föra kontinuerlig dialog med branschorganisationer och berörda beredskapsmyndigheter samt kommuner och länsstyrelser där företaget bedriver verksamhet.
Källorna nedan tillsammans med ett fiktivt scenariepaket framtaget av Totalförsvarets forskningsinstitut utgör en bra utgångspunkt för en ökad förståelse för hotbilden mot Sverige.
Identifiera samhällsviktig verksamhet
Offentliga aktörer identifierar samhällsviktig verksamhet på olika nivåer. MSB stödjer, genom information och utbildning, offentliga och privata aktörer med att identifiera och upprätthålla samhällsviktig verksamhet.
Om ni som företag har frågor huruvida er verksamhet ska betraktas som samhällsviktig eller inte, för en dialog med offentliga aktörer för att få stöd. Om företaget är osäker till vilken offentlig aktör ni ska vända er till kan ni kontakta MSB via beredskapforforetag@msb.se.
Idag finns det inge generella skyldigheter för företag som bedriver samhällsviktig verksamhet, men samhällsviktig verksamhet utgör en grund för prioritering av samhällets resurser vid fredstida kriser, höjd beredskap och krig. Under coronapandemin prioriterades hade till exempel anställda vid vissa samhällsviktiga verksamheter rätt till barnomsorg även om förskolan eller skolan skulle stängas.
-
Samhällsviktig verksamhet
Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Verksamhet, tjänst eller infrastruktur inkluderar anläggningar, processer och system.
Läs mer om samhällsviktig verksamhet
NIS-direktivet
För de företag som är leverantörer av samhällsviktiga tjänster i enlighet med den svenska regleringen kopplat till EU-direktivet NIS (The directive on security of network and information systems) ställs exempelvis krav på systematiskt informationssäkerhetsarbete och på rapportering av it-incidenter. Det kan också ställas krav på vilka säkerhetsåtgärder företaget ska införa i föreskrifter från tillsynsmyndigheter.
Under hösten 2020 publicerade EU-kommissionen ett förslag till utvecklingen av direktivet (NIS 2) som blir svenska lag under 2024. NIS 2 innehåller bland annat mer central styrning och mer detaljerad tillsyn och det är troligt att flera företag kan beröras av regleringen.
CER-direktivet
CER-direktivet (Directive on the resilience of critical entities) ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet. Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.
Om företaget levererar till samhällsviktig verksamhet
Om ditt företag ska eller vill leverera till statliga myndigheter, kommuner, regioner eller andra företag som bedriver samhällsviktig verksamhet finns ofta en del förutsättningar som måste vara uppfyllda. I upphandlingen kan det ställas särskilda krav på exempelvis leveranssäkerhet, kontinuitetshantering och lagerhållning. Ibland finns också krav på att leverantören ska vara delaktig i kundens arbete med kontinuitetshantering, till exempel genom att vara med vid övningar eller planering. Kraven regleras i upphandlingsavtalen.
Kontinuitetshantering – företagets plan B
Kontinuitetshantering, företagets Plan B, utgör ett viktigt verktyg för att planera för att bedriva sin verksamhet på en tolerabel nivå oavsett störning och på så vis förhindra att ekonomiska och personella värden går förlorade. Detta är särskilt viktigt (och ofta kravställt i upphandlingsavtal) om företaget levererar varor och tjänster till samhällsviktig verksamhet.
Exempel på aktiviteter inom kontinuitetshantering:
- Kartlägga samhällsviktig verksamheter och kritiska aktiviteter
- Identifiera beroenden av resurser
- Bestämma vad som är acceptabla avbrottstider
- Genomföra åtgärder som minskar risken för störningar
- Planering för bortfall av personal
- Planering för bortfall av energi
Företag behöver ta större hänsyn till hybrida hot i kontinuitetshanteringen, till exempel cyberangrepp eller sabotage, som sker oavsett om det råder höjd beredskap eller inte.
Se FOI:s anpassningsbara scenariopaket på deras webbplats för inspiration
Planera för bortfall av personal
Personalplanering handlar om att analysera hur mycket personal och vilka kompetenser som behövs för att verksamheten ska fortsätta fungera.
MSB föreslår att företaget utgår från följande frågeställningar:
- Vilka nyckelbefattningar finns och behöver dessa finnas tillgängliga under höjd beredskap?
- Vilken personal behöver befinna sig fysiskt på arbetsplatsen och vilken kan utföra sina arbetsuppgifter på distans?
- Vid förflyttning av personal – är det säkerställt att personalen har rätt kompetens och förutsättningar för arbetsuppgiften?
- Kan vissa arbetsuppgifter genomföras av färre personer?
- Hur kan ett långvarigt personalbortfall hanteras?
