Den 15 januari träder cybersäkerhetslagen i kraft. För organisationer inom energi och offentlig förvaltning innebär det ökade krav på hur information ska hanteras, skyddas och följas upp. Även om detaljerade föreskrifter från MSB publiceras löpande är riktningen tydlig: kontroll, spårbarhet och ett mer systematiskt informationssäkerhetsarbete. I det arbetet finns ett område som ofta underskattas, men som kan ge stort praktiskt stöd: metadata.
Vad har NIS2 och metadata med varandra att göra?
NIS2 ställer krav på att organisationer har koll på sina informationsmängder – vad de innehåller, hur de används och hur skyddsvärda de är. Många krav känns igen från etablerade arbetssätt, till exempel ISO 27001.
Här kan metadata spela en viktig roll. Med hjälp av metadata går det att strukturera och dokumentera information, till exempel genom att beskriva informationsklassning, skyddsnivå, ansvar, åtkomst och kontaktpersoner vid incident. Metadata ersätter inte informationssäkerhetsarbetet men gör det enklare att genomföra och följa upp i vardagen.
”För många organisationer handlar NIS2 i grunden om att få koll på sin information. Vet man inte vilka datamängder man har, hur de används eller hur skyddsvärda de är, blir det svårt att leva upp till kraven i lagen.”
— Johan Esko, Gitter
Informationsklassning – grunden som allt bygger på
En central del i cybersäkerhetslagen är informationsklassning. Det är här organisationen identifierar sina informationsmängder och bedömer konsekvenserna om informationen påverkas, utifrån konfidentialitet, riktighet och tillgänglighet. När klassningen dokumenteras med stöd av metadata blir den lättare att förstå, använda och hålla uppdaterad över tid.
När något händer – metadata ger snabbare överblick
Vid en incident är det avgörande att snabbt kunna svara på frågor som:
- vilka datamängder berörs?
- vilka system påverkas?
- vem ansvarar för informationen?
Med bra metadata finns svaren nära till hands, vilket underlättar både åtgärder och rapportering helt i linje med lagens krav.
Vårt råd: börja enkelt
Försök inte göra allt på en gång.
Börja med:
- MSB:s metodstöd för informationssäkerhetsarbete
- en rimlig nivå av informationsklassning
- att låta riskanalyser styra vad som är viktigast att ta tag i först
Det viktigaste är att börja och att arbeta systematisktoch kontinuerligt.
Metadata är inte längre en sidofråga
I takt med ökade krav på informationssäkerhet blir metadata en allt viktigare del av kärnverksamheten. För organisationer inom energi och offentlig sektor kan metadata vara ett praktiskt stöd för att både förstå och möta kraven i cybersäkerhetslagen.
Du är alltid välkommen att höra av dig till oss om du vill veta mer!
