Vad innebär säkerhetsskyddslagen?

Vem gäller den svenska säkerhetsskyddslagen och vad säger den egentligen?
Läs mer här.

Säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

 

Vad är säkerhetsskydd?

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Den tekniska utvecklingen under de senaste åren gör att vi idag behöver vidga begreppet. Dessutom bör även allmänna och enskilda verksamheter rymmas inom ramen för säkerhetsskyddet.

Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier

  • Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
  • Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
  • Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
  • Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
  • Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.
     

 

 

Vad innebär säkerhetsskyddslagen?

För att stärka säkerhetsskyddet föreslog regeringen år 2018 en ny säkerhetsskyddslag. Den nya lagen, Säkerhetsskyddslag (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.

Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

 

Några nyheter är att det blir obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare. 

 

New call-to-action

 

När började säkerhetsskyddslagen att gälla?

Den nya säkerhetsskyddslagen gäller från och med den 1 april 2019.

 

Vem gäller säkerhetsskyddslagen för?

Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.

Det finns dock ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vilka som bedriver säkerhetskänslig verksamhet. Det är istället varje verksamhetsutövares egna ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksamhet enligt de författningar som gäller på säkerhetsskyddsområdet.

Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställningstagande om huruvida en verksamhet till någon del är säkerhetskänslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys och baserat på detta kan man sedan ta beslut om man faller under definitionen säkerhetsskydd.

 

Hur du följer säkerhetsskyddslagen

Det bästa sättet att börja följa säkerhetsskyddslagen är att göra en säkerhetsskyddsanalys. Följ dessa steg för att göra en sådan analys:

 

1. Vad är målet med verksamheten?

Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns i verksamheten. Notera även ev. beroende av andra funktioner, både internt och externt.

 

2. Vilka är verksamhetens skyddsvärden?

Fundera över vad som är verksamhetens skyddsvärden, det vill säga vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?

 

3. Vilka konsekvenser kan uppstå?

Gör en konsekvensanalys och bedöm var gränsen för acceptans går.

 

4. Vad är hotet?

Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?

 

5. Vilka sårbarheter finns?

Gör en sårbarhetsanalys som visar sårbarheter som är kopplade till verksamhetens skyddsvärden. Dessa kan användas av en potentiell angripare och därför är det viktigt att veta var de finns.

 

6. Vilka skyddsåtgärder ska väljas?

Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden; Informationssäkerhet, fysisk säkerhet och personalsäkerhet.

 

När du har gjort din säkerhetsskyddsanalys bör det framgå vilka säkerhetsåtgärder du bör vidta och var.

 

Nya säkerhetsskyddslagen

 

Nytt begrepp införs med säkerhetsskyddslagen

Ett nytt begrepp infördes i och med den nya lagen: säkerhetsskyddsklassificerade uppgifter. En säkerhetsskyddsklassificerad uppgift är en uppgift som klassas som sekretess* enligt Offentlighets- och sekretesslagen och som dessutom rör verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

*Sekretess är beteckningen på information som inte ska lämnas ut och därför inte blir allmänt tillgänglig. En sekretessbelagd uppgift innebär tystnadsplikt för den som har eller har fått befattning om uppgiften.

Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet:

  1. Kvalificerat hemlig - Synnerligen allvarlig skada
  2. Hemlig - Allvarlig skada
  3. Konfidentiell - Inte obetydlig skada
  4. Begränsat hemlig - Endast ringa skada

 

Säkerhetsskyddsavtal

Statliga myndigheter, kommuner eller landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska ingå ett säkerhetsskyddsavtal om:

  • det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse.

Detsamma gäller enskilda verksamhetsutövare som ingår avtal med utomstående leverantörer. 
 

Ska du göra en säkerhetsskyddad upphandling? Känner du dig osäker på hur man gör? Vi guidar dig gärna genom hela processen så att du kan känna dig trygg att allt går rätt till.

 

 

Skillnaden mellan NIS-direktivet och säkerhetsskyddslagen

Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.

 

NIS och säkerhetsskyddslagen

 

I de scenarier som visas ovan illustrerar de olika rutorna: 

  1. En verksamhet där nätverks- och informationssystemen endast berörs av NIS
  2. En verksamhet där nätverks- och informationssystemen endast berörs av NIS, men andra delar av verksamheten berörs av säkerhetsskyddslagen
  3. En verksamhet där nätverks- och informationssystemen både berörs av NIS och säkerhetsskyddslagen
  4. En verksamhet där nätverks- och informationssystemen endast berörs av säkerhetsskyddslagen

 

För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.

Levererar man samhällsviktiga eller digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

 

New call-to-action

 

Kompletteringar av säkerhetsskyddslagen (augusti 2020)

För att stärka skyddet för Sveriges säkerhet föreslog regeringen kompletteringar av säkerhetsskyddslagen (2018:585). De har därför fattat beslut om ändringar i säkerhetsskyddslagen som gäller överlåtelser av säkerhetskänslig verksamhet. Ändringarna syftar till att förhindra försäljningar som kan skada Sveriges säkerhet.

 

Ändringarna innebär bland annat följande:

  • Verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom ska vara skyldiga att innan ett sådant förfarande inleds genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.
  • Verksamhetsutövare ska vara skyldiga att inför överlåtelsen samråda med en samrådsmyndighet.
  • Samrådsmyndigheten ska få möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
  • En överlåtelse i strid med ett förbud ska vara ogiltig.

 

Lagändringen trädde i kraft den 1 januari 2021. Läs mer här.

 

New call-to-action

 

Skärpning av säkerhetsskyddslagen (oktober 2021)

Regeringen har beslutat att den nuvarande säkerhetsskyddslagen ska skärpas. Ändringarna i lagen trädde i kraft den 1 december 2021. Den nya skärpningen innehåller följande: 

  • Säkerhetsskyddsavtal gäller fler typer av samarbeten
  • Särskilda säkerhetsskyddsbedömningar ska genomföras
  • Tillsynsmyndigheter får större befogenheter

 

Läs mer om ändringarna i vårt blogginlägg!

 

Behöver ni hjälp med ert säkerhetsskydd? Vi kan hjälpa er!

Är du CISO och vill lära dig mer om cybersäkerhet? Läs vår guide!

 

Om oss

På Advenica specialiserar vi oss inom cybersäkerhet på högsta säkerhetsnivån - för en säkrare värld.

Kontakta oss

Här hittar du allt du behöver för att komma i kontakt med rätt person på Advenica!

Hur ska Sverige höja beredskapen för cyberattacker?

Är vi för naiva när det gäller synen på säkerhet kring information? Vad görs i så fall för att förbättra situationen?

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.

Skärpningen av säkerhetsskyddslagen: 3 saker CISO:n behöver tänka på

Skärpningen av säkerhetsskyddslagen träder i kraft 1 december 2021 om regeringens förslag går igenom. Innan dess behöver du som CISO ha koll på vad som gäller!

Datadioder

Advenicas datadioder med hög assurans skyddar tillgångar för aktörer inom kritisk infrastruktur och försvarsindustrin

Om oss

På Advenica specialiserar vi oss inom cybersäkerhet på högsta säkerhetsnivån - för en säkrare värld.

Kontakta oss

Här hittar du allt du behöver för att komma i kontakt med rätt person på Advenica!

Hur ska Sverige höja beredskapen för cyberattacker?

Är vi för naiva när det gäller synen på säkerhet kring information? Vad görs i så fall för att förbättra situationen?

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.