Vad innebär den nya säkerhetsskyddslagen och hur förhåller man sig till den?

OBS ! Denna lag har förändrats, därav hänvisar vi till vår nya blogg Regeringsproposition förväntas komplettera 2019 års nya säkerhetsskyddslag från 1 januari 2021

I denna artikel beskriver vi kortfattat innehållet i den nya säkerhetsskyddslagen som den statliga utredningen föreslår och ger förslag på förhållningssätt till densamma.

• Lagen ska på ett tydligare sätt än i dag ge stöd för internationella säkerhetsskyddsåtaganden och internationell samverkan, bl.a. genom möjligheten att utfärda säkerhetsintyg för personer och leverantörer.
• En ny lag ska svara mot de förändrade kraven på säkerhetsskyddet, bl.a. avseende utvecklingen på informationsteknikområdet, en ökad internationell samverkan, en ökad sårbarhet i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi.

• Den nya lagen ska medge ett nyanserat säkerhetsskydd som bygger på fyra informationssäkerhetsklasser av internationell modell. Informationssäkerhetsklasserna påverkar utformningen av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. Informationssäkerhetsklasserna blir en enhetlig modell för informationsklassificering av säkerhetsskyddsklassificerade uppgifter i Sverige, vilket underlättar informationsutbytet inom Sverige och med andra stater och mellanfolkliga organisationer.

• Begreppet informationssäkerhet behålls. Den stora nyheten är att syftet utökats till att även omfatta skadlig inverkan på informationstillgångar som avser säkerhetskänslig verksamhet. Även ett IT-system som inte innehåller säkerhetsskyddsklassificerade uppgifter kan vara av sådan betydelse för verksamheten att systemet måste omfattas av ett säkerhetsskydd.

• Det införs en obligatorisk skyldighet att anmäla allvarlig säkerhetshotande verksamhet till tillsynsmyndighet.

• Kravet att en säkerhetsklassad anställning endast får innehas av den som är svensk medborgare tas bort.

• Verksamhetsansvaret förtydligas i säkerhetsskyddet. Lagen ska därför gälla för verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande (säkerhetskänslig verksamhet). Idag finns inte i säkerhetsskyddslagen någon bestämmelse som sammanfattar vad som är följden av att lagen är tillämplig. Utredningen föreslår därför att det i lagen uttrycks att den som ansvarar för en säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd, se till att säkerhetsskyddsåtgärder vidtas, kontrollera att bestämmelserna om säkerhetsskydd följs samt lämna uppgifter som följer av viss angiven rapporteringsskyldighet till utsedda tillsynsmyndigheter.

• Säkerhetsskyddsanalysen får en central roll och ska leda till slutsatser om hur säkerhetsskyddet i en verksamhet bör utformas.

När utredningens förslag blir verklighet kommer det tydligt påverka vilka säkerhetsskyddsåtgärder som konkret ska finnas etablerade, inte minst med tanke på utökningen av säkerhetsskyddet och ett ökat fokus på tillgänglighet och riktighet.

Målet med säkerhetsskyddet är tydligt beskrivet i lagförslaget, men vägen dit är inte lika tydlig. Och som vanligt i förändringsresor är det till stor fördel att veta var man befinner sig för att staka ut lämpligaste väg och åtgärder för att ta sig till målet.

Starta redan nu upp med att definiera ert nuläge gällande säkerhetsskyddet och hur ni möter upp mot förväntningarna i lagförslaget. I det underlaget kommer ni också kunna hitta de aktiviteter som stöttar förflyttningen mot den nya lagen. Själva genomförandet av dessa aktiviteter har man då möjlighet att genomföra innan lagen träder i kraft.

Läs även mer om hur en process för informationssäkerhet kan etableras.