Ökade krav med nya cybersäkerhetslagen
Cybersäkerhetslagen ställer högre krav på både offentliga och privata verksamheter. Samtidigt upplever många organisationer att området är så brett och komplext att det är svårt att veta var man ska börja.
– Den snabba tekniska utvecklingen gör att det är bråttom att bygga upp kunskap, arbetssätt och strukturer, säger Johanna Parikka Altenstedt, enhetschef inom Digital Security på RISE.
Trots ökad medvetenhet om cyberhot saknar många organisationer fortfarande ett systematiskt cybersäkerhetsarbete. Förbättringstakten har dessutom stagnerat på flera områden, enligt Cybersäkerhetskollen, som är Myndigheten för civilt försvars verktyg för att mäta cybersäkerhetsmognad i svenska organisationer.
Kraven på systematisk riskhantering ökar
Samtidigt innebär cybersäkerhetslagen, Sveriges genomförande av EU:s NIS2-direktiv, att kraven ökar på både offentliga och privata verksamheter. Organisationer som omfattas måste bland annat arbeta systematiskt med riskhantering, rapportera allvarliga incidenter och hantera cybersäkerhetsrisker i leverantörskedjan.
Men lagstiftning bygger inte förmåga.
– Många upplever att området är så stort och överväldigande att det är svårt att veta var man ens ska börja, säger Johanna Parikka Altenstedt, tillförordnad enhetschef, Digital säkerhet på RISE.
Hon jämför situationen med var hållbarhetsarbetet befann sig för 15–20 år sedan.
– Sedan dess har hållbarhet gått från total omognad till att alla idag har ledningssystem och full koll.
Samma resa ska nu cybersäkerheten göra.
– Men vi har inte så lång tid på oss att skydda våra mest värdefulla tillgångar mot cyberattacker, säger Johanna Parikka Altenstedt.
Det finns också lärdomar att ta med sig från hållbarhetsomställningen.
– Där lärde man sig ju så småningom att man måste börja med någonting. Man måste prioritera och bestämma sig, säger Johanna Parikka Altenstedt.
“Cybersäkerhet måste in i verksamhetsstrukturen”
Att Sverige var relativt sent med att genomföra NIS2-direktivet kan vara en orsak till att förbättringstakten stagnerat. Många organisationer valde att inte påbörja arbetet förrän lagen var på plats.
– Vi har också varit dåliga på att se hur andra länder har gjort. Vi behöver inte uppfinna hjulet. Danmark har till exempel tagit fram en checklista till kommuner om vad de behöver göra och tänka på. Här ska varje kommun själv lära sig lagen. Det tar tid, säger Johanna Parikka Altenstedt.
Cybersäkerhetsarbete har i många fall varit något som görs vid sidan av den ordinarie verksamheten och behandlas inte som den affärskritiska fråga det är.
– Det är inte strukturellt, helt enkelt. Cybersäkerhet måste in i verksamhetsstrukturen, det måste in i ledningsgrupper och styrelser, säger Johanna Parikka Altenstedt.
– Man behöver arbeta med andra frågor än bara IT. Det kan handla om fysisk säkerhet, personalfrågor, behörigheter, nyckelhantering och skydd mot insiderhot. Cybersäkerhet handlar om hela verksamheten.
Det handlar i grunden om att vara proaktiv snarare än reaktiv.
– Punktinsatser behövs förstås om man upptäcker en allvarlig brist som man behöver täppa igen. Men man kan inte göra ett lapptäcke, det behövs kontinuitet och systematiskt arbete. Det lönar sig i längden, säger Johanna Parikka Altenstedt.
Cybersäkerhet måste in i verksamhetsstrukturen, det måste in i ledningsgrupper och styrelser
Utmaning att omsätta lagens krav i praktiskt och långsiktigt cybersäkerhetsarbete
För många organisationer är utmaningen inte att förstå kraven, utan att omsätta dem i praktiskt och långsiktigt cybersäkerhetsarbete.
RISE kan som oberoende aktör hjälpa både offentliga och privata verksamheter med cybersäkerhet utifrån de behov som finns.
– Cybersäkerhet är fortfarande ett odefinierat verksamhetsområde i många organisationer. Därför sitter vi tillsammans med kunden och analyserar och gör en sårbarhetsanalys. Därifrån kan vi hjälpa med de saker som kommit upp, och där kan RISE vara med hela vägen, säger Johanna Parikka Altenstedt.
Som forskningsinstitut har RISE kompetens inom teknik, AI, juridik, management och omvärldsanalys. Just AI innebär både risker och möjligheter – tekniken öppnar nya attackytor, men kan också användas för att upptäcka hot, analysera stora datamängder och stärka det digitala försvaret.
– Vi har också certifieringskompetens och kan utbilda. Sedan har vi teknikinfrastrukturen Cyber Range, där vi kan göra avancerade övningar. Vi kan jobba tillsammans med våra kunders IT-avdelningar, bygga en klon av deras system och visa vad som händer när de attackeras – så får de lista ut vad de ska göra, säger Johanna Parikka Altenstedt.
Enligt henne är det lätt att fastna i teknik, lagkrav och säkerhetsåtgärder. Men cybersäkerhet handlar ytterst om att skapa verksamheter som både är motståndskraftiga och utvecklingsbara.
– Om man drar det till sin spets hade det säkraste varit att inte driva någon verksamhet alls. Men det är så klart inte syftet. Syftet är att vi ska kunna driva verksamheter, producera saker och få samhället att fungera – samtidigt som vi är tillräckligt skyddade.
Så fungerar cybersäkerhetslagen
Cybersäkerhetslagen började gälla i januari 2026 och är Sveriges genomförande av EU:s NIS2-direktiv. Den syftar till att stärka cybersäkerheten och motståndskraften mot cyberattacker och andra digitala störningar. Lagen omfattar ett stort antal verksamheter inom både offentlig och privat sektor, bland annat energi, transporter, hälso- och sjukvård, livsmedelsförsörjning, vattenförsörjning och digital infrastruktur.
Organisationer som omfattas måste bland annat arbeta systematiskt med riskhantering, rapportera allvarliga incidenter inom fastställda tidsramar och hantera cybersäkerhetsrisker i leverantörskedjan. Lagen ställer också ökade krav på organisationens ledning.
Tillsynen utövas av särskilt utsedda myndigheter, som kan genomföra kontroller och besluta om sanktionsavgifter vid bristande efterlevnad.
De högsta sanktionsavgifterna kan uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen, beroende på vilken typ av verksamhet som omfattas.
