MSB ger cybervägledning till företag och utredning förlängs

Publicerat av: Kalle Lindholm ·

Från stulen information till blockerade betalsystem: cyberattacker kan ha allvarliga konsekvenser. Myndigheten för samhällsskydd och beredskap, MSB, har därför publicerat en guide med 25 cybersäkerhetsåtgärder med rekommendationer om cyberincidenter och åtgärder för företag att beakta. Regeringen har även beslutat om ett tilläggsdirektiv för den nationella utredningen av NIS2 och CER-direktiven (Fö 2023:01).

Den digitala omställningen av samhället har accelereratunder de senaste åren. Det har medfört både möjligheter och utmaningar. I takt med att vi förlitar oss mer på digital teknik blir cyberattacker mer reella och kostsamma. Brottslingar kan använda sig av internetsidor och email med skadliga länkar för att stjäla information eller blockera organisationers IT-system för utpressning.

Kampanjer för desinformation är också ett exempel på verktyg för cyberkrigföring, där robotar, som låtsas vara riktiga människor, översvämmar statliga myndigheter med falska kommentarer. Spridningen av deepfakes och AI-baserad desinformation försvagar trovärdigheten och förtroendet för information, medier och myndigheter.

Läs mer i MSB:s ”Cyberangrepp mot samhällsviktiga informationssystem: 25 rekommendationer för stärkt skydd mot cyberangrepp”.

Cybersäkerhet i korthet

Cybersäkerhet är ett paraplybegrepp som inkluderar informations- och kommunikationssäkerhet, operationell teknolog (OT-miljöer såsom SCADA-system), applikationer och IT-plattformar samt enheter och produkter som är uppkopplade mot Internet som exempelvis larmsystem, och utskrifts- och kopiatormaskiner. Cybersäkerhet omfattar även personliga enheter som mobiler och datorer.

Myndigheterna arbetar med cybersäkerhet – förlängd utredning

Europeiska unionen arbetar för att stärka cybersäkerheten genom direktivet om nätverks- och informationssystemens säkerhet (NIS2). Det innehåller omfattande regler för att stärka motståndskraften i hela EU, och ska ersätta nuvarande NIS-lagstiftning samt direktiv om kritiska entiteters motståndskraft, förkortat CER-direktivet. Just nu pågår den nationella utredningen i Sverige. Utredningen om NIS2- direktivet (2022/2555) ska redovisas den 23 februari medan CER-direktivet (2022/2557) skjuts fram till den 16 september 2024. Läs kommittédirektivet här.

Utredningstiden förlängs för de delar som avser att:

  • föreslå hur CER-direktivet ska genomföras och frågor gemensamma för NIS2- och CER-direktiven i de ursprungliga kommittédirektiven, om de kopplas till CER-direktivet eller bidrar till en sammanhängande reglering.
  • analysera hur regleringen ska fungera vid sidan av säkerhetsskyddsregleringen och föreslå ändringar som behövs för att uppnå mer sammanhållen systematik mellan regelverken, kring tillsynsmyndigheternas befogenheter och sanktionsavgifternas storlek.
  • ta ställning till om bestämmelserna i offentlighets- och sekretesslagen (2009:400) innebär ett tillräckligt skydd för uppgifter som kan behandlas enligt direktiven.
  • i anslutning till dessa frågor lämna nödvändiga författningsförslag.

Detta gör Energiföretagen 

Energiföretagen påverkar kommande regleringar på området genom att delta i den referensgrupp som är utsedd av regeringen till det nationella utredningsarbetet. Föreningen välkomnar synpunkter från medlemmar på implementeringen av direktiven, och deltar bland annat i det NIS-forum som leds av MSB – där tillsynsmyndigheter och branschföreningar träffas regelbundet för att diskutera frågor kopplade till informations- och cybersäkerhet.

– Bästa sättet att förbereda verksamheten för NIS2 är att följa upp hur stor del av nuvarande föreskrift som är implementerad och på plats. Till hjälp finns vägledning till föreskriften från Energimyndigheten, säger Emma Johansson som är säkerhetsansvarig hos Energiföretagen.

Se även Energiföretagens ”Checklista för informationssäkerhet” (länk), samt minsta gemensamma nämnare i ”Strategi för säkerhet i 7-punkter” från ESG:s arbetsgrupp för Informations- och cybersäkerhet hos Energiföretagen. 

– De sju punkterna ger nycklarna till ett systematiskt och strukturerat säkerhetsarbete som med fördel sätts in i ett årshjul. Målet är att skapa robusthet och resiliens genom att undvika störningar men också ha förmåga att snabbt återhämta sig när något sker, säger Emma Johansson och avslutar med ett tips:

– Ta del av sårbarhetsvarningar via CERT.SE. Det finns även möjlighet att delta i IT/OT-nätverk för energisektorn som leds av MSB. Kontakta gärna mig för deltagande (se kontaktdata nedan).

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se