Klar med GDPR, nu kommer nästa lag!

Nu i maj 2018 är vi alla klara med GDPR eller hur?
Lite i bakgrunden och utan lika stor massmedial uppmärksamhet har det beslutats om en ny säkerhetsskyddslag i riksdagen. Den nuvarande lagen är mer än 20 år gammal och tar inte riktigt höjd för den värld vi lever i idag.  Säkerhetsskyddslagen pekar ut förebyggande åtgärder för att skydda Sverige mot spioneri, terror och sabotage. Också informationssäkerheten får en höjd status, vilket jag och mina yrkeskollegor runt om i landet ser fram emot.
Särskilt välkommet kanske det är med riktlinjer för utkontraktering av IT-verksamhet.

Ur ett nationellt perspektiv är en moderniserad säkerhetsskyddslag viktigare än personuppgiftslagstiftning. Naturligtvis skall vi ha ett gott skydd för individen, men vi skall också ha det för riket. Den 1 april nästa år börjar lagen att gälla och det blir tydligare utpekat att den som bedriver säkerhetskänslig verksamhet eller hanterar känsliga uppgifter får ökat ansvar för egen verksamhet och skall bland annat genomföra säkerhetsskyddsanalyser. Också klassificering av öppen och hemlig information (/verksamhet) blir mer central. Detta är viktigt eftersom mer och mer av den känsliga verksamheten bedrivs av privata aktörer. Särskilt skyddsvärda områden innefattar bl.a. Transporter, Energiförsörjning, Kommunikation, Vatten och livsmedel och sjukvård. Det är akut viktigt att alla som har sådan verksamhet förstår hur viktig den är och att man faktiskt har ett adekvat skydd på plats. I framtida s.k. “SUA och Säkerhetsskyddsavtal” skall detta ansvar bli tydligare. Även i framtiden är dock lagen enligt min mening klar på att ansvaret för uppgiftens utförande ligger kvar på utövaren, inte leverantören. Så även i morgon är kontroll bättre än förtroende.

 

Klarar din verksamhet kraven i kommande säkerhetskyddslagstiftning

Lite i skymundan för ersättaren till Personuppgiftslagen (1998:240), d.v.s. GDPR (EU harmoniserade regler för personuppgiftsskydd) så arbetas det också med en ny säkerhetskyddslag. Särskilt intressant är den för dig som arbetar med s.k. samhällsviktig verksamhet. Det kan röra sig om Sjukvård, Livsmedelsförsörjning, Lag och ordning men även branscher som energiförsörjning m.fl. kommer att stöta på förändrade krav och ökat eget ansvar.

Om ett år har vi förmodligen en ny säkerhetsskyddslagstiftning.
Att regeringen föreslår att den börjar gälla 1 april är inget dåligt skämt.
En mycket välkommen förändring som kommer att vägleda oss mot min vision om ett säkrare samhälle. Den tidigare lagen är över 20 år gammal och jag håller med regeringen om att det är dags att ersätta den.

Uppkopplad värld
Idag förekommer allt för ofta att viktiga anläggningar är uppkopplade på ett sådant sätt att risken för störningar är mycket stor. Visst är det bekvämt att kunna sköta verksamheten på distans, men är det lämpligt eller ens lagligt?
Flera anläggningsägare borde ställa sig den frågan och genomföra t.ex. Risk och sårbarhetsanalyser, antingen internt eller med externa experter som moderatorer. Då får man ett bra underlag för att klassificera sin verksamhet korrekt.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP