Säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.
Vad är säkerhetsskydd?
Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott som kan skada verksamheten. Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier:
- Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
- Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
- Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
- Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
- Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.
Vad innebär säkerhetsskyddslagen?
För att stärka säkerhetsskyddet föreslog regeringen år 2018 en ny säkerhetsskyddslag. Den nya lagen, Säkerhetsskyddslag (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.
Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.
Några nyheter är att det blir obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare.
När började säkerhetsskyddslagen att gälla?
Den nya säkerhetsskyddslagen gäller från och med den 1 april 2019.
Vem gäller säkerhetsskyddslagen för?
Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.
Det finns dock ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vilka som bedriver säkerhetskänslig verksamhet. Det är istället varje verksamhetsutövares egna ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksamhet enligt de författningar som gäller på säkerhetsskyddsområdet.
Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställningstagande om huruvida en verksamhet till någon del är säkerhetskänslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys och baserat på detta kan man sedan ta beslut om man faller under definitionen säkerhetsskydd.
Hur du följer säkerhetsskyddslagen
Det bästa sättet att börja följa säkerhetsskyddslagen är att göra en säkerhetsskyddsanalys. Följ dessa steg för att göra en sådan analys:
1. Vad är målet med verksamheten?
Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns i verksamheten. Notera även ev. beroende av andra funktioner, både internt och externt.
2. Vilka är verksamhetens skyddsvärden?
Fundera över vad som är verksamhetens skyddsvärden, det vill säga vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?
3. Vilka konsekvenser kan uppstå?
Gör en konsekvensanalys och bedöm var gränsen för acceptans går.
4. Vad är hotet?
Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?
5. Vilka sårbarheter finns?
Gör en sårbarhetsanalys som visar sårbarheter som är kopplade till verksamhetens skyddsvärden. Dessa kan användas av en potentiell angripare och därför är det viktigt att veta var de finns.
6. Vilka skyddsåtgärder ska väljas?
Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden; Informationssäkerhet, fysisk säkerhet och personalsäkerhet.
När du har gjort din säkerhetsskyddsanalys bör det framgå vilka säkerhetsåtgärder du bör vidta och var.
Nytt begrepp införs med säkerhetsskyddslagen
Ett nytt begrepp infördes i och med den nya lagen: säkerhetsskyddsklassificerade uppgifter. En säkerhetsskyddsklassificerad uppgift är en uppgift som klassas som sekretess* enligt Offentlighets- och sekretesslagen och som dessutom rör verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
*Sekretess är beteckningen på information som inte ska lämnas ut och därför inte blir allmänt tillgänglig. En sekretessbelagd uppgift innebär tystnadsplikt för den som har eller har fått befattning om uppgiften.
Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet:
- Kvalificerat hemlig – Synnerligen allvarlig skada
- Hemlig – Allvarlig skada
- Konfidentiell – Inte obetydlig skada
- Begränsat hemlig – Endast ringa skada
Säkerhetsskyddsavtal
Statliga myndigheter, kommuner eller landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska ingå ett säkerhetsskyddsavtal om:
- det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse.
Detsamma gäller enskilda verksamhetsutövare som ingår avtal med utomstående leverantörer.
Ska du göra en säkerhetsskyddad upphandling? Känner du dig osäker på hur man gör? Vi guidar dig gärna genom hela processen så att du kan känna dig trygg att allt går rätt till.
Hur du praktiskt följer Säkerhetsskyddslagen
Hur man ska arbeta med sitt säkerhetsskydd grundar sig alltid i Säkerhetsskyddslagen. Under Säkerhetsskyddslagen ligger Säkerhetsskyddsförordningen, vilken i sig följs av olika föreskrifter och vägledningar. Dessa föreskrifter och vägledningar gäller alltså för olika sektorer, vilket innebär specifika regler för olika organisationer.
I Säkerhetsskyddsförordningen står det att om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll så ska uppgifterna skyddas av kryptografiska funktioner som är godkända av Försvarsmakten. VPN-krypton är en sådan lösning.
VPN-krypton
Ibland är det nödvändigt att kommunicera över Internet, men informationens känslighet kan hindra dig från att öppet kunna skicka den till mottagaren. Lösningen är att använda ett VPN-krypto (Virtual Private Network). VPN-krypton kan användas för att skydda ditt nätverk, medan du är ansluten till Internet, genom att skapa säkra och privata tunnlar mellan en enhet och ett nätverk, eller mellan två nätverk. På så sätt kan du vara ansluten till Internet, men informationen du skickar till andra enheter inom det privata nätverket krypteras och skickas säkert genom tunnlarna, vilket resulterar i trafik som inte kan läsas av någon utanför ditt privata nätverk.
