Nya krav i säkerhetsskyddslagen

Säkerhetsskyddslagen

Denna lag som trädde i kraft i april 2019 ställer tydliga och omfattande krav på alla organisationer, både offentliga och privata, som bedriver säkerhetskänslig verksamhet eller hanterar säkerhetsskyddsklassificerad information. Kompletterande bestämmelser till säkerhetsskyddslagen finns i Säkerhetsskyddsförordningen.

Nya bestämmelser från SÄPO

Säkerhetsskyddet finns också reglerat i föreskrifter från olika myndigheter, däribland Säkerhetspolisen (SÄPO). Den senaste föreskriften från SÄPO heter PMFS 2022:1 och innehåller mer detaljerade bestämmelser som kompletterar lagstiftningen. Det är viktigt att alla verksamheter i Sverige som bedriver säkerhethetskänslig verksamhet följer dessa nya föreskrifter.
Hela SÄPO-föreskriften PMFS 2022:1 redovisas i ett dokument på 20 sidor innehållande 8 kapitel med olika paragrafer. Dokumentet kan laddas ned från sakerhetspolisen.se under rubriken: Lagar, förordningar och föreskrifter.

Kortfattad beskrivning av några viktiga punkter

Dokumentet beskriver detaljerat och skrivet med juridiskt språk vad de nya föreskrifterna innebär. Här följer en kortfattad och förenklad redogörelse av viktiga punkter och några av de nya bestämmelserna. De nya föreskrifterna innehåller mer eller mindre ändringar i alla kapitel.

För de som leder de berörda myndigheterna krävs att man noggrant går igenom hela grunddokumentet.

Kapitel 1

Allmänna bestämmelser

Här har smärre förändringar gjorts när det gäller ord och uttrycks betydelser.

Kapitel 2

Grundläggande bestämmelser om säkerhetsskydd

Innehåller förtydliganden av vilka moment en säkerhetsskyddsanalys ska innehålla. Momenten är verksamhetsbeskrivning, identifiera och bedöma skyddsvärden, säkerhetshot och dimensionerande antagonistiska förmågor, sårbarheter samt säkerhetsskyddsåtgärder. Verksamhetens högsta chef eller motsvarande ska fastställa säkerhetsskyddsanalysen och se till att det upprättas en säkerhetsplan. Möjligheten till delegering av detta ansvar har tagit bort i de nya föreskrfterna.

Kapitel 3

Informationssäkerhet

En av grunderna i detta kapitel är att säkerhetsskyddsklassificerade uppgifter endast får behandlas i informationssystem som godkänts för detta och att säkerhetsklassade uppgifter ska förvaras säkert. De nya föreskrifterna omfattar fler handlingar än tidigare när det gäller krav på informationssäkerhetsåtgärder.

Kapitel 4

Informationssäkerhet i och kring informationssystem

Här gäller sedan tidigare att alla programvaror och hårdvaror som hanterar säkerhetsklassad information ska granskas och godkännas. Förändringar och uppdateringar ska också granskas och godkännas. Hanteringen av säkerhetsklassad information ska övervakas och säkerhetsloggas.

I den nya förordningen har kravet på intrångsdetektering och intrångsskydd utökats. Nya krav ställs på rutiner och funktioner när det gäller riktighet och tillgänglighet. Informationssystemen ska vara möjliga att återställa. När det gäller behörighetsstyrning så är det nu säkerhetsskyddschefen som tilldelar behörigheter som ger systemadministrativ åtkomst.

Kapitel 5

Fysisk säkerhet

En grundregel är här att obehörigt tillträde till säkerhetsklassad information ska förhindras och styrning av tillträde ska ske. Det ska finnas skydd mot obehörig insyn.

I den nya förordningen finns förtydliganden när det gäller styrning av tillträde till byggnader och lokaler där säkerhetskänslig verksamhet bedrivs. Den reglerar också på ett nytt sätt skydd mot obehörig avlyssning och skydd mot obehörig insyn. Elektronisk utrustning får inte medförs vid samtal som berör säkerhetsklassad information. Verksamhetsutövaren ska besluta om vilka utrymmen och lokaler som ska användas för säkerhetsskyddsklassade uppgifter 

Kapitel 6

Personalsäkerhet

Den nya förordningen har en tydligare indelning med krav på rutiner och åtgärder för att upptäcka, försvåra och hantera problem inom respektive del av säkerhetssystemet. Utbildning som en del av personalsäkerheten betonas ytterligare. Uttrycket personligt samtal ersätts av säkerhetsprövningsintervju som är ett mer etablerat begrepp i sammanhanget. 

Kapitel 7

Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet

Här är en nyhet att vid samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet kan avtal ingås mellan fler än två parter.

Kapitel 8

Överklagande och undantag från föreskrifterna

Här presenteras bland annat nya blanketter.

Detta urval av föreskrifterna innehåller bara några av de viktigaste förändringarna