Gränsdragning säkerhetsskyddslagen och informationssäkerhetslagen
Den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (informationssäkerhetslagen) gäller enligt lagens 8 § inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Säkerhetsskyddslagen gäller enligt 1 kap. 1 § den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).
Gränsdragning mot säkerhetsskyddslagen
Att ett företag eller en organisation bedriver säkerhetskänslig verksamhet innebär emellertid inte att hela den juridiska personen undantas från krav enligt informationssäkerhetslagen. Det kan vara så att endast en viss del, tillgång eller funktion omfattas av säkerhetsskyddslagens bestämmelser.
Bedriver ett företag eller en organisation annan verksamhet som inte är säkerhetskänslig kan informationssäkerhetslagen bli tillämplig i de delarna.
Både säkerhetsskyddslagen och informationssäkerhetslagen kan behöva tillämpas
En leverantör av samhällsviktiga eller digitala tjänster kan därför behöva tillämpa säkerhetsskyddsregleringen i en del av sin verksamhet och informationssäkerhetslagen i en annan del av verksamheten. Båda lagarna kan alltså vara parallellt tillämpliga på samma juridiska person, men omfatta olika delar av verksamheten.
Verksamheter som omfattas av säkerhetsskyddslagen är sådana som har ett kvalificerat skyddsbehov. Andra verksamheter kan vara samhällsviktiga, men ha ett mindre kvalificerat skyddsbehov, och därmed omfattas av informationssäkerhetslagens bestämmelser.
Lika stora krav
Även om de båda lagstiftningarna har delvis olika syften är det inte meningen att säkerhetsskyddslagens krav i någon del ska vara lägre än de krav som hade ställts om informationssäkerhetslagen varit tillämplig. I många fall skyddar åtgärderna i säkerhetsskyddslagen indirekt även kontinuiteten i verksamheter som omfattas av informationssäkerhetslagen.
Ett inledande krav enligt säkerhetsskyddslagens bestämmelser är att de som omfattas ska analysera och dokumentera sitt behov av säkerhetsskydd. Av denna säkerhetsskyddsanalys bör det framgå vilken verksamhet som omfattas av lagstiftningen. I den mån en del av verksamheten, exempelvis ett IT-system, inte kan särskiljas gäller säkerhetsskyddslagen för hela denna del.