En ny EU-lag gör cybersäkerhet till styrelsens ansvar. Utan aktivt styrelseengagemang riskerar företag både driftstörningar och dryga böter.
10 miljoner i böter – ny EU-lag slår hårt mot företag
Anledningen till att EU skärper lagen är de långgående konsekvenser en cyberattack kan få, inte bara för det egna företaget utan för hela samhället. Detta har vi även rapporterat om i en videointervju med Anna-Clara Söderbaum, vd för Omegapoint Sverige tidigare i åt.
En attack mot ett logistikföretag rubbar matleveranser, och ett intrång hos en molntjänstleverantör slår ut myndighetssystemen.
Läs också: Ny cybersäkerhetslag: Påverkar den ditt företag? – Realtid
Cyberattackerna ökar snabbt
De flesta företag är beroende av nätverk och informationssystem för att fungera. Sårbarheten gör dem till attraktiva mål för cyberattacker.
Dessutom riktar statligt stödda aktörer och kriminella in sig på företag och myndigheter med metoder som kan skapa avbrott i leverantörskedjor eller stoppa hela verksamheter.
Ny lag skärper kraven på cybersäkerhet
EU införde det första NIS‑direktivet redan 2016 för att höja cybersäkerheten inom unionen, skriver advokatbyrån Mannheimer Swartling.
För att möta ökande cyberhot och stora skillnader mellan medlemsländernas tillämpning av reglerna tog EU fram en uppdaterad version, NIS2, som formellt antogs i januari 2023.
Sverige inför det nya direktivet genom den Cybersäkerhetslagen, som gäller från 15 januari i år.
Målsättningen med lagen är att skapa en hög, gemensam nivå av cybersäkerhet i hela EU. Den ställer också tydligare krav på riskhantering, incidentrapportering och ledningsansvar.”
Läs också: Svenska bolag oförberedda på ny lag – det kan kosta – Realtid
Juridiskt ansvar för styrelse och ledning
Cybersäkerhet ska inte längre ses ett tekniskt problem som ligger på it-avdelningens bord.
Den nya lagen lägger ansvaret hos styrelse och ledning. Det är deras ansvar att säkerställa att verksamheten har rätt resurser, personal och rutiner för att förebygga intrång.
Allvarliga cybersäkerhetsincidenter rapporteras till tillsynsmyndigheten inom 24 timmar efter upptäckt. Genom snabb upptäckt är det möjligt att snabbt sätta igång ett tidigt och samordnat varnings- och åtgärdsarbete.
Om företaget inte uppfyller kraven riskerar styrelsen stora juridiska konsekvenser. Det inkluderar böter på upp till 10 miljoner euro eller upp till 2 procent av den globala årsomsättningen.
Lagen riktar sig brett
Lagen gäller inte bara traditionell kritisk infrastruktur som energi, transport och vård. Den gäller också digitala tjänsteleverantörer, tillverkare, post- och budtjänster, avfallshantering, livsmedelsproduktion och distribution samt stora delar av den offentliga sektorn.
Den nya lagen omfattar även företag som aldrig tidigare haft krav på cybersäkerhet.
Lagen höjer kravnivån betydligt jämfört med tidigare. Organisationerna måste själva bedöma risker, införa rätt säkerhetsåtgärder och anpassa dem efter de risker de möter.
