- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

GDPR, NIS och säkerhetsskyddslagen – vad gäller? Utbildning ger svaret

Att hålla koll på vilka lagar eller förordningar inom säkerhet som påverkar din verksamhet och hur de olika regelverken samverkar kan kännas svårt. Samtidigt utgör detta kärnan i säkerhetsarbetet och kan vara av betydelse för Sveriges säkerhet. I den här artikeln lär du dig mer om GDPR, NIS och säkerhetsskyddslagen, vad de innebär för din verksamhet och varför utbildning är nyckeln till att lyckas.

-

I takt med större osäkerheter i omvärlden har säkerhetsfrågorna fått alltmer utrymme och hamnat högre upp på agendan hos många verksamheter. Det handlar bland annat om kriget i Ukraina, främmande underrättelseverksamhet, ökade cyberattacker och andra incidenter som hotar säkerheten.

Vill du lära dig mer om säkerhetsskydd och uppdatera dina kunskaper? Spana in SSF Stöldskyddsföreningens utbildningar inom säkerhetsskydd. Vi erbjuder bas, fördjupande och kompetenshöjande utbildning.

Behovet av att skydda verksamhetens fysiska säkerhet samt nätverks- och informationssäkerheten har aldrig varit större. Under de senaste åren har dessutom många verksamheter påskyndat sin digitalisering, och frågorna om digital säkerhet har i många fall halkat efter i den snabba utvecklingen.

Har din verksamhet rätt kompetens?

GDPR, NIS och säkerhetsskyddslagen kan alla utgöra viktiga delar för säkerheten i en verksamhet och för Sveriges säkerhet. Alla verksamheter behöver i någon mån förstå och förhålla sig till bestämmelserna i dessa tre lagar och förordningar.

Tomas Devenyi, säkerhetsexpert och kursledare hos SSF.

Regler och bestämmelser inom säkerhetsområdet är under ständig revidering. Detta gör att en stor del av dokumentationen som finns kring lagarna snabbt blivit inaktuella, och goda kompetenser idag garanterar inte rätt kunskaper imorgon.

Enligt Tomas Devenyi, säkerhetsexpert och mångårig kursledare hos SSF Stöldskyddsföreningen, har många verksamheter fortfarande stora brister när det gäller säkerheten, även så viktiga frågor som Sveriges säkerhet, gällande exempelvis säkerhetsprövning eller hantering av säkerhetsskyddsklassificerade uppgifter.

– Att kontinuerligt utbilda sig är nyckeln i att lyckas med säkerhetsarbetet. Om du sitter i ledningen eller är ansvarig för säkerheten eller säkerhetsskyddet i din verksamhet ställs allt större krav på dig att vara medveten om reglerna i GDPR, NIS och säkerhetsskyddslagen.

Vilka säkerhetslagar omfattar min verksamhet?

Det är alltid du själv som verksamhetsutövare som ansvarar för att verksamheten uppfyller relevanta lagkrav.

GDPR

De allra flesta, privata såväl som offentliga aktörer, hanterar dagligen personuppgifter och omfattas därmed av reglerna i GDPR.

En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de sex tillåtna rättsliga grunderna. Du som ansvarig måste själv göra en bedömning av vilken rättslig grund du åberopar för din personuppgiftsbehandling, exempelvis kamerabevakning, samt kunna motivera den.

Det innebär NIS-direktivet

NIS-direktivet (nätverks- och informationssäkerhet) ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.

Lagstiftningen ställer främst krav på att arbeta systematiskt och riskbaserat med informationssäkerhet. Verksamheten själv ansvarar för att identifiera sig som en samhällsviktig tjänst under NIS, samt att anmäla detta till respektive tillsynsmyndighet.

Ett exempel kan vara ett vattenreningsverk som ansvarar för dricksvattenförsörjningen i en kommun. För att upprätthålla den samhällsviktiga verksamheten är den beroende av ett antal samhällsviktiga tjänster, exempelvis styr och reglersystem. Verksamheten rörande de tjänsterna omfattas då av NIS-direktivet.

Då omfattas du av säkerhetsskyddslagen

En samhällsviktig tjänst eller verksamhet där konsekvenserna av en oönskad händelse berör hela Sverige kallas för en säkerhetskänslig verksamhet, och omfattas då av säkerhetsskyddslagens krav, i stället för NIS-direktivet.

