Cybersäkerhetslagen: Nacka tror på tillit och delegerat ansvar – när alla ska med

Framför allt är det fler verksamheter i kommunen som blir berörda.

– Tidigare var det egentligen bara våra vårdverksamheter, till exempel skolhälsan och delar av den sociala omsorgen, som påverkades av NIS1. Men från och med NIS2 omfattar de skarpare kraven alla våra verksamheter.

Cyberhetslagen mappar mot styrmodell

Betoningen ligger på alla. Nacka kommuns styrmodell bygger på ett långt drivet delegerat ansvar och tillit till medarbetares kunskap och förmåga. Den filosofin gäller även cybersäkerhet och tillämpning av regelverk.

– Varje verksamhet behöver förstå och ta ansvar för informationssäkerhet i sin vardag, snarare än att det är en centraliserad kontrollfunktion som ska lösa allt.

Med sitt fokus på systematik, ansvarsfördelning och kontinuerlig förbättring mappar Cyberhetslagen/NIS2 bra mot den delegerade modellen, då den erbjuder ett ramverk för verksamhetsansvariga att förhålla sig till.

Man kan kan också se regelverket som en slags ”lägstanivå”, en gemensam bas. Det är särskilt viktigt i många delar av den offentliga sektorn där digitaliseringen ofta går fortare än säkerhetsarbetet.

– Det är en stor fördel, givet att reglerna tillämpas på rätt sätt, säger Henrik Palmblad Wennergren.

Vad har varit mest utmanande hittills?

– Kultur och kompetens är centrala utmaningar – inte minst att höja förståelsen för informationssäkerhet bortom it-enheten. Vi märker att olika delar av organisationen befinner sig på olika mognadsnivåer, vilket också framgår i vår mätning av digital mognad. Det kräver dialog, utbildning och ett kommunikativt ledarskap som förstår både teknik och verksamhet.

Hur har ni förberett organisationen inför Cyberhetslagen/NIS2 – konkret?

– Vi har genomfört GAP-analyser och mätningen Cybersäkerhetskollen, och målsatt ett antal aktiviteter utifrån resultaten. Vi fokuserar på gemensamma lösningar där vi utgår ifrån informationsmängderna snarare än systemen, vilket ger högre flexibilitet i utvecklingsarbetet.

– För systematikens skull använder vi etablerade modeller som objektförvaltning med pm3-twist och tydlig it-styrning. Vår samordnade it-förvaltning arbetar med informationsklassning och tekniska skyddsåtgärder.

– Parallellt har vi genomfört internutbildningar för chefer och medarbetare och samlar löpande relevanta kompetenser i forum för riskhantering och prioritering.

Påverkar lagen era krav på leverantörer och it-partners. Och i så fall hur?

– Ja, vi ställer nu skarpare krav på informationssäkerhet redan i upphandlingsskedet. Det handlar om efterlevnad av säkerhetskrav, kontinuitetsplanering, incidenthantering och tydlig ansvarsfördelning.

Vad tycker du om Cybersäkerhetslagen/NIS2 generellt? Ökar säkerheten eller är det mest en ytterligare regelbörda?

– Om vi ser den som en möjlighet att strukturera upp ansvar, lyfta kompetens och arbeta med riskmedvetenhet i hela organisationen – då är det ett verktyg för att göra oss tryggare, smartare och mer robusta. Men det kräver rätt tolkning: Lagen får inte bli enbart ett complianceprojekt.

– Så, jag säger varken ”bu” eller ett blint ”bä” – utan ett ”ja, om vi gör det rätt”. Med vår modell för ansvarsfördelning och proaktiva arbete, med både styrning och kulturutveckling, har vi goda förutsättningar att göra det.

Har du några lärdomar eller tips att dela med andra CIO:er/it-ledare?

– Gör det enkelt att göra rätt, tydliggör ansvar, använd etablerade modeller och våga samarbeta med andra aktörer som redan har hög säkerhetskompetens. Och, mät era framsteg! Vi använder vårt digitaliseringsindex just för att få syn på hur vi rör oss framåt.