Med införandet av NIS2-direktivet skärps kraven på cybersäkerhet för verksamheter inom EU, och ett centralt element i detta är det utökade ansvaret som läggs på ledningen av både offentliga och privata organisationer. Detta inlägg kommer att belysa de nya skyldigheterna och ansvarsområdena för ledningen enligt NIS2, som beskrivet i SOU 2024:18.

Ledningens personliga ansvar

En av de mest signifikanta förändringarna i NIS2-direktivet är att ledningen inom enskilda verksamheter får ett personligt ansvar för överträdelser av kraven på riskhanteringsåtgärder. Detta innebär att det ska vara möjligt att vidta åtgärder eller rikta sanktioner mot individer i ledande positioner om kraven inte uppfylls​​.

För att uppfylla dessa krav måste ledningen säkerställa att deras organisationer vidtar tekniska, operationella och organisatoriska åtgärder för att hantera risker för säkerheten i nätverks- och informationssystem. Dessa åtgärder ska vara proportionella och baseras på en riskanalys, och de måste innefatta aspekter som incidenthantering, säkerhet i leveranskedjor, och vid behov kryptering​​.

Utbildning och övervakning

Direktivet kräver också att ledningen genomgår utbildning om riskhanteringsåtgärder och att de anställda erbjuds liknande utbildning. Detta är avsett att säkerställa att hela organisationen är medveten om och kapabel att hantera de cybersäkerhetsrisker de står inför​​.

Tillsyn och sanktioner

Enligt NIS2 ska varje medlemsstat utse en eller flera myndigheter med ansvar för tillsynen av cybersäkerhet. Dessa myndigheter ska övervaka att verksamhetsutövarna uppfyller kraven i direktivet. Om en verksamhet inte följer reglerna, ska tillsynsmyndigheten kunna ingripa och vid behov utdela sanktioner, vilket kan inkludera förbud mot att personer i ledande ställning får fortsätta utöva sina funktioner​​.

Praktiska implikationer

För ledningen i enskilda och offentliga verksamheter innebär dessa förändringar att de måste vara proaktiva och strategiska i sitt arbete med cybersäkerhet. Att ignorera eller underlåta att genomföra de nödvändiga åtgärderna kan leda till allvarliga konsekvenser, både för verksamheten och för dem personligen.

Genom att stärka ledningens ansvar och säkerställa att de är utbildade och engagerade i cybersäkerhetsfrågor, syftar NIS2-direktivet till att skapa en kultur av säkerhet som genomsyrar hela organisationen. Detta är avgörande för att kunna möta de växande hoten i en allt mer digitaliserad värld.

 

Mer läsning:

Så här stärker du företagets IT-säkerhet med hjälp av Säkerhetskollen

19 november 2024|0 Comments
Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

19 november 2024|0 Comments
Vad är IT Asset Management och varför är det viktigt?

Vad är IT Asset Management och varför är det viktigt?

4 november 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.