Ny sikkerhetslov stiller strengere krav til IT-systemer. Den nye sikkerhetsloven som trådte i kraft 1. januar 2019, gjelder spesielt datasikkerhet for fylkeskommunale, kommunale og statlige organer.
Sikkerhetsloven er ikke ny, men har frem til nå handlet mest om beskyttelse av gradert informasjon. Den nye sikkerhetsloven har større omfang enn loven den erstatter og omfatter nå også datasystemer, infrastruktur og objekter med betydning for nasjonal sikkerhet.
Formålet med loven er å forebygge, avdekke og motvirke sikkerhetstruende virksomhet, og omfatter i nå også datasystemer som kan være sårbare for angrep. Loven har innvirkning på de fleste statlige og kommunale organer fordi IT-systemer er en naturlig del av vårt samfunn.
Loven krever blant annet at Norge sikres mot angrep som truer økonomisk stabilitet, handlefrihet og grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet. At Forsvaret må ha et høyt sikkerhetsnivå for sine IT-systemer er naturlig, men cyberangrep kan også ramme samferdsel, strømforsyning, politi og sykehus med store konsekvenser.
NSM har utarbeidet veiledere basert på ISO 27000-serien
Nasjonal sikkerhetsmyndighet har utarbeidet et sett med prinsipper og tiltak som skal hjelpe statlige og kommunale organer med å oppfylle kravene i den nye sikkerhetsloven. Disse er basert på ISO 27000-serien som kom ut allerede i 2005 (og har blitt revidert flere ganger).
NSM’s veiledere gir praktiske tips for brukere og systemteknikere, men for å få et etablert rammeverk og en større forståelse for informasjonssikkerhet, anbefaler vi å anskaffe standardene i ISO 27000-serien. Disse er tilgjengelige nederst på denne siden.
Les mer om endringer i loven og NSMs veiledere på nettsidene til Nasjonal Sikkerhetsmyndighet
NSM viser til ISO også ved tjenesteutsetting
Leverandører til statlige, fylkeskommunale og kommunale organer må også forholde seg til sikkerhetsloven.
NSM skriver i sine grunnprinsipper: «Ved en tjenesteutsetting bør det minimum stilles krav til leverandøren om: Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017.»
Sikkerhetsloven vil dermed få en viktig plass i norske IT-systemer i årene fremover og både offentlige organer og private aktører som handler med disse, vil ha god nytte av å anskaffe og sette seg inn i ISO 27000-serien.
