Regelefterlevnad – Digitala verktyg och personligt stöd

Snart kommer den nya cybersäkerhetslagen. Det är den svenska implementationen av EU:s NIS2-direktiv, som syftar till att höja nivån inom cybersäkerhet inom ett antal viktiga sektorer i samhället. Cybersäkerhetslagen har förvisso fördröjts och vi väntar fortfarande på propositionen. Men det är i sig inte ett skäl att avvakta med cyberhygienarbetet. ### Generell nivåhöjning Även om direktivet riktar in sig specifikt på att ett antal kritiska områden så är det troligt att reglerna får en mer generell påverkan på företag och andra organisationer. Ett viktigt skäl till det är att de berörda verksamheterna kommer att behöva höja kraven på sina leverantörer, vilket skapar en effektiv spridningseffekt och en trolig generell höjning kring vad man förväntar sig av leverantörer. Dels i medvetenhet om sin cyberhygien och dels i form av konkret underlag och dokumentation. ### Varför sätter man inte igång? En typisk inställning bland många mindre bolag är att man har hygglig koll på sin informationshantering och IT, men att man är för små för att bedriva ett strukturerat arbete av typen ISO 27001. Det är sant att ramverk som ISO 27001 inte riktigt är anpassade för mindre bolag. Men konceptet att metodiskt gå igenom område för område för att hitta svagheter är lika relevant för små som stora organisationer. Det är bara en fråga om att hitta en metodik som är anpassad efter den egna verksamhetens förutsättningar. ### Första steget är medvetenhet Att inleda arbetet med sin cyberhygien behöver inte betyda att man etablerar tuffa inloggningskrav i alla delar av verksamheten eller att man behöver byta IT-infrastruktur. Inledningsvis handlar det om medvetenhet. Det kan vara att känna till var svagheterna finns. Det kan handla om att skapa dokumentation om hur man arbetar och det syftar till att etablera förutsättningar att successivt adressera sina svagheter eller att täppa till riskvektorer. ### Att sätta igång är nyckeln Det viktiga är att arbetet kommer igång och att man etablerar en överblick. Den hjälper till att veta vad man ska fokusera på och i vilken ordning. När cybersäkerhetslagen sedan är på plats kan man utifrån en mycket bättre position sätta en plan för hur man ska komplettera med det som saknas. Lantero erbjuder ett ramverk för arbetet som i praktiken är ett metodstöd där hela temat bryts ner i konkreta aktiviteter, som var och en har ett relevant underlag för att komma igång – och förhoppningsvis komma i mål.

Lantero ordnar ett webinarum på temat otillåten påverkan och möjliggörare. Datum: Tisdagen den 9 september kl 15.00 - 15.45. Plats: Online Anmäl dig här Riskbefattningar och riskområden är nyckelbegrepp för att kunna arbeta effektivt för att minska riskerna för möjliggörare åt kriminella inom din organisation. Hur ska man tänka? Finns det konkreta, enkla steg att ta? Är detta vägen fram mot ändamålsenliga bakgrundskontroller? Vi får besök av Catharina Lindstedt, Senior rådgivare, utbildare och föreläsare inom otillåten påverkan och möjliggörare åt organiserad brottslighet. Catharina ger oss konkreta tips och intressanta tankar. Möjliggörare för välfärdsbrott samt otillåten påverkan är ett växande problem. Ofta är kunskapen om vilken typ av möjliggörare som finns och hur dessa skapas ett brist inom kommunerna. Att arbeta mer aktivt med bakgrundskontroller kan vara ett sätt att minska riskerna men för att bakgrundskontroller ska vara en realistisk väg är det nödvändigt att kartlägga riskområden och riskbefattningar inom verksamheten. Lantero genomför webinarier där vi hittar konkreta frågeställningar och djupdyker i dessa. Tillsammans med personer som har praktisk, konkret kunskap om hur dessa problemområden kan hanteras, försöker vi skapa intressanta samtal där lyssnarna får konkreta tipps och ökad kunskap. Catharina Lindstedt är i grunden statsvetare med en magister i statsvetenskap samt doktorerande inom korruption på Göteborgs universitet. Under flera år arbetade Catharina inom underrättelseenheten hos Polismyndigheten med inriktning organiserad brottslighet, otillåten påverkan och riskbedömningar på hotade individer. Den erfarenheten var otroligt viktig när hon tog sig an uppdraget att strukturera upp hela Göteborgs Stads arbete (samtliga förvaltningar och bolag) för att hantera och motverka otillåten påverkan, samt att samordna stadens del i myndighetsgemensamma insatser mot organiserad brottslighet. Catharinas uppbyggda arbete har anammats i flera andra kommuner som hon stöttade under åren och idag arbetar hon med att stödja företag, myndigheter och organisationer med framförallt ledarskapsutveckling och organisationsutveckling med inriktning kring otillåten påverkan, möjliggörare åt kriminella aktörer och infiltration.

