Till innehåll på sidan

Det här kan företaget göra

Här hittar du information om samhällsviktig verksamhet och tips för att skapa en plan B vid bortfall av till exempel el, lokaler, it eller personal. Du kan också läsa om hur du kan stärka företagets säkerhetsskydd och arbeta systematiskt med informationssäkerhet.

Ett bra början att stärka företagets beredskap är att arbeta med att: 

  • identifiera samhällsviktig verksamhet
  • kontinuitetshantera för att verksamheten ska fungera
  • säkerställa tillgång på personal
  • skydda företagets information
  • stärka företagets säkerhetsskydd

MSB har stöd och vägledningar på alla dessa områden som företaget kan använda. 

Identifiera samhällsviktig verksamhet

Vissa verksamheter är viktigare än andra sett ur ett samhällsperspektiv. De kallas samhällsviktiga verksamheter. Enligt definitionen är en verksamhet, tjänst eller infrastruktur samhällsviktig om den upprätthåller eller säkerställer funktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. 

Vad som är samhällsviktigt kan variera beroende på vilka typer av störningar samhället utsätts för. En stor del av den samhällsviktiga verksamheten bedrivs av just företag inom områden som till exempel energiförsörjning, finansiella tjänster, handel och industri, hälso- och sjukvård samt omsorg, information och kommunikation, kommunalteknisk försörjning, livsmedel, militärt försvar, offentlig förvaltning, skydd och säkerhet, socialförsäkringar och transporter. 

Som företag kan det vara bra att analysera om ni bedriver samhällsviktig verksamhet. Det finns inga generella krav eller skyldigheter, men bedömningen kan göra att verksamheten blir prioriterad i vissa sammanhang. Några exempel är

  • under coronapandemin, när anställda vid samhällsviktiga verksamheter får barnomsorg även om förskolan eller skolan skulle stängas.
  • inom Styrel, där samhällsviktiga elanvändare kan prioriteras vid effektbrist av el.

Ibland finns kriterier för vad som ska räknas som samhällsviktigt i föreskrifter för olika situationer eller områden. NIS-direktivet innehåller exempelvis krav på informationssäkerhet för dig som bedriver samhällsviktiga tjänster enligt villkoren där. 

  • Samhällsviktigt vid krig?

    Förr fanns det ett system där staten identifierade vissa företag som krigsviktiga. De kallades k-företag och systemet finns inte längre kvar. Nya kriterier för att avgöra om ett företag är viktigt under krig håller på att tas fram, men oavsett vad myndigheterna gör för bedömningar ligger det i företagets intresse att fortsätta att verka på marknaden.

Om företaget är leverantör till samhällsviktig verksamhet

Om ditt företag ska eller vill leverera till statliga myndigheter, kommuner eller regioner med ansvar för samhällsviktig verksamhet finns ofta en del förutsättningar som måste vara uppfyllda. I upphandlingen kan det ställas särskilda krav på exempelvis leveranssäkerhet, kontinuitetshantering och lagerhållning. Ibland finns också krav på att leverantören ska vara delaktig i kundens arbete med kontinuitetshantering, till exempel genom att vara med vid övningar eller planering.

Upphandlingsmyndigheten har stöd till företag som ska leverera till samhällsviktig verksamhet inom offentlig sektor

Kontinuitetshantera för att er verksamhet ska fungera 

Kontinuitetshantering, eller Business Continuity Management (BCM) på engelska, är ett sätt att säkerställa att företaget kan fortsätta att fungera vid störningar. Det handlar om att planera för att kunna upprätthålla verksamheten på en godtagbar nivå, oavsett störning. Exempel på störningar är när personalen inte kommer till jobbet, lokalerna inte går att använda, leveranser av viktiga varor och tjänster inte kommer fram eller vid ett strömavbrott. Kontinuitetshantering handlar alltså om att skapa en plan B. 

Genom att arbeta med kontinuitetshantering kan företaget återhämta sig snabbare och mildra konsekvenserna av störningen. Det ger kortare avbrottstider och förhindrar att ekonomiska och personella värden går förlorade.

MSB har flera olika stödmaterial för kontinuitetshantering, bland annat en verktygslåda som bygger på ISO-standarden 22301 för kontinuitetshantering. Börja gärna med webbkursen eller lathunden. 

