Cybersäkerheten väger allt tyngre vid bedömningar av affärsrelationer.
Stora värden står på spel när beroendet ökar i flera led mellan olika samarbetande parter, och frågan väcks nu på styrelsenivå i flera branscher allt oftare.
– Behoven ökar kraftigt med tanke på den beroendeställning ett företag hamnar i. Certifieringar och intyg av olika slag blir en förutsättning för att företag ska känna en trygghet i att samarbeta och det blir därigenom en styrelsefråga, säger Peter Birgersson, partner på Deloitte och expert inom informationssäkerhet.
Offentliga och privata upphandlingar påverkas allt mer av kraven på ökad cybersäkerhet. Redan idag är det en stor utmaning för många företag och myndigheter att säkerställa att samarbetande organisationer och företag håller förväntad cybersäkerhet i system, processer och för sina medarbetare.
Möt framtidens reglering
Inom flera branscher ställs redan krav på certifiering eller något likvärdigt kvalitetssystem. ISO27001 för informationssäkerhet har funnits länge men har under senare år fått ett uppsving i popularitet som krav i dessa upphandlingar. Tillgänglighet av verksamhetsprocesser och system som stöder dessa är en del, en annan kan vara hur informations konfidentialitet och integritet säkerställs.
Vissa branscher, exempelvis bank och finans, är reglerade inom tredjepartshantering och outsourcing – andra inte. För de branscher där det finns regelverk ser mognaden också generellt sätt högre ut.
Branscher som inte är reglerade idag kommer ändras, antingen via regelverk eller av att det blir praxis. Kraven kommer alltså skärpas framöver och Peter Birgersson menar att företag får tydliga konkurrensfördelar när man presenterar en oberoende certifiering som säkerställer att cybersäkerhet inte försvinner eller förvanskas i upphandlingen.
– Problematiken uppstår i när ansvaret är otydligt företag emellan och en incident inträffar. De branscher som jag tror närmast kommer se dessa typer av regelverk framåt är telekom och tillverkande bolag. Klart är att inget företag längre kan bortse från kravet att de måste kunna redogöra för vilka tredjeparter de jobbar med och vilka möjliga risker det medför och hur de hanteras, säger Peter Birgersson.