En uppdaterad säkerhetsskyddslag – för Sveriges säkerhet

Sedan 1 april finns en ny lag utvecklad från 1996 års säkerhetsskyddslag. Fler aktörer i privat regi med så kallad säkerhetskänslig verksamhet får nu fler och tydligare krav för säkerhetsskydd av verksamhet som har betydelse för Sveriges säkerhet. För en del företag och myndigheter kan det bli ett bryskt uppvaknande. Teracom arbetar varje dag med denna lagstiftning som grund för att garantera säker kommunikation i hela Sverige.

Teracoms uppdrag att garantera säker kommunikation betyder att vi är väl förtrogna med vad som krävs för att åstadkomma ett robust skydd för samhällsviktiga informationssystem. Teracoms långa historia av att arbeta med säker kommunikation kan du läsa mer om i detta blogginlägg.

Vad säger den nya lagen, vem gäller den för och vad innebär den för vår och för andras verksamhet? Det ska jag resonera kring i detta inlägg.

Sveriges säkerhet i centrum

I dag ser vi en hotbild mot Sverige som är mer komplex och föränderlig, framförallt genom informations- och IT-systemens betydelse för samhällets grundläggande funktioner. Jag har tidigare skrivit om cybersäkerhet som vår tids stora säkerhetspolitiska fråga, du kan läsa mer i detta inlägg.

Med en digitalisering av det svenska samhället som ställer högre krav på säker informationshantering, ett förändrat omvärldsläge och ökad privatisering av infrastruktur och andra verksamheter av stor betydelse för Sverige har den tidigare lagstiftningen behövts moderniseras och anpassas. I ett pressmeddelande från Justitiedepartementet skrev man att ”För att stärka och modernisera säkerhetsskyddet har regeringen därför infört en ny säkerhetsskyddslag som förtydligar kraven på skydd av verksamheter som har betydelse för Sveriges säkerhet och ökar skyddet mot bland annat spioneri, sabotage och terroristbrott”

Förut beskrev lagen olika former av säkerhetsskyddsåtgärder som viktiga för ”rikets säkerhet”. Med den nya beskrivningen ”Sveriges säkerhet” vill man tydliggöra att lagstiftningen kommer att gälla för alla som bedriver verksamhet som har betydelse för Sveriges säkerhet, oavsett om den bedrivs i offentlig eller privat regi. Den nya lagen betonar därmed att detta är frågor för många delar av samhället, som också kommer att följas upp i och med att fler sektorer och aktörer formellt omfattas av lagen.

Fler perspektiv på säkerhetsskydd

Normalt brukar verksamheter inom energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster räknas som samhällsviktiga. Detta sedan NIS-direktivet genomfördes i Sverige 2018 som ställer krav på säkerhet i nätverk och informationssystem. 

Därtill är det viktigt att anlägga både centrala, regionala och lokala perspektiv. Vi kan exempelvis inte utesluta att en angripare använder koordinerade angrepp på flera olika platser för att störa ut samhällsviktiga funktioner, för att exempelvis skapa eller sprida misstro bland befolkningen om hur Sverige egentligen klarar av att stå emot andra former av angrepp. Detta är något som Teracom varje dag arbetar med i form av utsändning av public service och krisberedskapskanalen P4, som alltid kan och ska fungera för att säkerställa att allmänheten nås av korrekt information vid större händelser eller kris.

Den nya lagen gör inte skillnad på offentlig eller privat verksamhet och ställer därmed samma krav på de civila likväl som de militära delarna av vårt totalförsvar. Lagen omfattar nu privata företag som bedriver säkerhetskänslig verksamhet, utan att för den skull göra det på uppdrag av en myndighet, vilket tidigare har hamnat utanför den gamla lagen. Detta görs även då utländska ägare blir alltmer vanliga inom samhällsviktiga verksamheter.

Därför kan fler privata företag nu räkna med att behöva inventera och klassificera sina informationstillgångar och IT-system inom någon av lagens fyra nya informationsklasser (”Kvalificerat hemlig”, ”Hemlig”, ”Konfidentiell” samt ”Begränsat hemlig”) snarare än den gamla lagens begrepp ”hemlig” och ”kvalificerad hemlig”.

Teracoms säkerhetsarbete

Lagen lämnar här det upp till varje verksamhet att i en säkerhetsanalys bedöma om de ”troligen eller sannolikt bedriver säkerhetskänslig verksamhet”, som det står i regeringens proposition. Fokus är alltså inte på information bestående av uppgifter med säkerhetsskyddsklassificering, utan på att den säkerhetskänsliga verksamheten ska ges ett ändamålsenligt skydd, exempelvis så att de IT-system som är av betydelse för verksamheten är skyddade.

Inventeringen ska bedöma om den identifierade säkerhetskänsliga verksamheten faller under den nya lagen eller exempelvis det EU-gemensamma NIS-direktivet. Beroende på hur varje aktörs verksamhet omfattas av lagen, måste en säkerhetsskyddsanalys göras och en plan för säkerhetsskyddet utformas. Ett sådant arbete kommer kosta mycket tid och pengar.

Teracom välkomnar den nya lagen. Vi har sedan länge arbetat med att anpassa och utveckla organisationen utefter befintlig säkerhetsskyddslagstiftning. Säkerhetsarbetet inom Teracom omfattar idag bland annat säkerhetsmedvetenhet bland medarbetare, fysiskt skydd vid anläggningar, informationssäkerhet, säkerhetsprövning av företag och individer samt regelbundet genomförande av beredskaps- och krisövningar. Vi kommer fortsätta att arbeta och leva upp till kraven.

Johan Petersson, chef för säkerhet och kommunikation