MSB:s föreskrifter – bakgrund och syfte
Samordnande myndighet
Myndigheten för samhällsskydd och beredskap (MSB) är samordnande myndighet för det svenska samhällets informationssäkerhet. Här avses hela samhället, offentlig förvaltning, organisationer, företag och enskilda individer. Samordning av all informationssäkerhet är av högsta vikt för vår gemensamma beredskap mot cyberattacker och oönskad påverkan av våra datasystem. Digital information måste hanteras säkert och det finns ett stort behov av styrning av samhällets informationssäkerhetsarbete.
Föreskrifter om informationssäkerhet
MSB ska vara ett stöd för arbetet med att förebygga och hantera IT-incidenter. Ett led i detta arbete är att ge ut omfattande och noggranna föreskrifter inom informationssäkerhet. För närvarande finns tre utgåvor med föreskrifter om informationssäkerhet som vänder sig till statliga myndigheter. Dessa föreskrifter är tydliga krav på vad som måste uppfyllas av de statliga myndigheterna. Föreskrifterna kan med fördel användas även av andra organisationer och företag, även om det inte föreligger tydliga krav på att dessa åtgärder ska utföras.
De tre föreskrifterna behandlar informationssäkerhet (allmänt om både fysisk och digital säkerhet), säkerhetsåtgärder i informationssystem (IT-säkerhet) och incidentrapportering. De kan laddas ned från MSB:s webbplats och har följande beteckningar:
Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter. (MSBFS 2020:6)
Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter. (MSBFS 2020:7)
Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av IT-incidenter för statliga myndigheter.
(MSBFS 2020:8)
Varför behövs dessa föreskrifter?
Hittills har det uppdagats mer eller mindre allvarliga brister när det gäller de statliga myndigheternas informationssäkerhetsarbete. De misstag som begåtts får inte upprepas och medvetenheten om informationssäkerhet måste höjas hos de statliga myndigheternas ledningar. Tillräckliga resurser måste avsättas och tydliga krav måste ställas på säkerheten enligt dessa föreskrifter.
Föreskrifterna om informationssäkerhet för statliga myndigheter har flera gånger uppdaterats med allt tydligare krav på myndigheternas ledningar att säkerställa resurser och att följa upp och dokumentera informationssäkerhetsarbetet. I samband med MSB:s uppdateringar har också nya krav på säkerhetsåtgärder tillkommit.
Stora skillnader
Skillnaden mellan de olika statliga myndigheternas säkerhetsarbete har varit stora. En del har ett väl anpassat systematiskt och riskbaserat informationssäkerhetsarbete, medan andra har mycket kvar att göra i sitt säkerhetsarbete. Myndigheternas incidentrapportering har också brister. Enligt MSB:s föreskrifter skall MSB kontaktas inom sex timmar efter en incident. MSB har dock inget tillsynsuppdrag och följer inte upp de statliga myndigheternas efterlevnad av föreskrifterna.
Lättare att följa NIS, GDPR och säkerhetsskyddsregleringen
Det finns flera regelverk som statliga myndigheter och andra organisationer måste följa, tillexempel NIS, GDPR och säkerhetsskyddsregleringen.
NIS står för The Directive on Security of Network and Information Systems och är ett EU-direktiv med syftet att skapa en hög gemensam nivå på säkerheten i nätverk och informationssystem inom samhällsviktiga tjänster inom hela EU. Detta direktiv är lag i samtliga EU:s medlemsstater med lite varierande tillämpning från land till land beroende på olika nationella lagstiftningar.
GDPR står för General Data Protection Regulation och är EU:s allmänna dataskyddsförordning gällande skydd av personuppgifter.
Säkerhetsskyddsregleringen är en lagstiftning vars syfte är att skydda säkerhetskänslig information och som gäller för organisationer som arbetar med information som har betydelse för Sveriges säkerhet.
Om man noga följer kraven i MSB:s föreskrifter är det lättare att också uppfylla kraven i dessa säkerhetslagstiftningar.