Choose language

Cybersäkerhetslagen och kommuner – vad förändras?

Cybersäkerhetslagen och kommuner – vad förändras?
2:36

Den nya cybersäkerhetslagen, som bygger på NIS2-direktivet, har trätt i kraft och förändrar spelreglerna för offentlig sektor. För kommunala ledningar är cybersäkerhet inte längre en prioriteringsfråga, utan en fråga om styrning och riskhantering i praktiken.

MSB:s metodstöd och vägledningar visar att många organisationer fortfarande har brister i det systematiska och riskbaserade informationssäkerhetsarbetet, trots ökade krav och ett förändrat säkerhetsläge. Så vad innebär cybersäkerhetslagen egentligen?

1. Ledningens ansvar har förtydligats

En av de största förändringarna i lagstiftningen är kopplingen till ledningsnivå. Cybersäkerhet är nu ett tydligt ledningsansvar.

Det innebär att:

  • Ledningen ska säkerställa att riskhantering av cybersäkerhet är etablerad
  • Övergripande riskhanteringsåtgärder ska beslutas och följas upp
  • Arbetet ska vara en del av verksamhetens strategiska styrning

Organisationen kan omfattas av sanktionsavgifter vid bristande efterlevnad.

2. Riskbaserat arbetssätt – inte ett “checklist-projekt”

Cybersäkerhetslagen kräver ett riskbaserat arbetssätt.

Det innebär att kommuner behöver:

  • Identifiera sina mest kritiska verksamheter för medborgarna
  • Analysera konsekvenser vid driftstörningar
  • Dimensionera skydd utifrån risk och påverkan, inte budget eller historik

3. Systematik framför punktinsatser

MSB betonar att informationssäkerhetsarbete ska vara systematiskt och integrerat i verksamhetsstyrningen. Cybersäkerhet är en process, inte en produkt.

Ett ledningssystem för informationssäkerhet (LIS) innebär att säkerhet ska ingå i exempelvis:

  • upphandling av IT-system 
  • drift av samhällskritiska tjänster
  • utveckling och förvaltning av digitala system

Tre frågor varje ledningsgrupp bör ställa sig

  • Har vi en aktuell riskbild? Vet vi våra största digitala sårbarheter i år, inte förra året?
  • Är cybersäkerhet en del av vår verksamhetsstyrning? Ses det som en strategisk förutsättning eller en kostnadspost?
  • Har vi kompetensen att styra? Har ledningen tillräcklig förståelse för att fatta informerade beslut om IT-risker?

Sammanfattning

Den nya cybersäkerhetslagen innebär inte bara tekniska krav, utan framför allt ett tydligare ansvar för styrning, riskhantering och systematik i hela organisationen. För kommuner blir förmågan att arbeta strukturerat och långsiktigt avgörande.

Vill du fördjupa dig?

Läs mer om ledningssystem för informationssäkerhet (LIS) 

Läs mer om den nya cybersäkerhetslagen

Läs mer om hur vi jobbar med säkerhet 

 

Categories