Med till exempel NIS2 och kommande cybersäkerhetslag, CER-direktivet och Cybersecurity Act har säkerhetskraven blivit alltmer omfattande, vilket skapar både utmaningar och möjligheter för företag inom brand- och säkerhetsområdet. Många verksamheter som inte direkt omfattas av EU:s säkerhetskrav kommer indirekt påverkas genom partnerskap, affärsrelationer och krav från kunder och leverantörskedjor.
– Idag är det viktigare än någonsin med ordning och reda på dokumenterad, systematisk uppföljning av informationshanteringen om man bedriver säkerhetskänslig eller samhällsviktig verksamhet. Jag är personligen inte en anhängare av skrämselpropaganda, men samtidigt är jag något bekymrad över hur okänt säkerhetsskyddslagen, NIS2-direktivet och CER-direktivet är i allmänhet, och hos leverantörer till samhällsviktig verksamhet i synnerhet, säger Björn Klug, verksamhetsutvecklare och revisionsledare ISO 27001.
Bristande säkerhetsanalys kan kosta miljoner
Säkerhetsbrister i it-system kan leda till cyberangrepp med stora ekonomiska förluster. Trots detta saknar många organisationer en helhetssyn på riskerna och genomför inte tillräckliga sårbarhetsanalyser, vilket leder till att kritiska system förblir oskyddade. Vi kan dessutom förvänta oss att kombinationen NIS2, CER samt den föreslagna revideringen av säkerhetsskyddslagen kommer att leda till fler och högre sanktionsavgifter.
Certifiering för att möta framtidens cybersäkerhetskrav
Den nationella cybersäkerhetsstrategin ska stärka Sveriges motståndskraft mot cyberhot, med fokus på att skydda kritisk infrastruktur, statliga myndigheter och privat sektor. Men det kan även innebära att fler sektorer, utöver de som omfattas av EU:s regler, kan få krav på certifiering och säkerhetshantering.
-Det är tydligt att säkerhetskraven ökar, och det påverkar alla aktörer. Att säkerställa en hög nivå av informations- och cybersäkerhet har blivit en affärskritisk fråga, inte bara för att skydda verksamheten utan också för att möta de krav som ställs av kunder och partners, säger Mårten Wallén, VD på SBSC, Svensk Brand- och Säkerhetscertifiering.
För att möta kraven behöver leverantörer ha en strukturerad och proaktiv strategi för att skydda känslig information och system. En sådan strategi kräver i sin tur att det finns rutiner för att identifiera och hantera risker, planer för kontinuitetsplanering och förberedelser för incidenthantering.
Cyberattacker utnyttjar svagheter i leverantörskedjan
En cyberattack som drabbar ett företag får ofta stora konsekvenser även för kunder och underleverantörer, vilket vi ser i nästan alla attacker som sker idag. Vikten av ordning och reda gäller inte bara den egna verksamheten utan även leverantörernas.
– Idag är ingen organisation autonom utan vi är beroende av leverantörer i verksamheten vilket ställer helt andra krav på kontroll över hela kedjans cybersäkerhetsförmåga. Det räcker inte med att kontrollera leverantörerna en gång vid upphandling, utan kräver ett systematiskt arbete under hela avtalsperioden, säger Matti Olofsson, VD på OneMore Secure.
Genom certifiering och kontroll över hela leverantörskedjan får företag och organisationer ett omfattande skydd som möter de ökade kraven från både lagstiftning och marknaden. Verksamheten får stöd att arbeta systematiskt med sin informations- och cybersäkerhet, samtidigt som certifieringen kan skapa förutsättningar för att vinna nya affärer och öka konkurrenskraften.
Vägen framåt
De ökade cybersäkerhetskraven innebär en tydlig signal till företag och organisationer: att proaktivt investera i informationssäkerhet är inte bara en nödvändighet för att möta lagkrav, utan också en strategisk möjlighet att stärka verksamhetens motståndskraft och trovärdighet. Genom att arbeta strukturerat med certifieringar som ISO 27001 och att systematiskt kontrollera säkerheten i hela leverantörskedjan, kan företag inte bara minska risken för kostsamma incidenter utan även positionera sig som en pålitlig aktör på en alltmer säkerhetsmedveten marknad.
Det är nu upp till varje verksamhet att ta steget och omvandla dessa krav till en konkurrensfördel. Med rätt strategi och stöd kan företag inte bara möta framtidens säkerhetsutmaningar utan även skapa en tryggare och mer hållbar affärsmiljö för alla inblandade.
Läs mer om SBSC:s certifiering av ISO 27001 här
