Matt Carey, PwC

Bakgrunden är ett ökat antal cyberangrepp, insiderrelaterade incidenter och ett förändrat säkerhetsläge, där både statliga och kriminella aktörer bedöms ha ett växande intresse för företags tekniska information.

– Många företag arbetar fortfarande mer reaktivt än proaktivt med cybersäkerhet, säger Matt Carey, ansvarig för threat intelligence på PwC Sverige och PwC EMEA.

Bristande styrning och avsaknad av standarder

Enligt PwC är en av de vanligaste bristerna att cybersäkerhet inte fullt ut är integrerad i företagens övergripande riskhantering på lednings- och styrelsenivå. I stället hanteras cyberrisker ofta separat från finansiella, operativa och fysiska risker.

Samtidigt är det fortfarande många organisationer som inte arbetar systematiskt enligt etablerade ramverk som NIST eller ISO 27001. Det innebär att rutiner för att identifiera, upptäcka och återhämta sig från avancerade cyberangrepp eller insiderhot ofta är otillräckliga.

– I praktiken gör det att angripare relativt enkelt kan identifiera värdefulla immateriella rättigheter och stjäla dem, ibland utan att företaget ens upptäcker intrånget, säger Matt Carey.

Regelverk som NIS2 och Cyber Resilience Act syftar till att stärka kraven på att bygga in säkerhet i system och processer redan från början, men enligt PwC återstår ett omfattande arbete för många organisationer.

Styrning viktigare än teknik

När det gäller vad företag bör prioritera för att minska risken för överträdelser enligt den nya lagen pekar PwC tydligt ut styrning som den viktigaste faktorn.

Den nya lagstiftningen fokuserar på obehörig användning av information, vilket ställer krav på att företag kan visa vem som haft åtkomst till känsliga uppgifter, i vilket syfte och vilka kontroller som funnits på plats. Dokumentation, loggning och kontinuerlig uppföljning blir därmed centrala delar av efterlevnaden.

Beteendefrågor är också en prioriterad riskyta. Enligt PwC handlar många incidenter om vardagliga misstag, till exempel att känslig information skickas till privata mejladresser, att källkod tas med mellan arbetsgivare eller att konsulter lagrar data i egna miljöer. Därför krävs riktad utbildning för medarbetare som hanterar immateriella tillgångar.

Utökat ansvar för ledning och styrelse

Den nya lagen innebär även ett tydligare ansvar för företagsledningar och styrelser. När även personer med behörig åtkomst kan hållas straffrättsligt ansvariga ökar kraven på ett systematiskt och bevisbart skydd.

Det handlar bland annat om tydlig klassning av tekniska företagshemligheter, behörighetsstyrning, loggning, utbildning, fungerande incidenthantering och konsekventa arbetsrättsliga åtgärder vid överträdelser. Straffskalan sträcker sig från böter till två års fängelse, och upp till sex år vid grova brott. Skadeståndsansvaret har samtidigt stärkts.

Som huvudregel omfattar lagen inte mindre förseelser eller angrepp som sker efter att en anställning avslutats, vilket enligt PwC ställer krav på att företag kan visa hur information hanterats under den tid en person varit verksam i organisationen.

Charlotte Arnell, PwC

Ökat behov av samverkan – och ny efterfrågan på kompetens

Den nya lagstiftningen, i kombination med ett ökat cyberhot, driver enligt PwC ett behov av närmare samarbete mellan säkerhetsfunktioner, HR, juridik och IT.

– Det räcker inte längre att hantera de här perspektiven var för sig. De behöver vävas ihop för att organisationer ska kunna omsätta lagkrav i konkret förändringsarbete, säger Charlotte Arnell, expert på dataskydd och digitaliseringsjuridik på PwC Sverige.

För säkerhetsbranschen innebär lagen både nya krav och nya affärsmöjligheter. PwC ser framför allt en ökad efterfrågan på teknisk kompetens, särskilt inom identitets- och behörighetshantering, samt stöd i att översätta lagar och regulatoriska krav till praktiska ramverk för styrning och efterlevnad – inte minst i samband med implementeringen av NIS2 och DORA.

Den nya cybersäkerhetslagen markerar därmed ett tydligt skifte: skydd av tekniska företagshemligheter är inte längre enbart en teknisk fråga, utan en strategisk ledningsfråga med juridiska konsekvenser.

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Skaffa Aktuell Säkerhet Nyhetsbrev

Genom att klicka på ”Prenumerera” ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.