Nya föreskrifter och stöd på informationssäkerhetsområdet

Föreskrifterna ställer krav på att statliga myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och rapportera it-incidenter som allvarligt kan påverka säkerheten. Myndigheten har även utfärdat nya föreskrifter om säkerhetsåtgärder i informationssystem (it-säkerhet).

Även andra offentliga och privata organisationer har nytta av föreskrifterna och vägledningarna i sitt systematiska informationssäkerhetsarbete.

Förändringarna i korthet

Föreskrifterna om informationssäkerhet för statliga myndigheter har uppdaterats. Ändringarna innebär att det nu ställs tydligare krav på myndighetsledningens uppgift att inrikta, säkerställa resurser och följa upp informationssäkerhetsarbetet. Det har även tillkommit nya krav på säkerhetsåtgärder rörande lokaler och personal.

Föreskriftspaketet består även av nya föreskrifter om säkerhetsåtgärder i informationssystem. Dessa inriktar myndigheternas arbete genom att tydliggöra vilka säkerhetsåtgärder som en statlig myndighet minst ska ha på plats i den tekniska it-miljön. MSB bedömer att majoriteten av de säkerhetsåtgärder som nämns redan är införda. Det är alltid centralt att utifrån riskanalyser avgöra behovet av ytterligare it-säkerhetsåtgärder utöver de grundläggande.

När det gäller incidentrapporteringen är det nu tydligare vad som ska rapporteras. Vid en incident är kravet nu att kontakt med MSB ska ske redan efter sex timmar.

MSB kommer att erbjuda omfattande vägledningar till stöd för myndigheternas arbete med att följa föreskrifterna, tillsammans med MSB:s ordinarie utbildningar i informationssäkerhet.

Här hittar du föreskrifterna

Föreskrifter om informationssäkerhet för statliga myndigheter 2020:6 (https://www.msb.se/sv/regler/gallande-regler/krisberedskap-och-informationssakerhet/msbfs-20206/)

Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter 2020:7 (https://www.msb.se/sv/regler/gallande-regler/krisberedskap-och-informationssakerhet/msbfs-20207/)

Föreskrifter om rapportering av it-incidenter för statliga myndigheter 2020:8 (https://www.msb.se/sv/regler/gallande-regler/krisberedskap-och-informationssakerhet/foreskrifter-om-rapportering-av-it-incidenter-for-statliga-myndigheter-msbfs-20208/)

Stöd för ert arbete

För att lättare följa de tre föreskrifterna finns

• Stöd för att bedriva systematiskt informationssäkerhetsarbete i form av metodstödet på informationsäkerhet.se (www.informationssäkerhet.se/metodstodet )
• Vägledning om säkerhetsåtgärder i informationssystem (https://www.informationssakerhet.se/vagledning-till-msbfs-20207/) Detta är en förhandsversion som vi gärna tar emot synpunkter rörande innehåll och format till och med den 30 november 2020.
• Vägledningen Utforma incidenthantering som stöd för det interna arbetet med incidenthantering, vägledningen utgör en del av metodstödet (https://www.informationssakerhet.se/metodstodet/utforma/#incidenthantering-anchor)
• Grundutbildning i informationssäkerhet DISA (https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/disa/)
• Operativ informationssäkerhetskurs som stöd för arbete med de olika analyser som ingår i arbetet samt hur ett systematiskt informationssäkerhetsarbete påverkar riskhantering och beslutsunderlag i verksamheten. (https://www.msb.se/sv/utbildning--ovning/alla-utbildningar/operativ-informationssakerhetskurs/)
• Taktisk informationssäkerhetskurs som stöd för att utveckla kunskaper och arbetssätt för informationssäkerhetsarbete på ett riskbaserat och systematiskt sätt. (https://www.msb.se/sv/utbildning--ovning/alla-utbildningar/informationssakerhet---taktisk-informationssakerhetskurs/)
• Strategisk och systematisk informationssäkerhetskurs för chefer och CISO (https://www.msb.se/sv/utbildning--ovning/alla-utbildningar/informationssakerhet---kurs-i-strategisk-och-systematisk-informationssakerhet/)
• Samt – som lanseras 2021 till offentlig sektor – en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen (https://www.regeringen.se/4ad5ee/contentassets/49902815ffe24e6a8b69b204c43f83bb/uppdrag-till-msb-att-ta-fram-en-struktur-for-uppfoljning-av-det-systematiska-informationssakerhetsarbetet-i-den-offentliga-forvaltningen.pdf)

Vi tar tacksamt emot era synpunkter på hur vårt stöd ytterligare kan förbättras. Ni når oss på informationssakerhet@informationssakerhet.se.