Den 1 april 2019 så trädde den nya säkerhetsskyddslagen i kraft, Säkerhetsskyddslag (2018:585). I och med den nya lagstiftningen ställs andra, och ibland högre, krav på verksamheter som bedriver säkerhetskänslig verksamhet. I den här artikeln kommer vi lista ett antal viktiga punkter att ha i åtanke för dig som bedriver verksamhet som lyder under lagstiftningen. Vi kommer också ta upp några kompletteringar till lagen som kommer träda i kraft 1 januari 2021.

Vem gäller lagen för?

Den tidigare lagstiftningen var otydlig gällande vilka aktörer som omfattades av lagstiftningen och de krav som ställs. I den nya lagstiftningen har man förtydligat det ansvar som verksamheterna har och fastställer också att lagen – ”gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).”

Säkerhetsskyddsanalys

Lagstiftningen kräver nu att verksamheter ska göra en säkerhetsskyddsanalys och utifrån den vidta de åtgärder som behövs.

Detta ställer mycket mer omfattande krav på verksamheter att man inventerar och klassificerar IT-system och information. Säkerhetsskyddsanalysen ska ge svar på följande tre frågor;

• Vad ska skyddas? 
• Mot vad ska det skyddas? 
• Hur ska det skyddas?

I övrigt säkerhetskänslig verksamhet

Ett annat nytt begrepp i lagstiftningen är vad man kallar för ”I övrigt säkerhetskänslig verksamhet”. Inom detta begrepp inkluderar man bland annat IT-system som är av central betydelse för ett fungerande samhälle. Med detta menar man inte olika informationstillgångar som kan innehålla säkerhetsskyddsklassificerade uppgifter i sig, utan man syftar till IT-system som behöver skyddas för att kunna försäkra sig om att informationens tillgänglighet och riktighet är garanterad.

Har verksamheten gjort en grundläggande informationsklassning så är man på god väg att genom en säkerhetsskyddsanalys kunna säkerställa att den i övrigt säkerhetskänsliga verksamheten har ett fullgott skydd som lagen kräver. 

Ny lag 2021

För att komplettera lagstiftningen från 2019 har regeringen i år lagt en proposition på ett antal kompletterande säkerhetskrav för att förhindra försäljningar som kan skada Sveriges säkerhet. 

Förslaget innebär bland annat följande:

• Verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom ska vara skyldiga att genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.
• Verksamhetsutövare ska vara skyldiga att inför överlåtelsen samråda med en samrådsmyndighet.
• Samrådsmyndigheten ska få möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
• En överlåtelse i strid med ett förbud ska vara ogiltig.

Lagändringen föreslås träda i kraft den 1 januari 2021 och beslut förväntas tas av riksdagen i november 2020. 

Behöver er verksamhet hjälp att manövrera er genom de krav som ställs i säkerhetsskyddslagen – kontakta oss!