Den nya säkerhetsskyddslagen

Authors: Anna Ribenfors, Caroline Sundberg, Elisabeth Vestin, Christopher Tehrani

Den 1 april träder den nya säkerhetsskyddslagen (2018:585) ikraft. Den nya lagen ersätter den gamla säkerhetsskyddslagen (1996:627).

Idag, år 2019, betraktas IT-angrepp som ett av de allvarligaste hoten mot en nations säkerhet. Eftersom det har gått över 20 år sedan den nuvarande lagen trädde ikraft har digitalisering och krav på informationssäkerhet förändrats väsentligt. Staters underrättelseverksamheter har också breddats och cyberhot anses nu vara ett allvarligt hot mot rikets säkerhet och en del av modern krigsföring. Den nya säkerhetsskyddslagen har som avsikt att vara anpassad till de förhållanden som råder idag och ska stärka skyddet för Sveriges säkerhet i takt med de ökade hot som digitaliseringen medför.

I korthet syftar förändringarna som införs i den nya säkerhetsskyddslagen till att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott samt skydda säkerhetsklassificerade uppgifter. Åtgärderna, som ska verka för den nationella säkerheten innefattar, informationssäkerhet och personalsäkerhet. Lagen kompletteras med en uppdaterad säkerhetsskyddsförordning (2018:658).

1. Nyheter i den nya lagen

Den nya säkerhetsskyddslagen innehåller flera likheter med den nuvarande lagen från år 1996. Nedan redovisas kortfattat de enligt vår bedömning mest betydelsefulla nyheterna i den nya säkerhetslagen.

1.1 Utökat tillämpningsområde för lagen

Den nya lagen tydliggör att alla verksamheter kan omfattas av lagens tillämpningsområde; Det såväl offentliga aktörer som myndigheter, som enskilda verksamheter.

Tillämpningsområdet breddas även i ett annat avseende. Sverige har åtaganden internationellt avseende säkerhetsskydd. Uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga organisationer som Sverige åtagit sig att skydda kan nu även enskilda verksamheter vara skyldiga att skydda.

1.2 Säkerhetsklassificering

Säkerhetsskyddsklassificering är ytterligare en nyhet i den nya lagen. Klassificeringen innebär att säkerhetsklassificerade uppgifter ska delas in i olika säkerhetsskyddsklasser utifrån den skada som ett röjande av informationen kan medföra för Sveriges säkerhet. Skyddsnivån avgörs genom en hypotetisk skadebedömning. Syftet med klassificeringen är att uppnå en lämplig skyddsnivå för information som kan vara känslig.

De nya klassificeringarna är följande:(i) kvalificerat hemlig vid en synnerligen allvarlig skada, (ii) hemlig vid en allvarlig skada, (iii) konfidentiell vid en inte obetydlig skada och (iv) begränsat hemlig vid endast ringa skada. Den nya klassificeringen underlättar internationell samverkan eftersom fyra kategorier redan används av ett flertal europeiska länder och inom EU och Nato.

Klassificering ska ske av uppgifter som rör säkerhetskänslig verksamhet och omfattas av offentlighet- och sekretesslagens sekretessbestämmelser eller skulle omfattas av den lagen om den vore tillämplig. Om en verksamhet har uppgifter av detta slag ska dessa klassificeras enligt de fyra klasserna.

1.3 Säkerhetsskyddsåtgärder

Säkerhetsskyddsåtgärderna har utökats i den nya lagen. Begreppen har blivit bredare och innefattar nu ett flera potentiella angrepp.

Exempel på nyheter:

• Informationssäkerhet innebär skydd för de informationssystem som hanterar uppgifter i en säkerhetskänslig verksamhet.

• Fysisk säkerhet innefattar nu även skydd för skador på en kabel för samhällsviktig elektronisk kommunikation genom att använda ett robust hölje eller larm.

1.4 Säkerhetsskyddsavtal

Säkerhetsskyddsavtal fanns reglerat i den tidigare säkerhetsskyddslagen. En nyhet för den nya lagen är att enskilda aktörer som omfattas av lagen ska teckna säkerhetsskyddsavtal när de avser att ingå avtal om varor, tjänster eller byggentreprenader om leverantören kan få tillgång till uppgifter som är säkerhetsklassificerade till konfidentiell information. Det är således inte bara avtal rörande offentlig upphandling utan även avtal mellan enskilda aktörer.

