Dags att avmystifiera begreppet säkerhetsefterlevnad

Next story
Leif Jensen

Att det finns digitala hot är ingen nyhet, men tyvärr verkar de inte bli mindre aktuella med tiden. Faktum är att vi ser en ständigt ökande hotbild både mot privatpersoner och företag.

Det leder tankarna till en annat fenomen, nämligen efterlevnad, eller compliance som det heter på engelska. Ett ord som många företag använder i väldigt många sammanhang. Men vikten av efterlevnad gäller inte bara standarder och lagstiftning; efterlevnad av cybersäkerhet är inte bara viktig i sig, utan också en sköld som står mellan ditt företag och nätbrottslingarna.

Cyberattacker är utan tvekan ett av de största problem som företag ställs inför idag, och både lokala myndigheter och EU har uppmärksammat detta, vilket har lett till ett antal nya efterlevnadskrav. De kan kännas överväldigande, men de är viktiga för företagets verksamhet och därmed för ett stabilt samhälle.

Man brukar prata om två typer av efterlevnad, nämligen påtvingad och frivillig, och de innebär helt olika krav.

Påtvingad efterlevnad kan komma från ett lands regering eller ett organ som EU, och riktar sig till företag som arbetar med kritisk infrastruktur, som sjukhusverksamhet, transport och energi. Ett exempel på det är NIS2-direktivet, som företagen just nu kämpar för att leva upp till.

När det gäller frivillig efterlevnad är det vanligtvis krav som företagen måste uppfylla angående vissa standarder som deras produkter ska leva upp till eller som deras affärspartner förväntar sig att de efterlever av säkerhetsskäl. Standarden ISO 14001, som visar att ett företag använder miljövänliga metoder, är ett exempel på det.

Men oavsett om det rör sig om påtvingad eller frivillig efterlevnad är det viktigt att vara medveten om att det inte handlar om någon engångsföreteelse. Efterlevnad kräver uppföljning, så att kraven hela tiden följs. Det innebär både budget- och resursbelastningar för företagen.

När det gäller påtvingad efterlevnad är bristande efterlevnad av reglerna ofta förenat med stora böter. Lägg då till dataförlusten och de ekonomiska utgifter som kommer till följd av en cyberattack så blir det uppenbart att det kan bli en ekonomisk katastrof för företag som inte lever upp till krav på påtvingad efterlevnad.

Frivillig efterlevnad innebär inte böter om kraven inte uppfylls, men kan innebära att man går miste om en affär eller att man inte kan ta uppdrag för regeringar eller företag med vissa efterlevnadskrav. Därmed kan det ändå bli en dyr affär att inte uppfylla en frivillig efterlevnad – kom ihåg att kostnader i samband med en cyberattack inte försvinner bara för att det rör sig om frivillig efterlevnad.

I Europa finns det två regleringar som företagen måste känna till och jag är säker på att de allra flesta skandinaviska företag redan arbetar med dem.

GDPR, eller personuppgiftsförordningen från EU, ställer hårda krav på hanteringen av känsliga personuppgifter och de rättigheter som alla har till sina personuppgifter och inte minst hur företagen ska förmedla information i samband med dataläckage.

NIS2 riktar sig i första hand till företag som arbetar med kritisk infrastruktur, och ställer höga och hårda krav på alla som arbetar inom det området. NIS2 kan också påverka underleverantörer och andra företag vars produkter och tjänster kan bedömas som samhällskritiska av den specifika myndigheten.

Det kan bli dyrt att inte följa en påtvingad efterlevnad. Ett GDPR-brott kan leda till böter på upp till 10 miljoner euro eller 2 procent av den årliga globala omsättningen. Ytterligare böter kan också utfärdas om ett företag bedöms ha underlåtit att vidta nödvändiga säkerhetsåtgärder.

Cybersäkerhet och säkerhetsefterlevnad är därför inget vi ska ta lätt på, för även om det kan tyckas dyrt och svårt att följa efterlevnadskrav, påtvingade och frivilliga, kan det bli ännu dyrare att inte följa dem.