Utbildning och medvetenhet inom ramen för NIS2 och AI-förordningen

I en tid av ökad digitalisering och teknologisk innovation ställs företag och organisationer inför nya krav på utbildning och medvetenhet inom ramen för både NIS2-direktivet och AI-förordningen. Dessa regelverk syftar till att stärka cybersäkerheten och säkerställa ansvarsfull användning av AI, vilket ställer krav på investering i kompetensutveckling och strategier för att möta framtidens utmaningar. PwC står redo att hjälpa företag och organisationer att navigera dessa komplexa regelverk och omvandla dem till strategiska möjligheter.

NIS-direktiven syftar till att skapa en hög gemensam säkerhetsnivå inom informations- och IT-säkerhet (cybersäkerhet) i EU. Det första direktivet, NIS1, trädde i kraft 2016 och det uppdaterade NIS2-direktivet, där antalet sektorer har ökats, började gälla i oktober 2024. Förväntningarna är att NIS2 ska införlivas i svensk rätt i slutet av 2025 eller början av 2026. NIS2 syftar till att effektivisera säkerhetsnivån mellan medlemsländerna, vilket innebär att företag måste hantera riskhantering av cyberhot, kontroll och incidenthantering. 

Parallellt med NIS2 behöver företag också beakta AI-förordningen, som började implementeras i februari 2025. Denna förordning, som införlivas i faser, har redan börjat reglera vissa förbjudna AI-användningsområden och ställer krav på AI-kunnighet. Det är en tydlig uppåtgående trend vad gäller användningen av AI-system av svenska företag och denna trend väntas fortsätta. Därför är det avgörande att det finns en robust AI-kompetens på plats för att möta såväl nutida som framtida krav. 

Krav på utbildning och medvetenhet 

En gemensam nämnare för ovannämnda regelverk är kravet på utbildning och medvetenhet inom organisationen. I enlighet med NIS2 måste alla anställda ha en grundläggande förståelse för cybersäkerhet, inklusive kunskap om vanliga hot som phishing, malware och social engineering. Kravet innebär även att anställda ska ha tillräcklig kompetens för att kunna identifiera och rapportera hot. Utbildningen ska dessutom anpassas efter de specifika roller och ansvar som varje individ har inom organisationen. De som har direkt ansvar för IT-säkerhet behöver mer avancerad utbildning, inklusive tekniska färdigheter och verktyg för att hantera samt mitigera hot. Regelbundna och uppdaterade utbildningsinsatser är nödvändiga för att hållas à jour med den aktuella hotbilden och teknologiska utvecklingar. Organisationer förväntas även dokumentera sina utbildnings- och medvetenhetsinsatser som en del av sin övergripande säkerhetsstrategi. NIS2 betonar att ledningen har ett tydligt ansvar för organisationssäkerheten. Ledare och styrelser förväntas aktivt säkerställa att lämpliga säkerhetsåtgärder och utbildningsprogram finns på plats. Vid säkerhetsincidenter kan ledningen bli personligt ansvarig för brister i utbildning och medvetenhet. 

AI-förordningen kategoriserar AI-system i olika risknivåer: oacceptabla, höga och minimala risker. För högriskkategori krävs särskild kompetens för att säkerställa att systemen uppfyller strikta säkerhets- och transparenskrav. Kontinuerliga utbildningsprogram är avgörande för att hålla personalen uppdaterad om nya teknologier, risker och regelverk, särskilt gällande dataskydd och etiska riktlinjer. Dataskydd är en central komponent när det gäller användning och utveckling av AI-tekniker, särskilt i och med att AI-system ofta hanterar stora mängder data, inklusive personuppgifter. Att säkerställa dataskydd kräver både teknisk kompetens och medvetenhet om regelverk. 

Att inte efterleva kraven i NIS2 och AI-förordningen kan leda till betydande sanktionsavgifter för organisationer. Inom ramen för NIS2 kan väsentliga entiteter drabbas av böter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen, beroende på vilket som är högst. För AI-förordningen kan de allvarligaste överträdelserna resultera i böter på upp till 30 miljoner euro eller 6 procent av den globala årsomsättningen. 

PwC hjälper dig att navigera regelverken 

PwC:s globala expertteam hjälper företag att anpassa sig till dessa framväxande regelverk, stärka sin motståndskraft mot cyberhot och dra nytta av de konkurrensfördelar som följer av snabb anpassning. Våra tjänster inkluderar bland annat följande inom AI och NIS2: 

AI 

• Strategi för AI-utveckling 
• Skräddarsydda kompetenshöjande aktiviteter 
• AI-livscykelhantering 
• AI-principer och riskhanteringsriktlinjer 
• Mognadsanalyser och riskkartläggning 

NIS2 

• Tillämplighetsbedömningen 
• Gap-analyser 
• Skräddarsydda kompetenshöjande aktiviteter för organisationen 
• Implementering.