MSB har beslutat om nya föreskrifter för myndigheternas IT-incidentrapportering. Samtidigt har även föreskrifterna för myndigheternas informationssäkerhet reviderats. De nya reglerna börjar gälla 4 april.
Föreskrifterna – tillsammans med övrig vägledning – ska underlätta för statliga myndigheter att uppfylla kravet på rapportering av IT-incidenter som allvarligt kan påverka säkerheten, i den informationsbehandling som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
– Syftet med obligatorisk IT-incidentrapportering är att stödja arbetet med samhällets informationssäkerhet. De rapporter som skickas till MSB förenklar ett samordnat agerande för att avvärja eller begränsa konsekvenserna av allvarliga IT-incidenter samt bidrar till att vi får en samlad lägesbild över hur det ser ut inom området, det har vi inte idag, säger MSB:s generaldirektör Helena Lindberg.
– MSB arbetar nu intensivt med att få alla delar på plats men det kommer att ta lite tid. Särskilt fokus riktas mot frågor om säkerhet, sekretess och stöd till myndigheterna. Bland annat arbetar vi med att ta fram ett användarvänligt tekniskt rapporteringsverktyg och ser närmare på formerna för återkoppling till myndigheterna, säger Richard Oehme, chef för verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet.
Föreskrifterna finns nu på plats
Utöver arbetet med att ta fram föreskrifter för obligatorisk it-incidentrapportering har MSB det senaste året även arbetat med att revidera föreskrifterna för statliga myndigheters informationssäkerhet. Båda regelverken kommer att vara ett stöd för myndigheternas arbete med informationssäkerhet:
- MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet.
- MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter.
Nu är föreskrifterna beslutade och de träder i kraft den 4 april. Samtidigt upphävs föreskrifterna MSBFS 2009:10 om statliga myndigheters informationssäkerhet.
De båda nya regelverken har en nära koppling till varandra då MSBFS 2016:1 reglerar myndigheternas interna informationssäkerhetsarbete och MSBFS 2016:2 reglerar rapporteringen av IT-incidenter till MSB. Föreskrifterna beskriver vad som behöver finnas på plats i organisationerna, bland annat ställs uttryckliga krav på interna processer och rutiner kring incidenthantering. Vikten av att organisationen har en förmåga att hantera hot och risker genom modeller och rutiner för incident- och kontinuitetshantering lyfts särskilt fram.
MSB arbetar för närvarande med att ta fram användarstöd till myndigheterna och ett verktyg för rapportering av IT-incidenter.
Bakgrund
Den 17 december 2015 fattade regeringen beslut om att statliga myndigheter ska rapportera IT-incidenter som allvarligt påverkar säkerheten till MSB. Beslutet innebar även att MSB fick rätt att utfärda föreskrifter om rapporteringen. Föreskrifterna har varit ute på remiss och inkomna synpunkter har omhändertagits. MSB:s generaldirektör Helena Lindberg fattade beslut om dessa föreskrifter den 1 mars.
Frågor?
Redan idag går det bra att ställa frågor till MSB via: fraga.incident@msb.se
Mer information kommer inom kort att presenteras på www.cert.se.
