2019-02-22 13:45

Ny säkerhetsskyddslagstiftning april 2019

Syftet med den nya lagstiftningen är att tydliggöra kraven på säkerhetsskydd hos utövare av säkerhetskänslig verksamhet, alltså sådan verksamhet som har betydelse för Sveriges säkerhet. En av de största förändringarna är att lagstiftningen gäller för alla som bedriver säkerhetskänslig verksamhet, vilket även omfattar enskilda verksamhetsutövare såsom elföretag. En viktig utgångspunkt för den egna organisationens säkerhetsarbete är en analys av den säkerhetskänsliga verksamheten, som sammanställs i en säkerhetsskyddsanalys.

Några saker som är nya och signifikanta för den nya säkerhetsskyddslagstiftningen, och som vi kommer att följa upp i flera artiklar på Energisäkerhetsportalen, är bland annat följande.

Begreppet rikets säkerhet ersätts med Sveriges säkerhet.

Säkerhetsskydd får innebörden skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Här har terroristbrott, som tidigare var särskrivet, integrerats direkt i säkerhetsskydds-begreppet. Det har alltså inte, som ofta missvisande anges, tagits bort utan är nu en direkt integrerad del av säkerhetsskydds-begreppet.

Den nya lagstiftningen kommer att innebära högre krav på både fysiskt skydd och IT-säkerhet för lokaler, anläggningar och system som bedöms vara säkerhetskänsliga.

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Märkningen av sådan information ska dock hos en enskild verksamhetsutövare ske med stöd av de nytillkomna säkerhetsskyddsklasserna, se nedan.

Fyra säkerhetsskyddsklasser införs för säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:

1. kvalificerat hemlig vid en synnerligen allvarlig skada,

2. hemlig vid en allvarlig skada,

3. konfidentiell vid en inte obetydlig skada, eller

4. begränsat hemlig vid endast ringa skada.

En, för elföretagen, omvälvande nyhet är att de elföretag som bedriver säkerhetskänslig verksamhet kommer att omfattas av krav på att ingå säkerhetsskyddsavtal med leverantörer som får tillgång till företagets säkerhetskänsliga verksamheter eller säkerhetsskyddsklassificerade uppgifter. Vidare så ska verksamhetsutövaren kontrollera att leverantören följer säkerhetsskyddsavtalet. Detta innebär i allt väsentligt att åtgärder kopplade till upphandlingar som kräver SUA åläggs den enskilde verksamhetsutövaren, exempelvis elföretaget.

Reglerna vid användning av utländska leverantörer blir striktare. Ett exempel är att säkerhetsskyddsklassificerade uppgifter endast får lämnas till en utländsk leverantör om Sverige har en internationell överenskommelse med landet och leverantören har godkänts enligt det landets lagstiftning.

Säkerhetsskyddsklassificerade uppgifter som kommuniceras till ett system utanför företagets kontroll ska skyddas av kryptografiska funktioner som Försvarsmakten har godkänt. Detta är ett krav som kommer att få stor påverkan på utformning och hantering av IT-system som hanterar säkerhetsskyddsklassificerade uppgifter.

Svenska kraftnät kommer att under året bjuda in elsektors aktörer till dialog om de förändringar och krav som lagstiftningen omfattar. För närvarande arbetar Svenska kraftnät med att uppdatera myndighetens föreskrifter om säkerhetsskydd för att anpassa dessa till kommande lagstiftning.

Säkerhetspolisen kommer att ta fram ett antal vägledningar för att tydliggöra kraven i föreskrifterna, bland annat för områden säkerhetsskydd, säkerhetsskyddsanalys och säkerhetsskyddade upphandlingar (SUA). Utöver detta kommer Svenska kraftnät att tydliggöra i egen vägledning de delar som omfattar elsektorns aktörer.

Vi kommer från energisäkerhetsportalens sida löpande under våren 2019 att återkomma med mer detaljerade artiklar om den nya säkerhetsskyddslagstiftningen och tillämpliga föreskrifter.

Länkar till lag och förordning:

Säkerhetsskyddslag 2018:585

http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddslag-2018585_sfs-2018-585

Säkerhetsskyddsförordning 2018:658

https://riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddsforordning-2018658_sfs-2018-658