Den nya säkerhetsskyddslagen har funnits ett par år – men har verkligen alla anammat den?
I december 2021 blev lagen mer strikt och kan numera innebära stora viten om den inte efterlevs.
Vi förklarar vad säkerhetsskyddslagen innebär för kommuner och vilka fördelar som faktiskt finns med att följa den.
Vad innebär den nya säkerhetsskyddslagen?
Den 1 april 2019 infördes en ny säkerhetsskyddslag i Sverige. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.
Säkerhetsskyddslagen ställer krav på kommuner
Lagen innebär högre krav gällande säkerhetsskyddsarbete och införs för att kunna minska våra sårbarheter. Lagen berör bland annat kommuner och regioner – för att följa lagen bör kommuner skapa en process för och genomföra en säkerhetsskyddsanalys, speciellt på de delar som anses vara prioriterade. Det kan även röra sig om att skapa rutiner för att hantera uppgifter som omfattas av sekretess och som har betydelse för Sveriges säkerhet. Kommuner måste även i de allra flesta fall ha en säkerhetsskyddschef.
Otillräckligt säkerhetsskydd kan leda till stora viten
Ett motargument man kan få när man vill börja investera i organisationens cybersäkerhet är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med säkerhetsskydd och cybersäkerhet?”. Detta är något man snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är mycket högre än investeringen som behövs. Med ett ständigt ökande antal attacker mot kommuner är risken för att drabbas förhållandevis hög. Att inte investera i sin cybersäkerhet innebär därför egentligen att man som organisation, och ledning, tar en oerhört stor finansiell risk.
Dessutom har tillsynsmyndigheter sedan december 2021 även rätt att utfärda viten och sanktioner om en verksamhetsutövare inte har följt de skyldigheter som gäller. Det kan bland annat gälla om man inte kontrollerat sitt säkerhetsskydd eller om man inte kontrollerat att en samarbetspartner följer ett upprättat säkerhetsskyddsavtal.
Följer man inte regelverket kan man få en sanktionsavgift på upp till 50 miljoner kronor. Även detta är en stark motivator till att ha koll på sitt säkerhetsskydd. Ett exempel på en offentlig verksamhet som brustit i sin informationssäkerhet är region Uppsala som skickade känsliga personuppgifter okrypterat via e-post till mottagare utomlands. Detta kostade regionen upp emot 2 miljoner kronor.
5 fördelar med att följa säkerhetsskyddslagen
Det finns alltså ett antal fördelar med att följa säkerhetsskyddslagen, vilka kan användas till att motivera att säkerhetsskyddsåtgärder ska införas och budgeteras för:
- Man undviker stora viten
- Man minskar risken att bli drabbad av en cyberattack eller säkerhetsincident
- Man bidrar till att höja Sveriges säkerhet
- Man tar sitt ansvar och skyddar medborgarnas integritet och sekretess
- Man minskar risken att samhället påverkas av felaktigt hanterad sekretessbelagd information
Av Advenica