Hårdvarubaserade krypteringslösningar är dyrare och kan vara lite mer komplicerade att hantera, men om du har känslig information eller information som behöver ett starkare skydd – vilket gör säkerhet högsta prioritet – bör hårdvarulösningar vara ditt val.
Advenicas lösning är SecuriVPN. Läs mer om kryptering!
Envägskommunikation
I Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) står det att informationssystem som är separerade från andra informationssystem får överföra data för import eller export genom envägskommunikation. En produkt som då kan användas är en datadiod.
En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsutbyte. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.
Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. Datadioder är hårdvaruprodukter som placeras mellan två nätverk. En datadiod fungerar som en backventil vars funktion endast tillåter data att skickas framåt medan den blockerar all data i motsatt riktning. Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod, vilket också bidrar till hög assurans.
Läs mer om datadioder och hur de fungerar!
Signalskydd – del av säkerhetsskyddet
Enligt 3 kap 5 § i Säkerhetsskyddsförordningen (2018:658) måste numera alla verksamheter, offentliga och privata, som hanterar säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, skydda uppgifterna med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. Viktigt är att det gäller både den som sänder och den som tar emot hemlig information.
Definitionen av signalskydd är ”åtgärder som används för att skydda information från obehörig insyn och påverkan med hjälp av säkra kryptografiska funktioner och tillhörande signalskyddsåtgärder”. Signalskyddssystem är kryptosystem som är nationellt godkända av Försvarsmakten och som tillsammans med regelverk och utbildning ger skydd åt information som rör rikets säkerhet. Ett signalskyddssystem består av signalskyddsmateriel, kryptonycklar och/eller aktiva kort samt en instruktion för hur systemet ska hanteras.
Myndigheter, landsting, länsstyrelser, kommuner, företag och organisationer som har behov av att på ett säkert och tillförlitligt sätt kunna samverka genom att kommunicera information kan bli tilldelade signalskyddssystem. Ordet tilldelade är viktigt då försvarsklassade signalskyddssystem är en nyttjanderätt som tilldelas.
Vilken information ska skyddas med signalskydd?
Information som berör samhällets infrastruktur, information i verksamheter som omfattas av begreppet samhällsviktig verksamhet och information om beredskap, kris eller krigsplanläggning är alla exempel på information som behöver skyddas med signalskydd. Dessutom såklart information som i sig själv klassas som skyddsvärd eller hemlig och som berör Sveriges säkerhet.
Skillnaden mellan NIS-direktivet och säkerhetsskyddslagen
Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.
I de scenarier som visas ovan illustrerar de olika rutorna:
- En verksamhet där nätverks- och informationssystemen endast berörs av NIS
- En verksamhet där nätverks- och informationssystemen endast berörs av NIS, men andra delar av verksamheten berörs av säkerhetsskyddslagen
- En verksamhet där nätverks- och informationssystemen både berörs av NIS och säkerhetsskyddslagen
- En verksamhet där nätverks- och informationssystemen endast berörs av säkerhetsskyddslagen
För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.
Levererar man samhällsviktiga eller digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.
Kompletteringar av säkerhetsskyddslagen (augusti 2020)
För att stärka skyddet för Sveriges säkerhet föreslog regeringen kompletteringar av säkerhetsskyddslagen (2018:585). De har därför fattat beslut om ändringar i säkerhetsskyddslagen som gäller överlåtelser av säkerhetskänslig verksamhet. Ändringarna syftar till att förhindra försäljningar som kan skada Sveriges säkerhet.
Ändringarna innebär bland annat följande:
- Verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom ska vara skyldiga att innan ett sådant förfarande inleds genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.
- Verksamhetsutövare ska vara skyldiga att inför överlåtelsen samråda med en samrådsmyndighet.
- Samrådsmyndigheten ska få möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
- En överlåtelse i strid med ett förbud ska vara ogiltig.
Lagändringen trädde i kraft den 1 januari 2021. Läs mer här.
Skärpning av säkerhetsskyddslagen (oktober 2021)
Regeringen har beslutat att den nuvarande säkerhetsskyddslagen ska skärpas. Ändringarna i lagen trädde i kraft den 1 december 2021. Den nya skärpningen innehåller följande:
- Säkerhetsskyddsavtal gäller fler typer av samarbeten
- Särskilda säkerhetsskyddsbedömningar ska genomföras
- Tillsynsmyndigheter får större befogenheter
Läs mer om ändringarna i vårt blogginlägg!
Behöver ni hjälp med ert säkerhetsskydd? Vi kan hjälpa er!
Är du CISO och vill lära dig mer om cybersäkerhet? Läs vår guide!