Den 15 januari trädde cybersäkerhetslagen i kraft. För organisationer inom energi och offentlig förvaltning innebär det ökade krav på hur information ska hanteras, skyddas och följas upp. Men bortom lagtext och regelverk finns en mer grundläggande fråga:
Har ni faktiskt koll på er information?
När det verkligen gäller
I många organisationer finns en känsla av kontroll. Man vet ungefär vilka system som finns, vilka data som används och hur arbetet fungerar. Men när något händer till exempel en incident, ett avbrott eller en säkerhetshändelse blir det ofta tydligt att bilden inte är så enkel.
Plötsligt uppstår frågor som är svåra att besvara:
- Vilka datamängder berörs?
- Vilka system är beroende av dem?
- Vem ansvarar för informationen?
- Vem ska kontaktas?
Det är här glappet mellan upplevd och faktisk kontroll blir tydligt.
Vad kräver egentligen NIS2?
Cybersäkerhetslagen, baserad på NIS2-direktivet, ställer i grunden krav på att organisationer har kontroll över sina informationsmängder. Det handlar om att veta vad informationen innehåller, hur den används och hur skyddsvärd den är. Många av kraven känns igen från etablerade arbetssätt, till exempel ISO 27001. Men i praktiken innebär det något ganska konkret:
Att kunna beskriva, förstå och följa upp sin information på ett systematiskt sätt.
Metadata – ett underskattat stöd
Här kommer metadata in. För många är metadata fortfarande något som kopplas till dokumentation eller administration. Men i praktiken är det ett av de mest konkreta verktygen för att skapa ordning i information.
Med hjälp av metadata går det att göra det som ofta saknas i vardagen:
att tydliggöra vad en datamängd innehåller, hur den får användas, vilken skyddsnivå den har och vem som ansvarar för den.
Det är inte en ersättning för informationssäkerhetsarbetet men det gör det möjligt att genomföra det.
”För många organisationer handlar NIS2 i grunden om att få koll på sin information. Vet man inte vilka datamängder man har, hur de används eller hur skyddsvärda de är, blir det svårt att leva upp till kraven i lagen.”
— Johan Esko, Gitter
Informationsklassning, mer än en övning
En central del i cybersäkerhetslagen är informationsklassning. Det är här organisationen identifierar sina informationsmängder och bedömer konsekvenserna om något händer. Men informationsklassning är inte bara en analys. Den behöver också vara användbar i praktiken.
När klassningen dokumenteras och struktureras med hjälp av metadata blir den möjlig att använda i vardagen inte bara i ett dokument, utan i arbetet.
Det verkliga testet: en incident
Ett enkelt sätt att testa sin egen mognad är att ställa frågan:
Vad händer om något händer?
- Hur snabbt kan ni få fram en överblick?
- Vet ni vilka data som påverkas?
- Vet ni vem som ska agera?
Med bra metadata finns svaren nära till hands. Utan den blir arbetet snabbt manuellt, tidskrävande och osäkert. Och det är just i de situationerna som kraven i lagen blir som mest konkreta.
Börja där ni står
Ett vanligt misstag är att försöka lösa allt på en gång. Ett bättre sätt är att börja i det lilla och bygga vidare därifrån. Det kan handla om att använda MSB:s metodstöd, att hålla informationsklassningen på en rimlig nivå och att låta riskanalyser styra vad som är viktigast att ta tag i först. Det viktigaste är inte att göra allt utan att börja, och att arbeta systematiskt över tid.
Metadata som verklighetskontroll
I takt med ökade krav på informationssäkerhet blir metadata allt mindre av en sidofråga. Det blir istället ett sätt att svara på en avgörande fråga:
Har vi faktiskt koll på vår information eller tror vi bara det?
För organisationer inom energi och offentlig sektor kan metadata vara skillnaden mellan att reagera i efterhand och att agera med kontroll.
Vill du diskutera hur ni kan få bättre kontroll över er information?
Hör av dig, vi tar gärna en dialog om hur ni kan börja utifrån era förutsättningar.
