I takt med större osäkerheter i omvärlden har säkerhetsfrågorna fått alltmer utrymme och hamnat högre upp på agendan hos många verksamheter. Det handlar bland annat om kriget i Ukraina, främmande underrättelseverksamhet, ökade cyberattacker och andra incidenter som hotar säkerheten.
Behovet av att skydda verksamhetens fysiska säkerhet samt nätverks- och informationssäkerheten har aldrig varit större. Under de senaste åren har dessutom många verksamheter påskyndat sin digitalisering, och frågorna om digital säkerhet har i många fall halkat efter i den snabba utvecklingen.
Har din verksamhet rätt kompetens?
GDPR, NIS och säkerhetsskyddslagen kan alla utgöra viktiga delar för säkerheten i en verksamhet och för Sveriges säkerhet. Alla verksamheter behöver i någon mån förstå och förhålla sig till bestämmelserna i dessa tre lagar och förordningar.
Regler och bestämmelser inom säkerhetsområdet är under ständig revidering. Detta gör att en stor del av dokumentationen som finns kring lagarna snabbt blivit inaktuella, och goda kompetenser idag garanterar inte rätt kunskaper imorgon.
Enligt Tomas Devenyi, säkerhetsexpert och mångårig kursledare hos SSF Stöldskyddsföreningen, har många verksamheter fortfarande stora brister när det gäller säkerheten, även så viktiga frågor som Sveriges säkerhet, gällande exempelvis säkerhetsprövning eller hantering av säkerhetsskyddsklassificerade uppgifter.
– Att kontinuerligt utbilda sig är nyckeln i att lyckas med säkerhetsarbetet. Om du sitter i ledningen eller är ansvarig för säkerheten eller säkerhetsskyddet i din verksamhet ställs allt större krav på dig att vara medveten om reglerna i GDPR, NIS och säkerhetsskyddslagen.
Vilka säkerhetslagar omfattar min verksamhet?
Det är alltid du själv som verksamhetsutövare som ansvarar för att verksamheten uppfyller relevanta lagkrav.
GDPR
De allra flesta, privata såväl som offentliga aktörer, hanterar dagligen personuppgifter och omfattas därmed av reglerna i GDPR.
En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de sex tillåtna rättsliga grunderna. Du som ansvarig måste själv göra en bedömning av vilken rättslig grund du åberopar för din personuppgiftsbehandling, exempelvis kamerabevakning, samt kunna motivera den.
Det innebär NIS-direktivet
NIS-direktivet (nätverks- och informationssäkerhet) ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.
Lagstiftningen ställer främst krav på att arbeta systematiskt och riskbaserat med informationssäkerhet. Verksamheten själv ansvarar för att identifiera sig som en samhällsviktig tjänst under NIS, samt att anmäla detta till respektive tillsynsmyndighet.
Ett exempel kan vara ett vattenreningsverk som ansvarar för dricksvattenförsörjningen i en kommun. För att upprätthålla den samhällsviktiga verksamheten är den beroende av ett antal samhällsviktiga tjänster, exempelvis styr och reglersystem. Verksamheten rörande de tjänsterna omfattas då av NIS-direktivet.
Då omfattas du av säkerhetsskyddslagen
En samhällsviktig tjänst eller verksamhet där konsekvenserna av en oönskad händelse berör hela Sverige kallas för en säkerhetskänslig verksamhet, och omfattas då av säkerhetsskyddslagens krav, i stället för NIS-direktivet.
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Tips: Gör en verksamhetsanalys
För att få förståelse för vilka lagar som omfattar just din verksamhet kan det vara bra att börja med en verksamhetsanalys, menar Tomas Devenyi.
– Börja med att ställa frågorna; vilka personuppgifter behandlar vi, och vilka tjänster levererar vi – är det samhällsviktiga tjänster eller eventuellt säkerhetskänsliga verksamheter? Vilka blir konsekvenserna om vår verksamhet drabbas av en oönskad händelse? Ju mer omfattande konsekvenser för samhället och för Sveriges säkerhet, desto hårdare krav omfattas din verksamhet av.
Olika delar av verksamheten kan beröras av GDPR, NIS-direktivet och säkerhetsskyddslagen, förklarar Tomas Devenyi vidare.
– GDPR gäller alltid vid behandling av personuppgifter. Om hela verksamheten berörs av NIS, men bedömningen görs att vissa delar av verksamheten skulle få konsekvenser för hela Sveriges säkerhet, då gäller Säkerhetsskyddslagens krav framför NIS för de delarna.
Har du koll på konsekvenserna?
GDPR, NIS och säkerhetsskyddslagen sätter verksamheter, både inom näringslivet och det offentliga, på prov. Det gäller att snabbt vara beredd att anpassa sig och hålla kunskaperna uppdaterade när nya förändringar och bestämmelser uppstår, menar Tomas.
– Genom kompetens kan din verksamhet förebygga att ni har för lågt skydd, och även se till att skyddet inte är för högt. Ett för högt skydd medför onödiga kostnader och lägre effektivitet i arbetet, som i sig kan skapa brister, avslutar Tomas Devenyi.
Vill du lära dig mer om säkerhetsskydd och uppdatera dina kunskaper? Spana in SSF Stöldskyddsföreningens utbildningar inom säkerhetsskydd. Vi erbjuder bas, fördjupande och kompetenshöjande utbildning.
