Introduktion
Att förstå kraven fullt ut minskar risken att man hamnar fel
I den här artikeln kommer du att få information om olika lagar som ställer krav på informationssäkerhet, beroende på typ av verksamhet. Vi beskriver också övergripande vad informationssäkerhetskraven i de olika lagarna innebär. Utöver det kommer vi också att förklara de vanligaste kraven som en leverantör eller samarbetspartner kan ställa.
Ett digitalt landskap under förändring
Effekten av den digitala transformationen har tvingat riksdag, myndigheter och leverantörer att ställa högre krav på digital säkerhet. Förutsättningarna för att arbeta i organisationen och samarbeta med andra externa parter har förändrats. De ständigt ökande hot och risker som kommer med vår digitala öppenhet kräver en större mognadsgrad när det gäller säkerhet. Det har resulterat i att nästintill alla organisationer idag påverkas av någon form av lag- eller leverantörskrav.
Vad är ett lagkrav?
Ett lagkrav är ett lagstadgat krav att utföra något. Lagen, förordningen eller föreskriften kommer oftast som ett förslag ifrån regeringen, riksdagsledamöter eller beslut ett på EU-nivå. Riksdagen beslutas sedan om lagen går igenom eller inte. Alla organisationer omfattas inte av alla lagkrav. I lagtexten finns ofta kriterier som ska uppfyllas för att organisationen ska omfattas av lagen. I några fall är det en bedömningsfråga och kan därför vara mycket svårt att avgöra om man omfattas eller inte.
GDPR (dataskyddsförordningen)
Omfattar alla organisationer som på något sätt behandlar personuppgifter (namn, personnummer, e-postadresser, bilder eller uppgifter) som går att koppla till en fysisk person. Dataskyddsförordningen verkar för att ge ett ökat skydd för de som registreras. Enkelt förklarat är lagen framtagen för att inhämtning, registrering och hantering av personuppgifter ska ske på rätt sätt, samt att de erhåller ett tillräckligt högt skydd för att förhindra personuppgiftsläckor.
Integritetskyddsmyndigheten (IMY) är myndigheten som utövar tillsyn och granskning.
NIS-direktivet (Network Information Security)
Omfattar primärt organisationer som levererar samhällsviktiga och vissa digitala tjänster inom områdena transport, bank- och finans, digital infrastruktur, hälso- och sjukvård samt energi och vatten. Även de som erbjuder kritiska tjänster till organisationer som klassas som samhällsviktiga, omfattas också av lagen. Ett företag som till exempel levererar styrstavar till ett kärnkraftverk omfattas också av NIS. Anledning till varför just leverantörer till samhällsviktiga organisationer inkluderas beror på att vägen in till den samhällsviktiga organisationen ofta sker genom den – inte lika säkra – leverantören.
NIS-direktivet innebär rapporteringsskyldighet vid incidenter samt ett aktivt arbete med informationssäkerhet genom ett ledningssystem för att höja informationssäkerheten, t.ex. ISO27001. För att leva upp till NIS-direktivet krävs ett omfattande arbete kring IT- och informationssäkerhet där en central del är ett kontinuerligt riskanalys- och åtgärdsarbete.
Lagen om elektronisk kommunikation
Lagen syftar till att upprätta säkra och effektiva elektroniska kommunikationer samt att främja urvalet sett till tjänst, pris och kvalitet. Den här lagen omfattar främst telekomoperatörer. När det gäller säkerhet så kräver lagen att:
”den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas”.
Med uppgifter syftar lagen till bland annat integritetsskydd.
”Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter.”
Patientdatalagar
Omfattar privata och offentliga vårdgivare som arbetar med personuppgifter kopplat till journaler.
Sjukvården har åtkomst till ytterst känslig information som kan skapa stor skada om den offentliggörs eller används på ett oansvarsfullt sätt. Därför finns lagar som kräver att den personliga känsliga informationen hålls skyddad och enbart används när den ska användas.
Regleringen sker genom en samverkan mellan Integritetsskyddsmyndigheten och Socialstyrelsen.
