Compliance • Artikel
29 mars, 2021
MSB: Efterlev NIS-direktivet genom att arbeta enligt ISO 27000
NIS-direktivet innebär att fler organisationer inom offentlig och privat sektor får ökade krav på sig vad gäller informationssäkerhet, incidentrapportering och tillsyn. För dig som inte känner till NIS-direktivet och förslaget i sin helhet, har Sentor nyligen publicerat en artikelserie i ämnet.
Under sommaren har det luftats olika synpunkter kring hur efterlevnadsarbetet kopplat till NIS-direktivet på bästa sätt kan bedrivas. Carl-Johan Bostorp, IT-säkerhetsspecialist, skrev i en debattartikel i Ny Teknik att han tycker att MSB hänskjuter besluten till tjänsteleverantörerna istället för att själva ta ansvar för att stärka den eftersatta säkerheten i samhällsviktiga IT-system.
I en replik svarar MSB:s chef för cybersäkerhet, Åke Holmgren, att han tycker att det är upp till organisationerna själva att ansvara för arbetet med att minimera säkerhetsrisker, och han menar att det finns goda skäl till det.
”Vi delar inte Bostorps syn att vi, genom att låta organisationerna själva analysera och bedöma risker, bidrar till att regleringen inte får den effekt som är tänkt. Varje organisation känner sin egen information bäst. Att analysera och minska risker kopplat till hanteringen av den mest värdefulla informationen är en grundpelare för att säkerställa kärnverksamheten i princip alla organisationer idag.”
ISO 27000-serien är en rekommenderad modell
Vidare menar MSB att det finns etablerade standarder för informationssäkerhet, däribland ISO 27000-serien, som är en bra grund för att sätta in lämpliga säkerhetsåtgärder. Genom att välja ett internationellt vedertaget arbetssätt, säkerställs att ”arbetet kan bedrivas resurseffektivt och att organisationen kan integrera arbetet med informationssäkerhet i den interna styrningen och kontrollen”.
Till skillnad från tidigare föreskrifter från MSB om statliga myndigheters informationssäkerhetsarbete inkluderar NIS-direktivet tillsyn av organisationers informationssäkerhetsarbete. Tillsynen kommer fungera som ett stöd för ständig förbättring och som en del av den kommer det även finnas möjlighet att följa upp vidtagna säkerhetsåtgärder och rapporterade incidenter.
Tillsammans med övriga regelverk, som GDPR och Säkerhetsskyddslagen, innebär NIS, enligt MSB, att Sverige får ett sammanhängande regelverk och stöd som tillsammans fokuserar på olika typer av risker.
Läs vår artikelserie om NIS-direktivet
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel