Under en period har det varit en allmänt vedertagen uppfattning att VD har det yttersta ansvaret för cybersäkerheten i en organisation. Många har trott att så länge en skicklig CISO (Chief Information Security Officer) och ett kompetent IT-team är på plats, så är ledningen skyddad från juridiskt ansvar vid cybersäkerhetsbrister. Men nu visar det sig att denna syn är förlegad. I SOU 2024:18, som föreslår hur Sverige ska implementera EU:s NIS2-direktiv, slås det fast att det är styrelsen och ledningsorganet som bär det yttersta ansvaret för cybersäkerheten – och det med långtgående konsekvenser.

”Ledningsorganen i väsentliga och viktiga verksamheter ska godkänna och övervaka riskhanteringsåtgärder för cybersäkerhet. De kan hållas ansvariga om deras organisation bryter mot dessa regler.” .

Vad innebär detta för företag och organisationer?
Den här förändringen innebär att styrelsen inte längre kan lämna över cybersäkerhetsfrågan till IT-avdelningen eller enskilda chefer, inte heller direkt till VDn. Det är ju styrelsen som måste säkerställa att rätt åtgärder vidtas och att verksamheten följer lagens krav.

Den nya lagen kräver bland annat att:

✅ Styrelsen och ledningsgruppen utbildas i cybersäkerhet för att förstå riskerna och kunna fatta informerade beslut​.
✅ Systematiskt riskhanteringsarbete införs – det räcker inte längre med en IT-säkerhetspolicy, det måste finnas en konkret strategi och löpande uppföljning.
✅ Incidenter rapporteras inom 24 timmar – brister i cybersäkerheten får nu snabbt rättsliga konsekvenser.

Höga böter och personligt ansvar
💰 Sanktionsavgifterna höjs kraftigt – för stora verksamheter kan de uppgå till 2 % av den globala årsomsättningen eller 10 miljoner euro.
🚫 Ledningspersoner kan förbjudas att inneha en ledande position om de grovt brister i sitt ansvar.

Hur ska styrelser agera nu?
För att undvika risker och säkerställa efterlevnad av de nya reglerna bör styrelser:

1️⃣ Genomgå cybersäkerhetsutbildning – lagen kräver att ledningen har nödvändig kompetens.
2️⃣ Införa en tydlig strategi för cybersäkerhet – säkerställa att det finns en långsiktig plan och systematisk riskhantering.
3️⃣ Ta ansvar för incidenthantering – se till att det finns processer för snabb rapportering vid intrång.
4️⃣ Utvärdera och uppdatera regelbundet – cybersäkerhet är ett pågående arbete, inte ett engångsprojekt.

Slutsats: Styrelsen kan inte längre blunda för cybersäkerhet
SOU 2024:18 klargör att cybersäkerhet nu är en styrelsefråga, inte bara en IT-fråga eller på ledningsgruppen. Styrelsen har ett juridiskt ansvar för att säkerställa att verksamheten följer reglerna – och de kan hållas personligt ansvariga om de misslyckas.

Så frågan är: Är din styrelse redo att ta sitt ansvar för cybersäkerheten?

📌 Vad tycker du om denna förändring? Dela dina tankar i kommentarerna!

Mer läsning:

Uppdatering gällande SportAdmin

26 februari 2025|0 Comments
SJ köper kinesiska tåg

SJ köper kinesiska tåg

7 augusti 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.