Det innebär att organisationer som bedriver säkerhetskänslig verksamhet nu måste ha bättre kontroll över sina system och informationstillgångar. De måste bland annat genomföra säkerhetsskyddsanalyser och åtgärder för att skydda informationstillgångarna.

De övergripande åtgärder som ska genomföras i både NIS-direktivet och säkerhetsskyddslagen är till stor del baserade på logiken i den internationella standarden för informationssäkerhet; ISO/IEC 27001 (ledningssystem för informationssäkerhet).

Några av de åtgärder som den nya lagen kräver.

– Genomförande av säkerhetsskyddsanalyser och åtgärder
– Säkerhetsklassifikation av organisationens information utifrån fyra klasser (kvalificerat hemlig, hemlig, konfidentiell samt begränsat hemlig)
– Klassifikation av IT-system efter grundprinciperna: konfidentialitet, tillgänglighet och riktighet

Henrik Petterson