Hur gör man i Norge? Om NATOs regelverk Security of Information

Intro: NATOs regelverket gällande informationssäkerhet gäller redan nu, och det gäller all NATO-relaterad information som hanteras i Sverige.
På Försvarshögskolans heldag ”Mötesplats Säkerhetsskydd” som hölls i oktober berättade Klaus Søreide, seksjonssjef, NSM om hur Norge på sitt eget sätt valt att integrera NATOs säkerhetsbestämmelser.

Några intressanta axplock från Klaus Søreide dragning:
🔈 Efterlevelsen av NATOs krav på säkerhet är en stor utmaning för verksamheterna
🔈 I Norge är det motsvarande svenska Säkerhetsskyddslagen som tillpassats NATOs regelverk, då man eftersträvade ett enhetligt, nationellt regelverk tillpassat efter Norges eget behov och egna säkerhetsintressen

🔈 Idag är vårt regelverk dock målstyrt och inte beskrivande i detaljer. Dvs det är det önskade tillståndet som anges men HUR verksamheterna uppnår detta tillstånd är öppet och ska tillpassas verksamheternas egen lägesbild. HURet kan i och med detta ändras och utvecklas löpande över tid (avseende tolkning och beskrivning) och det kan ändras i takt med förändringar i säkerhetsläge, ny teknologi, verksamhetens förändringar, etc.

🔈 Tidigare hade vi i Norge mer detaljstyrning av säkerhetsskyddet, dvs verksamheterna kunde checka av om man var compliant, men det är svårare att göra idag när det är målstyrt. Ett stort ansvar ligger på verksamheterna själva att bedöma och vidta relevanta säkerhetsåtgärder för att uppfylla regelverket. Det ställer krav på hög säkerhetskompetens i alla led i verksamheten. Och man kanske upplever att man inte får den tydlighet eller konkretisering man efterfrågar.

🔈 Vi som tillsynsmyndighet ska dock inte gå längre än att målstyra. Regelverket förutsätter självständig värdering och det ansvaret måste verksamhetsutövare själva ta. Vi ger idag mer råd och vägledning än att vi utför regelrätta kontroller. Vi säkerställer nu att verksamheterna har ett styrningssystem och att de gör sina riskanalyser. Vi tittar på hur de värderat risker och hur de motiverar säkerhetsåtgärderna.”

Egen kommentar: Sveriges medlemskap kommer få stor betydelse de säkerhetsskyddsanalyser och säkerhetsskyddsplaner som framgent görs i Sverige, både i offentlig verksamhet och i privata företag. Dvs i ”alla verksamheter som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd”.

Jag hoppas att också Sverige går mot en ökad grad av målstyrning, vilket torde öka graden av eget ställningstagande och möjliggöra ökad flexibilitet till ev förändrad lägesbild avseende hot, verksamhet, skyddsvärden, teknologier, etc.
Jag hoppas också att vägledningar som idag kan uppfattas som väldigt omfattande och svåruppfyllda kan förenklas. Och att tillsynen ökar; med systematiska uppföljningar, kompetent ifrågasättande och med skärpta sektorsspecifika vägledningar.
Intressant utveckling följer.

//