Conny Larsson om kursen NIS2-direktivet

När NIS2-direktivet blir svensk lag ställs högre krav på verksamheter än någonsin. Conny Larsson, advokat och kursledare för endagskursen om NIS2, reder ut vad lagen innebär, vem som berörs och varför du bör gå kursen.

– Det här är något man måste sätta sig in i. Många fler verksamheter omfattas nu än tidigare, säger Conny Larsson.
Han är jurist med cybersäkerhet som specialinrikting.
– Jag är sjukligt intresserad av de här frågorna och tycker det är kul att få komma ut och prata med olika verksamheter. Hjälpa till att reda ut begreppen och visa att det faktiskt inte är så farligt som det låter.
Vad handlar den nya lagen egentligen om?
– Det är en uppdatering av den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Bakgrunden är det förändrade omvärldsläget, med cyberattacker och ett ökat säkerhetspolitiskt tryck.
– EU:s direktiv säger att vi ska ha koll på cybersäkerheten, men de berättar inte hur. Det lämnas till varje verksamhet att själv lista ut. Och det är där kursen kommer in.

Många omfattas

En vanlig fråga är vilka som faktiskt omfattas. Måste alla verksamheter ta tag i detta?
– Det finns tröskelvärden. Du ska ha minst 50 anställda eller omsätta mer än tio miljoner euro. Men många omfattas indirekt genom sina kunder eller leverantörer, förklarar Conny.
Han pekar också på att kraven är bredare än många tror:
– Det handlar inte bara om att ha ett virusskydd. Du ska kunna hantera incidenter, ha koll på din leveranskedja, arbeta med kontinuitetshantering och framför allt dokumentera vad du gör och varför. Och lika viktigt: vad du inte gör och varför.

”Som GDPR men ännu mer komplext”

Kursdagen börjar med att deltagarna får kartlägga vilka lagar just deras verksamhet träffas av.
– Är vi en väsentlig verksamhetsutövare? En viktig? Eller kanske till och med en kritisk, enligt CER-direktivet som är syster till NIS2? Det är sådana frågor vi går igenom.
Kursen hjälper deltagarna att tolka lagens öppna skrivningar. Conny jämför med GDPR:
– Precis som med GDPR ska man uppnå en lämplig säkerhetsnivå, men vad är det? Du behöver ha gjort en risk- och sårbarhetsanalys, så att du vet vad som krävs. Annars är det omöjligt att veta vad som är ”lämpligt”.

Ledningen måste utbilda sig

NIS2 ställer uttryckliga krav på kompetenshöjning inom organisationen.
– Det står faktiskt i lagen att ledningen måste utbilda sig i cybersäkerhet. Det är ganska unikt. Det är inte frivilligt, det är ett krav.
Och det gäller inte bara ledningen.
– Du har ett ansvar att se till att även övrig personal har rätt kompetens för sina arbetsuppgifter. Utbildning är en del i det.

För de som inte följer lagen kan det få kännbara konsekvenser.
– Böter, absolut. Men det finns också ett nytt påföljdssystem där personer i ledande ställning kan förbjudas att ha ledningsfunktioner. Det kan alltså handla om vd:n, styrelseledamöter eller till och med suppleanter.
Men Conny tycker inte att det är där fokus bör ligga:
– Det allvarligaste är inte sanktionerna. Det är att tappa kundernas och allmänhetens förtroende. Om vi klantar oss med säkerheten, hur påverkar det vår verksamhet långsiktigt? Hur påverkar det vårt varumärke? Så gå inte kursen för att undvika böter. Gå den för att skydda er verksamhet.

Conny Larsson

Conny är advokat med inriktning på informationssäkerhet och IT-rätt. Han har tidigare arbetat som verksjurist och bolagsjurist inom IT- och telekombranschen, och är dessutom styrelseledamot i Sig Security samt i SIJU – Svenska föreningen för IT och juridik.
Conny har en förmåga att beskriva komplexa juridiska frågeställningar på ett enkelt sätt.

Conny om kursen i Kunskapsgruppenpodden