MSB har nu som en remiss presenterat sina rekommendationer för hur verksamheter bör arbeta med informationssäkerhet utifrån NIS2 och den nya Cybersäkerhetslagen. Det här blir förmodligen en de facto-standard att luta sig mot för de som omfattas av lagen samt givetvis för alla tillsynsmyndigheter att använda som grund för revisioner och kontroller. Rekommendationen har en tydlig uppdelning mellan organisatoriska och tekniska krav, och lutar sig starkt mot ISO27001.

Det är tydligt att ett systematiskt och riskbaserat arbetssätt gäller. Ledningens ansvar är noggrant definierat, med checklistor för vad som måste beslutas. Roller som samordnare, informationsägare och systemägare är obligatoriska, och ledningen måste utbildas – särskilt inom riskhantering och omvärldsbevakning.

Verksamheten ska kunna upptäcka och hantera incidenter, och det finns tydliga krav på kontinuitets- och krishantering. Uppföljning och leverantörsbedömningar lyfts fram, liksom vikten av uppdaterad dokumentation.

Tekniskt betonas bland annat nätverkssegmentering, behörighetshantering, loggning, skydd mot skadlig kod, kryptering, säkerhetskopiering och övervakning. Även fysisk säkerhet och förändringshantering är centrala delar.

Sammanfattningsvis innebär MSB:s tolkning att informationssäkerhetsarbetet blir mer strukturerat, med tydliga krav på både organisation och teknik. Min korta sammanfattning av punkter som bolag behöver arbeta med finns nedan:

• Tydligt att det är systematiskt och riskbaserat informationssäkerhetsarbete som gäller
• Ledningens ansvar är väldigt tydligt definierat (med tydlig checklista för vad ledningen måste besluta)
• Tydligt att det måste finnas samordnare, informationsägare och systemägare (minst dessa roller behövs)
• Tydligt att ledningen måste utbildas och specifikt trycker man på riskhantering
• Ledningen måste vara aktiva inom omvärldsbevakning
• Verksamheten måste säkerställa förmåga att upptäcka och hantera informationssäkerhetsincidenter
• Tydliga krav på kontinuitetshantering och krishantering
• Bra riktlinjer kring uppföljning (bedöma effektiviteten av införda säkerhetsåtgärder)
• Leverantörsbedömningar finns med och riktlinjer kring bedömning innan upphandling och under leveranstiden
• Tydligt kring dokumentation och vikten av uppdaterat systemdokumentation
• Tekniska skyddsåtgärder som tas upp är:
  • Nätverkssegmentering
  • Skydd av IT och OT
  • Behörighetshantering och autentisering
  • Säkerhetsloggning och logganalys
  • Skydd mot skadlig kod
  • Korrekt och spårbar tid (klocka) i IT-miljöer
  • Kryptering
  • Säkerhetstester (Tolkar detta som härdning och sårbarhetshantering)
  • Säkerhetskopiering
  • Övervakning (intrångsdetektering och intrångsskydd)
  • Änringshantering (Change management)
• Fysisk säkerhet kopplat till lokaler (tillträdeskontroll och tillträdesbegränsning) och skydd mot brand, vattenskador, fukt etc.