Fyra informationsklasser

Ny lag, förordning och myndighetsföreskrifter
31 mar 2019

Ny säkerhetsskyddslag som börjar gälla idag

//
Kommentarer0

Idag den 1 april träder den nya säkerhetsskyddslagen i kraft. Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Den nya lagstiftningen kommer att innebära högre krav på både fysiskt skydd och IT-säkerhet för lokaler, anläggningar och system som bedöms vara säkerhetskänsliga.

Reglerna vid användning av utländska leverantörer blir striktare. Ett exempel är att säkerhetsskyddsklassificerade uppgifter endast får lämnas till en utländsk leverantör om Sverige har en internationell överenskommelse med landet

Nytt i lagen är begreppet säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet. Uppgifterna delas in i fyra informationsklasser: ”Kvalificerat hemlig”, ”Hemlig”, ”Konfidentiell” samt ”Begränsat hemlig”.

De nya reglerna ställer stora krav på informationssäkerhet. Säpo och Försvaret har tillsynsansvar och innan informationssystem tas i drift ska den som utövar verksamhet som omfattas av reglerna skriftligen samråda med Säpo eller Försvarsmakten.

Organisationer som bedriver säkerhetskänslig verksamhet måste inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. Om informationstillgångar eller IT-system faller inom säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut.

Säkerhetsskyddsklassificerade uppgifter som kommuniceras till ett system utanför företagets kontroll ska skyddas av kryptografiska funktioner som Försvarsmakten har godkänt.

Läs mer på Säpos webbplats