- Vilka befintliga möjligheter finns att förstärka företaget med personal utifrån
Personalplaneringen för fredstida kriser kan redan, helt eller delvis, vara tillgodosedd genom företagets plan B. Men vissa företaget behöver också en personalplanering för höjd beredskap och krig.
-
Totalförsvarsplikt
Alla som bor i Sverige och som är mellan 16 och 70 år är totalförsvarspliktiga. Som totalförsvarspliktig är man skyldig att tjänstgöra inom totalförsvaret som värnpliktig eller civilpliktig, eller med allmän tjänsteplikt.
Allmän tjänsteplikt kan bli aktuellt vid höjd beredskap, om det behövs för att upprätthålla verksamhet som är viktig för totalförsvaret. Då kan totalförsvarspliktiga till exempel vara skyldiga att utföra sina ordinarie arbetsuppgifter. De kan också bli tilldelade något annat arbete av regeringen genom Arbetsförmedlingen.
Det är regeringen som beslutar om allmän tjänsteplikt. Regeringen eller Arbetsförmedlingen får besluta om vilka arbetstagare eller uppdragstagare som ska omfattas av den allmänna tjänsteplikten. De får också besluta var den allmänna tjänsteplikten ska fullgöras, det vill säga hos vilka arbetsgivare eller uppdragsgivare
Läs mer om krigsorganisation och krigsplacering
Hantera risker
Riskhantering handlar om att identifiera, analysera, värdera och åtgärda risker. Stöd till hur en organisation organiserar sin riskhantering ges bland annat i den internationella standarden ISO31000 som ger riktlinjer för riskhantering.
Metodstöd för systematiskt informationssäkerhetsarbete
Ta fram en organisationsövergripande riskbild
Utforma organisationens arbete med riskhantering
Genomför riskanalys och ta fram åtgärder för att minska riskerna
Hur man kan följa upp att riskarbetet går enligt plan
Hantera oönskade händelser
Genom att planera för att kunna hantera oönskade händelser, allt från avvikelser och incidenter till fredstida kriser och krig, skapas förutsättningar för att en händelse effektivt ska kunna tas om hand och för att samhällsviktiga verksamheten kan upprätthållas. I dessa förberedelser finns flera perspektiv där verksamhetens interna hantering av en händelse behöver förberedas, men även hanteringen som sker i samverkan med andra aktörer.
Gemensamma grunder för samverkan och ledning är förhållningssätt och arbetssätt som ska användas vid samhällsstörningar. Dessa grunder ska göra det enklare att komma i kontakt med varandra, dela lägesbilder och annan information, samt samordna och inrikta åtgärderna för bästa effekt.
Gemensamma grunder för samverkan och ledning
Skydda företagets information
Arbetet med att skydda företagets informations- och cybersäkerhet behöver på ett systematiskt sätt utgå från informationens värde och identifierade risker i informationshanteringen samt leda till säkerhetsåtgärder som garanterar:
- att endast behöriga personer får tillgång till informationen
- att informationen är korrekt och inte är manipulerad eller förstörd
- att informationen finns tillgänglig när behörig person efterfrågar den.
Genomföra it-säkerhetsåtgärder
I rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder rekommenderas bland annat följande åtgärder:
- Installera säkerhetsuppdateringar så fort det går
- Förvalta behörigheter och använd starka autentiseringsfunktioner
- Begränsa och skydda användningen av systemadministrativa behörigheter
- Inaktivera oanvända tjänster och protokoll (härda systemen)
- Gör säkerhetskopior och testa om informationen går att läsa tillbaka
- Tillåt bara godkänd utrustning i nätverket
- Säkerställ att bara godkänd mjukvara får köras (vitlistning)
- Segmentera nätverken och filtrera trafiken mellan segmenten
- Uppgradera mjuk¬ och hårdvara
- Säkerställ förmågan att upptäcka säkerhetshändelser.
Rekommendationerna ersätter inte ett systematiskt arbete och ska inte uppfattas som en checklista utan som en bra utgångspunkt för att hantera potentiella sårbarheter.
Läs rapporten Cybersäkerhet i Sverige 2020 – Rekommenderade säkerhetsåtgärder
Stärka säkerhetsskyddet och hantera säkerhetsskyddsklassificerade uppgifter
I samband med återuppbyggnaden av totalförsvaret finns ökade behov av att stärka aktörers förmåga att skydda och dela säkerhetsskyddsklassificerade uppgifter. Stöd finns i MSB:s serie Det nya totalförsvaret – En hjälp på vägen.
Det nya totalförsvaret – En hjälp på vägen
Hantering av säkerhetsskyddsklassificerade handlingar
Hantering av hemliga uppgifter i en fristående dator
Riskreducerande åtgärder för lokal avsedd för delgivning av hemliga uppgifter