Hur KLASSA förhåller sig till Lagrum

KLASSA förhåller sig till lagrum i huvudsak på två sätt.

1. Dels som något att ta hänsyn till när val av konsekvensnivåer genomförs. I stödmaterialet får du vägledning om hur olika lagrum kan påverka kraven på skyddsåtgärder.
2. Dels via lagrumsfliken. Om systemet innehåller information som faller under ett visst lagrum markeras det lagrummet och ett antal krav, specifika för det lagrummet, och utöver sådant som redan ingår i ISO27000, kommer inkluderas i handlingsplanen.

Det innebär att en del krav kan uppstå och upplevas som snarlika eller till och med dubbletter, det vill säga att de kan uppstå dels på grund av informationsklassificeringen och dels på grund av att man väljer att det omfattas av ett lagrum. Det är också bra att vara medveten om att kraven från de lagrummen som tas upp kan ibland vara omfattande. Det är på grund av lagens krav, inte KLASSA, som kraven blir många. KLASSA lägger inte till något utöver det som finns i dessa lagrum.

Det är också viktigt att vara extra medveten om att även om ett system omfattas av ett specifikt lagrum (t ex Dataskyddsförordningen) så är det inte säkert att alla kraven gäller. Då markerar man ”Ej relevant” för dessa krav när man tar ställning till kraven. Ett exempel på detta är kraven som handlar om samtycke som kanske inte tillämpas som det lagliga stödet för en personuppgiftsbehandling.

Det är viktigt att vara medveten om att KLASSA-krav inte är att anse som heltäckande eller uttömmande, eller på något sätt gör att man blir godkänd eller ”compliant” gentemot ett lagrum.

Kompletterande bedömningar måste ändå göras om vilka andra kompletterande rutiner och skyddsåtgärder som måste vidtas. I KLASSAv3 ingår kraven för systemförvaltning utifrån OSL, PDL, NIS och GDPR. Upphandlingskrav för dessa lagrum omfattas alltså ännu inte.