I takt med att hotbilden mot samhället förändras och digitaliseringen ökar, har nya lagar införts för att stärka skyddet av samhällsviktiga funktioner och känslig information. Den nya cybersäkerhetslagen, som bygger på EU:s NIS2-direktiv innebär att fler organisationer än tidigare omfattas av krav på systematiskt säkerhetsarbete och incidenthantering.

Vilka organisationer omfattas?

Lagen riktar sig till verksamheter som bedriver samhällsviktiga och digitala tjänster, exempelvis inom energi, transporter, sjukvård och banksektorn. Även offentlig sektor och leverantörer till dessa verksamheter kan omfattas.

Centrala krav i den nya lagen

Organisationer som omfattas måste införa ett systematiskt säkerhetsarbete. Det innebär att man kontinuerligt arbetar med riskhantering, säkerhetsåtgärder, incidenthantering och utbildning av personal. Ledningsansvar är tydligt utpekat, och det ställs krav på att leverantörskedjan hanteras säkert.

Checklistan för cybersäkerhetslagen inkluderar:

• Införa ett systematiskt säkerhetsarbete
• Tekniska och organisatoriska åtgärder
• Incidenthantering
• Ledningsansvar
• Leverantörskedjan
• Dokumentation och efterlevnad
• Sanktioner vid bristande efterlevnad

Riskhantering och kontroller

Organisationer måste identifiera och hantera risker som otillräcklig patchning, leverantörsincidenter, phishingattacker och bristande backup. För varje riskområde ska sannolikhet, konsekvens och risknivå bedömas, och åtgärder vidtas för att minska risken.

Sanktioner och tillsyn

Om organisationen inte uppfyller lagens krav kan det leda till sanktioner. Tillsynsmyndigheter har rätt att granska verksamheten och kräva åtgärder vid brister.

Samspel med andra lagar

Cybersäkerhetslagen samverkar med andra regelverk, såsom säkerhetsskyddslagen (för rikets säkerhet), GDPR (personuppgiftsskydd) och ISO 27000 (informationssäkerhet). Det är viktigt att förstå hur dessa lagar hänger ihop och påverkar organisationens arbete.

Sammanfattning

Den nya cybersäkerhetslagen innebär att organisationer måste arbeta mer strukturerat och proaktivt med säkerhetsfrågor. Det handlar om att skydda både samhällsviktiga funktioner och känslig information, och att säkerställa att hela organisationen – inklusive leverantörer – följer lagens krav. Bristande efterlevnad kan få allvarliga konsekvenser, både juridiskt och verksamhetsmässigt.