Den handlar om att stärka skyddet av samhällsviktiga funktioner och känslig information.
"Om vissa verksamheter i Sverige utsätts för angrepp, kan det orsaka allvarliga konsekvenser för landets säkerhet", skriver Säkerhetspolisen i sin senaste årsbok. Bland känsliga verksamheter nämns bland annat energi- och vattenförsörjning och telekommunikation.
För att öka beredskapen mot angrepp eller att information hamnar i fel händer har riksdagen stiftat en ny lag, som börjar gälla på måndagen. Den uppdaterade så kallade säkerhetsskyddslagen ställer högre krav på säkerhetsarbetet hos myndigheter och andra verksamheter med samhällsviktiga uppdrag.
Olika former av säkerhet
Det kan handla om fysisk säkerhet, som skalskydd i form av lås och dörrar, men också om skydd av information som är viktig för Sveriges säkerhet.
- Säkerhetsskydd omfattar personalsäkerhet, informationssäkerhet och fysisk säkerhet. När det gäller informationssäkerheten handlar det inte enbart om skydd av säkerhetskänsliga uppgifter utan också att samhällsviktig information finns tillgänglig och är riktig, vilket hänger ihop med den digitalisering vi sett de senaste åren, säger Fredrik Agemark, enhetschef för säkerhetsskydd vid Säpo.
Just "Sveriges säkerhet" är nyckelord i den nya lagstiftningen. Språkligt är skillnaden inte stor från "rikets säkerhet", som den tidigare säkerhetsskyddslagen riktade in sig på att skydda. Men till skillnad från den gamla lagen tydliggör den nya formuleringen att all verksamhet som är viktig för landets säkerhet omfattas, säger Fredrik Agemark.
- Vi har en mycket högre grad av avreglering i dag, vilket gör att många av skyddsvärdena inte ägs av staten längre. Med den här lagen kommer vi bättre kunna skydda viktiga verksamheter som utövas av privata aktörer, säger han.
"Sett en del brister"
Säkerhetsskyddsarbetet har fått allt mer uppmärksamhet de senaste åren – eller kanske snarare bristerna i det. För snart två år sedan tvingades två ministrar att avgå efter avslöjanden om stora hål i Transportstyrelsens it-säkerhet. Utländska företag, som inte säkerhetsprövats, hade fått tillgång till känslig information om bland annat anställda poliser med skyddad identitet.
Samma mönster återkom i avslöjandet om Svenska Kraftnät tidigare i år. Myndigheten hade gett ett amerikanskt företag i uppdrag att utföra en uppdatering av ett system kopplat till den svenska elförsörjningen. Inte heller denna gång hade den utländska personalen genomgått någon säkerhetsprövning.
- Vi har sett en del brister, men det blir bättre. Kunskaperna ser väldigt olika ut och verksamheter som är vana att hantera sekretess är generellt bättre, säger Fredrik Agemark.
Återuppbygger totalförsvaret
Han tycker samtidigt inte att det är det konstigt att säkerheten inte får den plats i många verksamheter som den borde. Nedmonteringen av totalförsvaret som pågått sedan kalla krigets slut har gjort säkerhetsfrågan mindre prioriterad. Men det som bantats ned återfår nu resurser, säger Fredrik Agemark.
- Regeringen har återupptagit totalförsvarsplaneringen på grund av det förändrade omvärldsläget.
Fakta: Nya säkerhetsskyddslagen
Den nya säkerhetsskyddslagen skiljer sig från den gamla på ett antal punkter. Den tydliggör bland annat att ansvaret att skydda säkerhetskänslig verksamhet och information inte bara gäller myndigheter. Flera aktörer med samhällsviktiga funktioner eller som hanterar känslig information är i dag företag, som nu även om omfattas av det nationella säkerhetsskyddet.
Verksamheter som omfattas av lagen måste göra en så kallad säkerhetsskyddsanalys. I den ska verksamhetens potentiella hot kartläggas, men även vad som ska skyddas. Enligt analysens slutsatser ska lokaler säkerhetsanpassas, information skyddas och personal säkerhetsprövas.
Säpo räknar med att lagen kommer att innebära betydligt fler så kallade registerkontroller, som är en del av säkerhetsprövningen av nya medarbetare. Personal på flera verksamheter kommer också utbildas om lagen av Säpo.
Tillsammans med flera tillsynsmyndigheter är det sedan Säpos uppgift att se till att lagstiftningen efterlevs.