Viewing entries tagged
Techster

Skydda det som skyddas kan

Comment

Skydda det som skyddas kan

I en kontext där cyberhoten ökar och samhällskritiska verksamheter är potentiella måltavlor är det dags att skydda det som skyddas kan. Kan man bredda tillämpning av undantag vid IT-upphandling?  

Å ena sidan kan man argumentera för att undantag ska tillämpas restriktivt, å andra sidan kan man argumentera för att det är en skyldighet att tillämpa undantag trots att definitionerna i lagtexten inte överensstämmer 100%. Kanske bör det inte ses som en paradox utan istället en möjlighet för verksamheten?  

I en alltmer föränderlig värld, där behov och hotbild ständigt förändras kanske tolkningar kring vad som är synnerliga skäl, rikets väsentliga säkerhetsintressen (LUFS), Sveriges väsentliga intressen (LOU) etc. behöver ändras snabbare än lagstiftarna hinner med? 

Kunskap men framförallt rädslan att tillämpa undantag och bli kritiserad för detta beslut kan ibland ta överhand och bli styrande. Vilket beslut tar vi om vi endast utgår från verksamhetsbehovet?  

Att skydda förmåga och kapacitet i kontexten offentlig upphandling, offentlighetsprincipen, entreprenörer, konsulter och underleverantörer är en utmaning. 

Det gäller att täppa till alla hål, medans angriparen bara behöver hitta ett. 

Som i allt säkerhetsskyddsarbete handlar det om att lägga ett omfattande pussel. Finns det pusselbitar som kan skyddas på ett bättre sätt genom en mer frikostig tillämpning av undantag? 

Om ja, till bekostnad på vad? 

Comment

NIS - So far so good

Comment

NIS - So far so good

I farvattnet av GDPR, i alla fall medialt, kom NIS-direktivet som beslutades på EU-nivå. I Sverige trädde lagen samt förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster i kraft 1 augusti 2018.

NIS står för Network and Information Security och är ett EU-direktiv som berör samhällsviktiga tjänster. I korthet kan man säga att organisationer som bedriver samhällsviktig verksamhet och digitala tjänster måste kunna påvisa att de kontinuerligt bedriver säkerhetsarbete avseende sin IT-miljö.

Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i IT-system och infrastruktur. Med bakgrund av dagens ökade hotbilder där angrepp mot ovanstående är högvilt känns NIS lika självklart som välkommet.

Initialt fick NIS en del kritik för att vara otydlig, vilket kan ligga lite i ett direktivs natur. Ett EU-direktiv beskriver vilket resultat som ska uppnås och behöver därför tolkas till nationell lagstiftning medan en EU-förordning gäller direkt när den trätt i kraft, t.ex. GDPR. Kritiken gällde främst vilka aktörer som skulle omfattas och när en händelse är betydande och därmed blir föremål för en incidentrapport. Det är upp till organisationerna själva att undersöka om dess tjänster kan komma att omfattas av NIS-regleringen eller inte och det finns vägledning att få. Kanske borde kritiken mer riktas mot att det inte är så snyggt förpackat och enkelt att förstå utan att behöva läsa ”allt”.

MSB (Myndigheten för samhällsskydd och beredskap) tillhandahåller dokument i form av bl.a. föreskrifter, allmänna råd och incidentrapporteringsformulär. De sektorspecifika tillsynsmyndigheterna går att kontakta och branschorganisationerna kan hjälpa till med råd och tips.

Många kunder som vi för dialog med kring säkerhet behöver förutom uppmärksammade GDPR även fokusera på NIS-direktivet. Det reella utfallet av NIS blir därför intressant att följa, hur som helst så är det rimligt att direktivet finns med den digitalisering av samhället som sker.

Comment