Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Varför det är viktigt att styrelsen inser betydelsen av NIS2-direktivet?
NIS2-direktivet är en EU-förordning utformad för att stärka cybersäkerheten inom viktiga sektorer. Som ett EU-land påverkas Sverige direkt, och det gäller alla affärer med företag inom EU eller företag som gör affärer inom EU. De som inte lyckas efterleva NIS2-kraven kan drabbas av kraftiga böter, stora svårigheter att bedriva sin verksamhet och en negativ påverkan på företagets rykte. Det är med andra ord avgörande för styrelser att prioritera efterlevnad.
Men här finns det en hake. Styrelser fokuserar ofta på att driva tillväxt och maximera vinster, medan cybersäkerhet och efterlevnad ofta ses som kostnadsställen. Utmaningen för säkerhetsansvariga är därför att argumentera för NIS2-efterlevnad på ett sätt som överensstämmer med styrelsens prioriteringar.
Mycket på spel
Många CISO:er förstår de tekniska aspekterna av NIS2-efterlevnad, och utmaningen är att översätta det till ett språk som styrelsen förstår. Efterlevnadsfrågor är inte alltid ett fokusområde för styrelseledamöter, särskilt om de inte är medvetna om de potentiella ekonomiska och operativa riskerna som kan uppstå. Nyckeln blir då att anpassa samtalet kring två faktorer som är högt upp på i princip alla styrelsers agenda: riskhantering och konkurrensfördelar. Genom att utforma NIS2 som ett affärskritiskt behov – snarare än ett tekniskt eller regulatoriskt krav – kan CISO:er mer effektivt kommunicera värdet av efterlevnad.
Här finns flera saker att lyfta fram. Styrelser måste förstå hur påföljderna för bristande efterlevnad kan vara betydligt dyrare än kostnaderna för att genomföra nödvändiga åtgärder. CISO:er kan påvisa detta genom att sätta fingret på potentiella böter, driftstörningar och skador på varumärket. NIS2-direktivet lägger också stor vikt vid företagets förmåga att stå emot cybersäkerhetshot. Här gäller det att förbättra företagets förmåga att reagera på hot, upprätthålla kontinuitet i verksamheten och skydda nyckeltillgångar.
Genom att ta efterlevnadsfrågorna på allvar visar företag att de tar ansvar för cybersäkerhet, vilket växer fram som ett allt viktigare försäljningsargument genemot kunder och affärspartners. Detta kan göra en viktig skillnad på en konkurrensutsatt marknad. NIS2-efterlevnad handlar inte bara om att undvika påföljder. En viktig del är också att säkerställa att verksamheten löpande kan anpassa sig till ett föränderligt regelverk. Den här typen av framtidssäkring kan vara helt avgörande för verksamheten.
Få styrelsen att agera
Även om det är tydligt för CISO:er att det är brådskande med NIS2-efterlevnad, kan det vara en utmaning att få styrelsen att agera. Styrelser har många bollar i luften och cybersäkerhet kanske inte alltid känns som det mest akuta problemet. För att hantera detta kan CISO:er fokusera på följande strategier:
- Tala styrelsens språk
Undvik teknisk jargong när du som CISO vänder dig till styrelsen. Rama in samtalet kring affärseffekterna av NIS2-efterlevnad. Använd praktiska exempel och fallstudier för att visa hur liknande organisationer har påverkats av bristande efterlevnad eller har dragit nytta av proaktiva åtgärder.
- Kvantifiera risken
Styrelser drivs ofta av siffror, så det är avgörande att presentera en tydlig bild av de ekonomiska riskerna och fördelarna. Kvantifiera de potentiella kostnaderna för bristande efterlevnad – såsom böter, rättstvister och förlorade affärer – och jämför dem med kostnaderna för efterlevnadsinitiativ. En sådan analys kan hjälpa styrelsen att se helheten.
- Praktiska exempel
Ibland kan påtryckningar utifrån vara mer effektiva än interna argument. Genom att framhäva det faktum att NIS2 är ett regulatoriskt krav som backas upp av tillsynsåtgärder kan man få styrelsen att haja till. Genom att ge exempel på företag som drabbats av böter eller sanktioner på grund av bristande efterlevnad kan man som CISO understryka problemets allvar.
- Efterlevnad som en konkurrensfördel
Eftersom kunder och partners i allt högre grad prioriterar cybersäkerhet, kan det vara ett unikt försäljningsargument att vara NIS2-kompatibel. Visa styrelsen hur NIS2-efterlevnad inte bara kan undvika negativa händelser utan också leda till positiva affärsmöjligheter.
NIS2-efterlevnad är inte bara en teknisk skyldighet – det är en strategisk affärsprioritering. För att lyckas få med styrelsen på tåget måste CISO:er formulera sina argument utifrån de saker som styrelsens har vant sig vid att prioritera, exempelvis riskhantering och konkurrensfördelar. Genom att anpassa arbetet med NIS2-efterlevnad till styrelsens prioriteringar kan CISO:er säkerställa att verksamheten inte bara skyddas från regulatoriska påföljder utan också är väl positionerade för framtida framgång.