Webbkurs om kontinuitetshanteringVerktygslåda för kontinuitetshantering

Säkerställ tillgång på personal

All verksamhet behöver personal. Därför är det viktigt att veta i förväg vilken personal och vilka kompetenser som behövs för att upprätthålla den samhällsviktiga verksamheten. 

När ni gör en bemanningsplan kan ni utgå från er ordinarie organisation. Vissa verksamheter som annars bara bedrivs på dagtid kan till exempel behövas dygnet runt. Verksamheter kan också behöva ställa om för en annan volym än vanligt. Personal kan behöva utbildning och övning för att klara av en ny eller annorlunda roll.

Stöd i hur ditt företag kan tänka inför planerandet av eventuellt bortfall av personal

Personalplanera inför höjd beredskap

Vissa företag får krigsplacera personal för kommande allmän tjänsteplikt. Krigsplacering är ett bra verktyg för att se till att ”rätt person är på rätt plats” när beredskapen höjs, och att ingen person får flera olika uppgifter i totalförsvaret.

Personalplanering inför höjd beredskap innebär inte några förpliktelser för vare sig företaget eller de anställda när det är fred. Plikten inträder inte förrän regeringen har beslutat om höjd beredskap, och dessutom beslutar om allmän tjänsteplikt inom företagets verksamhet eller geografiska område.

MSB arbetar med att ta fram stöd för krigsorganisation och krigsplacering för företag. Det finns redan vägledningar för myndigheter, kommuner och regioner.

Vägledning för krigsorganisation och krigsplacering

  • Regler och lagar: totalförsvarsplikt

    Alla som bor i Sverige och som är mellan 16 och 70 år är totalförsvarspliktiga. Som totalförsvarspliktig är man skyldig att tjänstgöra inom totalförsvaret som värnpliktig eller civilpliktig, eller med allmän tjänsteplikt. 

    Allmän tjänsteplikt kan bli aktuellt vid höjd beredskap, om det behövs för att upprätthålla verksamhet som är viktig för totalförsvaret. Då kan totalförsvarspliktiga till exempel vara skyldiga att utföra sina ordinarie arbetsuppgifter. De kan också bli tilldelade något annat arbete av regeringen genom Arbetsförmedlingen. 

    Det är regeringen som beslutar om allmän tjänsteplikt. Regeringen eller Arbetsförmedlingen får besluta om vilka arbetstagare eller uppdragstagare som ska omfattas av den allmänna tjänsteplikten. De får också besluta var den allmänna tjänsteplikten ska fullgöras, det vill säga hos vilka arbetsgivare eller uppdragsgivare. 

    Lag (1994:1809) om totalförsvarsplikt

    Om totalförsvarsplikt på MSB:s webb

 

Skydda företagets information

Många företag är helt beroende av information för att alls kunna fungera. Det kan till exempel handla om olika typer av förteckningar och register, eller om styrsystem eller manualer. En stor del av informationen hanteras dessutom digitalt idag. Det betyder att företag behöver arbeta med informations- och cybersäkerhet på ett systematiskt sätt, så att 

  • informationen är tillgänglig när den behövs
  • det går att lita på att informationen är korrekt 
  • informationen inte kommer i orätta händer. 

Arbetet med informations- och cybersäkerhet bör integreras i företagets ledningssystem, precis som arbetet med miljö- eller kvalitetsfrågor. Dessutom behöver alla medarbetare känna till och följa företagets rutiner och arbetssätt för informations- och cybersäkerhet.

Grunden i arbetet är att utgå från identifierade risker i informationshanteringen, och att se över sin grundläggande cyberhygien med hjälp av ett antal rekommenderade säkerhetsåtgärder.

