En ny säkerhetsskyddslag - Informationssäkerhet.se

Martin Waern
Förslag till ny säkerhetsskyddslag
SOU 2015:25
Utredningen om säkerhetsskyddslagen
Disposition
•
•
•
•
Nuvarande lagstiftning
Förändringsfaktorer
Våra överväganden och förslag
Reflektion
Utredningen om säkerhetsskyddslagen
Nuvarande säkerhetsskydd
• Ett skydd för det mest skyddsvärda –
Rikets säkerhet
• Skydd av hemliga uppgifter
• Nationellt fokus
• Två nivåer av skydd
• Äldre terminologi
Utredningen om säkerhetsskyddslagen
Förändrade förutsättningar
•
•
•
•
Globalisering/internationalisering
Informationssamhällets utveckling…
…och därmed sammanhängande hot
Säkerhetskänslig verksamhet hos privata
aktörer
• Ansträngt omvärdsläge
Utredningen om säkerhetsskyddslagen
Förslag till förändringar
•
•
•
•
•
•
Internationell anpassning
Tydlighet i att även enskilda omfattas
Ökat informationssäkerhetsfokus
Fyra informationssäkerhetsklasser
Stöd för säkerhetsintyg
Internationella funktioner
Utredningen om säkerhetsskyddslagen
Ett skydd för det mest skyddsvärda
Säkerhetsskyddslagen
Annan reglering
Utredningen om säkerhetsskyddslagen
Lagens syfte
Sveriges säkerhet
Internationella säkerhetsskyddsåtaganden
…samt stöd för internationell samverkan
på säkerhetsskyddsområdet
Utredningen om säkerhetsskyddslagen
Två huvudsakliga inriktningar
Säkerhetskänslig verksamhet
• Skydd för säkerhetsskyddsklassificerade uppgifter
• Skydd för i övrigt säkerhetskänslig verksamhet
Utredningen om säkerhetsskyddslagen
Grunden för säkerhetsskydd
• Förstärkt verksamhetsansvar
• Tydligare krav på säkerhetsskyddsanalys
• Samverkande säkerhetsskyddsåtgärder
– Informationssäkerhet
– Fysisk säkerhet
– Personalsäkerhet
Utredningen om säkerhetsskyddslagen
Säkerhetsskyddsklassificerade
uppgifter
Fyra informationssäkerhetsklasser
Kvalificerat hemlig
Hemlig
Konfidentiell
Begränsad
Utredningen om säkerhetsskyddslagen
Informationssäkerhet
•
•
•
•
Konfidentialitet, tillgänglighet, riktighet
Analyskrav avseende it-system
Samråd (från nivån konfidentiell, motsv.)
Krav på säkerhetsfunktioner (gäller
fleranvändarsystem, undantag möjliga)
• Ackreditering
• Godkända kryptografiska funktioner
• Ytterligare reglering i föreskrifter
Utredningen om säkerhetsskyddslagen
Internationell anpassning
• Säkerhetsintyg för person och företag
– I internationell samverkan
– För att underlätta för personer och företag
– Krav: Internationell överenskommelse (GSA)
• Internationella roller
– Nationell säkerhetsmyndighet (NSA)
– Industrisäkerhetsmyndighet (DSA)
– Nationell kryptogodkännande myndighet (CAA/NCSA)
Utredningen om säkerhetsskyddslagen
Rapportering
•
•
•
•
Röjd uppgift på nivån konfidentiell och över
Allvarliga brister i säkerhetsskyddet
Allvarlig säkerhetshotande verksamhet
Rapportering till NSA-funktionen
Utredningen om säkerhetsskyddslagen
Tillsyn och föreskrifter
• FM och Säpos ansvar behålls
• Sektorsmyndigheter blir
säkerhetsskyddsstödjande myndigheter
• MSB ersätter länsstyrelserna
• Inga sanktioner – rapportering till
regeringen behålls
Utredningen om säkerhetsskyddslagen
Reflektioner
• Stort intresse för
informationssäkerhetsfrågor!
• Säkerhetsskydd + NISU + NIS-direktivet = ?
• Tillgänglighet och riktighet – vilka krav
behövs?
• Tillsynsmyndigheternas och de
säkerhetsskyddsstödjande myndigheternas
roll – ambitionsökning?
Utredningen om säkerhetsskyddslagen