Med anledning av de ändringar i säkerhetsskyddslagen (2018:585) som kommer träda i kraft den 1 december 2021, lanserade Knowit i höstas en bloggserie om systematiskt säkerhetsskyddsarbete. I sex inlägg har våra medarbetare redogjort för utvalda delar av ett ledningssystem för säkerhetsskydd samt delat med sig av erfarenheter och råd från fältet.
Förra veckan berättade Sebastian Tham om sina erfarenheter av utbildning i säkerhetsskydd i blogginlägg 6. Denna vecka har vi kommit till det sista inlägget i serien. I inlägget kommer Marie Sjöberg dels sammanfatta några av de ämnen och lärdomar som tagits upp i bloggseriens tidigare inlägg, dels blicka framåt mot ändringarna i säkerhetsskyddslagen som träder i kraft den 1 december. Mycket nöje!
Detta är det sista inlägget i vår serie om systematiskt säkerhetsskyddsarbete där jag har sammanfattat de viktigaste medskicken från samtliga blogginlägg. Men innan jag presenterar dem vill jag passa på att kort berätta om de förändringar i säkerhetsskyddslagen som kommer att träda i kraft i nästa vecka, den 1 december. Har ni inte redan gjort det bör ni analysera hur dessa ändringar kommer att påverka er verksamhet.
Till att börja med stärks säkerhetsskyddschefens roll i säkerhetsskyddsarbetet genom krav på var denne ska placeras i organisationen samt ett utökat ansvar och mandat. Syftet är att förbättra kommunikationen med den högsta ledningen och att på så vis säkerställa att säkerhetsfrågorna får den prioritet de förtjänar. Vidare kommer tillsynen att förändras, både vad gäller struktur och inriktning men också genom att tillsynsmyndigheternas mandat utökas. De får tydliga undersökningsbefogenheter och möjlighet att besluta om såväl åtgärdsförlägganden förenade med viten som sanktionsavgifter mot verksamheter som inte uppfyller kraven i säkerhetsskyddsregleringen. Vissa av dessa kommer också att kunna riktas mot leverantörer till säkerhetskänsliga verksamheter.
Därtill utökas också kravet på att ingå säkerhetsskyddsavtal till alla situationer där andra aktörer ges tillgång till säkerhetskänslig verksamhet. Alla de situationer som kräver säkerhetsskyddsavtal medför också krav på att verksamheter genomför en s.k. särskild säkerhetsskyddsbedömning med efterföljande lämplighetsprövning. I vissa fall krävs även samråd med tillsynsmyndigheten, där tillsynsmyndigheterna ges möjlighet att stoppa sådana förfaranden som är olämpliga. Slutligen kommer tillsynsmyndigheterna även att kunna agera mot och helt stoppa pågående förfaranden. Detta utgör ytterligare incitament för verksamhetsutövare att säkerställa att alla nödvändiga steg har genomförts innan man släpper in externa aktörer i den säkerhetskänsliga verksamheten.
För mer information om vad förändringarna innebär, kan ni läsa de inlägg Knowit skrev när regeringens lagrådsremiss presenterades i mars 2021.
För att lyckas med att möta de nya kraven, men förstås också i sitt säkerhetsskyddsarbete i stort, krävs att verksamhetsutövare arbetar systematiskt. Som vi har försökt belysa med våra inlägg i denna bloggserie, förutsätter det systematiska säkerhetsskyddsarbetet insatser i många olika delar. För att nå hela vägen anser vi att ett ledningssystem för säkerhetsskydd som gärna får inkorporeras i verksamhetens övriga ledningssystem, är nödvändigt. Vi har valt att illustrera de olika delarna i en bild som finns tillgänglig sist i detta inlägg.
Vi hoppas att ni har haft nytta av vår bloggserie och som avslutning följer här en kort sammanfattning av de viktigaste poängerna i tidigare inlägg. Lycka till i ert fortsatta arbete med att skydda Sveriges säkerhet!
Inlägg 1: En säkerhetsskyddsanalys ska besvara frågorna VAD som ska skyddas, MOT VAD det ska skyddas och HUR. Det är avgörande att landa rätt i den första frågan om VAD, eller med andra ord vilka skyddsvärden som finns i verksamheten, annars blir resterande delar av analysen också fel. Låt därför detta steg ta tid, arbeta metodiskt och, inte minst, motivera och dokumentera era bedömningar.
Inlägg 2: Syftet med säkerhetsskyddsanalysens andra del, d.v.s. analysen av säkerhetshotet mot verksamheten, handlar inte om att analysera vilka antagonister som skulle kunna göra vad utan om att förtydliga vilka antagonistiska förmågor som säkerhetsskyddet ska kunna stå emot, oavsett vem som står bakom.
Inlägg 3: Sårbarhetsanalysen är en viktig del av säkerhetsskyddsanalysen och utgör en systematisk genomgång av verksamhetens svagheter och brister i hanteringsförmåga mot de dimensionerande hotförmågor som verksamheten ska kunna skydda sig mot. Det gäller i första hand inom det egna ansvarsområdet och i andra hand i förhållande till andra verksamheter utifrån de beroenden som identifierats, exempelvis till/från underleverantörer, kunder och partners.
Inlägg 4: Prioritera de säkerhetsskyddsåtgärder där effekten av införandet i förhållande till kostnad – och/eller i förhållande till den konsekvens som ett angrepp skulle kunna innebära – är störst. Kom ihåg att många av de absolut bästa åtgärderna för att öka säkerhetsskyddet är de som kostar minst. Om vi som arbetar med säkerhetsskydd kan få våra kollegor att alltid försöka ta säkerhetsmedvetna beslut i sin vardag så är redan halva slaget vunnet.
Inlägg 5: Undvik att klassa säkerhetsskyddsklassificerade uppgifter för högt. Utgå från värsta rimliga scenariot (snarare än värsta tänkbara scenariot) och försök begränsa antalet om och men i klassificeringen. Undvik också att gå alltför många steg från den egna verksamheten och bedöma påverkan hos verksamhetsutövare flera led bort, det är oftast en omöjlig uppgift.
Inlägg 6: Utbilda brett inom organisationen med utbildningar i säkerhetsskydd – du kan ofta genom att engagera och utbilda medarbetarna öka skyddet allra mest! Håll utbildningar för alla som berörs indirekt eller direkt av säkerhetsskydd, men i målgruppsanpassat format.
Marie Sjöberg är senior jurist och ansvarig för tjänsteområdet säkerhetsskydd hos Knowit Cybersecurity & law. Genom sina tidigare roller hos bl.a. Polismyndigheten och Säkerhetspolisen har hon arbetat såväl med strategisk juridisk rådgivning som i operativ verksamhet, vilket har gett henne en unik förståelse för samspelet mellan juridikens krav och verksamhetens behov. Hos Säkerhetspolisen ledde Marie bl.a. myndighetens arbete med extern tillsyn och rådgivning under säkerhetskyddslagstiftningen.
Tack för att du följt vår bloggserie. Fortsätta gärna följa vår blogg där vi regelbundet postar inlägg om cybersäkerhet och juridik. Där finner du också samtliga de inlägg som ingått i denna serie om säkerhetsskydd. Du är också välkommen att ta kontakt med någon ur vårt säkerhetsskyddsteam om du vill prata mer om säkerhetsskydd. På Knowit är vi vana att arbeta med säkerhetsskydd, och våra specialister stöttar kunder i alla olika delar under regelverket – oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder.
Är du intresserad av att få reda på mer om aktuella nyheter inom säkerhetsskyddsområdet? Anmäl dig gärna till vårt nyhetsbrev inom säkerhetsskydd!