Rättsregler och praktisk hantering
Majoriteten av riktade cyberattacker mot företag rapporteras inte. Det faktiska antalet attacker lär vara mer än det dubbla och mörkertalet är stort. Det enskilt största problemet under senaste åren är så kallade ransomware.
Europeiska unionens cybersäkerhetsbyrå (ENISA) redovisar löpande statistik om cyberhot inom EU. Under den senare delen av 2023 och första halvan av 2024 inträffade enligt ENISA en ökning av cyberattacker som skapade nya riktmärken både när det gäller variationen av hot och antalet incidenter och deras konsekvenser. Hot mot tillgänglighet toppade listan, följt av ransomware och hot mot data. ENISA’s löpande rapportering bygger på flera tusen offentligt rapporterade incidenter och händelser.
Enligt ”Cost of a Data Breach Report 2023” ökade den genomsnittliga totala kostnaden för ett dataintrång med 2,3 % från 4,35 miljoner USD år 2022 till 4,45 miljoner USD år 2023, med en total ökning på 15,3 % sedan 2020 och en kontinuerlig ökning sedan 2017 med undantag för 2020. De externa hoten mot verksamheter är bara en del av problemet. Interna brister gällande rutiner, kompetens, behörigheter mm skapar årligen omfattande säkerhetsproblem och relaterade kostnader för både myndigheter och privata aktörer.
Allt det här riktar världens blickar mot den sårbarhet som råder i dagens informationssamhälle och vilka åtgärder som krävs för att hantera situationen. Resultatet har blivit en flora av nya rättsregler om cybersäkerhet som vuxit fram under de senaste decennierna och eskalerat i omfattning under de sista åren. Rättsreglerna är omfattande och komplexa, vilket gör dem svåra för verksamheter och enskilda att både förstå och efterleva. De innefattar såväl förordningar och direktiv från EU som detaljerad specialreglering inom EU’s medlemsländer. Och de träffar alla aktörer – både myndigheter och privata organisationer.
Rättsreglerna kring cybersäkerhet har vuxit fram genom olika tidsepoker, till stor del branschvis och inte sällan på grund av ett identifierat skyddsbehov. Det är en av anledningarna till att regelfloran idag är både omfattande och svårförstådd. Frågor om vad som är gällande rätt i det enskilda fallet, vilka regler som träffar en viss situation eller tolkningar av en specifik regel är ofta utmanande. Samtidigt är både administrativa och ekonomiska sanktioner vid överträdelser av de nya regelverken mycket omfattande.
Kursen är indelad i en teoretisk och en praktisk del. Den teoretiska delen inleds med att på ett övergripande plan gå igenom de risker vi står inför för att skapa bättre förståelse för bakgrund och syften med rättsregleringen och varför den ser ut som den gör. Härefter görs en genomgång av de huvudsakliga rättsregler inom cybersäkerhet som gäller i Sverige idag och även de som är i nära antågande. Den teoretiska delen avslutas med en genomgång av NIS 2 direktivet, det svenska införandet av direktivet och hur dessa regler samverkar med annan cybersäkerhetsreglering, exempelvis GDPR och rättsregler inom finanssektorn. Det nya NIS 2 direktivet kommer även att hanteras med syfte att framförallt belysa de nya krav som följer med detta direktiv och vem som omfattas.
Bland annat behandlas kortfattat reglering av informationssäkerhet och relaterade frågeställningar inom följande områden;
1. Identifiering av gällande regler för cybersäkerhet i olika situationer
2. NIS 2 direktivet – nya definitioner och krav som följer med direktivet samt vem som omfattas
3. Kompletterande reglering till NIS 2 direktivet
4. Det svenska införandet av NIS 2 direktivet
5. GDPRs krav på cybersäkerhet
6. Introduktion till bland annat följande regleringar av cybersäkerhet:
7. DORA förordningen om digital operativ motståndskraft för finanssektorn
8. Cyberresiliensförordningen (CRA), om övergripande cybersäkerhetskrav för produkter med digitala element
9. Säkerhetsskyddslagen
Inom den praktiska delen av kursen kommer föreläsaren gå igenom olika standarder och dokument såsom t.ex. cybersäkerhetspolicy samt checklistor för risk- och sårbarhetsanalyser. Vidare hur skall man organisera cybersäkerhetsarbetet? Hur skall man, för att nämna ett exempel, praktiskt tillse att behörighetsstyrningen blir korrekt, vilka rutiner måste införas, så att ingen får åtkomst till uppgifter som personen inte skall, behöver, ha åtkomst till. Slutligen, hur går man tillväga när man genomför en stickprovskontroll av åtkomster. Dessa och flera andra praktiska frågor ägnas eftermiddagen på kursen åt.
Ur kursen:
• Grundläggande begrepp inom cybersäkerhet såsom konfidentialitet, integritet (riktighet), tillgänglighet och spårbarhet.
• När och för vem gäller det nya NIS 2 direktivet och den svenska regleringen av direktivet
• Hur ser sanktionerna ut inom cybersäkerhetsområdet
• Skillnaden på fysisk, teknisk, administrativ och organisatorisk säkerhet
• Risk- och sårbarhetsanalys, PIA, konsekvensanalys
• Riskklassning av information
• Cybersäkerhetspolicy
• Öppna nät
• Autentisering
• Behörighetsstyrning
• Kontroll av åtkomst, loggar, stickprovskontroller
• Rutiner för säkerhetskopiering
• Direktåtkomst
• Kryptering
• Incidenthantering och rapportering
• Systematiskt cybersäkerhetsarbete
Sagt av deltagare vid tidigare kurstillfällen:
”Bra med konkreta tips t.ex. mallar för DPIA”
”Mastigt pass med mycket innehåll. Bra att han var snabb på bollen och fick med mycket om NIS 2!”
”Första delen var inte så viktig i våran verksamhet , men del 2 var väldigt givande”
”Jag behövde en övergripande genomgång av regelverket och tycker att jag fick det.”
”Tydligt och bra. Gav ett mkt kunnigt intryck.”
”Bra resonemang kring olika punkter”
Tid:
9 maj 2025 kl 09.30 – 16.30
Registrering och frukost från kl. 09.00
Kursen motsvarar 6 undervisningstimmar
Vasagatan 38, Stockholm (Hotellentré)
Miljömärkt med Green Key
Det går även bra att delta på distans via Zoom. Kryssa i alternativet vid anmälan!
Kursavgift:
Jurister, dataskyddsombud, informationssäkerhetspersoner, IT-personer och konsulter samt andra som berörs av dessa frågor.