Föreskrifterna kommer bland annat att förtydliga vilka säkerhetsåtgärder som förväntas av verksamheter som omfattas, men även hur tillsyn, revisioner och uppföljning ska genomföras. Det innebär att kraven på styrning, ansvar och dokumenterad efterlevnad blir alltmer konkreta.
De nya kraven som införlivas med cybersäkerhetslagen och dess föreskrifter innebär ett nytt läge för flera organisationer. Det räcker inte längre med en uttalad ambition kring informationssäkerhet. Verksamheten behöver kunna visa ett systematiskt arbete med risker, skyddsåtgärder, utbildning, ansvarsfördelning och kontinuerlig uppföljning.
För verksamheter som innehar en certifiering enligt ISO 27001 (informationssäkerhet) – kan dra nytta av ett riskbaserat och systematiskt arbetssätt. Däremot kan en verksamhet som är certifierade enligt ISO 27001 inte automatiskt anses uppfylla bestämmelserna i cybersäkerhetslagen. Det gäller att alla verksamheter som berörs kartlägger hur de berörs av lagen.
Att cybersäkerhet inte enbart är en fråga för IT – har klarnat de senaste åren. Cybersäkerhet är en ledningsfråga, en verksamhetsfråga och inte minst en fråga om struktur, ansvar och efterlevnad.
