Den sjunde november samlades företag, experter och myndighetsföreträdare på ett event hos Vinge i Malmö för att belysa de kommande förändringarna som följer med implementeringen av NIS2-direktivet i Sverige. Direktivet, som är en del av EU:s strävan att stärka cybersäkerheten över hela unionen, innebär nya, skärpta krav på informations- och cybersäkerhet för svenska bolag och dess ledning.
NIS2 syftar till att höja säkerhetsnivåerna på kritisk infrastruktur och viktiga samhällstjänster, inklusive energi, transport och hälsovård. Bakgrunden till de nya reglerna är dels det säkerhetspolitiska läget, dels den ökande digitaliseringen av samhället.
För att anpassa svensk lagstiftning till EU:s direktiv föreslås en ny cybersäkerhetslag, som kommer ställa högre krav på företag att hantera risker och incidenter relaterade till informationssäkerhet. Dessa krav kan få allvarliga konsekvenser för företag som inte följer bestämmelserna, och ledningarna i dessa bolag kommer att få ett större ansvar för cybersäkerheten än tidigare.
En av de mest betydelsefulla förändringarna mot nuvarande lagstiftning är att fler verksamheter kommer att omfattas av lagen. Fler företag, även de som tidigare inte varit definierade som samhällsviktiga, kommer att omfattas. Därmed blir det ännu viktigare för svenska bolag att analysera om de omfattas av de nya reglerna och vidta åtgärder för att säkerställa efterlevnad.
Margareta Palmquist, MSB, Beatrice Fossmo, Combitech, Lisa Bourghardt och Sofie Nordgren, Vinge.
Ett av de centrala budskapen under eventet var att det är hög tid för svenska bolag att förbereda sig inför de nya reglerna. Enligt talarna från Vinge, Combitech och MSB (Myndigheten för Samhällsskydd och Beredskap), är det viktigt att inte vänta, utan att börja planera och genomföra konkreta åtgärder redan nu. Företag bör göra en noggrann analys för att ta reda på om de omfattas av de nya kraven och börja vidta de nödvändiga säkerhetsåtgärderna.
Det framgick tydligt att ansvaret för cybersäkerheten inte bara ligger på IT-avdelningarna. Enligt den nya lagen är det styrelsen och den högsta ledningen som kommer att hållas ansvariga. Styrelsen måste inte bara vara medveten om cybersäkerhetsriskerna, utan också aktivt delta i säkerhetsarbetet och övervaka att företaget följer de nya kraven. Det innebär att styrelsemedlemmar måste ha en grundläggande förståelse för cybersäkerhet och riskhantering och vara beredda att engagera sig i övervakningen av företagets cybersäkerhetsarbete.
Margareta Palmqvist, senior rådgivare på MSB, underströk vikten av att både förstå och följa de nya lagkraven för att skydda både företagets och samhällets säkerhet. Hon betonade också att säkerhetsarbetet måste vara en kontinuerlig process, där risker ständigt utvärderas och åtgärdas.
Talarna redogjorde för relevanta juridiska, praktiska, och tillsynsmässiga perspektiv, med fokus på konkreta åtgärder och tips. Här är några av de viktigaste medskicken, som diskuterades under minglet och erfarenhetsutbytet:
Förberedelser är avgörande. Börja analysera om ditt företag omfattas av de nya kraven och sätt upp en plan för att följa lagen.
Utvärdera om ditt företag, eller delar av verksamheten, omfattas av de nya säkerhetskraven. Många fler företag än tidigare kommer nu att omfattas av cybersäkerhetsreglerna.
Styrelsen måste inte bara känna till cybersäkerhetsriskerna utan ska också aktivt delta i säkerhetsarbetet och övervaka efterlevnaden av lagkraven. Det är ett ansvar som inte kan delegeras bort.
Företag bör fokusera på att implementera konkreta säkerhetsåtgärder för att minimera riskerna för cyberincidenter. Detta inkluderar att ha fungerande beredskapsplaner och att kontinuerligt uppdatera säkerhetsstrategier för att möta nya hot.
