Forskare varnar: Cybersäkerhet är en ledningsfråga – inte bara en IT-fråga. När ansvaret stannar på IT-avdelningen riskerar konsekvenserna att bli större än den egna organisationen och i förlängningen påverka hela Sveriges informationssäkerhet.

Pressmeddelande -

Naivitet kan hota Sveriges informationssäkerhet

Cybersäkerhet är ett ansvar för vd och styrelser – inte för IT-avdelningen. Ändå är det precis där många svenska organisationer placerar frågan. Det kan få konsekvenser långt bortom den egna verksamheten och hota hela Sveriges informationssäkerhet, varnar forskare vid Högskolan i Skövde.

– Det går inte längre att säga att man inte visste, säger Marcus Nohlberg, docent i informationsteknologi.

Den nya cybersäkerhetslagen som trädde i kraft i januari innebär skärpta krav på organisationer som är viktiga för samhällets funktion. Syftet är att stärka Sveriges motståndskraft mot cyberattacker och informationspåverkan.

Hela Sveriges säkerhet riskeras

En central poäng i den nya lagen är att cybersäkerhet inte är isolerad till enskilda organisationer. Varje företag och offentlig verksamhet är en del av ett större system.

– Alla organisationer, både privat och offentlig sektor, har faktiskt en del av ansvaret för hela Sveriges informationssäkerhet via sitt eget säkerhetsarbete, säger Marcus Nohlberg.

När ledningar underskattar sitt ansvar riskerar konsekvenserna därför att sprida sig – till leverantörskedjor, samhällsviktiga tjänster och i förlängningen till allmänheten.

”Fokus hamnar på fel område”

Enligt Rose-Mharie Åhlfeldt, professor i informationsteknologi, är det största misstaget att ledningen delegerar ansvaret till IT-avdelningen:

– Högsta ledningen tror att det är en teknisk fråga, vilket det inte är, namnet till trots. Cybersäkerhetsarbetet och de krav som lagen ställer kräver styrning och ledning från högsta ledningen.

Cybersäkerhetslagen slår fast att ledningen ska ha kunskap om organisationens cyberrisker, fatta beslut om resurser och säkerställa att arbetet bedrivs systematiskt och riskbaserat. Det är också ett lagkrav att beslutsfattare genomgår utbildning inom området.

– Det handlar inte bara om teknik, även om det så klart ingår. Det är en strategisk ledningsfråga, säger Rose-Mharie Åhlfeldt.

Personligt ansvar – och konsekvenser

För vd och styrelser innebär lagen ett tydligare och tyngre ansvar än tidigare. Incidentrapporteringen skärps, kraven på säkerhetsåtgärder ökar och tillsynen blir skarpare. Organisationer som brister i sitt arbete riskerar sanktionsavgifter på mellan 10 och 100 miljoner kronor. Men det stannar inte där.

– Konsekvensen kan bli förelägganden, anmärkningar eller till och med att ledningsgruppen eller enskilda individer kan förbjudas att fortsätta i sin ledningsfunktion, säger Rose-Mharie Åhlfeldt.

Marcus Nohlberg pekar på att konsekvenserna inte bara är ekonomiska eller juridiska.

– Skadestånd, pinsamhet och potentiella straff är en sak. Men än värre är att bli kända för att inte ta säkerhet på allvar på ett sätt som kan drabba kunder, partner och samhället i stort.

”Det finns inga ursäkter”

Forskarna är samstämmiga i sitt råd till organisationer som ännu inte agerat:

– Sätt igång. Det finns inga ursäkter. Cyber- och informationssäkerhetsarbete är ett kvalitetsarbete och gagnar verksamheten på flera sätt, säger Rose-Mharie Åhlfeldt.

Marcus Nohlberg instämmer:

– Man behöver inte ha löst allt från början. Det viktigaste är att börja. Små steg framåt är bättre än passivitet.

I en tid av ökade cyberhot och geopolitisk osäkerhet är budskapet tydligt: cybersäkerhet är inte ett teknikprojekt – det är ett ledningsansvar. Och passivitet kan få konsekvenser för hela samhället.

Uppdragsutbildning för ledare av säkerhetsarbete

Högskolan i Skövde erbjuder en praktiskt inriktad uppdragsutbildning (7,5 hp) i informationssäkerhet och införande av ledningssystem för informationssäkerhet för dig som leder eller ansvarar för organisationens säkerhetsarbete. Högskolan är också en del av Cybercampus Sverige, en nationell satsning och ett samarbete mellan universitet, institut, myndigheter och företag i hela Sverige som arbetar för öka cybersäkerhet, stärka samhällets försvarsförmåga och svensk konkurrenskraft.

För mer information, kontakta:

Rose-Mharie Åhlfeldt, professor i informationsteknologi
E-post: rose-mharie.ahlfeldt@his.se
Telefon: 0500-448328

Marcus Nohlberg, docent i informationsteknologi
E-post: marcus.nohlberg@his.se
Telefon: 05-448270

Relaterade länkar

Ämnen

Kategorier

Regioner

Vi är en högskola med en öppen och välkomnande atmosfär, förstklassiga utbildningar och internationellt konkurrenskraftig forskning. En plats där vi gör framsteg, varje dag.

Kontakter

Relaterad media

Ladda ner bilder för medieanvändning
Fyll i din epostadress för att följa Högskolan i Skövde

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av oss och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs vår Integritetspolicy som berör vår behandling av dina personuppgifter, och Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att våra Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Högskolan i Skövde.

Okej