Den nya säkerhetsskyddslagen 1 april 2019

Publicerad den mars 21, 2019

Som du säkert vet så har Sveriges regeringen beslutat om en ny säkerhetsskyddslag som alla myndigheter och privata aktörer som utför säkerhetskänsliga aktiviteter måste följa från och med april 2019. Vi vet vad du tänker, vi har redan Totalförsvarsplanering, NIS-direktivet och GDPR (General Data Protection Regulation) att tänka på, varför ska det läggas till ännu en lag. Oroa dig inte, vi har skapat denna artikel och några fler för att hjälpa dig framstå som en expert på ditt nästa möte.

Låt oss börja med att kolla på vad, varför och vem denna nya lagen kommer påverka. Om du redan vet allt detta så kan du hoppa till vår nästa artikel där vi kollar på hur du borde förbereda dig för den nya lagen.

Vad är säkerhetsskydd?

Säkerhetsskyddslagen, som godkändes av regeringen den 16 Maj 2018, kommer träda i kraft 1 April 2019. Den nya säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetskänslig verksamhet. Lagen grundar sig på Regeringens proposition 2017/18:89 och är en lag som breddat sin syn på vem som utgör en del av säkerhetskänslig verksamhet och har formats efter samtidens nya säkerhetsbehov, såväl som digitaliseringens framsteg.

Säkerhetsskydd avser skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamhet samt skydd av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddslagen skyddar verksamheter som har betydelse för Sveriges säkerhet ur ett nationellt perspektiv, vilket innebär att många verksamheter kan vara samhällsviktiga utan att de för den sakens skull anses som säkerhetskänsliga i säkerhetsskyddslagens mening.

Den nya säkerhetsskyddslagstiftningen ersätter den tidigare lagstiftningen från 1996. En viktig skillnad mot dagens säkerhetsskyddslag är att begreppet ”hemliga uppgifter” ersätts med säkerhetsskyddsklassificerade uppgifter i de fyra informationsklasserna: Top secret”, ”Secret”, ”Confidential” and ”Restricted” inom ramen för Offentlighets- och sekretesslagen (2009:400) (OSL) 15 kap 2 §.

Ett annat begrepp som tillkommit är ”I övrigt säkerhetskänslig verksamhet” som bland annat omfattar IT-system som är av central betydelse för ett fungerande samhälle, tex inom sjukvård, energiförsörjning och transport. Begreppet ”I övrigt säkerhetskänslig verksamhet” innebär alltså inte informationstillgångar som i sig består av säkerhetsskyddsklassificerade uppgifter. Begreppet syftar istället till IT-system som är av sådan betydelse för säkerhetskänslig verksamhet att det behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet.

Den som är ansvarig för den säkerhetskänsliga verksamheten ska tillse att:

  • Behov av säkerhetsskydd utreds i en säkerhetsskyddsanalys där därtill hot, möjliga konsekvenser, samt sårbarheter ingår och kan utgöra grunden för en säkerhetsskyddsplan.
  • Vidta säkerhetsskyddsåtgärder, samt kontrollera att bestämmelser följs.
  • Lämna uppgifter enligt rapporteringsskyldighet till utsedd tillsynsmyndighet.
  • Inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet.

Varför behöver vi en ny säkerhetsskyddslag?

Förslaget till en ny säkerhetsskyddslag kommer dels som ett svar på den tekniska utvecklingen under de senaste åren och dels på grund av en förändring av hur vi ser på skyddsvärd information. Den tidigare lagen från 1996 hade ett särskilt fokus på rikets säkerhet, medan man idag ser ett behov av att även inkludera allmänna och enskilda verksamheter inom ramen för säkerhetsskyddet.

Ytterligare argument för den nya lagen som förts fram är exempelvis:

  • Rikets säkerhet som begrepp behöver vidgas och inre respektive yttre gränser definieras på ett sätt som motsvarar dagens utmaningar.
  • Förekomsten av ökande antal cybersäkerhetsbrott och andra icke-statliga hot.
  • Digitaliseringens påverkan på informationshantering och skydd av uppgifter.
  • Ökad ansvarskomplexitet som följd av exempelvis outsourcing, delad infrastruktur och drift.
  • Informationsdelning som en del av näringslivet eller andra civila verksamheter.

