Anmälan var det enkla steget
Tidsfristen har passerat. De flesta organisationer som omfattas av Cybersäkerhetslagen har anmält sig till MCF (Myndigheten för civilt försvar). Formuläret tog kanske 20 minuter att fylla i.
Bra, men anmälan var det administrativa startskottet, inte mållinjen.
Nu börjar den fas som avgör om ert säkerhetsarbete blir verkligt eller bara papper i en pärm. Och det är här jag ser att de flesta organisationer fastnar.
Verkligheten: Anmälan tog 20 minuter. Implementeringen tar 12–24 månader. Men det betyder inte att ni kan vänta. Tillsynsmyndigheter kan inleda kontroller när som helst.
Tre misstag som jag ser om och om igen
Anmälan är en administrativ handling, inte ett bevis på efterlevnad. Det är som att registrera ett företag och tro att verksamheten därmed är igång. Lagen kräver att ni faktiskt implementerar säkerhetsåtgärder, inte bara att ni meddelar att ni omfattas.
Verktygsfällan är verklig. Jag ser organisationer som investerar i GRC-plattformar (Governance, Risk and Compliance), SIEM-lösningar (Security Information and Event Management) och sårbarhetsskannrar innan de ens har kartlagt sina informationstillgångar. Verktyg utan process är som ett kassasystem utan affärsidé. Det ser professionellt ut men ger inget värde.
Cybersäkerhetslagen är tydlig: ledningen är ansvarig. Inte IT-chefen, inte CISO:n (Chief Information Security Officer), utan ledningen. Att delegera bort ansvaret är inte bara en dålig strategi. Det strider mot lagens intention. Styrelsen måste godkänna policyer, säkerställa resurser och själva genomgå utbildning.
Vad tillsynsmyndigheterna faktiskt letar efter
Det är lätt att tro att tillsyn handlar om att ha rätt dokument. Det gör det inte. Tillsynsmyndigheterna letar efter tre saker:
Systematik. Finns det en röd tråd? Har ni identifierat vilka informationstillgångar som är kritiska? Har ni bedömt riskerna mot dem och valt åtgärder utifrån den bedömningen? Eller har ni bara plockat kontroller från en lista?
Spårbarhet. Kan ni visa varför ni valde just de åtgärder ni valde? Kan ni visa vem som beslutade, när och på vilka grunder? Spårbarhet innebär att varje beslut har en dokumenterad koppling tillbaka till en identifierad risk.
Ledningsengagemang. Har styrelsen och ledningen aktivt deltagit i säkerhetsarbetet? Finns det protokoll som visar att ledningen behandlat säkerhetsfrågor? Har ledningen genomgått den utbildning som lagen kräver?
Dokumentation utan underliggande process är teater.
En informationssäkerhetspolicy som ingen följer. En riskanalys som aldrig uppdateras. En incidenthanteringsplan som aldrig testats. Det är inte efterlevnad. Det är papper. Och tillsynsmyndigheter är tränade att se skillnaden.
Prioritera ert NIS2-arbete — börja här
Ni kan inte göra allt samtidigt. Men ni kan börja rätt. Här är ordningen jag rekommenderar:
- Riskanalys Kartlägg era informationstillgångar, identifiera hot och sårbarheter, och bedöm riskerna. Utan riskanalys vet du inte var du ska lägga resurser. Allt annat bygger på detta steg.
- Säkerhetsåtgärder Implementera åtgärder utifrån riskanalysen, inte utifrån vad leverantören säljer. Fokusera på de områden som [NIS2-direktivet Artikel 21](https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng) anger: åtkomstkontroll, kryptering, nätverkssäkerhet och utbildning.
- Incidentberedskap Bygg en incidenthanteringsplan som faktiskt fungerar. Definiera roller, eskaleringsvägar och rapporteringsmallar. Testa den. En plan som aldrig övats är bara en önskelista.
- Leverantörskontroll Identifiera vilka leverantörer som har tillgång till era kritiska informationstillgångar. Ställ säkerhetskrav och följ upp. Du kan inte lägga ut ditt ansvar på någon annan.
Från checklista till systematik
Det finns en grundläggande skillnad mellan organisationer som bockar av krav och organisationer som bygger verklig säkerhet. De förstnämnda har dokument. De sistnämnda har processer.
| Checklista-tänk | Systematiskt säkerhetsarbete |
|---|---|
| ”Vi har en policy" | "Vi har en policy som följs, granskas och uppdateras" |
| "Vi har gjort en riskanalys" | "Vi gör riskanalyser löpande och uppdaterar vid förändringar" |
| "Vi har en incidentplan" | "Vi övar incidenthantering kvartalsvis" |
| "Vi ställer krav på leverantörer" | "Vi följer upp leverantörers efterlevnad kontinuerligt” |
Cybersäkerhetslagen handlar inte om att nå ett slutmål. Den handlar om att visa att du har ett levande, systematiskt säkerhetsarbete. Det arbetet utvecklas i takt med verksamheten och hotbilden. Läs mer om ledningens ansvar under NIS2 och vår guide om incidentrapporteringens tidslinje.
Kartlägg ert nuläge
Börja med att vara ärlig om var du befinner dig. En GAP-analys som kartlägger nuläget mot Cybersäkerhetslagens krav är det mest effektiva första steget. Det ger dig en tydlig bild av vad som saknas och vad som redan fungerar.
Securapilots GAP-analysmodul hjälper dig kartlägga exakt var du står mot Cybersäkerhetslagens krav. Du behöver inte börja från noll. Utgå från dina befintliga processer och bygg vidare på det som redan finns.
Vanliga frågor
Vad händer efter anmälan till MCF?
Anmälan är bara det första steget. Organisationer måste nu implementera de säkerhetsåtgärder som Cybersäkerhetslagen kräver: riskhantering, incidentberedskap, leverantörssäkerhet och ledningsengagemang. Tillsynsmyndigheter kan när som helst inleda kontroller.
Vilka är de vanligaste misstagen efter NIS2-anmälan?
De tre vanligaste misstagen är: att tro att anmälan innebär att man är klar, att börja med att köpa verktyg istället för att förstå sina processer, och att delegera hela ansvaret till IT-avdelningen.
Hur vet jag om min organisation uppfyller Cybersäkerhetslagens krav?
Genomför en GAP-analys som kartlägger nuläget mot lagens kravområden. Det ger en tydlig bild av vad som saknas och hjälper er prioritera de mest kritiska insatserna.
Kan tillsynsmyndigheten kontrollera oss redan nu?
Ja. Cybersäkerhetslagen trädde i kraft 15 januari 2026 och tillsynsmyndigheterna har rätt att genomföra kontroller. Det finns ingen formell grace period för implementering.