Myndigheten för civilt försvar (MCF) publicerar information om ledningens roll och ansvar enligt NIS 2-direktivet. I och med det nya NIS 2-direktivet tydliggörs att cybersäkerhet är en strategisk ledningsfråga. Bland annat ställs nu krav på att ledningen ska ha kännedom om organisationens cybersäkerhetsrisker och att ledningen ska övervaka det systematiska cybersäkerhetsarbetet.
Syftet med NIS 2-direktivet är att skapa en hög gemensam cybersäkerhetsnivå i hela EU och direktivet omfattar fler organisationer än tidigare NIS-direktiv. Kraven skärps bland annat gällande säkerhetsåtgärder, incidentrapportering och ledningens ansvar. Dessutom introduceras nya tillsynsåtgärder. I Sverige genomförs direktivet genom cybersäkerhetslagen som börjar att gälla den 15 januari 2026. Lagkraven kommer att preciseras ytterligare i kommande myndighetsföreskrifter.
Ledningen roll och ansvar
Ledningen ansvarar för att styra organisationens cybersäkerhetsarbete så att det bedrivs systematiskt och riskbaserat. Arbetet ska vara integrerat i organisationens befintliga styrning och ledning och inte hanteras som ett separat spår, utan som en naturlig del av verksamhetsstyrningen. Ledningen ska besluta om mål, inriktning och resurser, fastställa mandat och se till att organisationen har tillräcklig kompetens och tillräckliga resurser för att nå den säkerhetsnivå som krävs.
En central del av ledningens ansvar är att tydliggöra roller och ansvar i organisationen för att säkerställa att all information och alla system har ägare som tar ansvar för säkerheten utifrån sina roller. Ledningen ska dessutom säkerställa att det finns en funktion som samordnar cybersäkerhetsarbetet och ger ledningen det underlag de behöver, exempelvis en CISO, informationssäkerhetschef eller informationssäkerhetssamordnare.
Obligatoriskt med utbildning för ledningen
För att ta sitt ansvar behöver ledningen grundläggande kunskap om cybersäkerhet. Syftet är att förtydliga vilken kunskap som minst krävs av ledningen för att kunna förstå och bedöma organisationens risker samt fatta beslut om säkerhetsåtgärder.
Utbildningskraven för ledningen förväntas minst omfatta:
- Ledningens roll i arbetet med cybersäkerhet
- Grundläggande terminologi och relevant reglering
- Riskhantering och övervakning som ett stöd för att leda och styra arbetet med cybersäkerhet
- Systematiskt och riskbaserat arbete
- Organisationens egna interna regler och arbetssätt av relevans för ledningen
Ledningens genomgång
En engagerad ledning är grunden för ett fungerade cybersäkerhetsarbete. För att kunna fatta beslut behöver ledningen informera sig om organisationens risker, incidenter och hur införda säkerhetsåtgärder fungerar. Genom att regelbundet följa upp cybersäkerhetsarbetet kan ledningen identifiera brister, prioritera åtgärder och säkerställa att resurser används där de gör störst nytta.
Ledningen förväntas minst en gång per år, men oftare vid behov, efterfråga en sammanställning av organisationens nivå av cybersäkerhet. I detta ingår att ledningen informerar sig om allvarliga risker, status i arbetet med åtgärdsplaner och inträffade betydande incidenter Ledningen behöver också känna till eventuella brister i cybersäkerheten hos leverantörer och i leveranskedjor, liksom resultat från intern och extern revision och genomförda tillsyner. Som stöd i detta arbete finns samordnarens utvärdering av organisationens cybersäkerhetsnivå. Den sammanställer och analyserar hur organisationens säkerhetsåtgärder motsvarar identifierade risker och om åtgärderna är lämpliga och proportionerliga.
Syftet med ledningens genomgång är att skapa en helhetsbild som underlag för styrning och beslut. Genomgången ska inte bara konstatera nuläget, utan resultera i att ledningen fattar beslut om prioriteringar, resurser och förbättringar i organisationens säkerhetsarbete.
Om ledningen brister i sitt ansvar
Om organisationen inte uppfyller kraven kan det leda till både föreläggande och sanktionsavgifter. Eftersom ledningens ansvar är särskilt utpekat kan bristande ledning och styrning av cybersäkerheten bli föremål för ingripanden, i vissa fall till och med förbud att inneha ledningsfunktion.