I början på året lades propositionen(prop. 2017/18:89) för en ny säkerhetsskyddslag (SFS 2018:585) vilken träder i kraft 1 april 2019.
Säkerhetsskydd innebär i korthet förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott mot landets säkerhet. Den nya säkerhetsskyddslagen ska skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd.
Sverige är nog det enda landet som haft en generaldirektör som helt sonika struntat i gällande säkerhetsskyddslagstiftning och därigenom utsatt vårt land för röjande av hemliga uppgifter. En stor del av det politiska efterspelet till detta kom att handla om att försöka lägga skuld på politiska motståndare istället för att rikta fokus på det som i en sund verklighet är det viktiga, rimligen försvar och skydd av vårt land och samhälle. Ett illavarslande tecken på både omognaden och oförmågan hos våra folkvalda att handskas med frågor som rör vårt lands säkerhet .
Det är välbehövligt att förnya säkerhetsskyddslagen i takt med samhällets och omvärldens utveckling. Hotbilden mot vårt land är mer komplex och mer mångfacetterad i jämförelse med 1996 när nuvarande säkerhetsskyddslag såg dagens ljus. Vi behöver en lagstiftning som tillser att de aktörer som är en del av vårt samhällsskydd faktiskt skyddar det som är skyddsvärt för vårt lands säkerhet.
Den nya lagstiftningen förtydligar att säkerhetsskyddsregleringen gäller i såväl privat som offentlig sektor. Säkerhetsskyddsregleringen ska skydda uppgifter som är såväl hemliga som uppgifter som inte är hemliga men som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) (OSL) om den lagen hade varit tillämplig i den aktuella verksamheten. Detta förutsätter att verksamheter som inte omfattas av offentlighets- och sekretesslagen behöver ha insikt i dess bestämmelser för att kunna avgöra om lagen hade varit tillämplig, vilket kan tyckas vara en betungande insikt inom den privata sektorn. Den nya säkerhetssskyddslagen är även striktare vad gäller utkontraktering (outsourcing) och har krav på säkerhetsskyddsavtal och samråd med tillsynsmyndigheter.
Några intressanta aspekter med den nya säkerhetsskyddslagen värda att begrunda är hur begreppen skiftar och hur lagen även låter väl etablerade termer få annan innebörd jämfört med idag.
En intressant aspekt är hur tillämpning av lagen ska särskilja säkerhetskänslig och samhällsviktig verksamhet. I och med att säkerhetsskyddet tidigare mest fokuserat på hot mot hemlig information i offentlig verksamhet till att övergå till ett vidare område blir gränsdragningen annorlunda. Nu får vi en lagstiftning som ska skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Även säkerhetsskyddsklassificerade uppgifter i verksamhet som är av betydelse för Sveriges säkerhet eller som ingår i ett, för Sverige, förpliktande internationellt åtagande om säkerhetsskydd omfattas.
I lagrådsremissen lyfts verksamheter som är av betydelse för Sveriges säkerhet ur ett nationellt perspektiv fram. Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex. spioneri, sabotage och terroristbrott. Inte den mest glasklara formuleringen, men samtidigt tydliggörs att det inte längre finns några gränser för vilka verksamheter som kan bli aktuella för säkerhetsskydd under den nya lagstiftningen.
Men när är något samhällsviktigt och när är något viktigt för Sverige?
I sammanhanget är det av vikt att lyfta fram den 1 augusti i år då NIS-direktivet implementeras genom en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Verksamhet som omfattas av säkerhetsskyddsregleringen ska undantas från den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Det reglerar därmed skyddsbehovet för privat eller offentlig verksamhet som är samhällsviktig men som inte är så skyddsvärd att den berör Sveriges säkerhet. För de verksamheter som befinner sig i gränslandet mellan NIS och säkerhetsskyddslagstiftningen är det av stor vikt att det tydliggörs hur denna uppdelning ska göras för att minska tillämpningsproblemen, för de lär bli en del.
En leverantör av samhällsviktiga eller digitala tjänster som bedriver viss verksamhet som omfattas av säkerhetsskyddsregleringen kan i andra delar av verksamheten som inte är säkerhetsskyddskänslig omfattas av lagen som implementerar NIS. Detta innebär således att verksamhetsutövare kan behöva tillämpa säkerhetsskyddsregleringen i en del av sin verksamhet och den nya lagen om informationssäkerhet för samhällsviktiga eller digitala tjänster i en annan del av verksamheten.
Detta förutsätter att verksamhetsutövare har genomfört säkerhetsskyddsanalyser, vilket rimmar illa med det faktum att säkerhetsskyddslagstiftningen innebär att offentliga och privata aktörer fr.o.m. 1 april 2019 själva ansvarar för sitt säkerhetsskydd samt sin informationssäkerhet. Verksamheterna ska således på eget bevåg bedöma huruvida de omfattas av lagstiftningen samt i vilken utsträckning. Det är ett tämligen stort ansvar som fordrar tydlighet och distinkta avgränsningar.
Även i de fall verksamheten inte omfattas av den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster finns en risk för termkonflikter och uttrycksförvirring i verksamheter som hanterar både uppgifter som är säkerhetsskyddsklassificerade och sådant som är känsligt i den egna verksamheten.
Det som skiljer säkerhetsskyddsklassificering från klassiskt informationssäkerhetsarbete är att grunden för säkerhetsskyddsklassificering är konfidentialitet, det vill säga vilken skada röjande av uppgiften kan medföra (där bedömningen dessutom har utgångspunkt i OSL). Propositionen nämner dock att eventuella konsekvenser av att riktigheten eller tillgängligheten påverkas bör bedömas inom ramen för den föregående säkerhetsskyddsanalysen som ska genomföras. Det rör sig således om införandet av ett nytt system för klassificering av information, samtidigt som begreppet informationssäkerhet anges som en av tre säkerhetsskyddsåtgärder (tillsammans med fysisk säkerhet och personalsäkerhet).
