Rise
Omfattas du av den nya säkerhetsskyddslagen i ditt informationssäkerhetsarbete?
Omfattas du av den nya säkerhetsskyddslagen i ditt informationssäkerhetsarbete?
Det har under det senaste året kommit flera nya och uppdaterade lagar som påverkar informationssäkerhetsarbetet som t.ex. GDPR, NIS-direktivet och kamerabevakningslagen. I april trädde den uppdaterade säkerhetsskyddslagen (2018:585) i kraft, som ska skydda säkerhetskänslig verksamhet i hela samhället.

Ambitionen med den uppdaterade lagstiftningen har varit att anpassa omfattningen och tillämpbarhet för dagens samhälle och hotbild. Eftersom beroenden och samverkan i processer ökar med ny teknik så förtydligas kopplingen och omfattning i vad som räknas som säkerhetskänslig verksamhet i nya säkerhetsskyddslagen. Förtydligandet gäller även kopplingen till civila och privata verksamheter som kan orsaka skada på Sveriges ekonomi eller kritiska samhällsfunktioner. 

Lagen omfattar dessutom verksamheter som i sig inte omfattas direkt men som indirekt kan påverka en säkerhetskänslig verksamhet, vilket kan vara mindre uppenbart samt ge utrymme för tolkning. I propositionen ges bl.a. följande exempel:
” Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet”.

Även privata verksamhetsutövare behöver därför, i likhet med andra nya lagar, själva ta ställning till om/hur de omfattas samt ifall det finns säkerhetskänslig verksamhet. Organisationer som förut inte omfattats av säkerhetsskyddslagen behöver göra en ny analys om den är relevant, vilket också är avsikten. Omfattas verksamheten så är man skyldig att upprätta samt dokumentera en säkerhetsskyddsanalys och därefter vidta nödvändiga åtgärder. Verksamheten behöver även följa upp och kontrollera åtgärderna samt rapportera incidenter till relevant tillsynsmyndighet. 
Mer information kring den nya säkerhetsskyddslagen kan du hitta på https://www.sakerhetspolisen.se/sakerhetsskydd.html

Omfattas du av säkerhetsskyddslagen eller har andra bindande krav på informationssäkerhet kan du ta hjälp i arbetet med att möta dessa genom att införa ett ledningssystem. ISO 27001 tillsammans med bilaga A’s säkerhetsåtgärder ger dig ett bra ramverk och plattform för att möta utmaningarna anpassade för din verksamhet. 

Vill du veta mer om ISO 27001 eller certifieringsprocessen så kontaktar du oss på ceforsaljning@ri.se

RISE Research Institutes of Sweden www.ri.seinfo@ri.se