Säkerhetsskyddslagen på 2 minuter

Hanterar din organisation information som är samhällskritisk kan du fortsätta läsa. 

Den 1a april träder säkerhetsskyddslagen i kraft. Trots att det är en omfattande lag så har det varit hyggligt tyst om den. Ännu färre vet vad de ska göra. Här kommer en snabb orientering du plöjer på 2 minuter.

Vad den handlar den om?

Säkerhetsskydd handlar om att företag och myndigheter som bedriver säkerhetskänslig verksamhet ska arbeta förebyggande för att skydda sig mot brott som kan hota rikets säkerhet, till exempel spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Vem berörs av den nya lagen? 

Offentlig och privat verksamhet som är säkerhetskänslig – det betyder inte bara att man har säkerhetsklassade uppgifter utan också att man har it-system som är av central betydelse för att det svenska samhället ska fungera. Det gäller transportbolag, energi, livsmedel, statliga myndigheter och digital infrastruktur.

Varför den finns säkerhetsskyddslagen?

Sverige har återinfört begreppet totalförsvar och den innefattar etableringen en motståndskraft i samhället. En rad incidenter har de senaste åren med all önskvärd tydlighet visat vilka brister som finns hos flera aktörer. Så pass stora luckor att de har äventyret rikets säkerhet, och ytterst människoliv. 

Hur man gör som företag eller myndighet för att möta kraven?

Organisationer som bedriver säkerhetskänslig verksamhet ska identifiera hot och risker och bygga skydd mot de risker man identifierat. Man ska också klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. Det här arbetet ska identifiera om verksamheten faller under säkerhetsksyddslagen eller annan lagstiftning, exempelvis NIS-direktivet. 

Dessutom ska man arbeta med sin fysiska säkerhet genom att förebygga att obehöriga får tillträde till områden eller byggnader där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet bedrivs.

Vad ska man tänka på?

Ett vanligt misstag organisationerna gör att inte se till den faktiska hotbilden och analysera vilken påverkan kan få för sin egen eller andras verksamhet. Kunskapen om hur man fysiskt skyddar sin information och data är generellt låg och få har säkerställt sin kontinuitet av verksamheten. 

Vad som händer om man inte följer lagen?

Påföljderna är ännu inte solklara, men ingen vill riskera att vara den svagaste länken i kedjan.