Till innehåll på sidan

Föreskrifter och vägledningar

MSB har identifierat behov av tydligare styrning av statliga myndigheternas informationssäkerhetsarbete. Därför har MSB givit ut ett föreskriftspaket som omfattar informationssäkerhet, it-säkerhet och incidentrapportering för statliga myndigheter.

MSB:s uppdrag inom området cyber- och informationssäkerhet är bland annat att: 

  • analysera och bedöma omvärldsutvecklingen,
  • vara regelgivande inom området,
  • lämna råd och stöd i förebyggande arbete till andra statliga myndigheter, kommuner, regioner, företag och organisationer.

I detta arbete har MSB under åren givit ut föreskrifter med krav som statliga myndigheter ska följa. Redan 2009 gav MSB ut föreskrifter om statliga myndigheters  informationssäkerhet (MSBFS 2009:10).

Dessa föreskrifter har uppdaterats och i föreskriftspaketet är kraven uppdelade i tre föreskrifter: informationssäkerhet, säkerhetsåtgärder i informationssystem (it-säkerhet) och incidentrapportering.

Föreskrifterna gäller från 1 oktober 2020.

Om stödmaterial och vägledning

För att du lättare ska kunna följa de nya föreskrifterna har vi tagit fram vägledningar och stödmaterial. MSB tar tacksamt emot era synpunkter på hur vårt stöd ytterligare kan förbättras. Ni når oss på informationssakerhet@informationssakerhet.se.

 

Det föreskriftspaket i tre delar som MSB givit ut består av:

 

Frågor och svar om föreskrifterna

  • Är föreskrifterna och stödmaterialet riktat till enbart statliga myndigheter?

    Föreskrifterna är regler för statliga myndigheter att följa. Men även andra offentliga och privata organisationer har nytta av innehållet i föreskrifterna och vägledningarna i sitt systematiska informationssäkerhetsarbete.

  • MSB har andra föreskrifter om informationssäkerhet och incidentrapportering. Hur skiljer sig dessa åt?

    MSB har gett ut föreskrifter som riktar sig till leverantörer som omfattas av NIS-regleringen. Några statliga myndigheter kan även omfattas av NIS-regleringen. I stora drag är föreskrifterna utifrån NIS-regleringen och föreskrifterna för informationssäkerhet och incidentrapportering för statliga myndigheter likadana. Skillnaderna består i utifrån vilket lagrum föreskrifterna är framtagna.

    Mer information om NIS-regleringen återfinns på MSB:s hemsida

     

  • Finns kopplingar mellan dataskyddsförordningen (GDPR), NIS-regleringen och kraven i de tre föreskrifterna för statliga myndigheter?

    Nej, men ett systematiskt och riskbaserat informationssäkerhetsarbete, med de krav på säkerhetsåtgärder som finns i it-miljön och framtagna rutiner för incidentrapportering underlättar dock för organisationer att uppfylla kraven i både NIS och GDPR.

  • Varför behövs föreskrifter om it-säkerhet när det finns regler som talar om att säkerhetsåtgärder ska vara baserade på riskbedömning?

    Digital information måste hanteras säkert och idag är nästan alla statliga myndigheters verksamhet starkt beroende av it-system. Här finns behov av ytterligare styrning av myndigheternas informationssäkerhetsarbete.

    Därför ställer MSB  uttryckliga krav på en rad it-säkerhetsåtgärder som bedöms vara en del av ett grundläggande skydd för it-miljön och förenklar för enskilda statliga myndigheter, oavsett tillgång till resurser, att bygga upp en godtagbar nivå av informationssäkerhet. Genom att tydligt beskriva åtgärder som ska försvåra cyberangrepp, förebygga informationsförlust och ge en grundläggandenivå av skydd är målet att även myndigheternas digitalt hanterade information är säker.

  • Varför är vägledningen till MSBFS 2020:7 publicerad som förhandsutgåva?

    Genom att publicera materialet öppet för synpunkter kvalitetssäkras och utformas det på ett sätt som i slutändan gör att målgruppen enklare kan ta till sig informationen. Även om MSB internt har god kompetens inom området blir slutresultatet ännu bättre om andra experter i samhället, inklusive leverantörsrepresentanter, lämnar synpunkter på innehållet.

