Hoppa till huvudinnehåll

Vad innebär den nya säkerhetsskyddslagen?

Vem gäller den nya svenska säkerhetsskyddslagen och vad säger den egentligen?
Läs mer här.

Den nya säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

 

Vad är säkerhetsskydd?

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Den tekniska utvecklingen under de senaste åren gör att vi idag behöver vidga begreppet. Dessutom bör även allmänna och enskilda verksamheter rymmas inom ramen för säkerhetsskyddet.

Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier

  • Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
  • Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
  • Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
  • Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
  • Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.
     

 

 

Vad innebär den nya säkerhetsskyddslagen?

För att stärka säkerhetsskyddet föreslog regeringen år 2018 en ny säkerhetsskyddslag. Den nya lagen, Säkerhetsskyddslag (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.

Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

 

Några nyheter är att det blir obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare. 

 

New call-to-action

 

När började säkerhetsskyddslagen att gälla?

Den nya säkerhetsskyddslagen gäller från och med den 1 april 2019.

 

Vem gäller den nya säkerhetsskyddslagen för?

Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.

Det finns dock ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vilka som bedriver säkerhetskänslig verksamhet. Det är istället varje verksamhetsutövares egna ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksamhet enligt de författningar som gäller på säkerhetsskyddsområdet.

Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställningstagande om huruvida en verksamhet till någon del är säkerhetskänslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys och baserat på detta kan man sedan ta beslut om man faller under definitionen säkerhetsskydd.

 

Nya säkerhetsskyddslagen

 

Nytt begrepp införs med säkerhetsskyddslagen

Ett nytt begrepp infördes i och med den nya lagen: säkerhetsskyddsklassificerade uppgifter. En säkerhetsskyddsklassificerad uppgift är en uppgift som klassas som sekretess* enligt Offentlighets- och sekretesslagen och som dessutom rör verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

*Sekretess är beteckningen på information som inte ska lämnas ut och därför inte blir allmänt tillgänglig. En sekretessbelagd uppgift innebär tystnadsplikt för den som har eller har fått befattning om uppgiften.

Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet:

  1. Kvalificerat hemlig - Synnerligen allvarlig skada
  2. Hemlig - Allvarlig skada
  3. Konfidentiell - Inte obetydlig skada
  4. Begränsat hemlig - Endast ringa skada

 

Säkerhetsskyddsavtal

Statliga myndigheter, kommuner eller landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska ingå ett säkerhetsskyddsavtal om:

  • det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse.

Detsamma gäller enskilda verksamhetsutövare som ingår avtal med utomstående leverantörer. 
 

Ska du göra en säkerhetsskyddad upphandling? Känner du dig osäker på hur man gör? Vi guidar dig gärna genom hela processen så att du kan känna dig trygg att allt går rätt till.

 

 

Skillnaden mellan NIS-direktivet och säkerhetsskyddslagen

Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.

För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.

Levererar man samhällsviktiga eller digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-dirketivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

 

New call-to-action

 

Kompletteringar av säkerhetsskyddslagen (augusti 2020)

För att stärka skyddet för Sveriges säkerhet föreslog regeringen kompletteringar av säkerhetsskyddslagen (2018:585). De har därför fattat beslut om ändringar i säkerhetsskyddslagen som gäller överlåtelser av säkerhetskänslig verksamhet. Ändringarna syftar till att förhindra försäljningar som kan skada Sveriges säkerhet.

 

Ändringarna innebär bland annat följande:

  • Verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom ska vara skyldiga att innan ett sådant förfarande inleds genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.
  • Verksamhetsutövare ska vara skyldiga att inför överlåtelsen samråda med en samrådsmyndighet.
  • Samrådsmyndigheten ska få möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
  • En överlåtelse i strid med ett förbud ska vara ogiltig.

 

Lagändringen trädde i kraft den 1 januari 2021. Läs mer här.


Skärpning av säkerhetsskyddslagen (oktober 2021)

Regeringen har beslutat att den nuvarande säkerhetsskyddslagen ska skärpas. Ändringarna i lagen trädde i kraft den 1 december 2021. Den nya skärpningen innehåller följande: 

  • Säkerhetsskyddsavtal gäller fler typer av samarbeten
  • Särskilda säkerhetsskyddsbedömningar ska genomföras
  • Tillsynsmyndigheter får större befogenheter

 

Läs mer om ändringarna i vårt blogginlägg!