Nyheter

Yttre hoten ökar – snart riskerar företag sanktioner om de inte är rätt rustade

Med:
Berndt Grundevik
insight featured image
Det säkerhetspolitiska läget i världen har kraftigt försämrats samtidigt som många svenska företag drabbas av kriminalitet och cyberattacker. Kunskapen hos företagen måste öka – och kanske finns nyckeln i de kommande EU-direktiven. Experterna guidar i hur CSRD, CER och NIS2 kan göra företagen mer motståndskraftiga.
Innehåll

Stora konsekvenser av yttre hot

Omvärldsläget har på senare tid blivit alltmer oroligt med geopolitiska spänningar på flera platser i världen. Detta får inverkan på en mängd områden för företag globalt.

Annika Norrman Nordell, partner och rådgivare på Grant Thornton, träffar dagligen beslutsfattare på lednings- och styrelsenivå i svenska företag. Hon menar att okunskapen om hur yttre hot som kriser, krig och upptrappade konflikter slår mot svenska företag, fortfarande är låg:

– Jag möts av en något naiv okunskap hos många av bolagen när det gäller de här frågorna, trots att de i övrigt är välfungerande och professionella verksamheter. Men nu börjar hoten krypa närmare de flesta verksamheter. De som redan omfattas och följer strikta regelverk, som banker och finansiella bolag, har erfarenhet av att hantera detta. Men vi ser nu att kunskapen och därefter handlingskraften behöver öka inom alla branscher.

Berndt Grundevik, säkerhetspolitisk expert, senior rådgivare och tidigare chef för svenska armén, ger sitt perspektiv:

Berndt Grundevik
Berndt Grundevik
Med kunskap kommer förståelse, och med det attityder och en vilja att göra förändring. Det hänger ihop i ett system. När människor förstår är det mycket lättare att sätta det i en kontext och fatta kloka beslut. Nu är läget så pass allvarligt, att här kan man inte gå på emotionellt beslutsfattande.

Även inre hot har ökat i omfattning

Parallellt med yttre hot har även de så kallade inre hoten mot svenska företag ökat i omfattning. Ekobrottsmyndigheten beräknar att penningtvätt i Sverige uppgår till mellan 100 och 130 miljarder kronor årligen. Många gånger handlar det om att försvåra spårningen av brottsvinster. Samtidigt konstaterar Svenskt Näringsliv att det grova våldet skakar Sverige och att brottslighet är ett av de största problemen för svenska företag idag. Cirka hälften av företagen i Sverige har utsatts för brott bara det senaste året.

Direkta och indirekta kostnader för företag som drabbas av stöld och skadegörelse, samt ökade kostnader för säkerhet och intäktsbortfall i samband med att företaget drabbats, beräknas i sin tur till nästan 100 miljarder om året, enligt Svenskt Näringslivs rapport Brottslighetens kostnader 2023.

Den ökade brottsligheten sker nu samtidigt som hotnivån för terrorbrott höjts i Sverige och en typ av yttre hot som får stor intern påverkan är cyber- och hybridattacker från icke namngivna eller kända aktörer. De senaste åren har regeringen, ÖB, myndigheter och media pekat på företagens ansvar i detta växande problemområde.

Annika Norrman Nordell
Annika Norrman Nordell
Hela kriminalitetsvågen har eskalerat i Sverige. It-attacker har vi sett under lång tid, men givet klimatet i vår omvärld får de en annan betydelse nu. Tempot på den här eskaleringen har varit högt och vi ser inte att det är något som kommer att dämpas, snarare tvärtom.

En del av de brott som företag blir utsatta för har direkt koppling till grov organiserad brottslighet och är det som i slutänden finansierar gängskjutningar och terrorism: 

– Kriminalitet drivs av pengar och marknadsandelar, och pengar måste omsättas och tvättas. I de situationerna uppstår hot mot personal, datasystem och olika processer i samhället. Ytterst är det ett hot mot demokratin, säger Berndt Grundevik.

Nya regelverk för 18 sektorer ställer höga krav

Det är inte enbart svenska företag som fått ökade inre och yttre hot att bevaka och hantera. Läget är liknande i hela Europa. Under hösten 2024 kommer ett antal nya EU-direktiv med syfte att öka reglering och tillsyn till följd av växande it-risker.

De nya regelverken syftar bland annat till att förbättra samhällskritisk verksamhets motståndskraft mot olika hot. Totalt handlar det om 18 utpekade sektorer, såsom digitala leverantörer, hälso- och sjukvård och livsmedelsproducenter.

Regelverken inriktas främst mot cybersäkerhet och it-infrastruktur, men det går även att se ett ökat fokus mot fysisk säkerhet där bland annat bakgrundskontroller lyfts fram. För att säkerställa efterlevnad har sanktionsavgifterna höjts väsentligt i flera fall, med nivåer upp till två procent av den globala årsomsättningen eller 10 000 000 euro.

Christer Runestam, rådgivare och ansvarig för internrevision samt branschansvarig för Financial Services på Grant Thornton, uppmanar företagen som omfattas att börja agera.

Christer Runestam
Christer Runestam
Att implementera de nya reglerna på ett bra sätt är inte bara väsentligt utifrån verksamhetens samhällsansvar. Det är även nödvändigt för att undvika omfattande sanktioner.

