Säkerhetsskydd och säkerhetsskyddslagen

Bedriver din organisation säkerhetskänslig verksamhet?

Säkerhetsskydd handlar om att organisationer som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota Sveriges säkerhet, till exempel spioneri och sabotage. I säkerhetsskyddslagen tydliggörs kraven som ställs på säkerhetskänsliga verksamheter vilket bland annat innebär upprättande av en säkerhetsskyddsanalys samt vidtagande av åtgärder inom informationssäkerhet, personalsäkerhet, fysiskt skydd och säkerhetsskyddade upphandlingar.

Säkerhetsläget i Sverige har försämrats och hoten mot säkerhetskänslig verksamhet ökar, samtidigt som sårbarheterna i samhällskritisk verksamhet ökar i komplexitet. Kraven på offentliga och privata verksamhetsutövare ökar och lagstiftningen kompletteras kontinuerligt.

Verksamheter inom bland annat telekom, energiförsörjning, livsmedelsförsörjning, transport, rättsväsende samt bank och finans har skyldighet att utreda om de bedriver säkerhetskänslig verksamhet eller hanterar säkerhetsskyddsklassificerade uppgifter och därmed behöver skydda sin verksamhet mot antagonistiska hot enligt säkerhetsskyddslagen.

Att identifiera verksamhetens skyddsvärden och minimera sårbarheter utifrån hoten mot Sveriges säkerhet är en utmaning för många verksamhetsutövare. PwC är en helhetsleverantör av säkerhetsskydd och kan stötta er organisation i det systematiska säkerhetsskyddsarbetet.

"Säkerhetsskyddslagen gäller för den som till någon del bedriver säkerhetskänslig verksamhet."

Vad innebär säkerhetsskydd?

Säkerhetsskydd handlar om att organisationer som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota Sveriges säkerhet, till exempel spioneri och sabotage. I den nya lagen tydliggörs kraven på och skyldigheterna för dessa organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem.

Vad är säkerhetsskyddslagen?

En ny säkerhetsskyddslag trädde i kraft den första april 2019. I den nya lagen ställs tydligare och mer omfattande krav på organisationer som bedriver säkerhetskänslig verksamhet. Den innebär bland annat krav på att man inventerar och klassificerar IT-system och information. Den nya säkerhetsskyddslagen ersätter den tidigare lagstiftningen från 1996.

Nytt it-stöd för säkerhetsprövning och registerkontroll

Att hantera säkerhetsprövningar manuellt är ett resurskrävande arbete för många myndigheter och företag. SCAPA är ett digitalt systemstöd som PwC har utvecklat och som förenklar och minskar administrationen.

Systemet är uppbyggt i linje med Säkerhetspolisens process och mallar. SCAPA är ett stöd för att öka verksamhets effektivitet, systematik och ger en tydlig överblick över alla olika ärenden och ansvarsområden.

Användargränssnitt är samtidigt enkelt och i linje med den hög säkerhetsnivå som följer säkerhetspolisens kravställning.

Personuppgifter hämtas från folkbokföringen. Samtycke och sekretessförbindelse godkänns och inhämtas digitalt av den berörda parten innan en registerkontroll genereras och sänds till Säpo. När svar inkommer läggs de automatiskt in i SCAPA. Ärendehanteringssystemet ger verksamheten full kontroll över samtliga företag, individer och projekt som är kopplade till säkerhetskänslig verksamhet.

SCAPA hanterar både egna anställda, företag och personer som anlitas inom ramen för en säkerhetsskyddad upphandlingsprocess eller i myndigheters uppdrag som tillsynsmyndighet.

"I den nya lagen från 2019 tydliggörs kraven på säkerhetskänsliga organisationer, exempelvis kring hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem."

Behöver din organisation hjälp med säkerhetsskyddet?

Våra specialister har mångårig erfarenhet inom säkerhetsskyddsområdet från både privat och offentlig sektor. Vi stöttar er i arbetet med att utreda vilka delar av organisationen som bedriver säkerhetskänslig verksamhet och om dessa omfattas av säkerhetsskyddslagen eller annan lagstiftning samt efterföljande säkerhetsåtgärder.

Exempel på vad vi på PwC kan hjälpa till med:

Klargöra hur ni berörs av den nya säkerhetsskyddslagen
Säkerhetsskyddsanalyser och planer (genomföra eller stötta ert interna arbete)
Granskning av befintligt säkerhetsskydd och åtgärder
Rekommendationer och implementation av säkerhetsskyddsåtgärder
Digitaliserade säkerhetsprövningar
Digitalt it-stöd för säkerhetsprövning och registerkontroll
Säkerhetsskydd vid upphandlingar och affärsavtal för både upphandlande verksamheter och leverantörer
Kravställning och implementering av säkra it-miljöer och projekt
Säkerhetssamtal och grundutredningar
Interimssäkerhetsskyddschef och säkerhetschef
Kravställning för fysiskt skydd
Kontroll inför tillsyn
Utbildningar inom alla delar av säkerhetsskyddsområdet
NIS-direktiv

Vad behöver din organisation göra?

Organisationer som bedriver säkerhetskänslig verksamhet måste kartlägga och bedöma sina skyddsvärden, inventera och klassificera sina informationstillgångar och it-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet.

En sådan kartläggning ska också utröna om den säkerhetskänsliga verksamheten omfattas av säkerhetsskyddslagen eller annan lagstiftning, exempelvis NIS-direktivet. Om informationstillgångar eller it-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut.

Varför PwC?

Våra specialister har mångårig erfarenhet inom säkerhetsskyddsområdet från både privat och offentlig sektor. Vi är vana att agera som strategisk partner till våra kunder och har omfattande erfarenhet av att stödja såväl ledningsgrupper som säkerhetsorganisationer, it-avdelningar, rättsenheter och upphandlare.

Våra kunder är allt ifrån stora myndigheter och internationella bolag till den lilla kommunen eller fåmansbolaget verksamma inom olika samhällsviktiga branscher.