Inga produkter i varukorgen.
”Ledningsgruppen måste ta större ansvar för cybersäkerheten”
krönika Under lång tid har cybersäkerhet och dataskydd varit it- och säkerhetsteamens ansvar, medan ledningen förlitat sig på att experterna hanterar det själva. Men när allt fler företag är beroende av teknik är cybersäkerheten strategiskt viktig för hela verksamheten, skriver Nichole Friberg på Veeam i en krönika.
Med nya cybersäkerhetsregleringar såsom NIS2 och DORA är det inte längre bara säkerhetschefen (ciso) som hålls ansvarig vid en incident, utan hela ledningen är nu direkt ansvarig för säkerhetsåtgärder och utbildning. Bristande efterlevnad kan leda till betydande böter och skada företagets rykte. Det räcker inte att anta att säkerhetsteam eller leverantörer har allt under kontroll. Ledningen måste själva vara engagerade i processen.
De flesta chefer är inga cybersäkerhetsexperter, men de nya reglerna gör att de aktivt måste hantera säkerhetsstrategier. Under NIS2 ansvarar de även för riskhantering, incidentrapportering och säkerhetsåtgärder. Bristande efterlevnad kan leda till personligt ansvar och böter på upp till tio miljoner euro eller tio procent av den globala årsomsättningen.
Detta innebär att företagsledningar måste integrera cybersäkerhet i hela organisationen genom investeringar i säkerhet, utbildning och kravställning på interna processer och anställda. Men ansvaret stannar inte inom organisationen – även leverantörer och samarbetspartner måste granskas noggrant. Som tur är finns det experter att ta till hjälp.
Större krav på tredjepartsleverantörer
Enligt EY:s Global Third-Party Risk Management Survey planerar 44 procent av organisationerna att öka sitt samarbete med tredjepartsleverantörer under de kommande fem åren. Detta innebär att företag måste ställa högre krav på sina leverantörer inom dataresiliens och incidenthantering.
En större andel av it-incidentrapporterna under 2024 i MSB:s senaste årsrapport är kopplade till just digitala leveranskedjeincidenter – där många organisationer och deras tjänster kan påverkas samtidigt. Samma rapport visar också att nästan hälften av de rapporterade it-incidenterna under 2024 orsakades av misstag eller systemfel, ofta i samband med uppdateringar eller konfigureringar inom it-miljön.
Tidigare kunde en certifiering eller ett avtal räcka för att inge förtroende, men med de nya reglerna måste ledningen försäkra sig om att leverantörerna har tydliga säkerhetsrutiner. Det kan innebära omförhandling av SLA:er och mer omfattande granskningar för att säkra att datahantering och återställning sker enligt regelverken.
Att testa säkerhetsförmågan är avgörande
Regler som NIS2 och DORA handlar inte om att eliminera alla risker, utan om att minimera dem och ha en robust plan för incidenthantering. Företag kan ha välformulerade processer och tekniska lösningar, men utan testning är de meningslösa.
En viktig del för att öka motståndskraften och dataskyddet är den moderna 3-2-1-1-0-backup-regeln, vilket innebär att ha tre kopior av data, på två olika typer av media, en kopia lagrad externt, en kopia lagrad offline, fysiskt åtskild (air-gapped) eller oföränderlig (immutable) samt noll fel i kopiorna så informationen kan återställas i alla lägen.
Regelbundna och realistiska tester är avgörande – inte bara under optimala förhållanden, utan även vid oväntade tidpunkter som när nyckelpersoner är frånvarande. Cybersäkerhet kan inte enbart hanteras på pappret utan måste övas på i verkligheten. En verklighet där ledningen är ytterst ansvarig.
Nichole Friberg är Nordenchef på Veeam
