Standarder i föreskrifter

Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning. Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.

En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen. Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom terminologin trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder. För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.

Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med. Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan 2009 . Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete. Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen. Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.

Tyvärr följde detta krav med när föreskriften uppdaterades 2016 i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.

I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!) som ger mig stöd i min uppfattning. Här skrivs explicit:

En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.

Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning. Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla  den nationella styrningen så att den blir mer transparent och tillgänglig för alla.