Cybersäkerhetslagen är i kraft sedan januari. Antalet organisationer under tillsyn trefaldigas – från 300 till 900. Och enligt MSB:s egen mätning klarar bara 6,7 procent av svenska myndigheter miniminivån med dagens krav. Det är inte ett resursproblem. Det är ett strukturproblem.
Fler krav har inte gett bättre kontroll. Det har gett fler processer, fler möten och fler parallella spår, för risker som i grunden är desamma.
Ett cyberangrepp mot en kritisk leverantör stannar sällan i IT-systemen. Det sprider sig till fysisk drift, personalförsörjning och verksamhetskontinuitet. Ändå hanteras informationssäkerhet, leverantörsstyrning och krisberedskap i varsitt fack i de flesta organisationer, utan att någon äger helhetsbilden.
NIS2 kräver kontroll på leverantörskedjan. DORA kräver löpande IKT-riskbedömningar. Kraven överlappar, men implementeras var för sig. Resultatet blir parallella kontroller, dubbel administration och en organisation som ständigt befinner sig i uppföljning utan att faktiskt bli säkrare.
– Man skapar flera kontroller som i praktiken gör samma sak, men som följs upp separat. Det ger dubbelarbete och otydlighet kring vad som faktiskt är viktigast, säger Christopher Läns, GRC-expert på Stratsys.
Det som krävs är inte ytterligare ett lager av krav. Det är ett skifte i hur arbetet är organiserat. Utgå från organisationens faktiska risker, definiera kontroller en gång och koppla dem till de regelverk som gäller – i stället för tvärtom.
I praktiken innebär det att informationssäkerhetsarbetet och leverantörsbedömningarna måste hänga ihop. Vilka leverantörer är kritiska? Vad är riskbilden? Vad kräver NIS2 och DORA? Svaret ska finnas i en och samma struktur, inte utspritt i tre olika system hos fyra olika funktioner. Det är precis det Stratsys hjälper organisationer att bygga, en gemensam modell där informationssäkerhet, dataskydd och leverantörsstyrning hänger ihop och kan styras samlat.
– En gemensam kontrollstruktur i stället för ett arbete per regelverk förändrar mycket. Du får en tydligare bild av vad ni faktiskt gör, säger Christopher Läns.
Det kräver inte att funktioner slås ihop. Det kräver att informationssäkerhet, risk och leverantörsstyrning arbetar utifrån samma modell. Organisationer som gör det skiftar från att rapportera efterlevnad till att faktiskt styra efter sin riskbild. Just nu, när tillsynen tar form på allvar, är det en avgörande skillnad.
Läs mer på Stratsys hemsida.
*Artikeln är skriven i samarbete med Stratsys, som hjälper organisationer att samla informationssäkerhet, dataskydd och leverantörsstyrning i en gemensam struktur – med stöd för NIS2, DORA och ISO 27001.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
