Föreskrifter och vägledningar

Föreskrifterna är regler för statliga myndigheter att följa. Men även andra offentliga och privata organisationer har nytta av innehållet i föreskrifterna och vägledningarna i sitt systematiska informationssäkerhetsarbete.

MSB har gett ut föreskrifter som riktar sig till leverantörer som omfattas av NIS-regleringen. Några statliga myndigheter kan även omfattas av NIS-regleringen. I stora drag är föreskrifterna utifrån NIS-regleringen och föreskrifterna för informationssäkerhet och incidentrapportering för statliga myndigheter likadana. Skillnaderna består i utifrån vilket lagrum föreskrifterna är framtagna.

Mer information om NIS-regleringen återfinns på MSB:s hemsida

Nej, men ett systematiskt och riskbaserat informationssäkerhetsarbete, med de krav på säkerhetsåtgärder som finns i it-miljön och framtagna rutiner för incidentrapportering underlättar dock för organisationer att uppfylla kraven i både NIS och GDPR.

Digital information måste hanteras säkert och idag är nästan alla statliga myndigheters verksamhet starkt beroende av it-system. Här finns behov av ytterligare styrning av myndigheternas informationssäkerhetsarbete.

Därför ställer MSB  uttryckliga krav på en rad it-säkerhetsåtgärder som bedöms vara en del av ett grundläggande skydd för it-miljön och förenklar för enskilda statliga myndigheter, oavsett tillgång till resurser, att bygga upp en godtagbar nivå av informationssäkerhet. Genom att tydligt beskriva åtgärder som ska försvåra cyberangrepp, förebygga informationsförlust och ge en grundläggandenivå av skydd är målet att även myndigheternas digitalt hanterade information är säker.

Genom att publicera materialet öppet för synpunkter kvalitetssäkras och utformas det på ett sätt som i slutändan gör att målgruppen enklare kan ta till sig informationen. Även om MSB internt har god kompetens inom området blir slutresultatet ännu bättre om andra experter i samhället, inklusive leverantörsrepresentanter, lämnar synpunkter på innehållet.

Bra att du är engagerad i informationssäkerhetsarbetet. Om din återkoppling gäller föreskrifter kontaktar du antingen: helena.andersson@msb.se, andreas.hall@msb.se, eller tove.watterstam@msb.se
Om du vill ge synpunkter på stödmaterialet och vägledningarna: informationssakerhet@informationssakerhet.se

Det här berör statliga myndigheter under regeringen eftersom föreskrifter är regler som statliga myndigheter måste följa. Men även andra offentliga och privata organisationer har nytta av innehållet i föreskrifterna och vägledningarna för sitt systematiska informationssäkerhetsarbete och för att införa säkerhetsåtgärder i sin it-miljö för högre it-säkerhet.

Den 1 oktober 2020 börjar de nya föreskrifterna att gälla.

De statliga myndigheter som bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete bedöms redan ha vidtagit de åtgärder som kravställs i föreskrifterna.

Kravet att bedriva ett systematiskt informationssäkerhetsarbete har funnits sedan 2009. Krav på incidentrapportering har funnits sedan 2016.

MSB roll inom området är bland annat att ansvara för utveckling och förvaltning av säkra kommunikationer, vara råd- och stödgivande i informationssäkerhetsarbetet och hantera samt förebygga IT-incidenter.

Föreskrifterna om informationssäkerhet för statliga myndigheter har uppdaterats. Ändringarna innebär att det ställs tydligare krav på myndighetsledningens uppgift att inrikta, säkerställa resurser och följa upp informationssäkerhetsarbetet. Det har även tillkommit nya krav på säkerhetsåtgärder rörande lokaler och personal.

Föreskriftspaketet innehåller också nya föreskrifter om säkerhetsåtgärder i informationssystem. Dessa ska underlätta myndigheternas arbete genom att det samlat tydliggörs vilka säkerhetsåtgärder en statlig myndighet minst ska ha på plats i den tekniska it-miljön.

Vid incidentrapporteringen framgår det tydligare vad som ska rapporteras och att MSB kontaktas redan inom sex timmar efter incidenten.

MSB har inte något tillsynsuppdrag och följer inte upp föreskrifterna på det sättet. Trots det har vi genomfört olika typer av kartläggningar över hur statliga myndigheter bedriver sitt informationssäkerhetsarbete och hur de skyddar sin information.

Kartläggningarna visar att:
•    Det finns brister i hur arbetet bedrivs.
•    Skillnaderna mellan myndigheterna bedöms stora, vissa bedriver redan ett för sin verksamhet väl anpassat systematiskt och riskbaserat informationssäkerhetsarbete medan andra fortfarande är i en utvecklingsfas.
•    Även den samlade bilden av statliga myndigheters incidentrapportering indikerar brister hos statliga myndigheter när det gäller säker informationshantering.

Om organisationen gör ett systematiskt och riskbaserat informationssäkerhetsarbete utifrån de krav på säkerhetsåtgärder som finns i it-miljön och framtagna rutiner för incidentrapportering är det lättare att uppfylla kraven i både NIS, GDPR och säkerhetsskyddsregleringen.

När MSB:s togs fram tittade vi särskilt noga på Säkerhetspolisens föreskrifter om säkerhetsskydd så att terminologi och nivå skulle passa ihop så långt som möjligt.

Föreskrifterna om informationssäkerhet för NIS-leverantörer MSBFS 2018:8 och föreskrifterna om informationssäkerhet för statliga myndigheter MSBFS 2020:6 har stora likheter.