Är ditt företag redo för den nya cybersäkerhetslagen?
Det finns knappast någon del av allas vår vardag som inte påverkas av att data lagras, bearbetas och delas elektroniskt. Allt från promenaderna i skogen till tömning av soptunnor och företagets affärstransaktioner lämnar digitala spår efter sig.
Ju djupare den digitala teknologin bäddas in samhället, desto viktigare blir det att de system som vi använder och de värden som skapas skyddas mot angrepp. Ett led i det beredskapsarbetet är den nya cybersäkerhetslag som föreslås börja gälla 1 januari 2025. Den bygger på EU:s NIS2-direktiv, där förkortningen står för Network and Information Systems.
Företagarnas remissyttrande: Nya regler om cybersäkerhet (SOU 2024:18)
Ny och skärpt lagstiftning för cybersäkerhet
Till skillnad från dagens lag om informationssäkerhet för samhällsviktiga och digitala tjänster som bygger på EU:s (första) NIS-direktiv från 2016 innebär den föreslagna nya lagen, som ska ersätta den, att betydligt fler aktörer omfattas, samt att lagkraven kommer att gälla för hela verksamheten inte bara för samhällsviktiga och digitala tjänster.
Både offentliga aktörer och privata företag som omfattas av lagen blir skyldiga att vidta åtgärder för att skydda sina system och deras fysiska miljöer, samt rapportera till tillsynsmyndigheter. Dessa kommer att kunna utfärda sanktionsavgifter mot aktörer som inte följer lagen.
− Den nya cybersäkerhetslagen kommer att innebära utökade krav på säkerhet i nätverks- och informationssystem och omfattar 18 sektorer, i stället för dagens sju. Det handlar om bland annat energi, transporter, bankverksamhet, och digital infrastruktur, säger Tobias Adielsson, Företagarnas expert säkerhet och brott mot företagare.
Är det IT-säkert? En undersökning om företagares utsatthet för it-relaterade brott
Små företag omfattas inte – men påverkas ändå
I normalfallet föreslås små företag inte omfattas av lagkraven, även om det finns några undantag. Med små företag avses de som har färre än 50 anställda eller omsätter mindre än 10 miljoner euro per år. Indirekt kan dock många mindre företag ändå behöva anpassa sin verksamhet på grund av den nya cybersäkerhetslagen.
− Om du som driver ett litet företag säljer till kommuner eller större företag som omfattas av den nya cybersäkerhetslagen kan det vara bra att se över ert säkerhetsarbete redan nu, råder Tobias Adielsson.
Tester och e-tjänster
Anledningen till att även små företag kan behöva anpassa sitt cybersäkerhetsarbete är att större företag och offentliga aktörer som har underleverantörer eller upphandlar tjänster kommer att behöva säkerställa säkerhet i sin leveranskedja.
− Inför den nya lagstiftningen har det skapats flera bra verktyg. Ett exempel är den e-tjänst som PTS lanserat som stöttar företag i att bedöma om de omfattas av cybersäkerhetslagstiftningen. Ett annat är SSF:s säkerhetskollen där småföretag får en konkret guidning och checklistor som gör att det går att se om företaget behöver en certifiering för att visa att det når upp till de nya lagkraven, säger Tobias Adielsson.
Post och telestyrelsens (PTS) e-tjänst heter Omfattas vi av CSL? och SSF Stöldskyddsföreningens webbplats Säkerhetskollen innehåller IT-säkerhetstest och möjlighet att certifiera företagets cybersäkerhetsarbete.