En ny säkerhetsskyddslag trädde i kraft den första april 2019. I den nya lagen ställs tydligare och mer omfattande krav på organisationer som bedriver säkerhetskänslig verksamhet. Den innebär bland annat krav på att man inventerar och klassificerar IT-system och information.
Säkerhetsskydd handlar om att organisationer som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota Sveriges säkerhet, till exempel spioneri och sabotage. I den nya lagen tydliggörs kraven på och skyldigheterna för dessa organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem.
Den nya säkerhetsskyddslagstiftningen ersätter den tidigare lagstiftningen från 1996. En viktig skillnad mot dagens säkerhetsskyddslag är att begreppet hemliga uppgifter ersätts med säkerhetsskyddsklassificerade uppgifter i fyra informationsklasser: ”Kvalificerat hemlig”, ”Hemlig”, ”Konfidentiell” samt ”Begränsat hemlig” inom ramen för Offentlighets- och sekretesslagen (2009:400) (OSL) 15 kap 2 §
Ett begrepp som tillkommit är ”I övrigt säkerhetskänslig verksamhet” som bland annat omfattar IT-system som är av central betydelse för ett fungerande samhälle, t ex inom sjukvård, energiförsörjning och transport. Begreppet ”I övrigt säkerhetskänslig verksamhet” innebär alltså inte informationstillgångar som i sig består av säkerhetsskyddsklassificerade uppgifter. Begreppet syftar istället till IT-system som är av sådan betydelse för säkerhetskänslig verksamhet att det behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet.
Organisationer som bedriver säkerhetskänslig verksamhet måste kartlägga och bedöma sina skyddsvärden, inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet.
En sådan kartläggning ska också utröna om den säkerhetskänsliga verksamheten omfattas av säkerhetsskyddslagen eller annan lagstiftning, exempelvis NIS-direktivet. Om informationstillgångar eller IT-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut.
"I den nya lagen tydliggörs kraven på säkerhetskänsliga organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem."
Våra specialister har mångårig erfarenhet inom säkerhetsskyddsområdet från både privat och offentlig sektor. Vi stöttar er i arbetet med att utreda vilka delar av er organisation som bedriver säkerhetskänslig verksamhet och om dessa omfattas av säkerhetsskyddslagen eller annan lagstiftning samt efterföljande säkerhetsåtgärder.
Exempel på vad vi kan hjälpa dig med: