Seminarium: Vad innebär den nya säkerhetsskyddslagen?

Topic: Secure Insight

Marie Sjöberg
04.12.2018

Fullt hus under seminariet om den nya säkerhetsskyddslagen och utredningen med kompletteringar till densamma.

Igår hölls ett eftermiddagsseminarium hos Knowit i Stockholm på temat ”Vad innebär den nya säkerhetsskyddslagen och hur kan ett nytt tillsyns- och sanktionssystem komma att se ut”. Aldrig tidigare har ett seminarium blivit fullbokat så snabbt, vilket visar hur högaktuellt ämnet säkerhetsskydd är. I april nästa år träder en ny lag och förordning i kraft och många verksamheter kommer då för första gången att träffas direkt av kraven på säkerhetsskydd. Så sent som i fredags, den 30 november, lämnade också den särskilde utredaren Stefan Strömberg in sitt betänkande Kompletteringar till den nya säkerhetsskyddslagen, i vilket han presenterar förslag till en ny tillsynsstruktur, hårdare krav vid utkontraktering av säkerhetskänslig verksamhet samt ett sanktionssystem under nya säkerhetsskyddslagen. Bara några dagar senare kom han till Knowit för att berätta om huvuddragen i sina slutsatser. Här följer en kort summering av höjdpunkterna från seminariet:

Knowits egna Marie Sjöberg och Victor Langåssve inledde eftermiddagen med att berätta om huvuddragen i den nya säkerhetsskyddslagen, de största förändringarna jämfört med den nuvarande lagen samt hur man uppfyller lagens krav på att genomföra en säkerhetsskyddsanalys.

Den nya säkerhetsskyddslagen syftar precis som dagens till att skydda de
mest skyddsvärda verksamheterna i vårt samhälle. En av de viktigaste förändringarna med den nya lagen är att fler verksamheter kommer att träffas av den i och med att privata aktörer kommer att omfattas på ett tydligare sätt än idag. Avgörande för om man träffas är framför allt om man bedriver s.k. säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet. Och hur vet man då det? Svaret får man när man genomför en s.k. säkerhetsskyddsanalys. Ansvaret för att genomföra analysen ligger hos verksamhetsutövaren, som är den som kan verksamheten bäst och därmed har bäst möjligheter att bedöma vilka konsekvenser som skulle uppstå t.ex. vid ett cyberangrepp.
Några medskick från Marie och Victor: 

  • Begreppet Sveriges säkerhet (tidigare rikets säkerhet) kommer sannolikt även fortsättningsvis att vålla en del utmaningar i tillämpningen. Avgörande är om konsekvenserna av negativ påverkan på verksamheten direkt eller indirekt blir av sådan karaktär att de utgör en nationell angelägenhet.

  • För att avgöra om din verksamhet träffas av lagen kan en initial säkerhetsskyddsbedömning ge en första inriktning. Blir svaret ja eller kanske, bör verksamheten genomföra en fullständig säkerhetsskyddsanalys. Detta är ett lagkrav och måste tas på allvar, då alla åtgärder kopplade till säkerhetsskyddslagen ska ta avstamp i just säkerhetsskyddsanalysen.

  • Inkorporera det löpande arbetet med analys och åtgärder i ett ledningssystem för säkerhetsskydd och låt säkerhetsskyddsanalysen bli levande i det löpande arbetet.

  • Glöm inte att något av det viktigaste är att bygga en intern säkerhetskultur. Satsa därför på intern utbildning och informationsspridning.


Efter en kortare paus tog Stefan Strömberg, f.d. lagman och rikspolischef, vid och presenterade huvuddraget i det betänkande om kompletteringar till den nya säkerhetsskyddslagen han lämnat in till regeringen bara dagar tidigare. Utredningens förslag går bl.a. ut på att skyldigheten att ingå 
säkerhetsskyddsavtal utvidgas och att tillsynsmyndigheterna erbjuds fler åtgärder kopplade till utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Stefan gick också igenom förslagen till ny tillsynsstruktur där betydligt fler tillsynsmyndigheter än idag utses och Säkerhetspolisen och Försvarsmakten får ett tydligare samordningsansvar. Ett förslag till sanktionssystem under säkerhetsskyddslagen finns också med i betänkandet.
Några punkter Stefan tog upp:

  • Sanktionssystemet ska innehålla ett strikt ansvar, dvs sanktion ska utdömas i fall där förutsättningarna för det är uppfyllda.

  • Maxbeloppet föreslås bli 10 miljoner kronor.  

  • Det viktigaste är hur förslagen, om de blir verklighet, så småningom implementeras och tillämpas av tillsynsmyndigheterna.

  • Kompetensförsörjningen inom säkerhetsskyddsområdet kommer att bli avgörande framöver. Fler utbildningar bör erbjudas av universitet och högskolor och en större andel av studenterna måste vara svenska medborgare, då krav på svenskt medborgarskap består hos myndigheter i säkerhetsklass 1 och 2.

Slutligen var det dags för Patrik Fältström,  Teknik- och Säkerhetsskyddschef på Netnod, att berätta om hur den nya säkerhetsskyddslagen påverkar privata aktörer.

Nya säkerhetsskyddslagen blir på många sätt mycket enklare för oss privata bolag, framför allt i relation med våra kunder där vi kan utbyta information på ett enklare sätt.


Patriks huvudbudskap var att den nya lagen erbjuder möjligheter och förenklar vardagen för många privata aktörer som tidigare har behövt agera i enlighet med säkerhetsskyddslagen utan att träffas av den rakt av. Exempelvis kommer samverkan med myndigheter och andra som träffas av lagstiftningen att bli enklare när alla har samma krav att förhålla sig till. Patricks viktigaste medskick:

  • Den nya lagen gäller för alla som bedriver säkerhetskänslig verksamhet och det är bara att förhålla sig till det. Det finns goda anledningar till att lagen ser ut som den gör.

  • Även om lagen innehåller en del nyheter, är grunderna desamma.
     
  • Se inte den nya lagstiftningen som problematisk, utan försök istället att fokusera på fördelarna den för med sig. Det handlar i grunden om att ha koll på sin verksamhet.

Vi tackar föreläsare och gäster för en mycket intressant och givande eftermiddag! Här hittar du information om våra kommande event.

Prenumerera på vårt nyhetsbrev

Knowit Security

Välkommen till Knowit Insights säkerhetsblogg! Här hittar du det senaste inom it- och informationssäkerhet