Att efterleva EU-regler har blivit en labyrint

EU:s NIS2-direktiv har blivit antaget, nu börjar den sista spurten för att bli ”compliant”. Men vad gör man när flera av de olika standarderna och regelverken överlappar – och motsäger – varandra?

Högre krav på dokumentation

Tänk dig att du står mitt i ett kontrollrum med en instrumentpanel för cybersäkerhet, en för dataskydd, en för finansiell driftsäkerhet och två extra skärmar för ISO och NIST. Sedan ringer telefonen: Du har drabbats av ett säkerhetsintrång. Vilken uppsättning regler reagerar du på först?

För många företag – särskilt i kritiska sektorer som energi, hälsa, finans och digital infrastruktur – räcker det inte längre med att bara ha koll på säkerheten. Nej, de måste också följa ett ökande antal regler och standarder, som var och en ställer egna krav på rapportering, datalagring, ansvar och dokumentation.

Problemet är att kraven inte alltid samverkar. Ibland drar de till och med åt olika håll, och då är frågan vilket man ska fokusera på och prioritera.

Genom NIS2-direktivet vill EU säkerställa starkare cybersäkerhet, GDPR ska skydda medborgarnas data och rättigheter, och DORA ska säkerställa ekonomisk motståndskraft i en digital värld. Utöver detta har vi ISO 27001 och 27701 och NIST-ramverk, som många företag använder som strukturerade motsvarigheter till de lagstadgade kraven. Var för sig är dessa meningsfulla, men tillsammans blir allt komplext.

Motstridiga regelverk

Till exempel kräver både NIS2 och DORA att företag loggar omfattande mängder data – inklusive användarbeteende och nätverkstrafik – för att kunna upptäcka och analysera hot. Men GDPR ställer krav på dataminimering och begränsad lagring.

Vad gör man när säkerheten kräver att data sparas i fem år, men GDPR säger att den ska raderas efter två månader? Eller ta rapporteringsfrister: GDPR kräver att dataintrång rapporteras inom 72 timmar. NIS2 och DORA säger 24 timmar – för finanssektorn helst ännu snabbare.

Har man ett enda incident response-team eller tre olika? I praktiken måste man utforma sin beredskapsplan efter den kortaste tidsfristen, men det kräver resurser och samordning – särskilt som de olika rapporteringsfristerna inte heller kräver samma innehåll.

EU har visserligen försökt skapa sammanhang: DORA har till exempel förklarats vara ”lex specialis” över NIS2 – vilket innebär att finansiella företag i första hand ska följa DORA där reglerna överlappar varandra. Men det befriar dem inte från att tänka i bredare ”compliance”-termer. För samma incidenter kommer data och system ofta att omfattas av flera regelverk samtidigt.

Omöjligt att följa alla regler

Resultatet är att efterlevnad inte längre bara är ett juridiskt eller tekniskt ansvar – det har blivit en organisatorisk disciplin i sig. Man måste behärska begrepp som ”privacy by design”, men också kunna svara på hur länge man lagrar nätverksloggar, hur man segmenterar åtkomst till känsliga data och vem som har det yttersta ansvaret när något går fel.

En del av lösningen är att tänka holistiskt: Det är inte möjligt – eller klokt – att försöka uppfylla varje regelverk isolerat. I stället måste företag arbeta mot en enda samlad styrningsstruktur, där till exempel ISO 27001 utgör ryggraden i ett integrerat ledningssystem och där säkerhetspersonal och dataskyddsombud arbetar tillsammans – inte var för sig. Men det kräver att ledningen tar ansvar.

Det är inte möjligt – eller klokt – att försöka uppfylla varje regelverk isolerat.

NIS2 och DORA lägger i allt högre grad ansvaret på den högsta ledningen – och sanktionerna blir motsvarande hårdare. Det räcker inte längre med att peka på chefen för informationssäkerhet eller dataskyddsombudet när myndigheterna frågar. Man måste kunna dokumentera hur man balanserar motstridiga krav och fattar välgrundade beslut. Annars kan det till och med kosta styrelseposter.

Är det omöjligt att följa alla regler fullt ut? I praktiken: Ja. Men det betyder inte att man inte ska göra sitt bästa för att bli ”compliant”. Genom att betrakta efterlevnad som en strategisk investering – inte bara en nödvändighet – kan företag både minska risker och bygga upp förtroende.

Företagen måste ta commandot

Och när man inte kan göra allting så gör man det bästa man kan: dokumentera, övervaka, motivera och prioritera. NIS2 är till exempel inte en destination, utan en resa där det viktigaste är att man gör något.

Men den digitala säkerhetsparadoxen är att vi, när vi försöker skydda både system och människor, riskerar att göra det omöjligt att navigera.

Vi behöver förenkling och tydligare riktlinjer – men vi behöver också att företagen tar kommandot och säger: Vi vill inte bara vara ”compliant”, vi vill vara förberedda.