Den 1 april börjar den nya Säkerhetsskyddslagen att gälla. Den är betydligt mer omfattande än tidigare och berör inte bara offentlig utan även privat verksamhet som är säkerhetskänslig – det betyder inte bara att man har säkerhetsklassade uppgifter utan också att man har it-system som är av central betydelse för ett fungerande samhälle.

­– Verksamheter som vård, energiförsörjning, telekommunikation och transporter måste förhålla sig till den nya lagen, säger Jakob Bundgaard, ansvarig för cybersäkerhet på PWC.

Men trots att det alltså är mindre än två veckor kvar tills lagen är på plats är många företag inte alls på banan. I en undersökning bland 100 större bolag som PWC gjorde så sent som i februari svarar 42 procent att de inte alls är förberedda. Bara vart tionde företag säger sig vara väl förberett.

– Många är lite avvaktande inför vad de nya reglerna kommer att innebära. De har inte koll på om de omfattas. Vi såg precis samma fenomen med Nis-direktivet som infördes i augusti förra året – och där är det fortfarande många som inte klarar det.

Jakob Bundgaard pekar på att informationen till dem som omfattas av den nya Säkerhetsskyddslagen borde varit tydligare och att det också borde vara tydligare vilka sanktioner som finns om man inte efterlever de nya regelverken.

– Det har kommit många nya regelverk senaste året – GDPR, Nis-direktivet, Säkerhetsskyddslagen och nu senast också EU:s cyberakt. Delvis hänger de ihop och samverkar men ibland kan det vara svårt att se hur de förhåller sig till varandra.

Jakob Bundgaard märker också av en viss regeltrötthet ute på företagen efter GDPR-ruschen förra våren.

Jakob Bundgaard
Jakob Bundgaard.

– Luften gick ur. Många ser det som en regelverksexplosion där det är svårt att förhålla sig till allting. Och det är ju heller inte just de här frågorna som många som driver verksamhet brinner för.

För att komma ifrån känslan av att man tyngs av regler så efterlyser han en bredare debatt om varför de här lagarna införs.

– Det handlar ju inte bara om att det är kul med nya regelverk – det handlar om Sveriges säkerhet. Företag och organisationer måste bli bättre på att hantera känslig information. Och i och med digitaliseringen så omfattas betydligt fler verksamheter än för 10–20 år sedan.

Det är också viktigt att förstå sitt eget ansvar i det här säkerhetspusslet framhåller Jakob Bundgaard.

– Sveriges säkerhet är var och ens ansvar, varje enskilt bolags – just min verksamhet kanske är den svagaste länken, säger han.

– Fortfarande är vi lite för naiva i Sverige. Det verkar krävas att det händer något som visar på allvaret för att vi ska förstå att vi måste agera.

Även om tiden nu är knapp är det viktigt att komma igång. Att för det första titta på om den egna verksamheten berörs av något av de nya regelverken.

Organisationer som bedriver säkerhetskänslig verksamhet måste inventera och klassificera sina informationstillgångar och it-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet.

– En sådan inventering ska också utröna om den säkerhetskänsliga verksamheten omfattas av Säkerhetsskyddslagen eller annan lagstiftning, exempelvis Nis-direktivet. Om informationstillgångar eller it-system faller inom Säkerhetsskyddslagen måste organisationen genomföra en säkerhetsskyddsanalys och sedan upprätta en plan för hur säkerhetsskyddet ska se ut, säger Jakob Bundgaard.

Läs också: 
Mustofficer dömer ut myndigheters säkerhetsanalyser vid outsourcing
It-haverierna avlöser varandra – är det så vi ska ha det nu?