Advania logo
    Kontakta oss
    Gå tillbaka

    Säkerhetsskyddslagen

    Vad är säkerhetsskyddslagen?

    Säkerhetsskyddslagen (2018:585) är den svenska lag som reglerar skyddet av verksamheter som har betydelse för Sveriges säkerhet. Lagen gäller alla som bedriver säkerhetskänslig verksamhet – oavsett om det är en myndighet, en kommun eller ett privat företag. Säkerhetsskydd handlar om att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter mot spioneri, sabotage, terroristbrott och andra antagonistiska hot.

    Betydelsen av säkerhetsskyddslagen

    Det säkerhetspolitiska läget har gjort säkerhetsskydd till en högaktuell fråga. Hotaktörer riktar sig inte bara mot försvaret utan mot energiförsörjning, telekommunikation, vattenförsörjning, transporter och digital infrastruktur – ofta via IT-system och leverantörskedjor. Säkerhetsskyddslagen är Sveriges svar: den ställer krav på att verksamheter som är viktiga för landets säkerhet identifierar sina skyddsvärden och skyddar dem systematiskt.

    Lagen skärptes 2021 med utökade krav vid utkontraktering och överlåtelser, samt med tillsynsmyndigheter som kan besluta om sanktionsavgifter. Att ignorera säkerhetsskyddet är därmed inte bara en säkerhetsrisk utan också en juridisk och ekonomisk risk för både verksamheten och dess ledning.

    Så fungerar säkerhetsskyddslagen

    Lagen bygger på att verksamheten själv analyserar sitt skyddsbehov och vidtar åtgärder inom tre områden:

    • Säkerhetsskyddsanalys: grunden i allt säkerhetsskydd – en analys av vad som är skyddsvärt, vilka hot och sårbarheter som finns och vilka åtgärder som krävs.
    • Informationssäkerhet: skydd av säkerhetsskyddsklassificerade uppgifter och kritiska IT-system, ofta genom säkerhetsskyddad IT med särskilda krav på exempelvis separation och spårbarhet.
    • Fysisk säkerhet: skydd av lokaler, anläggningar och utrustning mot obehörigt tillträde och skadlig inverkan.
    • Personalsäkerhet: säkerhetsprövning av personer som deltar i säkerhetskänslig verksamhet, inklusive registerkontroll och i vissa fall placering i säkerhetsklass.

    Därtill kommer krav på säkerhetsskyddsavtal vid upphandlingar och samarbeten där utomstående kan få del av skyddsvärd verksamhet – så kallad säkerhetsskyddad upphandling. Tillsyn utövas av sektorsvisa tillsynsmyndigheter, med Säkerhetspolisen och Försvarsmakten som centrala aktörer.

    Vem omfattas av säkerhetsskyddslagen?

    Lagen omfattar alla som till någon del bedriver säkerhetskänslig verksamhet – det vill säga verksamhet som har betydelse för Sveriges säkerhet eller som omfattas av internationella säkerhetsskyddsåtaganden. Det kan handla om energi- och vattenförsörjning, elektroniska kommunikationer, transporter, hälso- och sjukvårdens försörjningsberedskap eller IT-drift av kritiska system. Avgörande är inte organisationsform utan verksamhetens betydelse: även privata leverantörer som hanterar skyddsvärda uppdrag åt andra kan omfattas. Är man osäker är säkerhetsskyddsanalysen vägen till svaret.

    Säkerhetsskyddslagen och Advania

    Att uppfylla säkerhetsskyddslagens krav i IT-miljön kräver både regelverkskunskap och teknisk förmåga – från analys och kravställning till drift av system som uppfyller höga krav på separation, behörighetsstyrning och spårbarhet. Advania har lång erfarenhet av att stödja verksamheter med säkerhetskänslig verksamhet, från rådgivning kring säkerhetsskyddsanalys till design och drift av säkerhetsskyddad IT under säkerhetsskyddsavtal.

    Vanliga frågor och svar om säkerhetsskyddslagen

    Hur vet vi om vår verksamhet omfattas av säkerhetsskyddslagen?

    Det avgörs genom en säkerhetsskyddsanalys: finns det delar av verksamheten som har betydelse för Sveriges säkerhet, eller hanterar ni säkerhetsskyddsklassificerade uppgifter? Typiska indikatorer är att ni levererar kritiska samhällsfunktioner, hanterar uppdrag åt försvaret eller driftar system vars bortfall skulle skada Sverige. Vid osäkerhet kan tillsynsmyndigheten för er sektor ge vägledning.

    Vad är skillnaden mellan säkerhetsskyddslagen och NIS2/cybersäkerhetslagen?

    Säkerhetsskyddslagen skyddar det som har betydelse för Sveriges säkerhet mot antagonistiska hot, medan NIS2-regelverket ställer bredare cybersäkerhetskrav på samhällsviktiga tjänster. En verksamhet kan omfattas av båda – då gäller säkerhetsskyddslagen för de säkerhetskänsliga delarna och NIS2-kraven för övrig verksamhet.

    Vad är ett säkerhetsskyddsavtal?

    Ett säkerhetsskyddsavtal (SUA) krävs när en utomstående part – exempelvis en IT-leverantör – genom uppdrag eller samarbete kan få tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter. Avtalet reglerar vilka säkerhetsskyddsåtgärder leverantören måste vidta, och leverantörens personal säkerhetsprövas.

    Vilka sanktioner finns vid brister i säkerhetsskyddet?

    Tillsynsmyndigheterna kan förelägga om åtgärder och besluta om sanktionsavgifter – för grova överträdelser upp till betydande belopp. Därtill kommer den reella skadan: röjda skyddsvärden går sällan att återställa, vilket gör förebyggande arbete till den enda hållbara strategin.

    Viktiga punkter att ta med sig om säkerhetsskyddslagen
    • Skyddar Sverige: lagen gäller verksamhet av betydelse för Sveriges säkerhet, i både offentlig och privat regi.
    • Analysen är grunden: säkerhetsskyddsanalysen avgör vad som är skyddsvärt och vilka åtgärder som krävs.
    • Tre åtgärdsområden: informationssäkerhet, fysisk säkerhet och personalsäkerhet ska samverka.
    • Avtal vid utkontraktering: säkerhetsskyddsavtal krävs när utomstående får del av skyddsvärd verksamhet.
    • Tillsyn och sanktioner: brister kan leda till förelägganden och sanktionsavgifter – och till oåterkallelig skada.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information