Patientdatalag (2008:355)
Patientdatalagen reglerar framförallt inre sekretess; hur personuppgifter och journalhandlingar ska hanteras inom hälso- och sjukvården. Bland annat ska patienten ha möjlighet att begära direktåtkomst till sin journal och den åtkomsthistorik som är kopplad till den samt ha rätt till att spärra uppgifter i vårdgivarens journalsystem. Utöver det reglerar patientdatalagen också intern åtkomst till journaler vilket innebär att enbart den som behöver uppgifterna i sitt arbete, får ta del av dem. När det gäller extern sekretess för läkemedelsrecept ska alla uppgifter om patientens identitet som lämnas till regionerna vara krypterade.
Patientdataförordning (2008:360)
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
Komplement till patientdatalagen.
Krav som rör myndigheter
Statliga myndigheter är kritiska för Sveriges samhälle. Därför är kraven extra hårda när det kommer till informationssäkerhet. Myndigheter omfattas per automatik av GDPR och NIS. Utöver det finns en rad nya och tunga föreskrifter och förordningar som också ska följas. I MSB:s (myndigheten för samhällsskydd och beredskap) föreskrift ”Informationssäkerhet för statliga myndigheter” står det skrivet att alla myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ledningssystem för informationssäkerhet ISO 27001. Utöver det ska myndigheter bland annat arbeta med informationsklassning (CIA), riskbedömning samt utbildning av anställda.
Krav ifrån leverantörer
Krav som kommer ifrån samarbetsparterners, leverantörer eller ett annat företag är ofta ganska enkla. Ofta involverar kravet någon form av test som exempelvis ett pentest eller en sårbarhetsskanning. Vissa krav kan också beröra informationssäkerhetsstandarder som exempelvis ISO 270001 eller NIST. Några kan också vara fria för egna tolkningar som till exempel krav på informationssäkerhet.
Här är de vanligaste kraven.
Leverantörskrav:
ISO27001 eller NIST CSF (ledningssystem)
Arbetet bakom en certifiering inom informationssäkerhet kan vara väldigt lång beroende på organisationens förutsättningar och mognadsgrad. När man arbetar med ett ledningssystem går man igenom standardens riktlinjer och anpassar företaget därefter. Läs mer om ISO certifiering på vår ISO 27001 eller läs vår artikel ”certifieringsprocessen från början till slut” om du vill veta mer om vägen till en certifiering.
Pentest
Krav på pentest är ett vanligt krav som ställs på organisationer som på något sätt delar informationstillgångar med en annan organisation. Genom att informationen delas kräver den delande parten ofta att säkerhetsnivån är tillräckligt hög för att förhindra läckor. Penetrationstestaren som utför pentestet försöker hacka sig in i era system för att se hur långt in i systemet det går att komma, genom de sårbarheter som finns i systemet. Efter penetrationstestet är klart så lämnas en rapport innehållande säkerhetshöjande åtgärder för att täppa igen säkerhetshålen och skydda systemet. Omfattningen av det efterarbetet beror till stor del på systemets säkerhetsnivå och pentestaren färdigheter.
Sårbarhetsskanning
En sårbarhetsskanning skannar av ett system efter kända sårbarheter. Man skulle kunna säga att ett krav på sårbarhetsskanning är en lightversion av ett krav på ett pentest. Skillnaden mellan dem är att sårberhetsskanningen skannar av om sårbarheter finns, penetrationstestet testar om sårbarheterna går att använda för att penetrera systemet och komma åt informationstillgångarna. Precis som vid penetrationstestet så används rapporten efter en avslutad skanning av säkerhetstekniker för att täppa igen sårbarheterna.
Riskanalys
Ett krav på en riskanalys varierar både till storlek och komplexitet. Ofta väljer kravställaren vilket område som riskanalysen ska utföras på. Målet med en riskanalys är att skapa en tydlig bild över vilka risker som är relevanta, och vart sårbarheterna finns samt hur de bör åtgärdas. Efter en genomförd riskanalys startar man vanligtvis ett åtgärdsarbete som syftar till att antingen minimera antal risker eller det potentiella skada som riskerna kan ge upphov till.
Avslutning
Ofta är kraven ganska enkla att förstå, speciellt om det rör sig om specifika åtgärder som en leverantör vill att du ska göra. Har du några frågor kring krav eller en specifik tjänst är du välkommen att kontakta oss. Vi har konsulter med specialistkompetens inom hela informationssäkerhetsområdet, även inom de juridiska delarna. Vill du fortsätta att läsa om krav kan jag rekommendera artikeln nedan som handlar om hur en kravställare ska tänka, med andra ord hur den som ställer kraven ska tänka. Tack för att du tog dig tid att läsa.
