NIS2 och SDK högst på agendan för Säffle

Under hösten 2024 valdes Säffle ut som en av 18 kommuner att delta i MSB:s mognadsdialog, vars syfte är att organisationer ska få bättre koll på hur de ligger till i sitt systematiska informationssäkerhetsarbete.

I december genomförde myndigheten en workshop med kommunen som samlade ihop en relativt stor grupp med representation från många olika verksamheter; bland annat deltog kommundirektörens ledningsgrupp, digitaliseringsgruppen och it-säkerhetsgruppen. 

– Mognadsdialogen utgår ifrån tolv perspektiv, och vi hann gå igenom fyra av dem under dagen: riskhantering, incidenthantering, leverantörsrelationer samt ledning och styrning. Vi kollade nuläget, vad vi behöver utveckla, och om vi har rätt arbetssätt och tillämpning utifrån de olika perspektiven, säger Jörgen Paulsson, it-chef i Säffle kommun. 

Under arbetet kom Säffle kommun fram till att man följer processen för incidenthantering, och har en bra systematik i sitt informationssäkerhetsarbete. Dock är detta inte alltid tillräckligt väl dokumenterat, vilket kommunen håller på att åtgärda nu. Därutöver finns arbete kvar att göra när det kommer till uppföljning.

– I och med NIS2 får ledningen ökade krav på att allt ska följas upp. Vi i styrgruppen för dataskydd- och informationssäkerhet informerar ledningsgruppen två gånger per år, bland annat om hur det systematiska arbetet fortskrider och vilka incidenter som inträffat under det senaste halvåret. Med nya NIS2 får ju ledningen det övergripande ansvaret, och sådana här uppföljningsmöten kommer förmodligen behöva ske betydligt oftare.

Fyra nivåer av mognad

I MSB:s mognadsdialog finns fyra nivåer, där nivå 1 är reaktiv, 2 är viss systematik, 3 är förbättringsdriv och 4 är proaktiv. För att vara NIS2-kompatibel ska man upp till nivå 3, enligt MSB. Men en del kommuner kommer troligen behöva ett par år för att implementera de nya lagkraven, precis som det var med dataskyddsförordningen, enligt Jörgen Paulsson.

– Inom vissa områden är vi på nivå 2 och i andra på nivå 1, så det finns arbete kvar att göra. Men detta är vi inte ensamma om. Förordningen är ju fortfarande ute på remiss i Sverige och det är ännu inte helt klart exakt vad den kommer säga.

– Men MSB:s mognadsdialog har hjälpt oss på vägen. Vi har koll på nuläget och vet vad vi behöver göra för att förbättra oss – från högsta ledningen ner till våra respektive verksamheter. För att nå dit vi vill kommer det att krävas investeringsmedel de kommande åren.

Säkra meddelanden, Säkra videomöten och SDK

Utöver arbetet med NIS2-förordningen har Säffle nyligen upphandlat en ny plattform för hela kommunkoncernen. Plattformen möjliggör funktioner för Säkra meddelanden, Säkra videomöten och Säker digital kommunikation (SDK).

Säkra meddelanden är ett verktyg för att kunna skicka epost till varandra innehållandes känsliga personuppgifter. För att kunna öppna meddelandet behöver mottagaren identifiera sig med bankid.

– Säkra videomöten är i sin tur ett verktyg där invånare eller brukare ska kunna ha digitala möten med kommunen och dela med sig av känsliga uppgifter. Även här identifierar sig deltagarna med bankid.

Det mer kända SDK är ett sätt för statliga myndigheter, regioner, och kommuner att utbyta information digitalt på ett säkert sätt. Ofta handlar det om att ersätta analoga informationsutbyten som tidigare skötts via telefon, fax, eller vanlig post.

– Vi ser stora nyttor med alla tre funktionerna. Vi har varit med om en del personuppgiftsincidenter där information skickats till fel person, och information som inte ska skickas via mejl har gjort det. Med de här tre funktionerna undviker vi denna typ av incidenter.

Än så länge har kommunen kört interna pilottester på de tre verktygen, men nu i mars lanseras Säkra meddelanden och Säkra videomöten brett i organisationen och alla medarbetare får tillgång till funktionerna.

– Detta gäller dock inte för Säker digital kommunikation där det endast är medarbetare som har hand om funktionsbrevlådor som får tillgång.

Antipiloter och Polisen

På temat SDK skickar Jörgen Paulsson även en passning till Polismyndigheten.

– Polisen är inte med på listan över myndigheter som är på väg att ansluta sig till SDK. Det går en hel del post mellan oss och polisen, och det vore önskvärt om vi kunde använda SDK för den kontakten. Polisens kommunikation med kommuner sköts fortfarande till hög grad via fax, och vi behöver komma ifrån det.

En annan sak som Jörgen Paulsson vill komma ifrån är Säffles papperspost mellan medarbetare inom kommunen. Därför ska han nu sätta igång ett pilotprojekt med så kallade antipiloter, det vill säga saker som kommunen måste sluta med.

– Vi kan inte skicka papperspost till varandra när vi har digitala kanaler som Teams och Säkra Meddelanden. Det är klart att kommunen måste kunna ta emot fysisk post från våra invånare, men vi ska inte behöva skicka det internt. Vi kan heller inte ha en analog anställningsprocess där man måste skicka papper och signera för hand längre – vi har digital signering för detta.

– Analoga processer måste digitaliseras – därför ska jag börja göra interna antipiloter för att utreda potentiella konsekvenser och därefter få till en ökad effektivitet i våra processer.