  • Jag har synpunkter och vill vara med och kvalitetsgranska. Hur gör jag?

    Bra att du är engagerad i informationssäkerhetsarbetet. Om din återkoppling gäller föreskrifter kontaktar du antingen: helena.andersson@msb.se, andreas.hall@msb.se, eller tove.watterstam@msb.se
    Om du vill ge synpunkter på stödmaterialet och vägledningarna: informationssakerhet@informationssakerhet.se

  • Vem/vilka berörs av de nya föreskriterna?

    Det här berör statliga myndigheter under regeringen eftersom föreskrifter är regler som statliga myndigheter måste följa. Men även andra offentliga och privata organisationer har nytta av innehållet i föreskrifterna och vägledningarna för sitt systematiska informationssäkerhetsarbete och för att införa säkerhetsåtgärder i sin it-miljö för högre it-säkerhet.

  • När börjar föreskrifterna gälla?

    Den 1 oktober 2020 börjar de nya föreskrifterna att gälla.

    De statliga myndigheter som bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete bedöms redan ha vidtagit de åtgärder som kravställs i föreskrifterna.

    Kravet att bedriva ett systematiskt informationssäkerhetsarbete har funnits sedan 2009. Krav på incidentrapportering har funnits sedan 2016.

  • Vad är MSB:s roll ?

    MSB roll inom området är bland annat att ansvara för utveckling och förvaltning av säkra kommunikationer, vara råd- och stödgivande i informationssäkerhetsarbetet och hantera samt förebygga IT-incidenter.

  • Vad är nytt? Vilka förändringar har gjorts?

    Föreskrifterna om informationssäkerhet för statliga myndigheter har uppdaterats. Ändringarna innebär att det ställs tydligare krav på myndighetsledningens uppgift att inrikta, säkerställa resurser och följa upp informationssäkerhetsarbetet. Det har även tillkommit nya krav på säkerhetsåtgärder rörande lokaler och personal.

    Föreskriftspaketet innehåller också nya föreskrifter om säkerhetsåtgärder i informationssystem. Dessa ska underlätta myndigheternas arbete genom att det samlat tydliggörs vilka säkerhetsåtgärder en statlig myndighet minst ska ha på plats i den tekniska it-miljön.

    Vid incidentrapporteringen framgår det tydligare vad som ska rapporteras och att MSB kontaktas redan inom sex timmar efter incidenten.

  • Hur bra är statliga myndigheter på informationssäkerhet idag?

    MSB har inte något tillsynsuppdrag och följer inte upp föreskrifterna på det sättet. Trots det har vi genomfört olika typer av kartläggningar över hur statliga myndigheter bedriver sitt informationssäkerhetsarbete och hur de skyddar sin information.

    Kartläggningarna visar att:
    •    Det finns brister i hur arbetet bedrivs.
    •    Skillnaderna mellan myndigheterna bedöms stora, vissa bedriver redan ett för sin verksamhet väl anpassat systematiskt och riskbaserat informationssäkerhetsarbete medan andra fortfarande är i en utvecklingsfas.
    •    Även den samlade bilden av statliga myndigheters incidentrapportering indikerar brister hos statliga myndigheter när det gäller säker informationshantering.

  • Hur förhåller sig reglerna om informationssäkerhet och säkerhetsåtgärder i informationssystem till regler som dataskyddsförordningen (GDPR), säkerhetsskyddslagen och NIS-regleringen?

    Om organisationen gör ett systematiskt och riskbaserat informationssäkerhetsarbete utifrån de krav på säkerhetsåtgärder som finns i it-miljön och framtagna rutiner för incidentrapportering är det lättare att uppfylla kraven i både NIS, GDPR och säkerhetsskyddsregleringen.

    När MSB:s togs fram tittade vi särskilt noga på Säkerhetspolisens föreskrifter om säkerhetsskydd så att terminologi och nivå skulle passa ihop så långt som möjligt.

    Föreskrifterna om informationssäkerhet för NIS-leverantörer MSBFS 2018:8 och föreskrifterna om informationssäkerhet för statliga myndigheter MSBFS 2020:6 har stora likheter.

Senast granskad: 14 oktober 2020

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan