Förr eller senare händer det. Inte att någon ber om era policies eller att en tillsynsmyndighet hör av sig, utan att något faktiskt slutar fungera. Ett system beter sig konstigt, en leverantör går ner, ett konto används på ett sätt som ingen riktigt kan förklara. Det är i det ögonblicket som det visar sig vad ert säkerhetsarbete egentligen är värt. Inte vad ni har skrivit ner, utan vad ni faktiskt kan göra.
Det är också där cybersäkerhetslagen blir relevant på riktigt. För även om den ofta tolkas som ett regelverk om krav, rapportering och struktur, så handlar den i grunden om något annat. Den handlar om förmåga. Om organisationen fungerar när den utsätts för press.
Det blir tydligt när man tar del av resonemangen i webbinariet “Cybersäkerhetslagen för små och medelstora företag – vad är en good enough-nivå?” där Petra Jonsson och Jonas Stewén diskuterade vad lagen faktiskt innebär i praktiken.
Redan där sätter Stewén fingret på det som många missar: att lagen innebär “krav på ledningen på ett helt annat sätt”. Det låter kanske som en justering, men i praktiken är det ett skifte. Cybersäkerhet är inte längre något som kan hanteras i periferin av verksamheten. Det går inte att reducera till en specialistfråga eller lägga helt på IT.
Det innebär inte att ledningen behöver förstå alla tekniska detaljer, men den måste förstå tillräckligt för att kunna fatta beslut. För i slutändan är det just det det handlar om: vilka risker man väljer att ta, vilka man försöker reducera och vilka man accepterar.
Och ansvaret för de besluten går inte att flytta. I samma webbinarium uttrycker Stewén det ganska rakt:
“Man kan delegera utförandet, men man kan aldrig delegera ansvaret.”
Det är en formulering som sätter fingret på varför många organisationer fortfarande inte riktigt är där. Man har roller, strukturer och ibland till och med ramverk – men när man börjar prata om vem som faktiskt äger riskerna blir det ofta mer otydligt.
Samtidigt finns det en annan förenkling som lätt smyger sig in: att cybersäkerhetslagen främst handlar om att arbeta riskbaserat. Att det räcker att göra rimliga avvägningar. Men bilden är mer dubbel än så. I webbinariet beskriver Stewén det som att man både måste arbeta “systematiskt och riskbaserat”, samtidigt som det finns “en miniminivå som man måste uppnå”.
Det är just den kombinationen som gör lagen svår att förenkla. För även om man gör kloka prioriteringar kan man inte välja bort vissa grundläggande skydd. Och samtidigt räcker det inte att checka av dessa och sedan betrakta arbetet som klart.
När man tittar på hur det faktiskt ser ut i organisationer blir det också tydligt var problemen uppstår. Det är sällan de avancerade lösningarna som saknas. Det är det grundläggande som inte riktigt sitter. Stewén beskriver till exempel hur det fortfarande är vanligt att hitta administratörslösenord i klartext, och hur bristen på multifaktorautentisering återkommer gång på gång i praktiken.
Det är inga spektakulära brister. Men det är just därför de är farliga.
Och det är också därför lagen lägger så stor vikt vid incidenthantering. Inte som en isolerad process, utan som ett sätt att testa helheten. För när något väl händer är det inte längre relevant hur säkerhetsarbetet är beskrivet, utan hur det faktiskt fungerar.
I webbinariet formuleras det enkelt:
“Ett papper är bara ett papper tills du har använt det.”
Det är först när något händer som det märks om det finns ett faktiskt arbetssätt bakom orden. Om rollerna är tydliga. Om någon vet vad som ska göras. Eller om allt i praktiken behöver lösas i stunden.
I det sammanhanget blir också dokumentationen en dubbel fråga. Den behövs, men den kan också bli ett självändamål. Stewén beskriver hur han sett organisationer med omfattande och välskriven dokumentation där det ändå saknas något grundläggande – där det, som han uttrycker det, inte finns något som bär under ytan.
Det är ofta där man glider över i ett mer renodlat compliance-tänk. Att arbetet handlar om att visa upp rätt saker, snarare än att bygga något som faktiskt fungerar. I webbinariet lyfts till och med exempel där majoriteten av säkerhetsarbetet handlar om just compliance, snarare än faktisk säkerhet.
Och det är kanske där man landar till slut.
Cybersäkerhetslagen bryr sig inte särskilt mycket om hur många dokument du har, eller hur välformulerade de är. Den bryr sig om något annat. Om ledningen förstår riskerna. Om organisationen vet hur den ska agera när något går fel. Och om de delar av verksamheten som verkligen betyder något faktiskt är skyddade.
För när något väl händer – och det gör det förr eller senare – då är det inte policyn som avgör.
Det är vad ni gör.
