Från och med 2019-04-01 gäller en ny lag för säkerhetsskydd. Den innebär en hel del saker rörande skydd av verksamhet som kan äventyra rikets säkerhet om den kommer i felaktiga händer. En del av denna lag handlar om informationssäkerhet, vilket jag kommer skriva om i detta inlägg.
För det första så kommer information klassas i fyra olika grader.
- Kvalificerat hemlig. En synnerligen allvarlig skada för rikets säkerhet riskeras vid röjning.
- Hemlig. En allvarlig skada för rikets säkerhet riskeras vid röjning.
- Konfidentiell. En inte obetydlig skada riskeras vid röjning.
- Begränsat hemlig. Endast ringa skadas riskeras vid röjning.
Vad kommer detta innebära för informationssäkerheten hos de företag och offentliga verksamheter som hanterar säkerhetsskyddsklassificerad information?
Det kommer initialt innebära att man behöver göra en analys av sina system och också en klassificering av sin information. Utifrån denna analys får man utforma säkerheten i sina IT-system utefter detta.
För information som är klassat som konfidentiellt eller högre kommer samråd med säkerhetspolisen behöva ske innan man driftsätter sitt IT-system eller gör väsentliga ändringar av det.
Exakt vilken inverkan det här kommer få och vilka som blir berörda är fortfarande svårt att förutspå då informationen kring vilka som är berörda är liten. Man kan tolka det som att alla verksamheter där man känner att det finns risk att man hanterar information som berörs av lagen ska vidta åtgärder i form av analys och klassificering. Mer information om vilka som kan tänkas beröras är liten och verksamheterna måste ta stort ansvar själva.
De senaste åren har vi sett att man vidtar allt fler åtgärder för att stärka informationssäkerheten i samhället. NIS-direktivet är ett exempel som blev gällande 2018 och säkerhetsskyddslagen som sedan 2019-04-01 är gällande. En annan åtgärd som kanske är den mest kända för gemene man är GDPR som syftar till en bättre hantering av personuppgifter. Med detta som bakgrund finns det väldigt stor anledning att anta att det kommer gå allt mer i den här riktningen, då den digitala världen tidigare nästintill inte haft någon reglering eller kontroll överhuvudtaget.
Är ni osäkra om er verksamhet regleras av säkerhetsskyddslagen är säkerhetspolisen i första hand ansvarig myndighet och ni kan läsa mer här: https://www.sakerhetspolisen.se/sakerhetsskydd/informationssakerhet.html
Om ni är osäkra om er verksamhet faller under NIS-direktivet kan ni läsa mer om det här: https://www.msb.se/sv/Forebyggande/Informationssakerhet/NIS-direktivet/
För att kort nämna vilka verksamheter som faller under NIS-direktivet så är det:
- Energi
- Bankverksamhet samt finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Digital infrastruktur samt digitala tjänster
- Transport
Vilka verksamheter som berörs av säkerhetsskyddslagen finns det knapphändig information om.
Vi på Optinet kan alltid hjälpa er se över säkerheten i era IT-system och hjälpa er ta steget mot en bättre informationssäkerhet. Vi är endast ett samtal bort.