5 frågor om Säkerhetsskyddslagen

Den 1 april 2019 började den nya Säkerhetsskyddslagen att gälla i Sverige. Vad innebär det egentligen? Vi ställde fem frågor till Pernilla Rönn, divisionschef Cyber Security och en av Combitechs experter på den nya lagen.

1. Vilka är de viktigaste förändringarna i den nya säkerhetsskyddslagen? 

  • För det första: Begreppet ”Rikets säkerhet” har ändrats och breddats till att numera heta ”Sveriges säkerhet”. Även ”informationssäkerhetsklasser” har ändrats till ”säkerhetsskyddsklasser”, vilket också leder till ett större fokus på informationssäkerhet och skydd av säkerhetskänslig verksamhet.
  • För det andra: Den nya lagen omfattar nu också privata företag och inte bara myndigheter. Det betyder att betydligt fler berörs av den nya lagen.
  • För det tredje: Lagen förtydligar också att en säkerhetsskyddsanalys behöver genomföras med krav på att åtgärder för skydd genomförs.

2. Hur vet vi om lagen gäller oss?

Efter genomförandet av en övergripande säkerhetsskyddsanalys vet verksamheten om lagen ska tillämpas eller inte. Analysen bedömer om verksamheten berörs och i så fall vilka delar. I analysen identifieras skyddsvärda tillgångar och hoten emot dem.

3. Hur genomför vi en säkerhetsskyddsanalys?

Vi på Combitech har konsulter som hjälper verksamheter att genomföra en säkerhetsskyddsanalys med vår 3-stegsmetod:

  • 1. Förberedelser och anpassning
  • 2. Genomförande av analyser
  • 3. Sammanställning av analysresultat och framtagning av skyddsåtgärder

4. Vad behöver vi göra om vi har kunder som berörs av lagen?

Vi börjar med att upprätta ett säkerhetsskyddsavtal mellan oss och den kund som vill ha vår hjälp i sitt säkerhetsskyddsarbete. Därefter planerar vi tillsammans utifrån kundens verksamhet ett fortsatt arbete tillsammans.

5. Idag jobbar vi enligt ISO27000? Räcker inte det?

Även utifrån ett säkerhetsskyddsperspektiv är ett systematiskt arbetssätt en avgörande fråga. Om ni har ett ledningssystem för informationssäkerhet på plats redan, kan arbetssätt och processer återanvändas och kompletteras med specifika aktiviteter och åtgärder från Säkerhetsskyddslagstiftningen. Men Säkerhetsskyddslagstiftningen omfattar fysisk och personell säkerhet i lite högre omfattning än ISO 27001.