Säkerhetsskyddsklassificering ska utformas som ett kompletterande system i förhållande till den informationsklassificering som idag sker enligt MSB:s föreskrifter. Säkerhetsskyddsklassificeringen tar sikte på Sveriges säkerhet medan klassificering enligt MSB:s föreskrifter huvudsakligen tar sikte på konsekvenser för den egna verksamheten. Regeringen gör således bedömningen att klassificering av säkerhetskänslig information ska ske enligt ett system som är fristående från hur verksamhetsutövare klassificerar annan information i organisationen.
Harmonisering med befintliga metoder i de fall det är möjligt hade varit fördelaktigt för att optimera verkan av den nya lagstiftningen.
Ytterligare en stor förändring är att säkerhetsskyddsklassificeringen ökar till fyra nivåer av skyddsgrad. Syftet är bland annat att förenkla internationell samverkan samt en anpassning till Försvarsmaktens system med fyra nivåer. Vi ser positivt på detta då fler nivåer ökar förutsättningarna för att finna rätt skyddsnivå, men införandet av fler skyddsnivåer ställer även högre krav på verksamhetsutövares kunskap om informationens skyddsvärde och skadeeffekter. I propositionen konstateras att kunskapen om säkerhetsskydd på vissa områden inom samhället är eftersatt. Lagen kommer ställa nya och strängare krav på verksamhetsutövarna, exempelvis i form av bättre kunskap om hur skyddsvärd information ska hanteras. Detta ska alltså verksamheterna lära sig själva.
Vidare är det intressant att de olika säkerhetsskyddsklasserna (kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig) tangerar redan etablerade benämningar med annan innebörd. Exempelvis den högsta säkerhetsskyddsklassen kvalificerat hemlig har följande definition enligt Försvarsmakten ”uppgifterna omfattas av sekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400). Uppgifterna rör rikets säkerhet och är av synnerlig betydelse för rikets säkerhet. Uppgifterna hör till sekretesskategorin KVALIFICERAT HEMLIG och placeras i informationssäkerhetsklass HEMLIG/TOP SECRET.”
Lagstiftaren har helt enkelt återanvänt en etablerad benämning och anammat den i ett annat syfte. Detta leder knappast till att säkerhetsarbetet förenklas.
Menbegreppet används när information klassificeras enligt dagens säkerhetsskyddslag och begreppet används även i straffbestämmelser för brott mot landets säkerhet. Med uttrycket ”men för rikets säkerhet” åsyftas information som omfattas av sekretess enligt offentlighets- och sekretesslastiftningen och rör rikets säkerhet. Menbedömningen är ett underlag i rättsväsendets utredningar om brott mot Sveriges säkerhet.
I offentlighets- och sekretesslastiftningen används däremot begreppet men på ett annat sätt. I sekretessbestämmelserna används begreppet men i första hand för olika typer av integritetskränkningar då personliga förhållanden blir röjda. Med skada avses i regel ekonomisk skada. I sekretessbestämmelsen för försvarssekretess (15 kap 2 § OSL) används inte beteckningen men. Istället är det skaderekvisit som avgör om information omfattas av sekretessen. Men och skada avser någon form av negativ påverkan på det intresse som sekretessen ska skydda.
För Försvarsmakten och övriga myndigheter i försvarssektorn gäller att information som omfattas av sekretess enligt offentlighets- och sekretesslastiftningen och som rör rikets säkerhet ska placeras i en av fyra informationssäkerhetsklasser (HEMLIG/TOP SECRET, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED). Vilken informationssäkerhetsklass som informationen ska placeras i beror på vilket men för rikets säkerhet som ett röjande kan medföra.
I den nya säkerhetsskyddslagen dikteras att informationen placeras i en av fyra säkerhetsskyddsklasser (kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig) beroende på vilken skada informationen kan medföra för Sveriges säkerhet eller för Sveriges förhållande till annan stat eller mellanfolklig organisation om informationen skulle röjas. Säkerhetsskyddsklasserna ersätter då dagens informationssäkerhetsklasser och kommer att gälla hos alla som omfattas av den nya säkerhetsskyddslagen.
Vi är som sagt positiva till den nya säkerhetsskyddslagen. Att lagen exempelvis tillser att Säkerhetspolisen får formell veto-rätt mot berörda organisationers tillämpning/icke-tillämpning av säkerhetsskydd är inte en dag för tidigt. Det är ju dock först i praktisk tillämpning som lagen kommer nå sin avsedda effekt. Med vetskapen om att ett stort antal organisationer är i behov av stora hjälpinsatser för att kunna uppnå tillräckligt säkerhetsskydd är ett ökat stöd ofta nödvändigt redan innan samråd tas för att bedöma om lämpliga åtgärder tagits för att uppnå rätt nivå av säkerhetsskydd. Exempelvis stöd för att säkerställa att man redan från början lägger ribban på rätt nivå för sitt säkerhetsskydd och att det först är i efterföljande granskningar eventuella brister upptäcks.
Kompetensen för detta finns men behöver spridas och åtkomliggöras hos de som saknar denna kompetens, vilket även inkluderar etablering av en betydligt mer säkerhetsmedveten kultur i syfte att i större grad respektera vårt lands säkerhet.
Den lite mörka bilden av nuläget representerar naturligtvis inte alla organisationer som hanterar tillgångar som ska förses med säkerhetsskydd, vi har många osjungna hjältar i vårt land som på daglig basis driver ett mycket kompetent säkerhetsskyddsarbete. Dessa ska hyllas även om deras arbete sker i det tysta.
Conny Balazs, Adriana Pusic
