Till innehåll på sidan

Minska företagets sårbarhet

MSB rekommenderar att företag genomför åtgärder inom följande områden för att minska sina sårbarheter och stärka sin beredskap.

Att förbereda ditt företag behöver inte vara dyrt eller krångligt: gör en plan för att hantera avbrott och hur du ska kunna starta upp verksamheten igen.

Hålla ditt företag informerat om hotbilden

MSB vill uppmuntra företag att hålla sig själva informerade om den aktuella hotbilden mot Sverige och det område företaget bedriver verksamhet inom. En viktig offentlig kontakt för detta är kommunen som genomför risk- och sårbarhetsanalyser som inkluderar viktiga externa aktörer inom näringslivet eller relevant sektorsansvarig myndighet.

Identifiera samhällsviktig verksamhet

Offentliga aktörer identifierar samhällsviktig verksamhet på olika nivåer. MSB stödjer, genom information och utbildning, offentliga och privata aktörer med att identifiera och upprätthålla samhällsviktig verksamhet.

Om ni som företag har frågor huruvida er verksamhet ska betraktas som samhällsviktig eller inte, för en dialog med offentliga aktörer för att få stöd. Om företaget är osäker till vilken offentlig aktör ni ska vända er till kan ni kontakta MSB via beredskapforforetag@msb.se.

Idag finns det inge generella skyldigheter för företag som bedriver samhällsviktig verksamhet, men samhällsviktig verksamhet utgör en grund för prioritering av samhällets resurser vid fredstida kriser, höjd beredskap och krig. Under coronapandemin prioriterades hade till exempel anställda vid vissa samhällsviktiga verksamheter rätt till barnomsorg även om förskolan eller skolan skulle stängas.

  • Samhällsviktig verksamhet

    Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Verksamhet, tjänst eller infrastruktur inkluderar anläggningar, processer och system.

    • Barnomsorg och utbildning
    • Dricksvattenförsörjning, avlopp och avfall
    • Ekonomisk säkerhet
    • Energiförsörjning
    • Finansiella tjänster
    • Handel och industri
    • Hälsa, vård och omsorg
    • Information och kommunikation
    • Livsmedelsförsörjning
    • Offentlig förvaltning
    • Ordning och säkerhet
    • Personalförsörjning
    • Räddningstjänst och skydd av civilbefolkningen
    • Transport

    Läs mer om samhällsviktig verksamhet

    Identifiering av samhällsviktig verksamhet: Lista med viktiga samhällsfunktioner

NIS-direktivet

För de företag som är leverantörer av samhällsviktiga tjänster i enlighet med den svenska regleringen kopplat till EU-direktivet NIS (The directive on security of network and information systems) ställs exempelvis krav på systematiskt informationssäkerhetsarbete och på rapportering av it-incidenter. Det kan också ställas krav på vilka säkerhetsåtgärder företaget ska införa i föreskrifter från tillsynsmyndigheter. Under hösten 2020 publicerade EU-kommissionen ett förslag till utvecklingen av direktivet (NIS 2) som blir svenska lag under 2024. NIS 2 innehåller bland annat mer central styrning och mer detaljerad tillsyn och det är troligt att flera företag kan beröras av regleringen.

Mer information om NIS-direktivet

Föreskrifter kopplade till den svenska implementeringen av NIS

MSBFS 2024:4 – Om anmälan och identifiering av leverantörer av samhällsviktiga tjänster

MSBFS 2018:8 – Informationssäkerhet

MSBFS 2018:9 – Rapportering av incidenter

Om företaget levererar till samhällsviktig verksamhet

Om ditt företag ska eller vill leverera till statliga myndigheter, kommuner, regioner eller andra företag som bedriver samhällsviktig verksamhet finns ofta en del förutsättningar som måste vara uppfyllda. I upphandlingen kan det ställas särskilda krav på exempelvis leveranssäkerhet, kontinuitetshantering och lagerhållning. Ibland finns också krav på att leverantören ska vara delaktig i kundens arbete med kontinuitetshantering, till exempel genom att vara med vid övningar eller planering. Kraven regleras i upphandlingsavtalen.

Kontinuitetshantering – företagets plan B

Kontinuitetshantering, företagets Plan B, utgör ett viktigt verktyg för att planera för att bedriva sin verksamhet på en tolerabel nivå oavsett störning och på så vis förhindra att ekonomiska och personella värden går förlorade. Detta är särskilt viktigt (och ofta kravställt i upphandlingsavtal) om företaget levererar varor och tjänster till samhällsviktig verksamhet.

Exempel på aktiviteter inom kontinuitetshantering:

  • Kartlägga samhällsviktig verksamheter och kritiska aktiviteter
  • Identifiera beroenden av resurser
  • Bestämma vad som är acceptabla avbrottstider
  • Genomföra åtgärder som minskar risken för störningar
  • Planering för bortfall av personal
  • Planering för bortfall av energi

Företag behöver ta större hänsyn till hybrida hot i kontinuitetshanteringen, till exempel cyberangrepp eller sabotage, som sker oavsett om det råder höjd beredskap eller inte.

Se FOI:s anpassningsbara scenariopaket på deras webbplats för inspiration

Planera för bortfall av personal

Personalplanering handlar om att analysera hur mycket personal och vilka kompetenser som behövs för att verksamheten ska fortsätta fungera.