Regelverk som börjar gälla senare i år är bland annat direktivet om kritiska entiteters motståndskraft, CER, samt direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen, NIS2-direktivet. Utifrån dessa förväntas svenska företag även att bredda och intensifiera arbetet med sina omvärldsanalyser: 

– Inom den finansiella sektorn, där man arbetat med implementering av regelverk under många år, har man i många fall lyckats integrera omvärldsbevakningen i sina affärsprocesser. Min erfarenhet är att det blir betydligt bättre kvalitet i analysen om man inte enbart hanterar det som ett regelverksprojekt, utan sätter det i ett större perspektiv än så, säger Christer Runestam.

Läs mer
Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet
Läs denna artikel
Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

CSRD och ESG-perspektiv bidrar till motståndskraft

En högaktuell fråga för många företag är EU:s nya direktiv om hållbarhetsrapportering, CSRD. Här finns en direkt koppling till att höja sin medvetenhet om de inre och yttre hot som företagen står inför, menar Maaria Martin-Vivaldi som är ansvarig för Grant Thorntons revisionsverksamhet. 

Maaria Martin-Vivaldi
Maaria Martin-Vivaldi
En central del av CSRD-arbetet är att göra en gedigen riskanalys över hela värdekedjan. Här behöver företagen zooma ut och titta på hela spektret, inifrån och utifrån, för att ha ett holistiskt perspektiv.

I hela CSRD-arbetet är ESG-perspektivet (Environmental, Social, Governance) i fokus. Här är G:et centralt för att säkra att allt går rätt till enligt krav, regler och direktiv. Görs arbetet ordentligt finns det goda möjligheter att fånga upp riskområden med kopplingar till kriminalitet.

– Jag ser fram emot den här ökade transparensen. Företagen måste tydligt redovisa vilka risker de tagit höjd för, vilka åtgärder de vidtagit och hur de arbetar löpande. Det gäller inte bara de stora aktörerna, utan även de som är leverantörer till dem. Det här kommer att bli en stor förbättring, om bolagen tar detta på allvar, säger Maaria Martin-Vivaldi.

CSRD-guiden
Ladda ner

CSRD-guiden

En guide till en effektiv implementering av EU:s nya direktiv för hållbarhetsrapportering.

Oavsett hur du ser på CSRD är det en god idé att påbörja arbetet redan nu.

Ladda ner PDF [25939 kb]

Samtidigt är S:et i ESG en viktig aspekt i att möta hoten mot företagen. Att ha en sund social kultur i företaget är avgörande för att medarbetare ska känna sig trygga att flagga för oegentligheter, internt, hos kunder, hos leverantörer och partner. Christer Runestam utvecklar:

– Tystnadskultur är oegentligheternas bästa vän. För att policyer och rutiner ska ha verkan behöver du engagerade medarbetare som känner sig trygga nog att rapportera och vissla. Hellre en flaggning för mycket än för lite. Då får arbetet effekt på riktigt.

Läs även
Riksdagen har äntligen röstat igenom CSRD
Läs denna artikel
Riksdagen har äntligen röstat igenom CSRD

Regelverken blir en ögonöppnare

När de nya regelverken snart träder i kraft ser experterna en möjlighet till att få bättre gehör hos företagen, och på så sätt nå ut med ett brett risk- och säkerhetstänk i fler branscher.

– Vi ser att det här ett så pass stort problem och vi som bolag har fokuserat på hållbarhet under många år. Men nu behöver vi ta det till nästa nivå. De här riskerna har inte lyfts på ett adekvat sätt, och här kan vi som jobbar med näringslivet  hjälpa företagen att ta sig an de nya omvärldsutmaningarna. När jag som revisor nu kan hänvisa till EU-direktiv, då får det en ny tyngd, säger Maaria Martin-Vivaldi.

Även Berndt Grundevik har hopp om effekter av att företagen förhoppningsvis ser över var riskerna finns, samtidigt som han skickar en tydlig uppmaning till företagens styrelser:

– Skaffa kunskap för att bygga attityder och förståelse. Och våga utöva ert ledarskap där ni vidtar preventiva åtgärder i tid. Det gör både företagen och samhället säkrare.

Begreppen du behöver ha koll på

CER och NIS2

I slutet av 2022 antog Europaparlamentet och Europeiska unionens råd två nya EU-direktiv, direktivet om kritiska entiteters motståndskraft, CER, samt direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen, NIS2-direktivet.

CER-direktivet ställer krav när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritisk infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. Inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram. I CER-direktivet ingår inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.

Läs mer om CER och NIS2

CSRD och ESG

Direktivet Corporate Sustainability Reporting Directive (CSRD) handlar om hur företag ska rapportera om sitt arbete inom ESG-frågor, det vill säga sin påverkan inom miljö och klimat (Environment), samhällsansvar (Social) och bolagsstyrning (Governance). Det nya direktivet är en skärpning av de tidigare rapporteringskraven och ersätter Non-Financial Reporting Directive (NFRD), som reglerar bestämmelserna i årsredovisningslagen, alltså den svenska lag som tidigare reglerat företags hållbarhetsrapportering.

Läs mer om CSRD och ESG

Penningtvätt

Penningtvätt beskrivs ofta som ett sätt att omvandla pengar från brottslig verksamhet till tillgångar som kan redovisas öppet. I praktiken handlar det många gånger mer om att försvåra spårningen av brottsvinster.  

Enligt Brottsförebyggande rådet (BRÅ) är det främst är enklare bedrägerier som filtreras fram i rättskedjan. Organiserad brottslighet och avancerad penningtvätt leder inte till åtal och dom i samma utsträckning.  

Läs mer om penningtvätt

Läs även
Finansieringsvillkor stark drivkraft för ökad hållbarhet hos entreprenörsföretagen
Läs denna artikel
Finansieringsvillkor stark drivkraft för ökad hållbarhet hos entreprenörsföretagen