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Tips: Gör en verksamhetsanalys

För att få förståelse för vilka lagar som omfattar just din verksamhet kan det vara bra att börja med en verksamhetsanalys, menar Tomas Devenyi.

– Börja med att ställa frågorna; vilka personuppgifter behandlar vi, och vilka tjänster levererar vi – är det samhällsviktiga tjänster eller eventuellt säkerhetskänsliga verksamheter? Vilka blir konsekvenserna om vår verksamhet drabbas av en oönskad händelse? Ju mer omfattande konsekvenser för samhället och för Sveriges säkerhet, desto hårdare krav omfattas din verksamhet av. 

Olika delar av verksamheten kan beröras av GDPR, NIS-direktivet och säkerhetsskyddslagen, förklarar Tomas Devenyi vidare.

– GDPR gäller alltid vid behandling av personuppgifter. Om hela verksamheten berörs av NIS, men bedömningen görs att vissa delar av verksamheten skulle få konsekvenser för hela Sveriges säkerhet, då gäller Säkerhetsskyddslagens krav framför NIS för de delarna.

Har du koll på konsekvenserna?

GDPR, NIS och säkerhetsskyddslagen sätter verksamheter, både inom näringslivet och det offentliga, på prov. Det gäller att snabbt vara beredd att anpassa sig och hålla kunskaperna uppdaterade när nya förändringar och bestämmelser uppstår, menar Tomas.

– Genom kompetens kan din verksamhet förebygga att ni har för lågt skydd, och även se till att skyddet inte är för högt. Ett för högt skydd medför onödiga kostnader och lägre effektivitet i arbetet, som i sig kan skapa brister, avslutar Tomas Devenyi.

Vill du lära dig mer om säkerhetsskydd och uppdatera dina kunskaper? Spana in SSF Stöldskyddsföreningens utbildningar inom säkerhetsskydd. Vi erbjuder bas, fördjupande och kompetenshöjande utbildning.

- Annons -
- Annons -

FLER NYHETER

IMY publicerar vägledning för integritetsanalys

IMY publicerar nu ”Vägledning för integritetsanalys i lagstiftningsarbete”. Vägledningen riktar sig främst till de som tar fram författningsförslag som innebär att personuppgifter behandlas, till...

Stärkt system för samordningsnummer

Ett samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige, men som ändå har behov av att ha...
- Annons -

Hon blir ny ordförande för Tech Sveriges Hållbarhetsråd

Johanna Giorgi, hållbarhetschef för AddSecure, har utsetts till ordförande för Tech Sveriges hållbarhetsråd.Rådet arbetar aktivt både för att lyfta fram techbranschen som möjliggörare av...

Lagförslag om hjärtstartare i bostadsområden

Det inträffar runt 6 000 hjärtstopp om året utanför sjukhus i Sverige. Genom hjärt-lungräddning överlever ungefär var tionde. Den siffran skulle kunna dubblas om...
- Annons -

Hallå där, Rahmina Khatun, en av tre mottagare av ISACA-stipendiet 2022

Motiveringen lyder:I denna uppsats rätas frågetecknet ut till ett utropstecken och arbetet belyser att kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde...

Utbildning ska ge tågpersonal verktyg för att hantera hot och våld

Anmälda arbetsplatsolyckor orsakade av hot och våld som leder till sjukfrånvaro ligger högt inom spårbunden trafik.* Att ge till exempel tågvärdar och konduktörer ökade...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds genom att hackaren lyckas ta över så kallade privilegierade användarkonton....

PTS övade cyberförsvar

Under två dagar, 29-30 november, genomfördes PTS CDX 2022, (CyberDefenceExercise) en teknisk övning tillsammans med deltagare ur sektorn elektronisk kommunikation. Övningen genomfördes på FOI:s...

A-kassans utbetalningar skjuts upp efter cyberattack

Softronic sköter bland annat driften åt a-kassorna, som på grund av attacken meddelat att utbetalningarna från dem kommer att dröja."Av säkerhetsskäl kommer torsdagens utbetalning...

Offren för utpressningsattacker har ökat med 138 procent i Norden

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än...

Säkerhet och digitalisering högst prioriterat för företags betalningslösningar inför 2023

Att stärka säkerheten är den satsning som företagen prioriterar allra högst när det gäller betallösningar, visar undersökningen. På andra plats hamnar digitalisering av betalningar,...

Gömmer sig en “cyberspion” i din datainfrastruktur?

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Cyberattacker är svåra att upptäcka. I snitt tar det upp till 287 dagar att...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds...