It-chefen: "Cybersäkerhetslagen i januari kan bli ny GDPR-chock"

– Vi på EttIT har precis köpt in nytt datacenter, brandväggar och en backup-lösning eftersom den gamla utrustningen var för gammal. Det var dags att byta. Dessutom kommer en ny cybersäkerhetslag den 15 januari, vilket ställer höga krav på oss. För att uppfylla kraven behöver vi nytt datacenter och nya brandväggar. Det gör att mer blir automatiserat och mindre manuellt, så vi får bättre styrning och kontroll över våra produkter och vår säkerhet.

15 januari är relativt snart. Hur ligger ni till i förberedelserna?

chocken  förberedelserna inför – Vi på it ligger ganska bra till. MSB kom ut med en remiss för drygt en månad sedan, och vi har börjat gå igenom den. För it-delen ser det hyfsat bra ut – jag skulle gissa att vi är 70–80 procent klara. För verksamheterna är det mer utmanande, eftersom det krävs en helt annan dokumentation kring vem som äger ett system, vem som förvaltar det och så vidare. Alla system behöver även informationsklassas och dokumenteras på ett helt annat sätt än tidigare.

Kommer ni att hjälpa verksamheterna i förberedelserna?

– Ja, vi kommer att hjälpa dem genom att titta på dokumenten som finns och nya lagen som kommer. Vi kommer att göra en del som har med oss på it att göra, en del behöver verksamheten hantera och vissa saker behöver vi såklart hantera tillsammans. Men de kommer att få ett hyfsat färdigt underlag från oss på it över vad de bör titta på.

När GDPR kom för några år sedan blev det lite kaosartat i början. Finns det risk för en liknande situation nu med den nya cybersäkerhetslagen?

– Det tror jag. Det är inte många utanför it-avdelningen som känner till att lagen träder i kraft den 15 januari. Det kan komma som en chock: ”Oj, måste vi göra allt detta?” Privatpersoner påverkas nog inte lika mycket, men företag och myndigheter gör det. Så ja, det kan bli lite kaos i januari. Det är mycket jobb att göra innan dess.

Vad är det viktigaste att tänka på innan 15 januari?

– Det är informationsklassningen. Vad har vi för information i våra system? Hur skyddar vi systemen? Är det känslig data ska den skyddas på ett helt annat sätt än om det är mindre känslig information.

Du var här i Voister-studion för cirka tre år sedan och då pratade vi om Office 365 och molntjänster. Hur arbetar ni med molntjänster idag?

– Våra kommuner har inte kommit så mycket längre. Man jobbar i Teams, samt lite i Onedrive och i Sharepoint. Mejlen ligger i Office 365. Men vi har inga tydliga direktiv om vad som får lagras i molnet och inte. Riktlinjen nu är: Ingen känslig information i molnet. Vi hade gärna sett att SKR eller någon annan tog fram riktlinjer som gäller för alla svenska kommuner och myndigheter, så man slipper uppfinna hjulet själv.

Du skulle vilja se någon form av styrning från högre ort?

– Ja, det hade varit jätteskönt. Oavsett om svaret är ja eller nej – peka oss i en riktning. Kan vi lita på exempelvis Microsofts eller Googles molntjänster, eller ska vi ha allt on-prem hos oss själva?

Avslutningsvis, hur ser er verksamhet annorlunda ut om ett år? Vad har ni gjort då?

– Då ska vi vara klara med cybersäkerhetslagen och de riktlinjer och krav som följer. Vi kommer att ha en helt annan dokumentation på vilka som äger och förvaltar våra verksamhetssystem, samt vilken typ av information de innehåller. På så sätt kan vi på it bygga olika säkerhetslager för olika nivåer av informationsklassning.

– Så att säkra data och information är vårt fokus det kommande året. Det sker attacker hela tiden mot Sverige, så vi måste skydda oss.