En ny säkerhetsskyddslag

Förslaget till ny säkerhetsskyddslag (SOU 2015:25) innehåller flera nyheter vad gäller informationssäkerhet, bl a en indelning av information i fyra informationssäkerhetsklasser.

Begreppet hemliga uppgifter föreslås ersättas med säkerhetsskyddsklassificerade uppgifter. Där ingår information som är av betydelse för Sveriges säkerhet eller information som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande (t ex information som Sverige utbyter med en annan stat eller mellanfolklig organisation). Sådan information skulle hos en svensk myndighet vanligtvis omfattas av sekretess enligt 15 kap 2 § OSL (försvarssekretessen) eller 15 kap 1 § OSL (utrikessekretessen). Begreppet säkerhetsskyddsklassificerade uppgifter används redan i dag vid översättning av engelskans classified information.

Men det nya säkerhetsskyddet ska inte endast skydda säkerhetsskyddsklassificerade uppgifter. Skyddet ska även omfatta verksamheter i det något omständliga begreppet i övrigt säkerhetskänslig verksamhet. Det motsvarar det som i dag ska skyddas mot terrorism, t ex verksamhet vid skyddsobjekt och flygplatser men även verksamheter som omfattas av luftfartsskydd, hamnskydd och sjöfartsskydd.

I övrigt säkerhetskänslig verksamhet kan även omfatta IT-system som är av central betydelse för ett fungerande samhälle. Det kan vara fråga om IT-system som styr viktiga samhällsfunktioner eller som hanterar information där informationens tillgänglighet eller riktighet är av kritisk betydelse för ett fungerande samhälle, t ex folkbokföringen. Även verksamhet som kan utnyttjas för att skada nationen omfattas, t ex kärnteknisk verksamhet.

Begreppet informationssäkerhet behålls. Säkerhetskyddsåtgärden informationssäkerhet syftar till att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. I stort kan man känna igen sig i den definition som finns i nu gällande säkerhetsskyddslag. Den stora nyheten är att syftet utökats till att även omfatta skadlig inverkan på informationstillgångar som avser säkerhetskänslig verksamhet.

Det är fråga om informationstillgångar som i sig inte består av säkerhetsskyddsklassificerade uppgifter, men som är av sådan betydelse för säkerhetskänslig verksamhet att tillgångarna behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet. Även ett IT-system som inte innehåller säkerhetsskyddsklassificerade uppgifter kan vara av sådan betydelse för verksamheten att systemet måste omfattas av ett säkerhetsskydd.

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25).

Betänkandet som PDF

I dag finns två system för informationsklassificering av hemliga uppgifter i Sverige. Försvarsmakten och de försvarsnära myndigheterna använder sedan 2004 fyra informationssäkerhetsklasser (HEMLIG/TOP SECRET, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL och HEMLIG/RESTRICTED). Övriga delar använder i princip ett tvånivåsystem med kvalificerat hemlig och hemlig.

I förslag till ny säkerhetsskyddslag delas de säkerhetsskyddsklassificerade uppgifterna enligt internationellt vedertagen modell in i fyra informationssäkerhetsklasser (som bl a EU och NATO har). Placering av information i de fyra informationssäkerhetsklasserna ska styras av den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Användningen av begreppet men utgår därmed och ersätts med skada. Indelningen i de fyra informationssäkerhetsklasserna är grunden för hur informationen ska skyddas med hjälp av säkerhetsskyddsåtgärder inom informationssäkerhet, fysiskt skydd och personalsäkerhet. Informationssäkerhetsklasserna blir en enhetlig modell för informationsklassificering av säkerhetsskyddsklassificerade uppgifter i Sverige, vilket underlättar informationsutbytet inom Sverige och med andra stater och mellanfolkliga organisationer.

Då säkerhetsskyddsklassificerade uppgifter även inkluderar information som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande betyder det att Försvarsmaktens nuvarande informationsklassificeringsmodell kan förenklas. Begreppet utrikesklassificerad uppgift infördes i Försvarsmakten 2010 för att internt skapa ett skydd för sådan information som hanteras i det internationella samarbetet.

≈ ≈ ≈

Utredningens omfattande betänkande (578 sidor) innehåller många andra nyheter. MSB föreslås bli säkerhetsskyddsstödjande myndighet för kommuner och landsting när det gäller rådgivning och tillsyn samt få rätten att meddela föreskrifter. Det införs en obligatorisk skyldighet att anmäla allvarlig säkerhetshotande verksamhet till tillsynsmyndighet. Kravet att en säkerhetsklassad anställning endast får innehas av den som är svensk medborgare tas bort.

Om betänkandets förslag bli verklighet kommer de närmaste årens genomförande av den nya säkerhetsskyddslagen medföra en hel del intressanta arbetsuppgifter. Det blir till att lära om, inte bara begreppen utan även vilka säkerhetsskyddsåtgärder som konkret ska finnas, inte minst med tanke på utökningen av säkerhetsskyddet och ett ökat fokus på tillgänglighet och riktighet.

/Kim Hakkarainen