De regelverk som gäller för myndigheter och större företag idag är mycket omfattande och komplexa att tillämpa, vilket kräver både stora resurser och hög kompetens. Detta innebär svårigheter för små och medelstora företag att på ett tids- och kostnadseffektivt sätt implementera informationssäkerhet med hög kvalitet och säkerhet.

Många mindre verksamheter förlitar sig första hand på tekniska lösningar som har införts genom företagets IT-avdelning eller lösningar som helt bygger på att IT-driften har outsourcats. För dessa lösningar saknar företagsledningen i många fall kompetens att bedöma om de är tillförlitliga och tillräckliga ur informationssäkerhetssynpunkt.

Den norm SSF Stöldskyddsföreningen nu tar fram kommer i likhet med större internationella standards på området att omfatta områden som t ex ledning av informationssäkerheten, outsourcing av IT-drift och kontinuitetshantering. Kraven i normen kommer däremot att vara av en omfattning och på en nivå som även små företag ska ha möjligheter att klara av.

– Fler och fler företag inser vilka stora risker teknik- och omvärldsutvecklingen medför samtidigt som våra intressenter och samarbetspartners har visat på ett tydligt behov av en ökad informationssäkerhet i samhället. Detta sammantaget gör att SSF väljer att ta initiativ till att utveckla en norm för informationssäkerhet, säger Annika Brändström, VD för SSF Stöldskyddsföreningen.

I referensgruppen för normarbetet ingår representanter för intresseorganisationer vars medlemsföretag ställer höga krav på informationssäkerhet, exempelvis Säkerhetsbranschen, SEM-Group och Svenskt Näringsliv. Dessutom deltar organisationer som har ett intresse av att olika verksamheter i samhället håller en bevisat hög nivå av informationssäkerhet, exempelvis Svensk Försäkring.

Till referensgruppen hör även representanter för organisationer som kan bidra med specialistkunskap inom informationssäkerhetsområdet och som har ett intresse av att utveckla näringslivets förmåga att upprätthålla ett effektivt och ändamålsenligt informationssäkerhetsarbete, exempelvis MSBoch Polisen.

- Att hantera information digitalt leder till nya risker och nya former av beroendeförhållanden med tjänsteleverantörer. Genom större medvetenhet om dessa risker, samt ett systematiskt informationssäkerhetsarbete, skapas bättre förutsättningar för framgångsrikt företagande, vilket också är viktigt ur ett samhällsperspektiv. Den norm SSF nu tar fram blir därför ett viktigt stöd anpassat för små och medelstora företag, säger Richard Oehme, chef för verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB.

Normen, som beräknas vara färdig under Q1 2018, kommer att kunna användas av företag inom alla sektorer av samhället och är ett stöd till självskattning där resultatet kan ligga till grund för att höja informationssäkerheten i verksamheten. För företag med extra höga krav på informationssäkerhet kommer certifiering mot normen vara möjlig.