Vi går igenom de viktigaste HR-relaterade regelverken inom IT-branschen och vad det innebär i praktiken, för dig som är involverad i personalfrågor.
Det är svårt att smalna av IT-branschen till något konkret. IT löper som en röd tråd genom i stort sett alla verksamheter idag till följd av den utbredda digitaliseringen. Utvecklingen har gått så pass fort att juridiken inte alltid hängt med, men det händer mycket på den fronten. Håll i er.
Branschberoende
IT-sektorns personalfrågor regleras inte lika starkt som exempelvis finansbranschens. Däremot finns det stora regelverk som, så att säga, spiller över på anställda verksamma inom IT. Ett sådant är NIS-direktivet. Det är ett regelverk som bland annat omfattar leverantörer av digitala tjänster till samhällskritiska funktioner. Exempelvis gäller det infrastruktur, energi, hälsa och sjukvård men även bank och finans.
Vad innebär det i praktiken? Är du involverad i personalfrågor är det viktigt att du känner till flera aspekter av regelverket. Fokus är informationssäkerhet och tydliga rutiner för incidentrapportering. Det är ett brett regelverk som inbegriper riskklassificering av information, åtgärdsplaner och beredskapsprogram. En grundförutsättning för allt detta är att känna till vilka som arbetar på företaget.
Kopplingen till ISO 27001
NIS-direktivet är nära knutet till ISO 27001. Syftet bakom såväl EU-direktivet som den internationella standarden är att stärka skyddet kring känslig information. Vägen dit är inte spikrak. Förutom att bygga upp ett internt nätverk bestående av specifika grupper som ska ha tillgång till viss information, så krävs det även att du har bra koll på dessa arbetsgrupper. Bra koll innebär i det här fallet att man genomför kontinuerliga bakgrundskontroller vid nyrekrytering men även kontroller på befintliga anställda. Detta ska även genomsyra hela organisationen från toppen och ner.
Kontroll är grunden till en säker verksamhet, vilket myndigheterna har anpassat gällande regelverk efter. Därför är ISO 27001 utpekat som den standard som alla företag som omfattas av direktivet skall förhålla sig till. Även om det ligger stort arbete bakom implementeringen så är det ett engångsarbete. När rutinerna väl är implementerade en gång gäller det bara att följa dem. Inga mer ad hoc-lösningar med andra ord. Dessutom gör HR en stor insats för bolagets compliance genom att ta sig an det här arbetet.
Sammanfattningsvis kan alltså sägas att HR har en viktig uppgift att fylla i compliance-sammanhang. Dessutom är det ett arbete som kan byggas upp för hela organisationen och användas gång på gång. En reaktiv insats med proaktiva följder.