I ett webinarium om rollen som välfärdssamordnare diskuterade vi krav, behov och egenskaper med välfärdssamordnare Emelie Boman från Enköpings kommun. Se redigerad transkribering nedan. Välkomna allihopa till detta webbinarium med Lantero. För er som inte känner till Lantero sedan tidigare så arbetar vi med att förenkla arbetet med lagar, regelverk och andra komplexa frågor. Vi hjälper bland annat över 70 kommuner med visselblåsning. Under det senaste året har vi fördjupat oss i arbetet mot välfärdsbrott. Webbinariet pågår i max 45 minuter och vi tar upp frågor på slutet. Idag ska vi prata om en viktig funktion: samordnaren för arbetet mot välfärdsbrott. Behövs en sådan person? Vem bör det vara? Vad kan man kräva, och vilka egenskaper är viktiga? För detta har vi med oss Emelie Boman, trygghetsstrateg i Enköpings kommun. Välkommen! Tack. Jag arbetar strategiskt med brottsförebyggande frågor inom kommunen, där välfärdsbrott är ett av fyra prioriterade områden. Jag samordnar insatser från våra olika förvaltningar för att skapa en gemensam bild av vad som görs, var det finns luckor och var stödbehoven finns. Min roll handlar mycket om att skapa helhet och kommunikation i hela organisationen, oavsett förvaltning. I vissa förvaltningar deltar jag mer operativt och stöttar i frågor som: Vad är det för typ av brott? Hur ska det polisanmälas? Eftersom "välfärdsbrott" inte är ett juridiskt brottsbegrepp måste vi analysera och kategorisera. Jag bollar ofta med kollegor: Vad är din magkänsla? Stötta dem som står nära verksamheten. Samtidigt måste vi ha styrande dokument på plats: riktlinjer, rutiner, policys – men det spelar ingen roll om de inte omsätts i praktik. Vi måste få saker att hända. Då behövs någon som smörjer maskineriet. Ibland handlar det om att sätta ord på det vi redan gör. Många följer upp felaktiga utbetalningar – men inte under etiketten "välfärdsbrott". Det är viktigt att sätta begrepp och synliggöra arbetet. Vi ser ofta att arbetet pågår redan i verksamheten. Men utan en samordnande funktion blir det svårt att skapa helhetsbilden. Samordnarens roll blir att rapportera både uppåt och neråt. Att förklara hur en insats här skapar förutsättningar där. Jag beskriver det som ett pussel – operativa personer har sina bitar, men någon behöver ha helikopterperspektiv. Vi har intervjuat många kommuner. De flesta som arbetar med välfärdsbrott har inte titeln "samordnare välfärdsbrott" utan jobbar med något annat, ofta som brottsförebyggande samordnare eller säkerhetssamordnare. Det visar att det är ett deluppdrag i något större. Traditionellt har brottsförebyggande arbete fokuserat på det yttre – trygghet i det offentliga rummet. Välfärdsbrott rör mer interna processer: rutiner, kontroller, system. Jag tror båda fälten hör ihop. Tänket kring motiverade gärningspersoner och tillfällen är detsamma. Utmaningen är att prioritera. Vårt arbete är inlagt i strategisk lägesbild och åtgärdsplan, med politisk prioritering från kommunfullmäktige. Det gör att arbetet håller över tid, trots att allt är "jätteprioriterat". För att lyckas måste man lära känna verksamheterna. Vad har de för mål, förutsättningar, och vilken ambitionsnivå är rimlig? Det gäller att sätta nivån utifrån resurser och tidsramar. Arbetet är ett maraton, inte en sprint. Om jag skulle anställa någon för att driva det här i startskedet, så väljer jag struktur. Det behövs någon som tydliggör roller, ansvar, och håller ihop. Sen, i ett senare skede, blir det viktigare med energi och drivkraft för att hålla i och hålla ut. För att få till delaktighet måste man måla upp helhetsbilden: varför är din verksamhet viktig? Och man måste tajma sina insatser. Jag jobbar mycket med första linjens chefer och förvaltningschefer – det är de som skapar förutsättningar. I vissa kommuner finns ingen samordnare – det läggs på förvaltningarna. Men då får man ingen helhetsbild, gråzoner faller mellan stolarna och risken för dubbelarbete ökar. Koordinationen blir lidande. Det finns olika vägar. Mindre kommuner kanske delar på resurser. Att ha en gemensam person för flera kommuner skapar förutsättning för expertkompetens. Kartlägg behoven och förutsättningarna först. Vi samverkar i LAKUS, ett nätverk för sex kommuner runt Mälaren. Den samverkan har varit avgörande. Vi delar erfarenheter, dokument och undviker fallgropar. Kombinationen av strategiska och operativa personer är värdefull. För att lyckas behövs både strategisk förståelse och operativ förankring. Samverkan, politiskt mandat, första linjens chefer och personalen på golvet – alla måste med. Hot och våld är en utmaning. Vi måste skydda våra medarbetares arbetsmiljö. Det gäller att ha rutiner för stöd, upptrappning och att markera att hot är oacceptabelt. Det är svårt eftersom det handlar om känslor – vad som känns hotfullt för en person gör det inte för en annan. Börja med det politiska mandatet. Säkra resurser och rikta ambitionen. Lägg tid på att förstå var insatserna gör störst nytta. Våga sålla bland utbildningar och fokusera på vad som verkligen behövs i just din kommun. Och glöm inte att fira framstegen.