Den nya cybersäkerhetslagen förändrar spelplanen. Det handlar inte längre bara om IT-säkerhet utan om också ledningens ansvar vid en kris, och förmåga att fatta beslut och agera under press. Lagen ställer därmed tydliga krav på organisationens faktiska krisberedskap.
Den 15 januari i år trädde den nya cybersäkerhetslagen i kraft i Sverige. Lagen innebär skärpta krav på riskhantering, incidentrapportering och styrning. Nytt är också att ledning och styrelse har fått ett uttryckligt ansvar för att säkerhetsarbetet är tillräckligt, och att det fungerar i praktiken.
Uttryckligt ansvar
Cybersäkerhetslagen implementerar EU:s NIS2-direktiv och omfattar organisationer inom särskilt utpekade sektorer samt leverantörer till dessa. Lagen innebär att ledningen ska godkänna och övervaka riskhanteringsåtgärder samt säkerställa att organisationen kan hantera incidenter. Det kräver både tillräcklig kunskap om riskbilden och en systematisk process för att kontinuerligt identifiera, bedöma och följa upp risker – en tydlig rörelse från reaktivt till proaktivt arbete.
Kännbara sanktioner
Bristande efterlevnad kan leda till betydande sanktionsavgifter. För väsentliga verksamheter kan det handla om upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen – det högsta beloppet gäller. I allvarliga fall kan även sanktioner riktas mot personer i ledningen, exempelvis i form av förbud att inneha ledningsfunktioner.
När en allvarlig cyberincident inträffar kräver lagen mer än tekniska åtgärder. Organisationen måste ha en fungerande incidenthantering som gör det möjligt att:
- snabbt skapa en lägesbild
- fatta beslut om rapportering
- samordna åtgärder
- kommunicera med berörda intressenter
Rapportering ska ske inom 24 till 72 timmar, och alla beslut och åtgärder måste dokumenteras.
Innebörden av det lagen nu kräver är i stort samma komponenter som utgör en välfungerande krisberedskap.
Räcker inte med planer
För att säkerställa att organisationen kan hantera cyberincidenter effektivt krävs regelbundna utbildningar och övningar Ledningen behöver öva på att fatta beslut under hög press och i scenarier där informationen är ofullständig och flera funktioner påverkas samtidigt. Generellt behöver även kunskapen om cyberrisker och säkerhet höjas.
Lagen gäller inte alla – men kraven gör det
Även bolag som formellt inte omfattas av lagen påverkas indirekt genom ökade krav från kunder, samarbetspartners och försäkringsgivare. Frågan kommer sannolikt att öka i betydelse i takt med att cyberangreppen blir fler och kraven på organisatorisk motståndskraft ökar.
Behöver ni hjälp?
Comma erbjuder krisövningar med cyberscenario för ledningsgrupper som vill testa sin beredskap. Är ni inte riktigt där ännu hjälper vi er att bygga den struktur som krävs genom översyn av rutiner, förtydligande av mandat och, vid behov, implementering av CrisisPilot som stöd för samordning, dokumentation och spårbarhet.
Exempel på tjänster:
- Översyn av krisplan samt komplettering med checklista vid IT-incidenter
- Implementering av CrisisPilot för snabbare larmning och delad lägesbild i krisledningen, redundans i kommunikationsvägar och automatisk logg
- Övning av krisledning med scenario cyberincident
- För de kunder som även behöver öka kunskapsnivån och den tekniska säkerheten har Comma samarbete med cybersäkerhetsexperter