Skärpta krav på cybersäkerhet väntar – så kan svenska bolag förbereda sig för de nya bestämmelserna

"Cybersäkerhetslagen föreslås träffa verksamheter inom en lång rad sektorer, såsom energi, digitala tjänster, hälso- och sjukvård och offentlig förvaltning. Många aktörer kommer att påverkas av de ökade kraven och det är viktigt att vara medveten om vad som kommer för att påbörja nödvändiga förberedelser i tid", säger Sofie Nordgren, delägare på Vinge

Den föreslagna lagen innebär dels en skyldighet för berörda verksamhetsutövare att anmäla sig till en tillsynsmyndighet, samt krav på att vidta åtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Incidenter ska i vissa fall rapporteras till myndigheter inom 24 timmar, vilket ställer höga krav på verksamhetens interna processer. Förslaget pekar också tydligt ut att det är styrelseledamöter och vd som är ansvariga för regelefterlevnaden.  

"Vi förväntar oss väsentliga uppdateringar från lagstiftningsprocessen under hösten som kommer förtydliga kraven och konkretisera anmälningsförfarandet. Redan nu behöver dock aktörer undersöka om man förväntas träffas av reglerna och då sätta processer och ansvarsstrukturer på plats för att kunna leva upp till de kommande kraven. Bristande efterlevnad kan bli kännbart i form av sanktioner på upp till 10 miljoner euro eller förbud för personer att utöva en ledningsfunktion", säger Lisa Bourghardt, counsel på Vinge

I den här artikeln sammanfattar Vinge de viktigaste aspekterna av den föreslagna Cybersäkerhetslagen och hur de aktörer som förväntas träffas av regelverket kan förbereda sig.

Vinge bevakar kontinuerligt utvecklingen, kontakta oss gärna om du vill veta mer.