Jag är medlem i dataföreningen och de anordnar varje månad en säkerhetsfredag i form av en föreläsning som antingen går att besöka i Stockholm eller lyssna på via zoom på distans. Idag besökte jag därför Stockholm för att lyssna på en föreläsning om den nya cybersäkerhetslagen.
Föreläsning gav en väldigt bra och konkret genomgång av NIS2 och hur det nya regelverket påverkar både organisationer och ledningsarbete. Fokus låg inte bara på kraven i sig, utan på hur man kan bygga ett cybersäkerhetsarbete som faktiskt skapar värde i verksamheten och inte bara blir en administrativ börda. Föreläsaren gick igenom vad NIS2 arbetet innebär i praktiken, bland annat vilka krav som ställs på styrning, rapportering, tillsyn och hur ansvaret fördelas inom organisationen. En viktig del var ledningens roll och hur cybersäkerhet behöver lyftas till en strategisk nivå för att fungera långsiktigt. Det blev tydligt att NIS2 inte är något som enbart IT avdelningen kan hantera på egen hand, utan att det kräver engagemang och struktur i hela organisationen.
Vi fick också en bra jämförelse mellan NIS2 och andra regelverk som många företag redan förhåller sig till, till exempel GDPR, DORA, ISO 27001 och CER. Det gav ett bra perspektiv på hur NIS2 passar in i det större regelverkslandskapet och hur man kan samordna sitt arbete istället för att se varje krav som ett separat projekt. En del jag uppskattade var resonemangen kring hur man kan skapa ett mer rationellt och fungerande cybersäkerhetsarbete. Istället för att bara fokusera på efterlevnad handlade det om att bygga strukturer, processer och arbetssätt som faktiskt stärker organisationens säkerhet och motståndskraft över tid.
Sammanfattningsvis var det en väldigt givande föreläsning som tydliggjorde både komplexiteten och möjligheterna med NIS2. Jag tog med mig många konkreta insikter kring hur regelverket påverkar organisation, ledning och styrning, men också hur man kan använda det som ett verktyg för att skapa ett mer genomtänkt och värdeskapande cybersäkerhetsarbete.
