Navigera rätt i regelverksdjungeln

I en tid av eskalerande cyberhot möter svenska företag en komplex labyrint av regelverk och ramverk. Från EU:s nya krav som DORA, NIS2 och AI-förordningen, till etablerade standarder som ISO 27001 – hur håller man koll, och framför allt, hur bygger man verklig motståndskraft utan att dras med i en pappersprodukt? I detta blogginlägg reder vi ut sambanden, visar vem som påverkas och ger er verktygen för att inte bara navigera, utan blomstra i regelverksdjungeln.

Tord Strømdal

Säkerhetsexpert

Regelverk vs ramverk - vad är skillnaden? 

Vi börjar med att reda ut skillnaden på ett regelverk och ett ramverk. Regelverk anger vad som måste uppnås, till exempel rapportering, styrning och ansvar. Ramverk beskriver hur det ska göras, genom vilka metoder, processer och kontroller. En av de mest effektiva strategierna är att bygga sin verksamhets compliance-program runt ISO 27001 eller NIST CSF och sedan mappa mot de lagkrav som gäller (NIS2, DORA, Säkerhetsskyddslagen m.fl.)

Så kommer ni igång – steg för steg

  1. Identifiera de regelverk som är tillämpliga för er verksamhet: kartlägg vilka regelverk som omfattar er verksamhet utifrån bransch, marknader, kundsegment och samhällskritisk roll. Dokumentera vilka krav som gäller och säkerställ en tydlig ansvarsfördelning för respektive regelverk.
  2. Gör gap-analys mellan regelverken och verksamhetens nuläge: analysera skillnaden mellan regelverkskraven och er nuvarande mognadsnivå. Är ni redan ISO 27001-certifierade? Har ni ett befintligt ledningssystem som kan fungera som grund? Inventera befintliga processer, styrdokument och kontroller innan ni bygger nytt.
  3. Mappa kontroller för att undvika dubbelarbete: väldigt mycket av det som gäller för Dora gäller även för NIS2 eller ISO27001. Säkerställ att ni inte dubbelarbetar. Om någon del behöver utökas för att leva upp till ett specifikt regelverk, se till att ni inte skapar en helt parallell struktur av information och verktyg.
  4. Driv arbetet som ett prioriterat projekt: att anpassa verksamhet, processer, IKT-tjänster, strukturkapital, tredjepartsavtalshantering, tekniska verktyg kräver dedikerade resurser. Tillsätt projektledning, säkra finanisering och ge tydligt ansvar och mandat.
  5. Integrera cybersäkerhet i ordinarie verksamhet: cybersäkerhet är inte en engångsgrej. Arbeta in regelverkskraven i förvaltningsorganisation och i ordinarie verksamhet; onboardingprocess, upphandling, logganalys, bakgrundskontroller – säkerställ att verksamheten fortsätter jobba i enlighet med regelverken när projektet tar slut.
En apple-dator står på en bänk och en person i grå kavaj står intill. På bordet står det även glas med juice i och en skål med croissanter.

Vill ni veta mer? 

Osäker på vilka krav som gäller för er verksamhet eller hur ni ska omsätta dem i praktiken? Låt oss reda ut det tillsammans.

0 / 250
Fält markerade med en asterisk (*) är obligatoriska.
Integritetspolicy
Föregående