Just nu pågår ett skifte kring vem som egentligen bör hålla i rodret för cybersäkerheten. Ansvaret förflyttas tydligare uppåt i organisationens hierarki i och med NIS2-direktivet, it-avdelningen får en ny roll, och individer riskerar att drabbas allt hårdare. Så här ser den nya ansvarsfördelningen ut – och så bör din organisation agera för att anpassa sig till de nya förhållandena kring cybersäkerhet.
Cybersäkerhet är inte längre bara it-avdelningens ansvar
Idag finns en trend där ansvaret för cybersäkerheten allt tydligare övergår mot ledning och styrelse, istället för att som tidigare ligga på it-avdelningen. Cyberhotens natur och komplexitet har förändrats markant, vilket gör det nödvändigt för ledningen att vara mer involverad. Nya regelverk ställer hårdare krav, samtidigt som organisationer får en allt större förståelse för vad cybersäkerhet faktiskt betyder för företagets övergripande riskhantering.
Varför har ansvaret förflyttats mot ledningen?
Den främsta anledningen till att ledning och styrelse får ta större ansvar handlar om den ökade allvarsgraden i och frekvensen av cyberhot – vilket i sin tur sätter prägel på utvecklingen av allt hårdare regelverk. Tillsynsmyndigheter kräver nu en mer transparent rapportering av företags cybersäkerhetsstrategier och kunskapen hos styrelsen. Detta inkluderar krav på att redovisa om styrelsen har medlemmar med expertis inom cybersäkerhet, och hur man arbetar med cyberhot i sin övergripande affärsstrategi. Kraven ökar trycket på företagets översyn av cyberrisker och att detta hanteras rutinmässigt.
Även en stark säkerhetskultur är avgörande för att förebygga och hantera incidenter – och där blir det tydligt att engagemanget från ledningen är avgörande för påverka hela organisationens förmåga. Samtidigt har kunder, investerare och andra intressenter har fått högre förväntningar på hur företag hanterar och skyddar känslig data. Styrelsen har därför ansvaret att också säkra att organisationen uppfyller dessa förväntningar, för att skydda varumärket och förtroendet.
3 delar ur NIS2-direktivet som visar på ledningens nya roll
NIS2-direktivet är en uppdatering av EU:s regelverk för nätverks- och informationssäkerhet som syftar till att stärka cybersäkerheten inom unionen. Vid bristande efterlevnad av reglerna kan en organisation ställas inför stora böter, baserade på företagets globala omsättning. I NIS2-direktivet klargörs tydligt vilka nya krav som ställs på ledningens engagemang och ansvar:
1. Direkt ansvar för riskhantering:Ledningen måste nu vara direkt involverad i och ansvarig för att identifiera och hantera praktiska delar kring cybersäkerhet, inklusive riskhantering och resiliens. Ledningen måste ha en djupgående förståelse för direktivet och se till att organisationen har rätt förutsättningar att följa kraven.
2. Implementering av preventiva och reducerande åtgärder:
Organisationer behöver hantera risker genom både preventiva och reducerande åtgärder. Detta inkluderar till exempel incidenthantering, cybersäkerhet genom leveranskedjan, nätverkssäkerhet, åtkomstkontroll och kryptering. Ledningen är ansvarig för se till att dessa åtgärder är tillräckliga för att minska risker för och konsekvenser av cyberincidenter.
3. Rapportering och affärskontinuitet:
Organisationer måste ha processer på plats för att korrekt kunna rapportera till myndigheter och säkerställa att man kan fortsätta driva verksamheten efter en större cyberattack. Det handlar exempelvis om systemåterställning, nödprocedurer och upprättandet av en krisorganisation. Ledningens ansvar är att se till att majoriteten av incidenter rapporteras inom 24 timmar och att det finns rutiner för att snabbt starta upp flödet igen. NIS2 ska vara implementerat i nationell lagstiftning från och med oktober 2024, och en svensk tillämpning av direktivet, kallat cybersäkerhetslagen, är parallellt under utveckling.
Så kan individer drabbas av påföljder vid cybersäkerhetsbrister
Reglerande myndigheter och lagstiftare lägger numera allt större ansvar på enskilda individer inom ledningen. Målet är att uppnå en högre grad av proaktivitet i hanteringen av cyberhot, och säkerställa att organisationer har integrerat nödvändiga säkerhetsåtgärder med sina övergripande riskhanteringsprocesser. Men med det personliga ansvaret kommer också personliga påföljder – där individer själva kan bli åtalade och dömda för organisationens brott mot reglerna.
