Patrik Fältström Teknik- och Säkerhetsskyddschef paf@netnod.se
100% uptime sedan 2002 För maximal redundans och motståndskraft finns Netnod IX infrastruktur i av PTS tillhandahållna bergrum.
Root DNS service TLD DNS service Enterprise DNS service 4
Vi vet vad klockan är Sverige litar på Netnod, och har bett Netnod distribuera svensk tid och frekvens
Vi bor i en ny värld!
Tredje fasen av Internet 1980-1995 1995-2010 2010-2025 Avreglering och därmed introduktion av konkurrens och marknadsekonomi, Internet kommer Tidiga dagar med Internet, som är en speciell tjänst enbart för IT-företag Internet exploderar, är en nödvändig supportfunkton för allt och alla
Digitalisering 1100011100...1010
Digitalisering 1100011100...1010 Internet 1100011100...1010 1100011100...1010
Man får inte högre effektivitet genom att addera IT till existerande processer...man får bara effekt genom att optimera processer på det sätt som är möjligt tack vare IT och Internet.
Internet access - dagens rena vatten Rent vatten introducerades i slutet av 1800-talet Koppling mellan sjukdomar och vatten upptäcktes Speciellt koleraepedimier i Europa Stockholm var relativt sent 1861 kunde man få vatten på centrala platser 1920 installerades de första toaletterna 1970 fick de sista lägenheterna rinnande vatten och toaletter Rent vatten har lett till en enorm samhällsutveckling
Dagens Lagstiftning
Dagens lagstiftning Säkerhetsskyddslag (1996:627) Säkerhetsskyddsförordningen (1996:633) Gäller offentlig sektor och dess organisationer, samt enskilda om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism Med säkerhetsskydd avses 1. Skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, 2. Skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet, och 3. Skydd mot terroristbrott enligt 2 lagen (2003:148) om straff för terroristbrott (terrorism), även om brotten inte hotar rikets säkerhet Undantag mot Offentlighets- och sekretesslagen (2009:400)
Offentlighets- och sekretesslagen (2009:400) Grundregel: Myndighet ska se till att allmänna handlingar kan lämnas ut Innehåller ett 20-tal anledningar till sekretess En av dem (15 kap.): Sekretess till skydd för rikets säkerhet...eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs Innehåller krav på tystnadsplikt Inskränkningar: i yttrandefriheten enligt regeringsformen i rätt att ta del av allmänna handlingar enligt tryckfrihetsförordningen i rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen
Säkerhetsskyddslag (1996:627) Innehåller säkerhetsskyddsåtgärderna: Informationssäkerhet Tillträdesbegränsning Säkerhetsprövning Staten skriver Säkerhetsskyddsavtal med leverantör Innehåller krav på Säkerhetsprövning och Särskild personutredning Anställning placeras i Säkerhetsklass 1, 2 eller 3
Säkerhetsskyddsförordningen (1996:633) Definierar hemlig uppgift, hemlig handling och säkerhetskänslig verksamhet Ställer krav på: Säkerhetsanalys Att det finns Chef för säkerhetsskyddet Behörighet I övrigt beskriver implementation av Säkerhetsskyddslagen
Nya Säkerhetskyddslagen Regeringens proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet ny säkerhetsskyddslag
Propositionen: Den nya lagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, förbättras Det förtydligas att lagen gäller i både allmän och enskild verksamhet Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter
Övergripande Den nya lagen innehåller krav på skydd av Säkerhetskänslig verksamhet Säkerhetsskyddsklassificerade uppgifter Andra uppgifter och informationssystem som gäller säkerhetskänslig verksamhet Den tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet, inkl. vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter Den gäller i både statlig och privat verksamhet
Verksamhetsansvar för säkerhetskänslig verksamhet Kraven på att verksamhetsutövaren identifierar och skyddar säkerhetskänslig verksamhet stärks Säkerhetsanalyser behöver uppdateras utifrån lagens utökade tillämpningsområden Rutiner för kontroll av säkerhetsskyddet samt för vidtagande av åtgärder (t.ex. gällande skyldighet att anmäla incidenter som följer av kommande föreskrift) behöver ses över
Säkerhetsskyddsklassificerade uppgifter Skyddet för uppgifter som rör rikets säkerhet utvidgas Analys av vilka uppgifter i den egna verksamheten som är säkerhetsskyddsklassificerade behöver göras Säkerhetsskyddsklassificerade uppgifter i fyra klasser tillkommer Riktlinjer för märkning och hantering av uppgifter utifrån de fyra nya klasserna behöver tas fram Säkerhetsskyddet för bl.a. it-system och anläggningar behöver ses över utifrån nya klassifikationen
Placering i säkerhetsklass Grunden för placering i säkerhetsklass förändras Uttryckliga krav på restriktivitet vid placering i säkerhetsklass tillkommer Placering av personal i säkerhetsklass behöver ses över utifrån nya grunder Registerkontroll till skydd mot terrorism försvinner
Säkerhetsskyddsavtal i privat verksamhet Krav på att ingå säkerhetsskyddsavtal utvidgas för privat verksamhet Behov av personal med kunskap om kravställning i och utformning av säkerhetsskyddsavtal behöver ses över Riktlinjer och rutiner för uppföljning av krav i säkerhetsskyddsavtalen behöver tas fram
Tystnadsplikt Tystnadsplikt vid deltagande i säkerhetskänslig verksamhet tillkommer Riktlinjer och utbildning av personal behöver kompletteras utifrån lagens utökade tillämpningsområden
Hänvisning till skydd mot terrorism tas bort Nya lagen gäller enbart skydd av det mest skyddsvärda, med hänvisning till Sveriges Säkerhet Detta till skillnad från samhällsviktig verksamhet Samhällsviktig (eller samhällskritisk) verksamhet hanteras under annan lagstiftning och andra regelverk
Tillsyn och föreskrifter Nuvarande tillsynsstruktur behålls i väntan på Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) Säkerhetspolisens föreskrifter bedöms träffa även enskilda Kompletterande föreskrifter kommer kunna meddelas av tillsynsmyndigheterna
Kompletteringar SOU 2018:82 Kompletteringar till den nya säkerhetsskyddslagen - 30 nov 2018, 550 sidor Skyldigheten att ingå säkerhetsskyddsavtal utvidgas Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet Tvångsåtgärder En förbättrad tillsyn med utökade befogenheter Förbättrad överblick över tillsynsobjekten Ett system med sanktioner Tre nya kapitel i säkerhetsskyddslagen
Skyldighet att inga sa kerhetsskyddsavtal
Vad behöver jag tänka på?
Att tänka på - summering Säkerhetslagen täcker enbart saker relaterat till Sveriges Säkerhet Lagen är fortfarande undantag till OSL Även privat sektor inkluderas Alla måste göra en bedömning av vad som är skyddsvärt Större friheter gällande säkerhetsskyddsavtal Mer generell hantering av personal i säkerhetsklass
netnod.se