U

Start » Learning Centre » Blogg » Skärpningen av säkerhetsskyddslagen: 3 saker CISO:n behöver tänka på

Skärpningen av säkerhetsskyddslagen: 3 saker CISO:n behöver tänka på

Skärpningen av säkerhetsskyddslagen träder i kraft 1 december 2021 om regeringens förslag går igenom. Innan dess behöver du som CISO ha koll på vad som gäller – här är de viktigaste sakerna.

 

Vad är säkerhetsskyddslagen?

Säkerhetsskyddslagen (2018:585) tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Den tekniska utvecklingen under de senaste åren gör att vi idag behöver vidga begreppet. Dessutom bör även allmänna och enskilda verksamheter rymmas inom ramen för säkerhetsskyddet.

Säkerhetsskyddslagen gäller för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Verksamheter med skyddsvärda data som inte officiellt har klassats som hemliga omfattas också. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.

Regeringen föreslår nu att den nuvarande säkerhetsskyddslagen ska skärpas. Ändringarna i lagen föreslås träda i kraft den 1 december 2021.

 

Ny uppmaning

1. Säkerhetsskyddsavtal gäller fler typer av samarbeten

En del av det nya förslaget är att det säkerhetsskyddsavtal som ingår vid upphandling nu ska gälla alla typer av samarbeten där den andra parten kan få insyn i den säkerhetskänsliga verksamheten. Dessa avtal kan även behöva upprättas med underleverantörer till den aktör man ska ingå samarbete med. Avtalet måste uppföras om aktören genom samarbetet kan få tillgång till säkerhetsskyddsklassificerade uppgifter klassade som konfidentiella eller högre, samt uppgifter om verksamheten som kan anses ha motsvarande grad av betydelse för Sveriges säkerhet.

 

Avtal

2. Särskilda säkerhetsskyddsbedömningar ska genomföras

Utkontrakteringar och liknande situationer som kräver säkerhetsskyddsavtal måste undergå särskilda säkerhetsskyddsbedömningar av verksamhetsutövaren. Detta för att kunna avgöra om förfarandet är lämpligt eller inte ur säkerhetsskyddssynpunkt. I bedömningen ska man bland annat se över vilka säkerhetsskyddsklassificerade uppgifter som samarbetsaktören kan få tillgång till, likaså vilka uppgifter om säkerhetskänslig verksamhet de kan hantera. Visar det sig att samarbetet inte är olämpligt måste man samråda med tillsynsmyndigheten innan samarbetet inleds.

3. Tillsynsmyndigheter får större befogenheter

En annan aspekt är att de tillsynsmyndigheter som granskar olika verksamheter ska få större befogenheter att undersöka säkerhetsskyddet och eventuella brister. Om det blir uppenbart under en tillsyn att man inte uppfyllt kraven måste det som tillsynsmyndigheten upptäckt åtgärdas omedelbart.

Tillsynsmyndigheten ska även få rätt att utfärda viten och sanktioner om en verksamhetsutövare inte har följt de skyldigheter som gäller. Det kan bland annat gälla om man inte kontrollerat sitt säkerhetsskydd eller om man inte kontrollerat att en samarbetspartner följer säkerhetsskyddsavtalet. Följer man inte regelverket kan man få en sanktionsavgift på upp till 50 miljoner kronor.

 

Vill du veta mer om säkerhetsskyddslagen? Läs mer här!

Läs hela förslaget om skärpningen av säkerhetsskyddslagen!

Är du CISO och vill lära dig mer om hur du kan jobba med cybersäkerhet? Läs vår guide för CISO:s!

Behöver ni hjälp med er cybersäkerhet? Tveka inte att kontakta oss!

 

 

Relaterade artiklar