NIS2 för ledningen

Syftet med NIS2 är att skapa en hög gemensam cybersäkerhetsnivå i hela EU och direktivet omfattar fler organisationer än tidigare NIS-direktiv. Kraven skärps bland annat gällande säkerhetsåtgärder, incidentrapportering och ledningens ansvar. Dessutom introduceras nya tillsynsåtgärder. I Sverige genomförs direktivet genom cybersäkerhetslagen som förväntas börja gälla 15:e januari 2026. Lagkraven kommer att preciseras ytterligare i kommande myndighetsföreskrifter.

Ledningen roll och ansvar

Ledningen ansvarar för att styra organisationens cybersäkerhetsarbete så att det bedrivs systematiskt och riskbaserat. Arbetet ska vara integrerat i organisationens befintliga styrning och ledning och inte hanteras som ett separat spår, utan som en naturlig del av verksamhetsstyrningen. Ledningen ska besluta om mål, inriktning och resurser, fastställa mandat och se till att organisationen har tillräcklig kompetens och tillräckliga resurser för att nå den säkerhetsnivå som krävs.
En central del av ledningens ansvar är att tydliggöra roller och ansvar i organisationen för att säkerställa att all information och alla system har ägare som tar ansvar för säkerheten utifrån sina roller. Ledningen ska dessutom säkerställa att det finns en funktion som samordnar cybersäkerhetsarbetet och ger ledningen det underlag de behöver, exempelvis en CISO, informationssäkerhetschef eller informationssäkerhetssamordnare.

Om du vill få en snabb överblick över varför cybersäkerhet är viktigt och hur det berör ledningen kan du börja med denna introduktionsfilm:

Obligatoriskt med utbildning för ledningen

För att ta sitt ansvar behöver ledningen grundläggande kunskap om cybersäkerhet. Syftet är att förtydliga vilken kunskap som minst krävs av ledningen för att kunna förstå och bedöma organisationens risker samt fatta beslut om säkerhetsåtgärder.

Utbildningskraven för ledningen förväntas minst omfatta:

• Ledningens roll i arbetet med cybersäkerhet
• Grundläggande terminologi och relevant reglering
• Riskhantering och övervakning som ett stöd för att leda och styra arbetet med cybersäkerhet
• Systematiskt och riskbaserat arbete
• Organisationens egna interna regler och arbetssätt av relevans för ledningen

Ledningens genomgång

En engagerad ledning är grunden för ett fungerade cybersäkerhetsarbete. För att kunna fatta beslut behöver ledningen informera sig om organisationens risker, incidenter och hur införda säkerhetsåtgärder fungerar. Genom att regelbundet följa upp cybersäkerhetsarbetet kan ledningen identifiera brister, prioritera åtgärder och säkerställa att resurser används där de gör störst nytta.

Ledningen förväntas minst en gång per år, men oftare vid behov, efterfråga en sammanställning av organisationens nivå av cybersäkerhet. I detta ingår att ledningen informerar sig om allvarliga risker, status i arbetet med åtgärdsplaner och inträffade betydande incidenter Ledningen behöver också känna till eventuella brister i cybersäkerheten hos leverantörer och i leveranskedjor, liksom resultat från intern och extern revision och genomförda tillsyner. Som stöd i detta arbete finns samordnarens utvärdering av organisationens cybersäkerhetsnivå. Den sammanställer och analyserar hur organisationens säkerhetsåtgärder motsvarar identifierade risker och om åtgärderna är lämpliga och proportionerliga.

Syftet med ledningens genomgång är att skapa en helhetsbild som underlag för styrning och beslut. Genomgången ska inte bara konstatera nuläget, utan resultera i att ledningen fattar beslut om prioriteringar, resurser och förbättringar i organisationens säkerhetsarbete.

Om ledningen brister i sitt ansvar

Om organisationen inte uppfyller kraven kan det leda till både föreläggande och sanktionsavgifter. Eftersom ledningens ansvar är särskilt utpekat kan bristande ledning och styrning av cybersäkerheten bli föremål för ingripanden, i vissa fall till och med förbud att inneha ledningsfunktion.