Genomför it-säkerhetsåtgärder

Myndigheterna som ingår i Sveriges nationella cybersäkerhetscenter har tagit fram rekommendationer för hur företag kan bygga en säkrare it-miljö och skydda sig mot aktuella cybersäkerhetsrelaterade hot: 

  • installera säkerhetsuppdateringar så fort det går
  • förvalta behörigheter och använd starka autentiseringsfunktioner
  • begränsa och skydda användningen av systemadministrativa behörigheter
  • inaktivera oanvända tjänster och protokoll (härda systemen)
  • gör säkerhetskopior och testa om informationen går att läsa tillbaka
  • tillåt bara godkänd utrustning i nätverket
  • säkerställ att bara godkänd mjukvara får köras (vitlistning)
  • segmentera nätverken och filtrera trafiken mellan segmenten
  • uppgradera mjuk­ och hårdvara
  • säkerställ förmågan att upptäcka säkerhetshändelser.

Rekommendationerna ersätter inte ett systematiskt arbete, men är en bra utgångspunkt för att hantera de sårbarheter som myndigheterna har identifierat.

Cybersäkerhet i Sverige 2020 – Rekommenderade säkerhetsåtgärder 

  • Nationella cybersäkerhetscentret

    Sveriges nya nationella cybersäkerhetscenter ska koordinera arbetet med att förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter. Centret inrättades 2020 av Försvarsmakten, Försvarets radioanstalt (FRA), Säkerhetspolisen och MSB i samverkan med Post- och telestyrelsen (PTS), Polismyndigheten och Försvarets materielverk (FMV).

    Nationella cybersäkerhetscentrets webbplats

Vägledning och stöd för systematiskt informationssäkerhet

MSB har ett metodstöd för att arbeta systematiskt och riskbaserat med informationssäkerhet. Metodstödet bygger på standarder om ledningssystem för informationssäkerhet (ISO 27 000-serien).

Metodstöd för systematiskt informationssäkerhetsarbete – en översikt

Vägledning till ökad säkerhet i industriella informations- och styrsystem

I många verksamheter är det it-system som styr och övervakar fysiska processer, som till exempel i vattenkraftverk. MSB har en vägledning med 17 grundläggande rekommendationer för ökad säkerhet i industriella informations- och styrsystem (ICS).

Vägledning till ökad säkerhet i industriella informations- och styrsystem 

Stöd i att identifiera, förebygga och hantera IT-incidenter

Företag kan få stöd av den nationella funktionen CERT-SE som finns på MSB. Via CERT-SE går det att få information om aktuella hot och sårbarheter i IT-produkter och stöd i att hantera IT-incidenter. CERT-SE sänder också ut varningar via e-post, så kallade blixtmeddelanden, när det finns allvarliga hot som måste hanteras omedelbart. Det kan till exempel vara vid allvarliga säkerhetsbrister eller sårbarheter. Varningarna når cirka 10 000 frivilliga prenumeranter.

CERT-SE

Stärk säkerhetsskyddet och hantera säkerhetsskyddsklassificerade uppgifter 

I samband med återuppbyggnaden av totalförsvaret finns ökade behov av att stärka aktörers förmåga att skydda och dela information med högt skyddsbehov. 

Alla organisationer har olika förutsättningar för att utforma fullgoda säkerhetsåtgärder för informationen vilket medför att anpassningar utifrån individuella förutsättningar krävs.

MSB har uppdrag att besluta om vilka civila myndigheter och andra samhällsviktiga verksamheter som kan tilldelas signalskyddssystem och kryptografiska funktioner för möjlighet till säkrare samverkan.

Ytterligare stöd finns på msb.se i serien Det nya totalförsvaret – En hjälp på vägen!

  • Regler och lagar: säkerhetsskydd

    Säkerhetspolisen, SÄPO, utfärdar föreskrifter och vägledningar utifrån säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Säkerhetsskyddslagstiftningen omfattar såväl offentliga som privata aktörer och ska tillämpas av  den som bedriver säkerhetskänslig verksamhet.

    Säkerhetskänslig verksamhet är bland annat verksamhet som är av betydelse för Sveriges säkerhet, om dessa verksamheter utsätts för ett angrepp kan det få allvarliga konsekvenser för Sverige. De säkerhetskänsliga verksamheterna kan även hantera säkerhetsskyddsklassificerade uppgifter, det vill säga uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av den lagen om den varit tillämplig. Dessa verksamheter behöver av denna anledning ett särskilt skydd, säkerhetsskydd.

    Säkerhetspolisen om säkerhetsskydd

Senast granskad: 10 maj 2021

Till toppen av sidan