Du kan läsa mer om personalplanering i vägledningen ”Rätt person på rätt plats – vägledning för krigsorganisation och krigsplacering”MSB föreslår att företaget utgår från följande frågeställningar:

  • Vilka nyckelbefattningar finns och behöver dessa finnas tillgängliga under höjd beredskap?
  • Vilken personal behöver befinna sig fysiskt på arbetsplatsen och vilken kan utföra sina arbetsuppgifter på distans?
  • Vid förflyttning av personal – är det säkerställt att personalen har rätt kompetens och förutsättningar för arbetsuppgiften?
  • Kan vissa arbetsuppgifter genomföras av färre personer?
  • Hur kan ett långvarigt personalbortfall hanteras?
  • Vilka befintliga möjligheter finns att förstärka företaget med personal utifrån

Personalplaneringen för fredstida kriser kan redan, helt eller delvis, vara tillgodosedd genom företagets plan B. Men vissa företaget behöver också en personalplanering för höjd beredskap och krig.

  • Totalförsvarsplikt

    Alla som bor i Sverige och som är mellan 16 och 70 år är totalförsvarspliktiga. Som totalförsvarspliktig är man skyldig att tjänstgöra inom totalförsvaret som värnpliktig eller civilpliktig, eller med allmän tjänsteplikt.

    Allmän tjänsteplikt kan bli aktuellt vid höjd beredskap, om det behövs för att upprätthålla verksamhet som är viktig för totalförsvaret. Då kan totalförsvarspliktiga till exempel vara skyldiga att utföra sina ordinarie arbetsuppgifter. De kan också bli tilldelade något annat arbete av regeringen genom Arbetsförmedlingen.

    Det är regeringen som beslutar om allmän tjänsteplikt. Regeringen eller Arbetsförmedlingen får besluta om vilka arbetstagare eller uppdragstagare som ska omfattas av den allmänna tjänsteplikten. De får också besluta var den allmänna tjänsteplikten ska fullgöras, det vill säga hos vilka arbetsgivare eller uppdragsgivare

Planera för bortfall av energi

I planeringen av vilken del av företagets samhällsviktiga verksamhet som måste fungera MSB att dessa identifieras, avgränsas och prioriteras med hjälp av frågor som till exempel:

  • Vilka verksamheter är prioriterade att upprätthålla
  • Kan verksamheten upprätthållas med en lägre ambitionsnivå?
  • Vilka är de viktigaste processerna som krävs för att upprätthålla de identifierade och avgränsade verksamheterna?

Hantera risker

Riskhantering handlar om att identifiera, analysera, värdera och åtgärda risker. Stöd till hur en organisation organiserar sin riskhantering ges bland annat i den internationella standarden ISO31000 som ger riktlinjer för riskhantering.

Stödmaterial på Informationssäkerhet.se

För riskhantering i arbetet med informationssäkerhet finns fyra vägledningar i metodstödet för informationssäkerhet

Ta fram en organisationsövergripande riskbild

Utforma organisationens arbete med riskhantering

Genomför riskanalys och ta fram åtgärder för att minska riskerna

Hur man kan följa upp att riskarbetet går enligt plan

Hantera oönskade händelser

Genom att planera för att kunna hantera oönskade händelser, allt från avvikelser och incidenter till fredstida kriser och krig, skapas förutsättningar för att en händelse effektivt ska kunna tas om hand och för att samhällsviktiga verksamheten kan upprätthållas. I dessa förberedelser finns flera perspektiv där verksamhetens interna hantering av en händelse behöver förberedas, men även hanteringen som sker i samverkan med andra aktörer.

Gemensamma grunder för samverkan och ledning är förhållningssätt och arbetssätt som ska användas vid samhällsstörningar. Dessa grunder ska göra det enklare att komma i kontakt med varandra, dela lägesbilder och annan information, samt samordna och inrikta åtgärderna för bästa effekt.

Gemensamma grunder för samverkan och ledning

Skydda företagets information

Arbetet med att skydda företagets informations- och cybersäkerhet behöver på ett systematiskt sätt utgå från informationens värde och identifierade risker i informationshanteringen samt leda till säkerhetsåtgärder som garanterar:

  • att endast behöriga personer får tillgång till informationen
  • att informationen är korrekt och inte är manipulerad eller förstörd
  • att informationen finns tillgänglig när behörig person efterfrågar den.

Genomföra it-säkerhetsåtgärder

I rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder rekommenderas bland annat följande åtgärder:

  • Installera säkerhetsuppdateringar så fort det går
  • Förvalta behörigheter och använd starka autentiseringsfunktioner
  • Begränsa och skydda användningen av systemadministrativa behörigheter
  • Inaktivera oanvända tjänster och protokoll (härda systemen)
  • Gör säkerhetskopior och testa om informationen går att läsa tillbaka
  • Tillåt bara godkänd utrustning i nätverket
  • Säkerställ att bara godkänd mjukvara får köras (vitlistning)
  • Segmentera nätverken och filtrera trafiken mellan segmenten
  • Uppgradera mjuk¬ och hårdvara
  • Säkerställ förmågan att upptäcka säkerhetshändelser.

Rekommendationerna ersätter inte ett systematiskt arbete och ska inte uppfattas som en checklista utan som en bra utgångspunkt för att hantera potentiella sårbarheter.

Säkra din företagsinformation

Läs rapporten Cybersäkerhet i Sverige 2020 – Rekommenderade säkerhetsåtgärder

Stärka säkerhetsskyddet och hantera säkerhetsskyddsklassificerade uppgifter

I samband med återuppbyggnaden av totalförsvaret finns ökade behov av att stärka aktörers förmåga att skydda och dela säkerhetsskyddsklassificerade uppgifter. Stöd finns i MSB:s serie Det nya totalförsvaret – En hjälp på vägen.

Det nya totalförsvaret – En hjälp på vägen

Signalskydd – en introduktion

Hantering av säkerhetsskyddsklassificerade handlingar

Hantering av hemliga uppgifter i en fristående dator

Riskreducerande åtgärder för lokal avsedd för delgivning av hemliga uppgifter

Senast granskad: 13 mars 2024

Till toppen av sidan