Den nya utgåvan finns att hämta hos SSF och är kostnadsfri. Via denna länk kan ni beställa ett exemplar av normen. För dig som är kund hos oss finns den nya utgåvan även gratis för nedladdning i SBSC:s kundportal.
Bakgrund och syfte
En viktig bakgrund till den nya utgåvan är bland annat det kommande NIS2 direktivet som ska implementeras i svensk lagstiftning under nästa år. NIS2 direktivet innebär bland annat att det ställs högre krav på vissa myndigheter och organisationers cybersäkerhet. Det kommer även ställas krav på att dessa i sin tur säkerställer en tillräcklig nivå av cybersäkerhet och cyberhygien i sin leverantörskedja. Motsvarande sätt att stärka cybersäkerheten i leverantörskedjan har därför inarbetats i den nya utgåvan av normen, SSF 1101:2.
Vidare har det skett revideringar av vissa tekniska krav mot bakgrund av de möjligheter till tekniska säkerhetsåtgärder som idag är standard för de flesta it-system.
Slutligen har kravet på utbildning för att öka säkerhetsmedvetandet hos personalen reviderats så att det nu inte ställs krav på eller hänvisas till någon särskild leverantör av säkerhetsutbildningar.
Omfattning
Nedan går vi igenom de nya eller reviderade kraven och vad kraven innebär för den som är eller kommer att bli certifierad.
Backup (säkerhetskopiering)
Reviderat krav: Backuper (säkerhetskopior) SKA kontrolleras regelbundet.
Kommentar: tidigare var kravet att backuper BÖR kontrolleras regelbundet. Det nya kravet har införts mot bakgrund av att säkerhetskopior ofta kontrolleras först när en säkerhetsincident redan har inträffat och att organisationen då upptäcker att säkerhetskopiorna inte går att läsa tillbaka.
IT-tjänster
Nytt krav: Organisationen SKA identifiera de leverantörer vilkas it-tjänster är kritiska för organisationens verksamhet. Exempel på kritiska IT-tjänster listas i Bilaga A till normen.
Kommentar: idag är externa leverantörer av it-tjänster i regel helt avgörande för en organisations verksamhet. Behovet av att säkerställa cybersäkerheten sträcker sig därför längre än till den egna verksamheten. Ett första steg för att kunna säkra cybersäkerheten hos leverantörer av kritiska it-tjänster är att identifiera dessa.
I bilaga A till normen ges exempel på olika typer av it-tjänster vilka kan vara kritiska för verksamheten.
Nytt krav: Organisationen SKA säkerställa att de leverantörer vilkas it-tjänster är kritiska för organisationens verksamhet har en grundläggande cybersäkerhet.
Kommentar: kravet innebär att den organisation som är certifierad SKA säkerställa ATT leverantörer av kritiska it-tjänster har en grundläggande cybersäkerhet. Däremot anger normen inte något om vilken nivå av cybersäkerhet en leverantör ska ha och inte heller något om exakt HUR organisationen ska säkerställa detta. Syftet med kravet är att den certifierade organisationen själva behöver ta ställning till vilka krav organisationen behöver ställa på sina leverantörer av kritiska it-tjänster.
Nytt krav: Leverantörens nivå av cybersäkerhet SKA säkerställas genom egendeklaration, ackrediteringar, intyg, certifikat eller motsvarande.
Kommentar: organisationen behöver på något sätt verifiera att leverantören faktiskt har den grundläggande cybersäkerhet som organisationen ställer krav på. Nivån kan verifieras på olika sätt, t ex. i form av egendeklarationer, ackrediteringar, certifieringar, avtal eller motsvarande. Att en leverantör i sin tur ska vara certifierad är inget krav, men certifiering eller ackreditering mot någon befintlig standard eller norm är naturligtvis ett sätt att verifiera en grundläggande cybersäkerhet hos en leverantör. Syftet med detta krav är att organisationen på något sätt ska begära av en leverantör att visa på någon form av dokumentation som styrker att cybersäkerheten håller (minst) en grundläggande nivå.
Autentisering
Nytt krav: I samtliga fall det är tekniskt möjligt SKA multifaktorautentisering (MFA) användas för autentisering av användare.
Kommentar: idag har de tekniska möjligheterna att på ett enkelt sätt implementera multifaktorautentisering (MFA) i de flesta it-system utvecklats sedan den första utgåvan av normen togs fram. MFA innebär en lågt hängande frukt ur ett cybersäkerhetsperspektiv och höjer förmågan att stå emot olika attacker högst avsevärt. Läs mer om vad MFA är för något här. Observera att det finns många olika tekniska lösningar för MFA beroende på system eller applikation.
Utbildning
Reviderat krav: Samtliga medarbetare ska genomföra grundläggande utbildning i cybersäkerhet. Utbildningen ska minst omfatta; hot, risker och säkert beteende. I utbildningen ska ingå områden som lösenordshantering, säkerhetskopiering, molntjänster, e-post, sociala medier, skadlig kod, distansarbete, när en incident inträffar och hantering av mobila enheter.
Kommentar: utbildning i cybersäkerhet hänvisar nu inte specifikt till utbildningen MSB DISA utan det är upp till varje organisation vilken metod eller leverantör de väljer för att uppfylla kraven på utbildning. Leverantörer av denna typ av utbildningar kan vara organisationer som MSB, Junglemap eller Stöldskyddsföreningen, men det finns inget som hindrar att en organisation själv utbildar sin personal om organisationen har sådan kompetens. Syftet är att personalen ska ha en sådan utbildning att de har ett högt säkerhetsmedvetande och vet vad de ska göra för att minska risken för olika säkerhetsincidenter.
Redan certifierade eller har ni en pågående ansökan?
Ni som redan är certifierade eller som har en pågående ansökan blir kontaktade av oss för mer information om vad som gäller för just er organisation.
Intresserad av certifiering?
Här kan du läsa mer om och ansöka om certifiering enligt SSF 1101 Cybersäkerhet BAS som ett led i att skydda ditt företag eller organisation mot de vanligaste cyberhoten.
