MSB: ”Ansvaret ska ligga hos organisationerna”

NIS- direktivet, Network Information Security, innebär att fler organisationer inom både offentlig och privat sektor får krav på sig vad gäller informationssäkerhet, incidentrapportering och tillsyn. Varje organisation känner sin egen informationshantering bäst och det är där riskanalysen ska ske.

Som Carl-Johan Bostorp uppmärksammar i sin debattartikel i Ny Teknik den 3 juli har MSB skickat kommande NIS-föreskrifter på remiss. De är en del i att genomföra NIS-direktivet i svensk rätt och har tagits fram i nära dialog med tillsynsmyndigheterna. Föreskrifterna rör identifiering av samhällsviktiga tjänster, informationssäkerhet för leverantörer av samhällsviktiga tjänster och incidentrapportering.

• Den internationella standarden, ledningssystem för informationssäkerhet, är en bra modell för informationssäkerhetsarbete.

Vi anser att krav baserade på standaren för ledningssystem för informationssäkerhet (ISO 27000-serien) är en bra modell att arbeta enligt för att skydda sin information. Där ingår att göra riskanalys som ligger till grund för lämpliga säkerhetsåtgärder. Genom att välja ett etablerat och internationellt vedertaget arbetssätt säkerställer vi att arbetet kan bedrivas resurseffektivt och att organisationen kan integrera arbetet med informationssäkerhet i den interna styrningen och kontrollen.

• Ansvaret för riskanalysen inom NIS ska ligga hos organisationerna.

Vi delar inte Bostorps syn att vi, genom att låta organisationerna själva analysera och bedöma risker, bidrar till att regleringen inte får den effekt som är tänkt. Varje organisation känner sin egen information bäst. Att analysera och minska risker kopplat till hanteringen av den mest värdefulla informationen är en grundpelare för att säkerställa kärnverksamheten i princip alla organisationer idag. Vi förstår att det finns behov av stöd i detta arbete och där har vi och tillsynsmyndigheterna en viktig roll.

• Tillsynsmyndigheterna och Socialstyrelsen har möjlighet att meddela specifika föreskrifter om säkerhetsåtgärder inom sina respektive sektorer.

Regeringen har gett tillsynsmyndigheterna och Socialstyrelsen rätt att meddela föreskrifter om säkerhetsåtgärder som är specifika för deras respektive sektorer. Det innebär att reglerna kan skärpas inom vissa sektorer där man bedömer att föreskrifter är lämpligaste sättet att nå en högre säkerhetsnivå.

• Tillsynen stödjer ständig förbättring av informationssäkerheten.

NIS-regleringen inkluderar tillsyn till skillnad från föreskrifterna om statliga myndigheters informationssäkerhetsarbete. Tillsynen kommer att vara ett stöd till ständig förbättring av informationssäkerheten. En del i tillsynen är att följa upp vidtagna säkerhetsåtgärder och de incidenter som rapporterats. Tillsynsmyndigheten får meddela förelägganden om kraven inte uppfylls.

NIS, GDPR och säkerhetsskyddslagen är delar av en helhet. NIS ställer krav på hur organisationer som levererar samhällsviktiga och digitala tjänster ska arbeta med att skydda sin information, medan GDPR och säkerhetsskyddslagen fokuserar på skydd av vissa typer av uppgifter. Som en helhet får Sverige ett sammanhängande regelverk och stöd som tillsammans fokuserar på olika typer av risker.

MSB har i uppdrag att samordna arbetet med samhällets informationssäkerhet och ansvarar för en nationell funktion med uppgift att förebygga och hantera it-incidenter (CERT-SE). NIS, GDPR och den nya säkerhetsskyddslagstiftningen är steg i rätt riktning, men för att regleringen ska få effekt behöver alla aktörer i samhället nu prioritera arbetet med informations- och cybersäkerhet.

Åke Holmgren, chef för Avdelningen för cybersäkerhet och skydd av samhällsviktig verksamhet, MSB, Myndigheten för samhällsskydd och beredskap