MSB: Efterlev NIS-direktivet genom att arbeta enligt ISO 27000

NIS-direktivet innebär att fler organisationer inom offentlig och privat sektor får ökade krav på sig vad gäller informationssäkerhet, incidentrapportering och tillsyn. För dig som inte känner till NIS-direktivet och förslaget i sin helhet, har Sentor nyligen publicerat en artikelserie i ämnet.

Under sommaren har det luftats olika synpunkter kring hur efterlevnadsarbetet kopplat till NIS-direktivet på bästa sätt kan bedrivas. Carl-Johan Bostorp, IT-säkerhetsspecialist, skrev i en debattartikel i Ny Teknik att han tycker att MSB hänskjuter besluten till tjänsteleverantörerna istället för att själva ta ansvar för att stärka den eftersatta säkerheten i samhällsviktiga IT-system.

I en replik svarar MSB:s chef för cybersäkerhet, Åke Holmgren, att han tycker att det är upp till organisationerna själva att ansvara för arbetet med att minimera säkerhetsrisker, och han menar att det finns goda skäl till det.

”Vi delar inte Bostorps syn att vi, genom att låta organisationerna själva analysera och bedöma risker, bidrar till att regleringen inte får den effekt som är tänkt. Varje organisation känner sin egen information bäst. Att analysera och minska risker kopplat till hanteringen av den mest värdefulla informationen är en grundpelare för att säkerställa kärnverksamheten i princip alla organisationer idag.”

ISO 27000-serien är en rekommenderad modell

Vidare menar MSB att det finns etablerade standarder för informationssäkerhet, däribland ISO 27000-serien, som är en bra grund för att sätta in lämpliga säkerhetsåtgärder. Genom att välja ett internationellt vedertaget arbetssätt, säkerställs att ”arbetet kan bedrivas resurseffektivt och att organisationen kan integrera arbetet med informationssäkerhet i den interna styrningen och kontrollen”.

Till skillnad från tidigare föreskrifter från MSB om statliga myndigheters informationssäkerhetsarbete inkluderar NIS-direktivet tillsyn av organisationers informationssäkerhetsarbete. Tillsynen kommer fungera som ett stöd för ständig förbättring och som en del av den kommer det även finnas möjlighet att följa upp vidtagna säkerhetsåtgärder och rapporterade incidenter.

Tillsammans med övriga regelverk, som GDPR och Säkerhetsskyddslagen, innebär NIS, enligt MSB, att Sverige får ett sammanhängande regelverk och stöd som tillsammans fokuserar på olika typer av risker.

Läs vår artikelserie om NIS-direktivet

Prenumerera på vårt nyhetsbrev

Håll dig uppdaterad inom IT- och informationssäkerhet. Anmäl dig till vårt nyhetsbrev som vi brukar skicka 1-2 gånger i månaden.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

08-545 333 00
Vi svarar dygnet runt
info@sentor.se
För generella förfrågningar
soc@sentor.se
Använd vår PGP-nyckel