Petter C Larsson: Ställ skarpare krav på börsföretags informationssäkerhet

Ett lagkrav på oberoende granskning och rapportering skulle leda till en förbättrad säkerhetsnivå genom att säkerställa att brister och svagheter identifieras och åtgärdas. Detta initiativ vore inte bara ett uttryck för ansvarsfullt företagande utan också en investering i vår kollektiva digitala motståndskraft.

Integrationen av cyber- och informationssäkerhetsrapportering i årsredovisningar skulle även bidra till ett ökat ansvarstagande inom företagen. När bolag vet att deras säkerhetsåtgärder kommer att granskas och rapporteras öppet, ökar sannolikheten att de investerar i robusta lösningar och prioriterar utbildning inom dessa kritiska områden.

I takt med att vårt samhälle blir alltmer digitaliserat, ökar också utmaningarna relaterade till cyber- och informationssäkerhet. Den digitala transformationen bär med sig inspirerande möjligheter för innovation och tillväxt och introducerar även komplexa risker som kräver proaktivt och genomtänkt riskarbete.

De senaste händelserna, såsom den omfattande cyberattacken mot Tieto Evry av hackergruppen Akira, har belyst den akuta och allvarliga naturen av dessa hot. Dessa incidenter belyser inte bara den tekniska sårbarheten hos stora organisationer utan också de potentiella konsekvenserna för samhället i stort, inklusive risk för mänskliga skador och påverkan på kritisk infrastruktur.

Inför dessa växande utmaningar har EU stärkt sin cybersäkerhetsram genom direktiv såsom NIS2, vilket i Sverige implementeras som Cybersäkerhetslagen, tillsammans med andra regelverk såsom DORA, AI-akten och Cyber Resilience Act (CRA). Dessa regelverk syftar till att öka motståndskraften mot cyberhot inom hela unionen.

Sverige har en lång tradition av att integrera hållbarhetsarbete i företagsverksamhet, framför allt genom krav på CSR-rapportering i årsredovisningar. Mot denna bakgrund framstår ett utvidgat lagkrav, där börsnoterade bolag måste inkludera oberoende granskning och rapportering av sina cyber- och informationssäkerhetsåtgärder, som ett naturligt nästa steg.

Att införa ett sådant lagkrav skulle inte bara ligga i linje med EU:s ambitioner utan också bidra till att stärka den digitala säkerheten och transparensen i den privata sektorn. Detta skyddar inte bara företagens egna tillgångar utan även deras kunders och partners data, vilket stärker hela det digitala ekosystemets integritet och motståndskraft.

Dessutom skulle detta steg öka transparensen genom att ge investerare och andra intressenter en klarare bild av företagens åtgärder inom cyber- och informationssäkerhet. Denna öppenhet kan bygga förtroende och motivera företagen att ständigt förbättra sina säkerhetsåtgärder. Det visar på ett ansvarsfullt företagande där digital säkerhet blir en integrerad del av företagens sociala ansvar.

Petter C Larsson är säkerhetsrådgivare