Alla inlägg den 14 januari 2024
Lagar & Regelverk
Rättsligt skydd för viss typ av information
Rättsliga krav på informationssäkerhet i olika verksamheter
IT-brott och IT-relaterad brottslighet
Förordningar och föreskrifter
Förordningar och föreskrifter
På de här sidorna hittar du länkar till ett urval av föreskrifter ur olika statliga myndigheters författningssamlingar samt relevanta förordningar. De föreskrifter som ingår här endast sådana som rör informationssäkethet i snäv bemärkelse.
Förordningar
Förordningar är regler som beslutas av regeringen. Förordningar är underordnade lagar och de får inte strida mot någon lag. Regeringen har dock viss egen normgivningskompetens som innebär en rätt att utfärda vissa förordningar utan riksdagens bemyndigande.
- Förordning (2006:637) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap
- Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
- Säkerhetsskyddsförordningen (2018:658)
Föreskrifter
Föreskrifter är, precis som lagar och förordningar, bindande regler, det vill säga de bestämmer hur enskilda och myndigheter ska handla. Föreskrifter är detaljregler inom vissa sakområden och beslutas av myndigheter, till exempel MSB. Föreskrifter preciserar t.ex de krav som ställs i lagar och förordningar.
Utgivna av Myndigheten för samhällsskydd och beredskap
Föreskrifter som berör statliga myndigheter
- MSBFS 2016:7 föreskrifter och allmänna råd om statliga myndigheters risk- och sårbarhetsanalyser
- MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter
- MSBFS 2020:7 föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
- MSBFS 2020:8 föreskrifter om rapportering av it-incidenter för statliga myndigheter
Föreskrifter som berör kommuner och landsting
- MSBFS 2015:5 föreskrifter och allmänna råd om kommuners risk- och sårbarhetanalyser
- MSBFS 2015:4 föreskrifter och allmänna råd om landstings risk- och sårbarhetsanalyser
Föreskrifter som berör kryptoberedskap
Föreskrifter som berör leverantörer av samhällsviktiga tjänster och vissa digitala tjänster
- MSBFS 2018:7 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
- MSBFS 2020:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster
- MSBFS 2018:9 föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster
- MSBFS 2018:10 föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av digitala tjänster
- MSBFS 2018:11 föreskrifter och allmänna råd om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet
Utgivna av Säkerhetspolisen
Rättsligt skydd för viss typ av information
Vissa särskilda typer av information skyddas på olika sätt genom bestämmelser i olika författningar (lag, förordning och föreskrift).
Se även sidan om Förordningar och föreskrifter.
Typer av information
Allmänna handlingar
Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.
Tryckfrihetsförordning (1949:105)
Offentlighets- och sekretesslag (2009:400)
Sekretessbelagd information rörande Sveriges säkerhet
Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.
Säkerhetsskyddsförordning (2021:955)
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
Personuppgifter
Dataskyddsförordningen (GDPR) är till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Samma regler gäller inom hela EU.
Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagstiftning begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagstiftningen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.
Integritetsskyddsmyndigheten är den myndighet i Sverige som genom sin stöd- och tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.
I samhället finns det ett behov av stöd för att kunna hantera informationssäkerhetsaspekten av de krav som finns i dataskyddsförordningen, dvs. säkerställa informationens tillgänglighet, riktighet och konfidentialitet.
Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se riktar sig till dig som arbetar med informationssäkerhet i en organisation. I detta arbete är personuppgifter en typ av information som det systematiska informationssäkerhetsarbetet ska omhänderta. Metodstödet ger därmed ett bra stöd i arbetet med att uppfylla delar av de krav som finns i dataskyddsförordningen.
Svensk version av dataskyddsförordningen
Integritetsskyddsmyndighetens webbsida om dataskyddsförordningen
Företagshemligheter
Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.
Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.
Lag (1990:409) om skydd av företagshemligheter
Information som ska arkiveras
En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.
Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1
Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar, RA-FS 2021:3
Rättsliga krav på informationssäkerhet i olika verksamheter
Samhällsviktiga tjänster och NIS-regleringen
EU:s NIS-direktiv ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Direktivet införlivas i den svenska rättsordningen genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Lagen och förordningen träder i kraft 1 augusti 2018.
MSB:s föreskrifter och annat informationsmaterial finns på msb.se/nis.
Statliga myndigheter
Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen, grundas på risk- och sårbarhetsanalyser och rätt vidtagna åtgärder. Krav på att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet finns i förordning (2015:1052) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att myndigheterna dels ska rapportera it-incidenter och dels ska införa ett ledningssystem för informationssäkerhet. I det arbetet ska standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017 beaktas.
MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter;
MSBFS 2020:7 föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
MSBFS 2020:8 föreskrifter om rapportering av it-incidenter för statliga myndigheter
Samlad information om dessa föreskrifter finns på msb.se.
Elektronisk kommunikation
Lagen om elektronisk kommunikation reglerar hur information ska hanteras i elektroniska medier och vänder sig främst till telekommunikationsoperatörer. Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska se till att verksamheten uppfyller rimliga krav på god funktion och teknisk säkerhet. Detta bland annat för att säkerställa att de elektroniska kommunikationerna fungerar.
Det är även viktigt att skydda uppgifterna som hanteras i de elektroniska näten. Enligt lagen ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst även vidta lämpliga åtgärder för att skydda behandlade uppgifter. Vilka åtgärder som vidtas är beroende på risken för integritetsintrång, tillgänglig teknik och kostnaderna.
Lag (2003:389) om elektronisk kommunikation
Hälso- och sjukvård
Inom hälso- och sjukvården hanteras stora mängder ur integritetssynpunkt känslig information. Det är av stor vikt att informationshanteringen inom hälso- och sjukvården är organiserad så att den tillgodoser patientsäkerhet och god kvalitet och kostnadseffektivitet. Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med att säkerställa att inga obehöriga får tillgång till dokumenterade personuppgifter.
Patientdatalag (2008:355)
Patientdataförordning (2008:360)
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
IT-brott och IT-relaterad brottslighet
Brottsbalken
Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av informationsteknik. Ett brott med uttrycklig koppling till IT är dataintrång.
Dataintrång
Enligt brottsbalken 4 kap 9c§ är det förbjudet olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.
Grovt dataintrång
Ett nytt brott, grovt dataintrång, infördes i brottsbalken 2014. Enligt brottsbalken 4 kap 9c§ 2st. ska ett dataintrång bedömas som grovt om det har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit särskilt farlig. Straffet för grovt dataintrång är fängelse i lägst sex månader och max sex år.
interrobangit
Svenn Dybvik presentation ▼
Svenn Dybvik
