Vad innebär den nya säkerhetsskyddslagen?

man i glasögon tittar ut genom fönster

En ny säkerhetsskyddslag trädde i kraft den första april 2019. I den nya lagen ställs tydligare och mer omfattande krav på organisationer som bedriver säkerhetskänslig verksamhet. Den innebär bland annat krav på att man inventerar och klassificerar IT-system och information. 

Säkerhetsskydd handlar om att organisationer som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota Sveriges säkerhet, till exempel spioneri och sabotage. I den nya lagen tydliggörs kraven på och skyldigheterna för dessa organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem. 

Nyheter i säkerhetsskyddslagen

Den nya säkerhetsskyddslagstiftningen ersätter den tidigare lagstiftningen från 1996. En viktig skillnad mot dagens säkerhetsskyddslag är att begreppet hemliga uppgifter ersätts med säkerhetsskyddsklassificerade uppgifter i fyra informationsklasser: ”Kvalificerat hemlig”, ”Hemlig”, ”Konfidentiell” samt ”Begränsat hemlig” inom ramen för Offentlighets- och sekretesslagen (2009:400) (OSL) 15 kap 2 §

Ett begrepp som tillkommit är ”I övrigt säkerhetskänslig verksamhet” som bland annat omfattar IT-system som är av central betydelse för ett fungerande samhälle, t ex inom sjukvård, energiförsörjning och transport. Begreppet ”I övrigt säkerhetskänslig verksamhet” innebär alltså inte informationstillgångar som i sig består av säkerhetsskyddsklassificerade uppgifter. Begreppet syftar istället till IT-system som är av sådan betydelse för säkerhetskänslig verksamhet att det behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet.

Vad behöver din organisation göra?

Organisationer som bedriver säkerhetskänslig verksamhet måste kartlägga och bedöma sina skyddsvärden, inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. 

En sådan kartläggning ska också utröna om den säkerhetskänsliga verksamheten omfattas av säkerhetsskyddslagen eller annan lagstiftning, exempelvis NIS-direktivet. Om informationstillgångar eller IT-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut.

"I den nya lagen tydliggörs kraven på säkerhetskänsliga organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem."

Behöver du hjälp med säkerhetsskyddslagen? 

Våra specialister har mångårig erfarenhet inom säkerhetsskyddsområdet från både privat och offentlig sektor. Vi stöttar er i arbetet med att utreda vilka delar av er organisation som bedriver säkerhetskänslig verksamhet och om dessa omfattas av säkerhetsskyddslagen eller annan lagstiftning samt efterföljande säkerhetsåtgärder.

Exempel på vad vi kan hjälpa dig med: 

  • Tolkning av huruvida er verksamhet berörs av den nya säkerhetsskyddslagen
  • Genomförande av säkerhetsskyddsanalyser och/eller stöttning av ert interna arbete med detta
  • Rekommendationer och implementation av säkerhetsskyddsåtgärder
  • Granskning av ert befintliga säkerhetsskydd och åtgärder
  • Informationsklassificering
  • Genomförande av säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)
  • Digitaliserade säkerhetsprövningar
     

Vill du veta mer?

Kontakta oss

Carl Thorn

Carl Thorn

Manager, Cyber Risk & Governance, PwC Sverige

Tel 0728-80 90 51

Linkedin Follow Email
Följ oss i sociala medier

Vill du ha hjälp med din cybersäkerhet?

Fyll i nedanstående formulär så återkommer vi till dig.

Required fields are marked with an asterisk(*)

Hide
Kundcase inom cyber Informationssäkerhet Penetrationstest Threat intelligence Tredjepartsrisker

© 2020 - 2021 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.