Cybersäkerhetslagen i praktiken: leverantörsrisk som löpande krav
Cybersäkerhetslagen träder i kraft den 15 januari och implementerar NIS2-direktivet i svensk rätt. För de verksamheter som omfattas innebär det ett skifte i arbetssätt: från leverantörsgranskning som en punktinsats till löpande och riskbaserad uppföljning.
Cybersäkerhetslagen träder i kraft den 15 januari och implementerar då NIS2-direktivet i svensk rätt. Den utgår från en europeisk vardag där verksamheter är tätt sammankopplade genom digitala tjänster och leverantörskedjor, och där incidenter snabbt kan få följdeffekter långt utanför den egna organisationen.
För de verksamhetsutövare som omfattas innebär det i praktiken en förändring av hur efterlevnad behöver fungera. Det handlar mindre om att bli "klar" inför en granskning och mer om ett arbetssätt som håller riskbilden uppdaterad, fångar upp förändringar i tid och går att motivera när det behövs.
Lämpliga och proportionella säkerhetsåtgärder
Kärnan i Cybersäkerhetslagen är kravet på lämpliga och proportionella säkerhetsåtgärder. Åtgärderna ska utgå från ett allriskperspektiv och ge en säkerhetsnivå som är lämplig i förhållande till risken.
I praktiken betyder det att ni behöver kunna visa att åtgärderna hänger ihop med er faktiska riskbild. Varför ni valt just de åtgärderna, på den nivån, och hur ni följer upp att de fungerar över tid.
Lagen anger också vilka områden säkerhetsåtgärderna minst ska omfatta, till exempel incidenthantering, cyberhygien, utbildning och åtkomstkontroll, samt säkerhet i leveranskedjan.
Leverantörsrisk blir ett löpande krav, inte en punktinsats
När säkerhet i leveranskedjan ingår i minimikraven förändras vad leverantörsgranskning behöver innebära i praktiken. Det räcker inte att ha en rimlig bedömning vid inköpstillfället om ni inte också kan visa att leverantörsledet hanteras på ett sätt som håller över tid, och som är lämpligt och proportionerligt i förhållande till er risk.
I praktiken innebär det att leverantörsbedömningen behöver förbli relevant även efter att en tjänst tagits i bruk. Det kräver inte att ni gör en total omgranskning hela tiden, men att ni har en tydlig rutin för när bedömningar ses över och på vilken nivå, utifrån förändringar i riskbilden.
Leverantörsrisk påverkas när nya tjänster införs, när funktionalitet utökas, när drift- eller datalösningar ändras eller när nya beroenden tillkommer. Därför behöver leverantörsarbetet vara integrerat i era beslut och processer för inköp, implementering och förändring, inte begränsat till en kontrollpunkt vid avtalsingående.
Slutligen behöver uppföljningen ge underlag för att bedöma effektiviteten i säkerhetsåtgärderna. För leverantörsledet innebär det att ni ska kunna visa vilka underlag som ligger till grund för bedömningar, vilka centrala beroenden som omfattas och hur uppföljning sker.
Det nya normalläget
Cybersäkerhetslagen gör leverantörsledet till en del av kärnkraven genom att säkerhet i leveranskedjan ingår i minimikraven för säkerhetsåtgärder. För de som omfattas innebär det ett skifte i arbetssätt: från leverantörsgranskning som en punktinsats till en löpande och riskbaserad uppföljning som går att motivera och visa upp vid behov.
Det är i grunden ett nytt sätt att tänka på leverantörsrisk. Inte som en periodisk kontroll, utan som en del av den fortlöpande riskbilden som säkerhetsåtgärderna behöver vara anpassade till över tid.