Cybersäkerhetslagen är inte ett IT‑projekt – det är ett ledningsansvar

Debattartikel

Igår, den 15 januari, trädde den nya cybersäkerhetslagen i kraft i Sverige. Lagen genomför EU:s NIS2‑direktiv och innebär de mest långtgående kraven hittills på hur svenska organisationer ska skydda sina digitala tillgångar.

Trots detta behandlas cybersäkerhet fortfarande i många verksamheter som en teknisk fråga – något som hamnar hos IT‑avdelningen. Det är ett allvarligt misstag.

Den nya cybersäkerhetslagen riktar sig tydligt till ledningen. Ansvaret är strategiskt, juridiskt och personligt.

Ledningen kan inte längre delegera bort ansvaret

Cybersäkerhetslagen ställer krav på att organisationer ska ha dokumenterade, riskbaserade och kontinuerligt uppdaterade säkerhetsåtgärder. Den kräver också att betydande incidenter rapporteras snabbt – inom 24 timmar.

Men den mest avgörande förändringen handlar om styrning och ansvar.

Styrelser och ledningsgrupper ska:

• förstå organisationens cybersäkerhetsrisker
• fatta informerade beslut om skyddsåtgärder
• säkerställa att resurser, kompetens och uppföljning finns på plats

Detta är inte längre en fråga om teknikval eller brandväggar. Det är en fråga om företagsledning, regelefterlevnad och affärsrisk.

Leverantörskedjan – den största blinda fläcken

En annan central del i lagen är kraven på säkerhet i leverantörskedjan. Organisationer som omfattas måste kunna visa att även deras leverantörer har tillräckliga säkerhetsåtgärder.

I praktiken innebär detta att:

• leverantörer måste granskas och följas upp
• säkerhetskrav behöver skrivas in i avtal
• incidenter hos en leverantör kan bli ett juridiskt ansvar för kunden

Många företag kommer att upptäcka att deras största sårbarhet inte finns internt – utan hos en extern part.

ISO 27001 är inte byråkrati – det är ett verktyg

I debatten framställs ibland ledningssystem som administrativt tunga. Erfarenheten visar motsatsen.

Ett etablerat ledningssystem för informationssäkerhet, exempelvis enligt ISO/IEC 27001:2023, ger en strukturerad grund för att:

• identifiera och hantera risker
• fördela ansvar i organisationen
• säkerställa efterlevnad av lagkrav
• visa tillsynsmyndigheter att arbetet är systematiskt

Organisationer som redan arbetar strukturerat står betydligt bättre rustade – både juridiskt och operativt.

De som väntar kommer att betala priset

Cybersäkerhetslagen ger tillsynsmyndigheter större befogenheter än tidigare. Sanktionsavgifter kan bli mycket höga, men den verkliga kostnaden ligger ofta någon annanstans:

• produktionsstopp
• förlorat förtroende
• brutna kundrelationer
• skadat varumärke

Ledningar som fortfarande ser cybersäkerhet som ett IT‑projekt riskerar att fatta beslut på fel nivå – och för sent.

Ett tydligt budskap till svenska företagsledningar

Den nya cybersäkerhetslagen skickar ett klart och tydligt budskap:
Cybersäkerhet är inte längre en teknisk stödfunktion – det är en ledningsfråga.

De organisationer som tar detta på allvar nu kommer inte bara att uppfylla lagkraven. De kommer också att stå starkare, mer motståndskraftiga och mer konkurrenskraftiga i en allt mer osäker omvärld.

Frågan är inte om din organisation berörs.
Frågan är om ledningen är redo att ta sitt ansvar.

Ann‑Sofie Gustafsson
Certifieringschef, SamCert AB
Expert på informationssäkerhet, ISO 27001 och regelefterlevnad