1.5 Säkerhetsprövning

En nyhet avseende säkerhetsprövning av personal är att krav införs om att uppföljning måste ske under anställningstiden eller uppdraget. Exempelvis kan regelbundna uppföljningssamtal hållas för att få kännedom om kontaktförsök från främmande makt eller annat som kan utgöra en risk ur ett säkerhetsperspektiv.

1.6 Tystnadsplikt

Eftersom den nya lagen utvidgar till att omfatta även enskilda aktörer införs en särskild bestämmelse om tystnadsplikt för de personer som arbetar i dessa verksamheter och kommer i kontakt med säkerhetsskyddade uppgifter. Den nya tystnadsplikten kompletterar således skyddet som finns i offentlighet- och sekretesslagen (2009:400) avseende uppgifter som kan komma fram vid en säkerhetsprövning. Regleringen syftar till att skydda enskildas integritet.

1.7 Utökad internationell samverkan, säkerhetsintyg

Det vidgade tillämpningsområdet har lett till att det har kommit regler om internationell säkerhetsskyddssamverkan och säkerhetsintyg som saknar motsvarighet i den gamla lagen. Ett säkerhetsintyg kan ges av en svensk myndighet för personer och leverantörer på begäran av en annan stat eller mellanfolklig organisation. Intyget ska visa att en behörig myndighet har genomfört en säkerhetsskyddsutredning som visar att personen alternativt leverantören kan anses som pålitlig att hantera säkerhetsskyddsklassificerade uppgifter.

2 Vad skiljer NIS-lagen och säkerhetsskyddslagen?

Sedan den 1 augusti 2018 gäller lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster den s.k. (NIS-lagen). Genom NIS-lagen genomförs direktiv 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela EU. Direktivet innebär att leverantörer av samhällsviktiga tjänster inom sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Det innebär också att leverantörer av digitala tjänster blir skyldiga att vidta säkerhetsskyddsåtgärder, förebygga och hantera incidenter i sina nätverk och informationssystem, samt och rapportera incidenter som påverkar kontinuiteten i tjänsterna.

NIS-lagen syftar till att uppnå en hög nivå på säkerheten i nätverk och informationsviktiga system för samhällsviktiga tjänster inom de nämnda sektorerna. Skillnaden gentemot säkerhetsskyddslagen är att de har olika omfattningar. Säkerhetsskyddslagen verkar på en nationell nivå och syftar till att stärka Sveriges säkerhet till skillnad från NIS-lagen som syftar till att uppnå en hög skyddsnivå på säkerhet i nätverk för vissa sektorer.

3  Vad bör verksamheter som omfattas av säkerhetsskyddslagen tänka på?

I och med ikraftträdandet av den nya säkerhetsskyddslagen lagen finns det ett par frågor verksamheter bör ställa sig.

(i) Omfattas företaget av lagen?

Verksamheter som är av betydelse för Sveriges säkerhet omfattas av säkerhetsskyddslagen. Verksamheter som kan definieras som samhällsviktiga finns ofta inom sektorerna energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster. Avgörande om en verksamhet omfattas är om exempelvis spioneri skulle kunna medföra skadekonsekvenser på nationell nivå. En verksamhet kan t.ex. anses ha betydelse för Sveriges säkerhet verksamheten tillhandahåller drifttjänster åt flera myndigheter eller kommuner så att den aggregerade skadan påverkar rikets säkerhet även om en påverkan på enskilda myndigheter eller kommuner inte skulle anses medföra skada på nationell nivå.

Lagen ställer särskilda krav vid hantering av uppgifter inom säkerhetskänslig verksamhet och säkerhetsklassificerade uppgifter.

(ii) Vilka skyldigheter har verksamheter enligt lagen?

Den nya lagen innehåller tydligare regler avseende skyldigheter för verksamheter som omfattas av lagen.

Om ett företag bedriver en säkerhetskänslig verksamhet ska bolaget utreda behovet av säkerhetsskydd genom att utföra en säkerhetsskyddsanalys, denna analys ska dokumenteras och syftet är att identifiera risker och att vidta säkerhetsskyddsåtgärder med hänsyn till verksamhetens art och omfattning. Efter en säkerhetsskyddsanalys ska företaget bedöma vilka åtgärder som behöver vidtas.

(iii) Vad händer framöver?

I samband med att den nya säkerhetsskyddslagen börjar gälla kommer Säkerhetspolisen publicera vägledningar till lagen. Dessa kommer att ge verksamhetsutövare stöd i tillämpning av lagen.

En utredning om komplettering till den nya säkerhetsskyddslagen är framtagen. Utredningen innehåller bland annat förslag på tillsynsregler.