Lagen skyddar inte din verksamhet – det måste du göra själv

Cybersäkerhetslagen gäller inte alla. Men cyberhoten gör det. Fyra affärsrisker som kräver ledningens uppmärksamhet.

Cybersäkerhet · · 3 min lästid

Sveriges nya cybersäkerhetslag genomför NIS2-direktivet i svensk rätt. Den lägger ansvaret på ledningen, inte IT-avdelningen. Det är ledningen som ska godkänna riskhanteringsåtgärder, följa upp att de fungerar och förstå vad som står på spel.

Det är bolagsstyrning. Inte teknikdrift.

Men lagen gäller inte alla. Och det är just där det blir farligt.

”Vi omfattas inte” är inte samma sak som “vi är säkra”

Jag har sett det hända. Verksamheter som antog att “vi omfattas inte” också betydde “vi behöver inte bry oss”. Jag har haft ansvar för de här frågorna i 25 år, som IT-direktör i kommun med NIS-ansvar och som CIO med verksamhet i åtta länder. Jag vet hur det slutar.

En underleverantör utan krav. En kommun med begränsade resurser. Ett bolag som aldrig klassats som kritisk infrastruktur.

Alla kan vara den svagaste länken i en kedja som faktiskt är reglerad, och som räknar med att hela kedjan håller.

Cyberhot bryr sig inte om juridiska tillämpningsområden.

Det här är affärsrisk, inte IT-incidenter

De flesta styrelser och ledningsgrupper förstår affärsrisker. Men många kopplar fortfarande inte ihop cybersäkerhet med de risker de redan hanterar dagligen. Här är fyra scenarier som inte kräver teknisk förkunskap:

Förlorade kundkontrakt

Allt fler kunder och upphandlande myndigheter ställer krav på informationssäkerhet i sina leverantörsgranskningar. Kan du inte visa att du har grundläggande kontroller på plats – riskanalys, incidenthantering, åtkomstkontroll – riskerar du att förlora affären. Inte för att du blivit attackerad, utan för att du inte kan visa att du tagit frågan på allvar.

Produktionsstopp i dagar, inte timmar

Ransomware-attacker slår hårdast mot verksamheter som aldrig övat på återställning. Att ha backup räcker inte. Du behöver veta att backupen fungerar och att planen för återställning är testad.

Utan det kan ett stopp som borde ta timmar ta veckor.

Personligt ansvar i styrelsen

Cybersäkerhetslagen skärper det personliga ansvaret för ledningsorganet i reglerade verksamheter. Men även utanför lagens tillämpningsområde har styrelseledamöter ett ansvar enligt aktiebolagslagen att agera i bolagets intresse. Om ingen i styrelsen fattade beslut om kända risker, eller ens kände till dem, blir det svårt att hävda att ansvaret är uppfyllt.

Försäkringen som inte betalar

Cyberförsäkringar blir allt vanligare, men villkoren blir också allt strängare. Många försäkringsbolag kräver att grundläggande skyddsåtgärder finns på plats – multifaktorautentisering, segmenterade nätverk, regelbunden patchning. Saknas det vid en skada kan ersättningen utebli helt.

Ribban och verkligheten

Cybersäkerhetslagen sätter ribban för reglerade verksamheter. Den definierar vad samhället förväntar sig av organisationer som bär kritiska funktioner. Men lagen definierar ett golv, inte ett tak.

Det som skiljer en medveten organisation från en omedveten är inte om den omfattas av lagen. Det är om ledningen förstår vad som faktiskt står på spel: i intäkter, i avtal, i ansvar och i förtroende.

Och den förståelsen börjar inte med teknik. Den börjar med frågor:

  • Vad är verksamhetskritiskt och skyddsvärt i vår organisation?
  • Vilka beroenden kan slå ut våra kärnprocesser?
  • Vem äger riskerna, och kan den personen fatta beslut under press?
  • Fungerar våra kontroller i verkligheten, eller bara i ett dokument?

Om du inte kan svara på de frågorna i dag, är det inte ett IT-problem. Det är en ledningsfråga.

Börja med det som spelar roll

Du behöver inte ett fullskaligt ISMS för att ta första steget. Men du behöver en ärlig bild av var du står. Det innebär:

  1. Identifiera det skyddsvärda. Vilka system, data och processer kan din verksamhet inte vara utan?
  2. Kartlägg beroendena. Vilka leverantörer, tjänster och kopplingar kan dra ner dig om de fallerar?
  3. Testa era antaganden. Fungerar er incidentplan? Har ni övat? Vet alla vad de ska göra?
  4. Förankra hos ledningen. Säkerhet som bara lever på IT-avdelningen är säkerhet utan mandat.

Cybersäkerhet har inget slutdatum. Det kräver samma uppmärksamhet från ledningen som budget och regelefterlevnad.

Affärsrisken har inget undantag. Oavsett storlek. Oavsett bransch. Oavsett om lagen nämner dig vid namn.

Behöver du stöd med att förstå var din verksamhet står? Kontakta oss för en kostnadsfri genomgång.

Författare

KB
Kim Borg

Grundare & VD

25+ års erfarenhet inom IT-ledarskap, från systemutvecklare och Scrum Master till IT-direktör och Group CIO. Djup kompetens inom ISO 27001, NIS2, riskhantering och informationssäkerhetsstyrning. Utbildad inom LIS vid Högskolan i Skövde.

Fler insikter

Relaterade artiklar

Redo att stärka er cybersäkerhet?

Boka ett kostnadsfritt möte så diskuterar vi hur vi kan hjälpa er organisation att möta de nya kraven.

Boka ett möte