I förslaget av den svenska tillämpningen av NIS2 hänvisar utredarna till Aktiebolagslagen. Här har styrelsen ett indirekt ansvar kring bland annat bolagets organisation och förvaltning av angelägenheter – men även ett utpekat ansvar för den interna kontrollen, där cybersäkerhet ingår.
Inom DORA har styrelseledamoter i finanssektorn ett mer omfattande ansvar, och även ett personligt skadeståndsansvar. Styrelsen som sådan är ansvarig för allt från de policys som styr hanteringen av it-risker till fördelning av resurser, roller och ansvar. Inom båda regelverken finns också krav på att styrelseledamöter ska genomgå utbildning inom cybersäkerhet.
Ett exempel på direkta konsekvenser
Ett exempel är fallet med SolarWinds, där den amerikanska finansinspektionen SEC (Securities and Exchange Commission) stämde företaget och deras CISO Timothy Brown för vilseledande information kring företagets cybersäkerhetspraxis. Det visade sig att SolarWinds offentliga uttalanden skilde sig markant från interna dialoger om företagets hantering av sin cybersäkerhet. Exempelvis hade Brown i en intern presentation erkänt att SolarWinds rutiner försatte företagets kritiska tillgångar i en mycket utsatt position.
Det är också viktigt att se till att medarbetare i ledande roller är informerade och engagerade i sitt ansvar i att upprätthålla en hög säkerhetsstandard.
Detta exempel understryker vikten av att organisationer inte bara fokuserar på att uppfylla de tekniska kraven för cybersäkerhet. Det är också viktigt att se till att medarbetare i ledande roller är informerade och engagerade i sitt ansvar i att upprätthålla en hög säkerhetsstandard. Det handlar inte bara om att skydda organisationen och dess intressenter – i slutändan handlar det också om att skydda sig själv.
It-avdelningens roll framåt
It-avdelningen kommer att ha en fortsatt viktig betydelse i att stötta organisationen med teknisk expertis, inte minst när det kommer till att bygga upp en stabil infrastruktur för cybersäkerhet. Samtidigt är it-avdelningen och dess experter en viktig resurs för att bygga broar mellan tekniska och icke-tekniska delar av organisationen, med målet att skapa en gemensam förståelse för och hantering av cyberrisker.
Framåt behöver it-avdelningen arbeta ännu närmare ledningsgruppen för att säkerställa att planer och processer för cybersäkerhet är väl integrerade med företagets övergripande affärsstrategi och riskhantering. Detta innebär i sin tur även att professionella inom it kommer behöva utveckla sin förståelse för affärskontexten, för att kunna stötta där det krävs.
Utöver den tekniska expertisen behöver it-experter nu allt mer visa prov på sina kommunikativa egenskaper, en starkare samarbetsförmåga för att lyckas arbeta tvärfunktionellt, samt utvecklad kompetens inom riskhantering, inklusive analys och prioritering.
Så får du cybersäkerheten att genomsyra hela organisationen
Skapa medvetenhet i hela ledningen
Det räcker inte med att CIO och en enskild oroad styrelsemedlem driver frågan. Kunskapsnivån måste öka hos alla, och genom att skapa en sense of urgency ökar medvetenheten kring att cybersäkerhet är ett existentiellt och verkligt hot mot hela organisationen – inte något som bara “drabbar andra”.
Utveckla koncept och verktyg löpande
Se över era kritiska tillgångar och processer och kontrollera att det finns en plan att sätta in vid en eventuell attack. Detta behöver drivas av personer med ett affärstänk för att inte cybersäkerhetsinsatserna ska uppfattas som tekniskt komplicerade och något som bara it-avdelningen kan hantera.
Stärk kunskapen
Eftersom cybersäkerheten påverkar hela företaget är det nödvändigt att såväl marknad- och säljpersonal som processansvariga har kunskapen som krävs för att kunna förklara ert arbete i dialog med kunder och intressenter. Här är det viktigt med tydliga interna informationskällor som dessa medarbetare kan förlita sig på.
Nyfiken på hur utvecklingen ser ut inom GRC under 2024 – och hur ni på bästa sätt kan ta ert fulla ansvar framåt? Läs vår trendspaning och ta reda på vad du och resten av organisationen behöver göra för att hålla er ajour med det ständigt föränderliga it- och säkerhetslandskapet.