MSB publicerade nyligen sina förslag på diverse föreskrifter som ett resultat av förordning 2018:1175 (informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster).

Det var med viss nyfikenhet jag laddade ner föreskrifterna. Och när jag läst kunde jag inte låta bli att tänka på de föreskrifter MSB publicerat om informationssäkerhet för statliga myndigheter.

Nog måste det finnas skillnader i de föreskrifter som gäller för de leverantörer av samhällsviktiga och digitala tjänster jämfört med de föreskrifter som exempelvis gäller myndigheten för kulturanalys? Det korta svaret är nej, det finns i princip inga som helst skillnader. De är i all väsentlighet, utifrån föreskrifterna, lika viktiga och med samma krav på informationssäkerhet.

Tror du jag skojar?

Jämförelsen mellan MSBFS 2016:1 och NIS-föreskrifterna

Jag kommer nedan göra en enklare jämförelse mellan föreskrifterna. När jag skriver samma menar jag att de i stort sett är likvärdiga med endast mindre eventuella omskrivningar.

MSBFS 2016:1 MSBFS NIS
5§ Ledningssystem för informationssäkerhet (ISO-27001) Samma
6§ Ledningssystemets utformande Samma, med en underlig omskrivning: ”En leverantör ska, utifrån identifierade risker och behov:”. Sedan är det exakt samma som i de andra föreskrifterna. Detta blir väldigt konstigt, eftersom texten därefter är för ledningssystemets utformande (enligt MSBFS 2016:1)
7§ Policy för informationssäkerhet Samma
8§ Säkerhetskultur Samma, men nu heter det säkerhetsmedvetande. Och är istället 9§
9§ Hantera hot och risker som rör informationssäkerhet Samma, men nu heter det ”ett dokumenterat arbetssätt för arbetet att:”, och ett litet paragraf byte nu 8§
10§ NY! Se nedan.
10§ Rutiner för incidenter Samma men med vissa textmässiga förändringar, och istället 11§
11§ Kontinuitetshantering Avser samma sak, men pratar mycket om alternativa arbetssätt.

Så i de nya föreskrifterna har vi alltså fått EN ny paragraf, 10§. Boy, här kommer det bli jobb för leverantörerna. Så här lyder texten:

Särskilt om nätverk och informationssystem

10§ En leverantör ska ha regler och arbetssätt som säkerställer att samtliga berörda nätverk och informationssystem uppfyller organisationens behov av säker hantering av information.

Vid val av säkerhetsåtgärder i nätverk och informationssystem ska drift och förvaltning över tid, arkitektur och sammankoppling mot externa nätverk särskilt beaktas.

Arbetet ska dokumenteras.

Okej, så … uhm… säkerhet ska finnas? Alright, vi ska alltså särskilt beakta allt som har med nätverk och informationssystem att göra. För nätverk och informationssystem som inte är i drift, förvaltas över tid, har en arkitektur eller kopplingar mot externa nätverk är vad? Finns det liksom något som är exkluderat här?

Jag läser paragrafen som … gör allt som behöver göras för att säkerhet ska finnas. Jag ser inte på vilket sätt en sådan paragraf hjälper, eller särskilt påvisar vad en leverantör av samhällskritiska tjänster ska göra.

Nu ska jag givetvis har respekt för att alla andra tillsynsmyndigheter har möjlighet att formulera föreskrifter för sina respektive tillsynsområden. Det kanske kommer trilla ut mer klargörande säkerhetsaktiviteter i dessa.

Sammanfattningsvis…

Med föreskrifterna som utgångspunkt för vad samhällsviktiga tjänster ska göra för att säkerställa sin informationssäkerhet och kontinuitet ställs det i princip samma krav på Myndigheten för Kulturanalys. Är det rimligt?

Nej, föreskrifterna säger egentligen ingenting som inte redan står i de föreskrifter som gäller för samtliga statliga myndigheter. Och kan man inte göra någon skillnad på de krav som ställs på samtliga statliga myndigheter och de leverantörer som ska säkerställa att samhällets viktigaste tjänster fungerar… så måste jag nog säga att föreskrifterna inte hjälper ett skvatt.

Är detta verkligen att anse tillräckligt som föreskrifter för de leverantörer som ska säkerställa att samhällsviktiga tjänster levererar även under risiga omständigheter? Jag tycker nej på den.