Ett tu tre – Skärpt säkerhetsskyddslagstiftning

2021-03-26
Först kom FRA:s årsrapport den 15 mars, där de olyckligtvis twittrade fel länk till rapporten. Tur att den inte länkade till något illvilligt. Oaktat det var det som alltid en intressant läsning med många illustrationer för att förstärka budskapet. Sedan kom Säkerhetspolisens årsbok den 18 mars.

Sammanfattningsvis konstaterar de att ansträngningarna och viljan som krävs för att hålla Sverige säkert är inte tillräckliga. I kölvattnet av det kallade Mikael Damberg till pressträff den 19 mars om ett starkare skydd för Sveriges säkerhet.

Givetvis är kedjan av händelser samordnad och det är en medietränad och samstämd trio. –Fler måste göra mer och tänka steget längre, säker säkerhetspolischefen Klas Friberg. Det är en bra sammanfattning av de förändringar som föreslås i remissen Ett starkare skydd för Sveriges säkerhet som nu ligger på lagrådets bord.

Det ställs en rad nya krav på verksamhetsutövare som bedriver säkerhetskänslig verksamhet:

  • Även de som “till någon del bedriver säkerhetskänslig verksamhet” ska göra en säkerhetskyddsanalys
  • Säkerhetsskyddsavtal ska ingås i fler situationer
  • Särskilda säkerhetsskyddsbedömningar ska göras för att pröva lämpligheten av bland annat utkontrakteringar

Det införs också en anmälningsplikt och därutöver får tillsynsmyndigheten undersökningsbefogenheter och möjlighet att besluta vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav. Sanktionsavgiften kan bestämmas till mellan 25 000 kr och 50 miljoner kronor. För statliga myndigheter, kommuner och regioner är taket dock 10 miljoner kronor. Sanktionsavgiften kan även drabba aktie- eller andelsägare.

Det är med andra ord ett förslag med en tydlig skärpning av säkerhetsskyddslagen (2018:585).

För flera verksamheter som “till någon del bedriver säkerhetskänslig verksamhet” är säkerhetsskyddslagstiftningen något perifert. Sannolikt en organisation som för första gången ska göra en säkerhetsskyddsanalys för att bestämma huruvida verksamheten träffas av säkerhetsskyddslagen. Det ligger nära tillhands att ta stöd i analysarbetet, speciellt om man inte har någon som helst tidigare erfarenhet av att genomföra en analys och förstår dess hantverk.

Det är inte osannolikt att samma verksamhetsutövare inte är medveten om det faktum att om de ämnar ta hjälp att genomföra en säkerhetsskyddsanalys kräver det i sig att ett säkerhetsskyddsavtal först upprättas. Kan det antas att verksamheten endast har informationstillgångar som är begränsat hemliga kan vissa avsteg göras.

Det kan uppfattas som ett moment 22 men med alla pusselbitar på plats ter sig resonemanget logiskt.

Arbetet stannar såklart inte vid säkerhetsskyddsanalysen utan som en direkt följd ska en säkerhetsskyddsplan upprättas som beskriver vilka säkerhetsåtgärder som ska vidtas ur perspektiven informationssäkerhet, personalsäkerhet och fysisk säkerhet.

För att klarlägga om verksamheten berörs av säkerhetsskyddslagstiftningen börjar med andra ord resan i den viktiga säkerhetsskyddsanalysen. För vissa verksamheter kan de också behöva tillämpa lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) som lite slarvigt brukar benämnas NIS-lagen. Säkerhetsskyddslagen trumfar den, men i de delar där säkerhetsskyddslagen inte behöver tillämpas kan det mycket väl vara så att verksamheten omfattas av NIS-lagen. När säkerhetsskyddsanalysen genomförs är det klar fördel att även beakta detta faktum.

Glöm nu inte att det systematiska informationssäkerhetsarbetet ska hållas samman och inte ses som olika företeelser för att verksamheten träffas av olika regulatoriska krav såsom säkerhetsskyddslag, NIS-lag, dataskyddsförodningen (GDPR), Offentlighets- och sekretesslagen (2009:400) (OSL) med flera. Det är helt naturliga inslag i det strukturerade informationssäkerhetsarbetet men alla inslag har såklart påverkan på såväl omfattning som verkshöjd.