Informationssäkerhet
Information är värdefullt och behöver skyddas efter behov. För att uppnå effektiv och korrekt informationshantering krävs informationssäkerhet, även i verksamhetens loggmiljö.
Beredskapsförordningen (2022:524) innehåller dels särskilda bestämmelser för beredskapsmyndigheter som gäller inför och vid fredstida krissituationer och höjd beredskap, och dels generella bestämmelser som också gäller för andra statliga myndigheter som inte är beredskapsmyndigheter. Förordningen ställer krav på att varje myndighet ansvarar för att dess egna informationshanteringssystem uppfyller ”sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt”. MSB har meddelat föreskrifter som innehåller bestämmelser om sådana säkerhetskrav som avses i förordningen.
Även NIS-lagstiftningen som ställer krav på säkerhet i nätverks- och informationssystem, kan bli aktuell eftersom reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster, vilka kan finnas i både privat och offentlig sektor. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet och är, i NIS-lagstiftningens nu gällande utformning, indelade i sju sektorer (bland annat energi-, transport- och hälso- och sjukvårdssektorn). MSB har meddelat föreskrifter om bland annat identifiering av leverantörer av samhällsviktiga tjänster, MSBFS 2021:9. I och med införandet av det nya NIS2-direktivet, som ska börja tillämpas 2024, kommer offentliga aktörer att omfattas i betydligt högre utsträckning än tidigare eftersom en särskild sektor för ”Offentlig förvaltning” kommer att införas (vars innebörd ska definieras av respektive medlemsstat i enlighet med nationell rätt).
Dessutom kommer definitionen av sektorn ”Digital infrastruktur” att utökas, vilket kan komma att omfatta vissa myndighetsgemensamma tjänster. NIS2 kommer även att innebära en skärpning av säkerhetskraven genom att tillhandahålla en lista med minimikrav för åtgärder som ska tillämpas (innefattar bland annat driftskontinuitet och incidenthantering). Även kraven i CER-direktivet (Critical Entities Resilience Directive, (EU) 2022/2557)) som ska börja tillämpas samtidigt som NIS 2, kan bli aktuella.
Det bör ses som ett komplement till NIS-direktivet med syftet att öka motståndskraften för verksamheter som bedrivs med kritisk infrastruktur genom att bygga upp en förmåga att förebygga, stå emot, återhämta sig från incidenter som kan störa tillhandahållandet av samhällsviktiga tjänster, bland annat genom krav kopplade till fysisk säkerhet och personalsäkerhet.
Nedan sammanfattas grundläggande riktlinjer i förhållande till lagstadgade krav för informationssäkerhet i samband med loggning som sker hos myndigheter eller andra offentliga aktörer. Notera även att dataskyddsförordningen ställer krav på säkerhet i samband med behandling av personuppgifter, i bland annat artikel 32 (se Personuppgifter).
Verksamheten ska säkerställa
- att behandlingen av uppgifter i verksamhetens loggar uppfyller säkerhetskraven i för verksamheten tillämpliga lagar och föreskrifter;
Kommentar: För statliga myndigheter avses bland annat MSBFS 2020:7 som reglerar minimikrav för säkerhetsåtgärder i statliga myndigheters informationssystem (t.ex. säkerhetsloggning och övervakning). Notera även MSB:s vägledning för säkerhetsåtgärder i informationssystem som är ett stöd vid tillämpningen av MSBFS 2020:7, men som med fördel kan användas av alla typer av organisationer. Även MSBFS 2020:6 som innehåller generella bestämmelser om informationssäkerhet för statliga myndigheter, samt MSBFS 2020:8 om rapportering av it-incidenter för statliga myndigheter, bör beaktas.
- att, för det fall myndigheten till någon del bedriver ”säkerhetskänslig verksamhet”, kraven på säkerhetsskydd i säkerhetsskyddslagstiftningen beaktas;
Kommentar: Säkerhetsskyddslagstiftningen avser säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) och Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). Se särskilt 4 kap. i PMFS 2022:1 om särskilda krav på informationssystem.
- att, för det fall myndigheten är en ”leverantör av samhällsviktiga tjänster och vissa digitala tjänster” enligt NIS-lagen, kraven i NIS-lagstiftningen beaktas;
Kommentar: Avser de krav på säkerhet i nätverk och informationssystem som framgår av NIS-lagen (2018:1174) och NIS-förordningen (2018:1175). Notera särskilt kraven på säkerhetsåtgärder i 11-16 §§ NIS-lagen. Kraven kan sannolikt komma att utvecklas i samband med införandet av NIS 2-direktivet. Notera även att lagen inte gäller för verksamhet som omfattas av säkerhetsskyddslagen, eller för leverantörer som omfattas av krav på informationssäkerhet i andra författningar där kraven minst motsvarar verkan av skyldigheterna enligt NIS-lagen.
- att behandlingen av uppgifter i verksamhetens loggar uppfyller säkerhetskraven i sådana regelverk som är tillämpliga på den tjänst, eller det system, som loggen avser;
Kommentar: Ett exempel är SDG-förordningen ((EU) 2018/1724), som syftar till att skapa en gränsöverskridande digital infrastruktur inom EU, där dess genomförandeförordning ((EU) 2022/1463) bland annat anger särskilda krav på loggning för ett sådant system. Ett annat exempel är eIDAS-förordningen ((EU) 910/2014), som reglerar elektronisk identifiering och betrodda tjänster för elektroniska transaktioner, där dess genomförandeförordning ((EU) 2015/1502) uppställer vissa säkerhetskrav för tillhandahållare av betrodda tjänster.
Referenser på sidan
- Avser statliga myndigheter med ansvar inom en eller flera viktiga samhällsfunktioner och vars verksamhet har särskild betydelse för samhällets krisberedskap och totalförsvaret. Av bilaga 1 till förordningen framgår vilka myndigheter som är beredskapsmyndigheter.
- Dvs. NIS-direktivet som genomfördes i svensk rätt 2018 genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (även kallad NIS-lagen) och förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (även kallad NIS-förordningen).
- Föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster”, (msb.se). Länk till annan webbplats.
- Regeringen, Kommittédirektiv Dir. 2023:30, Genomförande av EU:s direktiv om åtgärder för en hög gemensamcybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft. (regeringen.se). Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: