Säkerhetsskydsslagen

Den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (informationssäkerhetslagen) gäller enligt lagens 8 § inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.

Säkerhetsskyddslagen gäller enligt 1 kap. 1 § den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).

Gränsdragning mot säkerhetsskyddslagen

Att ett företag eller en organisation bedriver säkerhetskänslig verksamhet innebär emellertid inte att hela den juridiska personen undantas från krav enligt informationssäkerhetslagen. Det kan vara så att endast en viss del, tillgång eller funktion omfattas av säkerhetsskyddslagens bestämmelser.

Den verksamhet som faller utanför måste då följa informationssäkerhetslagens bestämmelser där denna är tillämplig. Även om de olika lagstiftningarna har delvis olika syften är det inte meningen att säkerhetsskyddslagens krav i någon del ska vara lägre än de krav som hade ställts om informationssäkerhetslagen varit tillämplig.

Ett inledande krav enligt säkerhetsskyddslagens bestämmelser är att de som omfattas ska analysera och dokumentera sitt behov av säkerhetsskydd. Av denna säkerhetsskyddsanalys bör det framgå vilken verksamhet som omfattas. I den mån en del av verksamheten, exempelvis ett IT-system, inte kan särskiljas gäller säkerhetsskyddslagen för hela denna del.

Ny lag på gång

En ny säkerhetsskyddslag träder i kraft i april 2019. Vad som anges ovan utgår från den nya säkerhetsskyddslagen, men gäller även nuvarande lag.