NCS3 - Regelverk och krav inom området industriella informations- och styrsystem

Författare:

  • Jessica Appelgren
  • Erik Zouave

Publiceringsdatum: 2021-03-30

Rapportnummer: FOI-R--5073--SE

Sidor: 68

Skriven på: Svenska

Forskningsområde:

  • Krisberedskap och civilt försvar

Nyckelord:

  • Regelverk
  • krav
  • informations- och styrsystem
  • kontrollsystem
  • cybersäkerhetsakten
  • dataskydd
  • informationssäkerhet
  • säkerhetsskydd
  • informationsoch kommunikationsteknik
  • SCADA-system
  • elproduktion
  • eldistribution
  • dricksvattenproduktion
  • vattendistribution
  • fjärrvärme
  • fjärrkyla
  • kemisk processindustri
  • spårbunden trafik
  • elektroniska kommunikationer
  • hälso- och sjukvård

Sammanfattning

Totalförsvarets forskningsinstitut (FOI) genomförde under 2012, på uppdrag av Myndigheten för samhällsskydd och beredskap (MSB), en studie i syfte att undersöka hur regelverk och krav styr säkerhetsarbetet med industriella informations- och styrsystem. Studien omfattade sektorerna: elproduktion och eldistribution, dricksvatten, fjärrvärme och fjärrkyla, kemisk processindustri, spårbunden trafik, samt elektroniska kommunikationer. 2015 genomförde FOI en uppdatering av studien för att följa upp vilka förändringar inom regelverk och krav som skett för respektive sektor sedan december 2012. Regelverk och krav som styr säkerhetsarbetet med industriella informations- och styrsystem har sedan förändrats genom omfattande reformer. Detta gäller i synnerhet med antagandet av NIS-direktivet, cybersäkerhetsakten och nya säkerhetsskyddslagen. I denna rapport redovisas resultatet från en uppföljande studie med målet att på övergripande nivå beskriva nu gällande regelverk och krav för industriella informations- och styrsystem, genom att inkludera de förändringar som genomförts efter den 1 december 2015. Förutom tidigare kartlagda sektorer har denna rapport utökats med sektorn hälso- och sjukvård. Rapporten beskriver både relevanta regelverk och krav för respektive utpekad sektor och centrala sektorsövergripande regelverk och krav. Rapporten ger även exempel på ett antal lagar och bestämmelser inom andra områden som kan påverka både krav som generellt ställs på informationssäkerhet, såväl som på informations- och styrsystem.