Säkerhetsskyddslagen

Har ni koll på hur lagen
påverkar er organisation?
Översikt

Säkerhetsskyddslagen

I april 2019 träder en ny säkerhetsskyddslag i kraft. Den nya lagen ställer mer omfattande krav på organisationer som bedriver verksamhet av säkerhetskänslig natur. I den nya lagen framgår bland annat tydliga riktlinjer kring inventering och klassificering av IT-system och information.

Mycket har hänt sedan säkerhetsskyddslagen (1996:627) infördes i Sverige för drygt 20 år sedan. Fysiska tillgångar har blivit digitala, vilket har medfört en helt ny hotbild. När den nya säkerhetsskyddslagen (2018:585) träder i kraft i april 2019 är syftet att stärka det svenska säkerhetsskyddet och anpassa det efter dagens utmaningar.

Den nya säkerhetsskyddslagen avser att tydliggöra hur organisationer som bedriver säkerhetskänslig verksamhet ska arbeta med säkerhetsskydd, vilket avser:

  • Skydd mot brott som kan hota rikets säkerhet
  • Skydd av hemliga uppgifter som rör rikets säkerhet
  • Skydd mot terrorism

I lagen framgår krav och skyldigheter för organisationer som omfattas, exempelvis gällande hur samhällsviktiga informationssystem ska skyddas för undvika att hemlig information läcker, som vi sett flertalet uppmärksammade exempel på den senaste tiden.

Både myndigheter och företag kan omfattas

Den nya säkerhetsskyddslagstiftningen gäller om verksamheten är av betydelse för rikets säkerhet eller har ett särskilt skyddsbehov kopplat till terrorism. Utöver myndigheter som i många fall hanterar skyddsvärd information, så kan reglerna även omfatta aktiebolag, handelsbolag, stiftelser och föreningar som staten, kommuner eller landsting har ett rättsligt bestämmande inflytande över. Samma sak gäller för enskilda som bedriver verksamhet som kan ha betydelse för rikets säkerhet.

Hemliga uppgifter som rör rikets säkerhet ska skyddas. Eftersom offentlighets- och sekretesslagen inte ger anvisningar om hur hemliga uppgifter som rör rikets säkerhet ska hanteras, regleras detta i säkerhetsskyddslagstiftningen.

Vilka är nyheterna i den nya säkerhetsskyddslagen?

I den nya säkerhetsskyddslagen vidgas omfattningen en aning, exempelvis påverkas IT-system som är av central betydelse för vårt samhälle, typexemplen är system inom sjukvård, energiförsörjning och transport. I lagtexten benämns dessa system som “i övrigt säkerhetskänslig verksamhet”.

En annan väsentlig skillnad i den nya säkerhetsskyddslagen är att begreppet “hemliga uppgifter” ersätts med säkerhetsklassificerade uppgifter i de fyra informationsklasserna; “kvalificerat hemlig”, “hemlig”, “konfidentiell” samt “begränsat hemlig” inom ramen för Offentlighets- och sekretesslagen (2009:400). Det blir med andra ord viktigt för organisationer som omfattas av lagen att inventera och klassificera sina informationstillgångar och IT-system på ett ändamålsenligt sätt.

I samma veva som en inventering görs ska det även klargöras huruvida den säkerhetskänsliga verksamheten även lyder under annan lagstiftning som exempelvis NIS-direktivet och GDPR. I de fall då organisationen har IT-system eller informationstillgångar som är säkerhetskänsliga behöver organisationen genomföra en säkerhetsskyddsanalys och sedan ta fram en plan för hur säkerhetsskyddet ska se ut framgent.

Hur kan Sentor vara till hjälp?

En av de absolut största utmaningarna för en organisation är informationssäkerhet. Säkerhetsskyddslagen ställer krav på att myndigheter, kommuner, landsting eller enskilda som sysslar med säkerhetskänslig verksamhet ska:

  1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
  2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Det innebär att både känslig information och informationssystem som sysslar med säkerhetskänslig verksamhet måste skyddas. Även system som inte innehåller hemlig information kan omfattas av säkerhetsskyddslagen om en störning i det systemet allvarligt påverkar vitala delar av samhället.

Sentor har en rad specialister inom informationssäkerhet och säkerhetsskydd. Behöver du hjälp med att reda ut hur din organisation påverkas av lagen och hur ni på bästa sätt efterlever den över tid? Lämna din e-postadress nedan, så kontaktar vi dig!

Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse och dessa kommer lagras tills dess att affärsrelationen upphört. För mer information om hur Sentor hanterar personuppgifter, läs vår integritetspolicy.

Prenumerera på nyhetsbrevet

Som prenumerant på nyhetsbrevet får du ta del av nyheter, guider och utbildande innehåll ungefär 1-2 gånger i månaden.


Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse. Du kan när som helst återkalla ditt samtycke och avsluta prenumerationen. För mer information, läs vår integritetspolicy.

Whitepapers

Sentor har tagit fram flera whitepapers som berör informationssäkerhet och compliance.

NIS-direktivet
GDPR och outsourcing
ISO 27001
Mer läsning!

Case studies

Vi har två kundcase där kunderna beskriver om sina utmaningar och hur Sentor har varit hjälp.

GDPR - Insplanet
ISO 27001 - TeamEngine
Mer läsning!

Debattinlägg i Sydsvenskan

Svenska organisationer måste ta ansvar för sin säkerhet. Det krävs inte minst nu när NIS-direktivet börjar gälla i EU, skriver Krister Hedfors.
Läs mer! (extern länk)

Vill du komma i kontakt med oss?