Lagen är ett viktigt steg i den nationella säkerhetsstrategin bland annat när det gäller att skapa hot- och riskbilder för IT-system, driftsäkerhet samt att förebygga och hantera IT-incidenter. Det är även positivt att det ställs krav på att samhällsviktiga aktörer ska identifiera sina egna omfattningar av säkerhetsrisker och hur just deras implementering ska utföras. Detta med stöd från utpekade tillsynsmyndigheter (SÄPO, Försvarsmakten, Transportstyrelsen, PTS, IVO, Finansinspektionen etc) gör att samhället samarbetar och genomsyras av ett gemensamt säkerhetstänk.

Den nya säkerhetsskyddslagen

Den nya säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) gäller från den 1 april 2019 för alla som bedriver säkerhetskänslig verksamhet. Den omfattar fler verksamheter än tidigare, och i lagstiftningen förtydligas att den gäller både offentliga och privatägda verksamheter. Skyddet gäller för skyddsvärda aktiviteter och klassificerad information som finns inom försvaret, kommuner, myndigheter men också privata aktörer, till exempel inom energi och telekom-sektorn.

Tredjepartsleverantörer till Offentlig verksamhet

Som en leverantör till en statlig myndighet, eller leverantör till någon som arbetar för en statlig myndighet, kan du vara skyldig att följa den nya säkerhetsskyddslagen. Detta betyder att du måste upprätta samma säkerhetsnivå som en myndighet. Till exempel, om du levererar och monterar komponenter för en elfirma och de komponenterna används för att byggas in i energiinfrastrukturen i Sverige måste både ditt företag och dina underkonsulter skriva på säkerhetsskyddsavtal.

Så frågan du ställer dig, utför mitt företag affärer eller hanterar information som är känslig för Sveriges säkerhet? Ett enkelt svar på den frågan är att besvara följande frågor:

  • Kommer ett dataintrång hos ditt företag skada Sveriges externa eller interna säkerhet,
  • Kommer ett dataintrång hos ditt företag skada nationellt viktiga affärer eller
  • Kommer ett dataintrång hos ditt företaget skada Sveriges ekonomi.

Hur detta påverkar en tredjepartsleverantör till Offentlig verksamhet?

Myndigheter, kommuner och landsting som avser att göra en upphandling och ingå avtal om varor, tjänster eller byggentreprenader måste se till att ett säkerhetsskyddsavtal anger krav på hur säkerhetsskyddet uppfylls av leverantören.

Den som ansvarar för verksamheten måste kontrollera säkerhetsskyddet i sin egen organisation, redovisa samt rapportera saker som är viktiga för säkerhetsskyddet och annars vidta nödvändiga åtgärder enligt säkerhetsskyddslagstiftningen.

Slutsats

Organisationer som bedriver säkerhetskänslig verksamhet måste inventera och klassificera sina informationstillgångar och IT-system enligt informationssäkerhetsprinciperna konfidentialitet, integritet och tillgänglighet. En sådan inventering ska också avgöra om säkerhetskänsliga aktiviteter täcks av säkerhetsskyddslagen. Om informationstillgångar eller IT-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut. Vår nästa bloggpost kommer handla om vad du behöver tänka på vid en säkerhetsanalys.

 

Dataskyddsombud

Ett krav i dataskyddsförordningen (GDPR), är att vissa organisationer måste ha ett utsett dataskyddsombud (DPO/DSO). Den här rollen kräver en expert på dataskyddslagstiftning och informationssäkerhet för att övervaka efterlevnaden och skydda organisationens personuppgifter. Att utse en DPO inom er organisation är inte en lätt uppgift. Tilldelas någon uppgiften som inte är tillräckligt kvalificerad utsätter ni er organisation för onödiga risker. Det kan även vara dyrt att hyra en DPO på heltid då det råder brist på kunskap inom fältet.

Läs mer

Säkerhetsskyddsanalys

Den 1 april kommer en ny och omdebatterad säkerhetsskyddslagstiftning. Den nya lagstiftningen omfattar fler verksamheter än tidigare och är till för att förebygga hot som bland annat spioneri, sabotage och terroristbrott. För att skydda Sveriges säkerhet är det viktigt att analysera vilka delar av en organisation som berörs och vilken information som hanteras som har bäring på Sveriges säkerhet så kallade säkerhetsskyddsklassificerade uppgifter. Dessa uppgifter kan i sin tur delas in i kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig.

Läs mer

Skrivet av

Secure State Cyber