I takt med att hotbilden för cyberangrepp och konflikter ökar har en rad regeringsinitiativ på europeisk och nationell nivå introducerats i syfte att höja beredskapen och öka motståndskraften inom den finansiella sektorn. Exempel på aktuell EU-reglering som ställer krav på sektorns beredskap och motståndskraft är DORA, NIS2 och CER. På nationell nivå återfinns redan säkerhetsskyddslagen samt flertalet föreskrifter och allmänna råd utfärdade av Finansinspektionen och Myndigheten för samhällsskydd och beredskap. Senast ut var Riksbanken med föreskrifterna om civil beredskap för betalningar.

Regelverksflorans snabba framväxt och stora omfång riskerar att leda till utmaningar för företagen i arbetet med prioritering, implementering, förvaltning och övervakning. Uppgifter som inte heller förenklas av att regelverken är komplexa, kräver teknisk förståelse och upplevs som överlappande.

Läs mer: Vikten av bra dataprivacy när tekniken går i ständig innovation

Att beredskap och cybersäkerhet står högt på Finansinspektionens agenda är därtill ingen nyhet. Redan 2022, samma år som Finansinspektionen blev sektorsansvarig för beredskapssektorn finansiella tjänster, kommunicerade myndigheten en målbild om att kraftigt höja ambitionsnivån i tillsynen på området. Finansinspektionens uttalade ambition kom även till uttryck i 2023 och 2024 års prioriterade tillsynsområden där sektorns motståndskraft varit en stående punkt.

I denna kontext blir det särskilt viktigt för företagen att säkerställa att den operativa riskhanteringen fungerar som tänkt, att arbetet med cybersäkerhet prioriteras och att det finns en god beredskap för att hantera oförutsedda händelser. Samtidigt, och som ett led i riskramverket, behöver företagen säkerställa tillfredsställande intern kontroll, inte minst avseende övervakning och uppföljning av regelverkens efterlevnad.

Läs mer: Varken lagstiftare eller individer har hunnit med den tekniska utvecklingen

Det tilltagande regelverkstrycket och tillsynsfokuset på området bedöms påverka hela organisationen. Även om det operationella ansvaret till stor del kommer att axlas av företagens IT- och säkerhetsenheter kommer även kontrollfunktionernas resurser och kompetenser sannolikt att prövas. Hur detta kommer att påverka compliancearbetet är till stor del beroende av verksamhet, mognadsgrad och ansvarsallokering. När det kommer till det sistnämnda blir placeringen av kontroll- och övervakningsansvaret kopplat till beredskapsregelverken en central fråga. Härvidlag kan varierande lösningar vara tillämpbara beroende på regelverk och ansats. Huvudansvaret kan antigen placeras hos en enskild kontrollfunktion, eller delas upp mellan andra linjens CISO, riskkontroll- och compliancefunktion. Vi tror att den senare uppdelningen borgar för en starkare kontrollmiljö, i synnerhet om det kombineras med relevanta intern- och tredjepartsrevisioner.

Läs mer: AI och cybersäkerhet – risker med bristande dataskydd

Oavsett hur företaget väljer att fördela kontrollansvaret är vår rekommendation att beslutet föregås av en grundlig resurs- och kompetensinventering. Som en naturlig följd av mängden regelverk är många compliancefunktioner i dag bemannade av jurister, tillika generalister. Om förväntansbilden är att beredskapsregelverken ska ingå i compliancefunktionens kontrollansvar bör företagen utvärdera behovet av utbildningsinsatser och kompetenstillskott. Även resursfrågan blir viktig då flertalet företag valt att lägga roller som centralt funktionsansvarig och dataskyddsombud på redan organisatoriskt slimmade funktioner.

Vi har sett en marknadstrend som indikerar ett ökat behov av specialistkompetenser till compliancefunktioner. Vår uppfattning är att utvecklingen drivits på av regelverkens ökade komplexitet i kombination med den digitala utvecklingen. Att tolka och omsätta regelverken i praktiken har kanske aldrig varit svårare och beredskapsregelverken är inget undantag.

 

Författare: Alexander Wägeus

Hämta ditt exemplar av Compliance Nytt, nummer 1-2024

Vill du få våra insights löpande?

Prenumerera och få våra nyheter direkt i din inkorg.