Nya säkerhetsskyddslagen - vad innebär den?

2018-10-01

man i glasögon tittar ut genom fönster

En ny säkerhetsskyddslag träder i kraft i april 2019. I den nya lagen ställs tydligare och mer omfattande krav på organisationer som bedriver säkerhetskänslig verksamhet. Den innebär bland annat krav på att man inventerar och klassificerar IT-system och information. 
 

Säkerhetsskydd handlar om att organisationer som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota rikets säkerhet, till exempel spioneri och sabotage. I den nya lagen tydliggörs kraven på och skyldigheterna för dessa organisationer, exempelvis kring hur man ska skydda uppgifter som rör rikets säkerhet och samhällsviktiga informationssystem. 
 

Nyheter i säkerhetsskyddslagen

Den nya säkerhetsskyddslagstiftningen ersätter den tidigare lagstiftningen från 1996. En viktig skillnad mot dagens säkerhetsskyddslag är att begreppet hemliga uppgifter ersätts med säkerhetsskyddsklassificerade uppgifter i fyra informationsklasser: ”Kvalificerat hemlig”, ”Hemlig”, ”Konfidentiell” samt ”Begränsat hemlig” inom ramen för Offentlighets- och sekretesslagen (2009:400) (OSL) 15 kap 2 §

Ett begrepp som tillkommit är ”I övrigt säkerhetskänslig verksamhet” som bland annat omfattar IT-system som är av central betydelse för ett fungerande samhälle, t ex inom sjukvård, energiförsörjning och transport. Begreppet ”I övrigt säkerhetskänslig verksamhet” innebär alltså inte informationstillgångar som i sig består av säkerhetsskyddsklassificerade uppgifter. Begreppet syftar istället till IT-system som är av sådan betydelse för säkerhetskänslig verksamhet att det behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet.
 

Vad behöver din organisation göra?

Organisationer som bedriver säkerhetskänslig verksamhet måste inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. 

En sådan inventering ska också utröna om den säkerhetskänsliga verksamheten omfattas av säkerhetsskyddslagen eller annan lagstiftning, exempelvis NIS-direktivet. Om informationstillgångar eller IT-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut.

"I den nya lagen tydliggörs kraven på säkerhetskänsliga organisationer, exempelvis kring hur man ska skydda uppgifter som rör rikets säkerhet och samhällsviktiga informationssystem."

Behöver du hjälp med säkerhetsskyddslagen? 

Våra specialister har mångårig erfarenhet inom säkerhetsskyddslagsområdet från både privat och offentlig sektor. Vi stöttar er i arbetet med att utreda vilka delar av er organisation som bedriver säkerhetskänslig verksamhet och om dessa omfattas av säkerhetsskyddslagen eller annan lagstiftning samt efterföljande säkerhetsåtgärder.

Exempel på vad vi kan hjälpa dig med: 

  • Tolkning av huruvida er verksamhet berörs av den nya säkerhetsskyddslagen
  • Genomförande av säkerhetsskyddsanalyser och/eller stöttning av ert interna arbete med detta
  • Rekommendationer och implementation av säkerhetsskyddsåtgärder
  • Granskning av ert befintliga säkerhetsskydd och åtgärder
  • Informationsklassificering
  • Genomförande av säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)
  • Digitaliserade säkerhetsprövningar 

Kontakta oss

Jonas Rehn
Head of Security Management services, PwC Sverige
Tel 0705-98 65 65
Email

Följ oss