Cybersäkerhetslagen svettigare än GDPR för dig som verksamhetsledare
Cybersäkerhetslagen ställer långtgående krav på ledare i både offentlig verksamhet och i samhällskritiska sektorer i näringslivet.
För att kunna leva upp till kraven – och undvika dryga sanktionsavgifter (och för bolag även risk för tillfälligt näringsförbud) – behöver du snarast samla ihop verksamhetens ledare för att få klarhet i frågan: ”Hur kan vi hjälpas åt för att uppfylla alla de här kraven?”, konstaterar Olof Eilertsson, it-rättsjurist och säkerhetsarkitekt på Atea, i den här spaningen.
Spaningen i ett nötskal
Olof Eilertsson, it-rättsjurist och säkerhetsarkitekt på Atea. Han leder även en ledningsworkshop som ger ansvariga chefer en startpunkt i förberedelserna inför cybersäkerhetslagen.
Det blir en svettig vår, sommar och höst för många verksamhetsledare i Sverige. GDPR var en uppvärmning inför det sprintlopp som nu väntar. Enligt förslaget till den nya cybersäkerhetslagen läggs enormt mycket ansvar på verksamhetsledare från den 1 februari 2025. I offentlig verksamhet är det bara kommun- och regionfullfullmäktige som fritas ansvar, enligt utredningen. Det innebär att alltifrån kommunstyrelser, nämnder och förvaltningschefer snarast behöver sätta cybersäkerhetsfrågan i centrum.
Du förväntas ha kunskap att förstå och bedöma cybersäkerhetsrisker och hur de påverkar verksamheten. På ditt bord hamnar också att godkänna riskhanteringsåtgärder för cybersäkerhet, och se till att de både implementeras på rätt sätt och att en fungerande incidentrapporteringsrutin finns på plats. Du ska även se till att verksamheten kan fortsätta driften om it-systemen fallerar. Allt är så kallade "skall-krav", och de är fler än vad som får plats här. Du förväntas förstå, fatta besluten och ta ansvar, inte bara skicka vidare ansvaret till it-avdelningen. Ett strukturerat, riskbaserat cybersäkerhetsarbete med ett brett perspektiv som genomgår ett ständigt förbättringsarbete är en förutsättning för att lyckas.
Vad ni kommer att upptäcka
Det vi redan har sett när vi genomfört ledarworkshops i verksamheter inför den nya cybersäkerhetslagen är att den nya lagen – med alla dess utmaningar – blir en enande faktor. Plötsligt har vi ledare som kommer från olika håll och för en dynamisk dialog, och utvecklar en gemensam kunskapsinsiktsbas att diskutera utifrån, samtidigt som it-medvetenheten höjs. Detta är inte bara en förutsättning för att kunna uppfylla kraven och därmed slippa sanktionsuppgifter.
Ni kommer även att upptäcka att det finns många uppsidor med att ta allt det här ansvaret och se till att säkerhetsjobbet blir gjort. Att ta cybersäkerhetslagstiftningen på allvar gör att ni får en bättre kontroll på er information och på säkerheten i era system. Det gör även att ni lättare kan applicera AI-lösningar på ett säkert sätt framöver inom ramen för vad den kommande AI Act kräver. Annars får ni göra dubbelarbete. Verksamheter som är på offensiven med cybersäkerhetslagen vinner förtroende hos medborgare och kunder – medan de som ”väntar och ser” riskerar att hamna på efterkälken i regelefterlevnaden, bli offentligt kritiserade och få sitt förtroende skadat.
- Det är ofrånkomligt att den nya lagen blir av, även om den inte är fastställd ännu. Lagen blir en anpassning till det redan klubbade NIS2-direktivet från EU som togs fram utifrån principen att medborgare i Europa måste kunna lita på att de samhällsbärande systemen är säkra. Cyberhoten minskar inte i styrka. Tvärtom. Främmande stater, cyberkriminella, ”hacktivister” och även missnöjda insiders kan ställa till med extremt stora skador om inte system och information skyddas.
- EU har satt sanktionsnivåerna väldigt högt i NIS2-direktivet som ligger till grund för cybersäkerhetslagen, vilket indikerar att man från EU-håll är angelägna om att de nya reglerna ska efterlevas. Offentliga verksamheter riskerar 10 miljoner kronor i böter om brister upptäcks vid de kontroller som kommer att genomföras. För bolag blir det ännu dyrare: Upp till 100 miljoner, eller upp till 2 procent av den globala årsomsättningen, tillsammans med risk för vad som till viss del kan likställas med näringsförbud.
- EU är på gång med en ny AI-förordning (EU AI Act) som i många delar kommer att överlappa innehållet i cybersäkerhetslagen. AI-förordningen, som väntas införas successivt under 2024-2026, reglerar hur man får använda sig av AI, exempelvis i sin kommunikation.