Styrelsen blir personligt ansvarig för cybersäkerhet

Styrelsens ansvar för cybersäkerhet växer och håller på att skrivas in i svensk lag efter ett EU-direktiv. Från oktober nästa år kan svenska styrelseledamöter hållas personligt ansvariga för bristfällig cybersäkerhet.

En vanlig lördag i september är köerna till ICA:s kassor plötsligt jättelånga. Självutcheckningskassorna är helt stängda. Vad har hänt? ”Vi har problem med kortbetalningarna i hela landet. Vet inte varför eller när det kan åtgärdas”, svarar personalen.

För tio år sedan hade kunderna som stått i köerna knorrat och tänkt ”någon på it-avdelningen har slarvat”. Men inte längre. Nu oroar man sig för att Sveriges största livsmedelshandel kan vara utsatt för en cyberattack från främmande makt.

Den här nya medvetenheten är något som Johan Åtting har märkt av. Han är informationssäkerhetschef och cybersäkerhetsansvarig på medtech- och cybersäkerhetsföretaget Sectra i Linköping, och ofta inbjuden till företag och organisationer för att berätta om vilka risker som finns och hur man skyddar sig.

– Jag brukar likna det vid brandskydd. I båda fallen talar man om 1) protect, 2) detect, 3) respond och 4) recover, säger han.

Det innebär att man 1) måste skydda sig mot risken för att bli angripen, men det går inte till 100 procent. Därför måste man ha möjlighet att 2) upptäcka ett angrepp och 3) ha förmåga att vidta åtgärder. Sedan gäller det att 4) kunna återställa verksamheten.

– I snitt ligger it-systemen hos ett företag som drabbas av en ransomattack nere i tre veckor. Detta måste alltså styrelsen räkna med, för konsekvenserna handlar om företagets överlevnad och image.

Johan Åtting

Men med bra förberedelser kan tiden förkortas och attacken kanske helt undvikas.

I takt med att riskmedvetenheten ökar hos politiker, läggs nu allt större ansvar för cybersäkerhet på styrelser. Nästa år i oktober kommer ett nytt EU-direktiv att träda i kraft: NIS2, vars mål är att öka motståndskraften mot cyberattacker. NIS2 innebär en utökning och skärpning av nu gällande NIS-direktivet. Många av kraven i direktivet vänder sig till myndigheter i länderna och handlar om att samla in och dela information.

Men några av de nya kraven riktar sig direkt mot styrelser i företag och andra organisationer: Ledamöterna måste vara utbildade i cybersäkerhet och kommer att kunna hållas personligt ansvariga för bristande säkerhet. Exakt hur det ansvaret kommer att se ut är ännu inte klart – det och andra svar väntas i en utredning som ska lämnas till regeringen i vår.

NIS2 omfattar fler sektorer än nuvarande NIS, 18 sektorer i stället för sju. De sektorer som omfattas anses som kritiska för samhällets funktioner, exempelvis inom energi, transport, digital infrastruktur, hälso- och sjukvård – samt företag som levererar till dem.

– I dessa företag måste styrelse och vd godkänna cybersäkerhetsåtgärder. Upptäcks brister kan de hållas personligt ansvariga. Till kraven hör att en verksamhet måste anmäla störningar till myndigheterna inom 24 timmar. Myndigheterna ska i sin tur kunna informera och varna varandra och andra EU-länder. Den verksamhet som inte följer direktivet riskerar böter med upp till 10 miljoner euro eller 2 procent av sin globala omsättning, säger Johan Åtting.

Även i USA pågår en skärpning av cybersäkerhetskraven. Exempelvis måste alla amerikanska börsnoterade företag från kommande årsskifte redovisa hur man jobbar med cybersäkerheten och tala om hur styrelsen håller sig informerad i frågan.

Men – som Johan Åtting påpekar: Det är inte bara de företag som omfattas av NIS2 som har anledning att se över sin cybersäkerhet. Med tanke på vad konsekvenserna kan bli, borde alla vara intresserade av att inte bli drabbade och mildra verkningarna om det ändå händer.

Så hur ska en styrelse agera? Här är en kort checklista:

  1. Se till att det finns en övergripande ansvarig för cybersäkerhet i företaget. Det duger inte att lämna hela frågan till it-avdelningen som man gjorde förr. Styrelsen måste veta vem som har koll.

  2. Styrelsen måste utbildas i frågan. Antingen skickas på kurser eller genom att kunniga personer bjuds in och föreläser.

  3. Införliva cybersäkerhet i din omvärldsbevakning. Prenumerera på nyhetsbrev, till exempel MSB:s www.cert.se och/eller www.informationssakerhet.se.

  4. Amerikanska CISA (Cybersecurity & Infrastructure Security Agency) Home Page | CISA

Enligt Johan Åtting är it-avdelningen och it-kompetens på företaget fortfarande viktigt. Men det är bara en del av allt som måste vara på plats. Utöver det behövs processer, rutiner och policies för hur cybersäkerhetsarbetet ska drivas. Det tredje benet är människorna i företaget, som måste utbildas och veta hur företagets teknik får och kan användas samt för att bli en del av organisationens cyberförsvar.

En annan konsekvens av att cybersäkerhetsregler skärps är att det kommer att bli tuffare för företag som utvecklar produkter som kopplar upp sig mot internet. Det gäller IoT-produkter (internet of things-produkter) eller appar. Numera har varenda svensk ett helt bibliotek av appar i sin mobil, och det har börjat resas frågetecken om hur säkra de är. Man har appar för att styra sin bil, sitt kylskåp och hålla reda på var hunden är, och det är appen som talar om när man har störst chans att bli gravid. Men hur säkra är dessa verktyg? Användarna frågar sällan efter om de läcker information om matvanor, geografiska position, djurägande eller tidpunkt i menscykeln till obehöriga.

– Tidigare har man inte ställt säkerhetskrav på denna typ av produkter. Men nu skärps kraven även här. CRA är ett EU-förslag som väntas kräva att alla elektroniska prylar som kopplar upp sig ska ha någon typ av CE-märkning för cybersäkerhet för att få säljas inom EU, säger Johan Åtting.

För att illustrera den naivitet som till viss del råder än, berättar han om ett skämt han brukar höra:

– S:et i IoT står för säkerhet! Bara det att inte finns något S i IoT.

Fakta

  • Ransomwareattack är när företagets datorer stängs ner av kriminella som begär en lösensumma för att öppna dem.

  • NIS2 står för Network and Information Systems Directive 2.

  • CRA står för Cyber Resilience Act.