Cybersäkerhet är nu en styrelsefråga
NIS2 markerar ett stort skifte: cybersäkerhet är inte längre en fråga som kan lämnas till IT-avdelningen. Med Cybersäkerhetslagen som trädde i kraft 15 januari 2026 har styrelse och ledning ett tydligt, personligt ansvar för organisationens cybersäkerhet.
Det handlar inte bara om att undvika böter. Ledningar som tar sitt ansvar på allvar bygger mer motståndskraftiga organisationer. De blir också mer trovärdiga för kunder, partners och investerare.
Nyckelfrågan: Kan din styrelse idag beskriva organisationens topp-tre cyberrisker och hur de hanteras? Om inte, finns det arbete att göra.
Vad säger lagen?
NIS2 Artikel 20, Ledningens ansvar:
- Ledningen ska godkänna de cybersäkerhetsåtgärder som krävs
- Ledningen ska övervaka implementationen av dessa åtgärder
- Ledningen kan hållas ansvarig vid överträdelser
- Ledningen ska genomgå utbildning för att kunna bedöma risker
- Utbildning ska regelbundet erbjudas till personal
Detta ansvar kan inte delegeras.
Styrelsens fem huvuduppgifter
- Godkänna cybersäkerhetspolicyn Styrelsen ska formellt godkänna organisationens övergripande cybersäkerhetspolicy. Policyn ska täcka riskhantering, incidenthantering, affärskontinuitet och leverantörssäkerhet. Dokumentera godkännandet i styrelseprotokollet.
- Säkerställa riskhantering Styrelsen ansvarar för att en systematisk riskhanteringsprocess finns på plats. Det innebär att risker identifieras, analyseras, behandlas och följs upp regelbundet. Rapporter om de största riskerna ska nå styrelsen.
- Genomgå cybersäkerhetsutbildning Varje styrelseledamot och ledningsperson ska genomgå utbildning. Syftet är att kunna identifiera risker och bedöma om säkerhetsåtgärder är tillräckliga. Utbildningen ska vara relevant för verksamheten.
- Övervaka implementation Det räcker inte att godkänna. Styrelsen ska också följa upp att åtgärder faktiskt genomförs. Det kräver regelbunden rapportering och nyckeltal som visar utvecklingen.
- Hantera incidenter på ledningsnivå Vid betydande incidenter ska ledningen informeras och fatta beslut. Incidentrapportering till myndigheter inom 24 timmar kräver en fungerande eskaleringskedja.
Vad händer vid bristande efterlevnad?
Böter upp till 10 miljoner euro eller 2 procent av global omsättning för väsentliga entiteter. För viktiga entiteter gäller 7 miljoner euro eller 1,4 procent.
Tillsynsmyndigheten kan kräva offentliggörande av överträdelser. Den kan också utfärda offentliga uttalanden som namnger ansvariga personer.
Enskilda ledningspersoner kan hållas personligt ansvariga. I allvarliga fall kan de förbjudas att inneha ledningsroller i organisationer som omfattas av NIS2.
Organisationer med bristande efterlevnad kan bli föremål för skärpt tillsyn. Det kan innebära regelbundna revisioner och utökade rapporteringskrav.
Praktiska tips för styrelsemöten
Gör cybersäkerhet till en stående punkt
Cybersäkerhet ska inte bara diskuteras när något gått fel. Gör det till en stående punkt på dagordningen:
- Kvartalsvis: Övergripande statusrapport, toppriskerna, pågående initiativ
- Årligen: Genomgång av cybersäkerhetspolicyn, godkännande av årsplan
- Vid behov: Incidenter, större förändringar, nya krav
Hur ska säkerhetsrapporten se ut?
En bra cybersäkerhetsrapport till styrelsen innehåller:
1. Nuläge och mognad
- Var står vi jämfört med NIS2-kraven?
- Hur ser vi ut jämfört med bransch?
2. Toppriskerna
- Vilka är de tre-fem största riskerna?
- Hur sannolika är de? Vad blir konsekvensen?
3. Vidtagna åtgärder
- Vad har vi gjort sedan sist?
- Har vi haft incidenter? Hur hanterades de?
4. Pågående initiativ
- Vilka projekt pågår?
- Ligger vi i tid och budget?
5. Resursbehov
- Behöver vi mer resurser?
- Finns kompetensglapp?
Frågor styrelsen bör ställa
- Vilka är våra mest kritiska system och data?
- Hur snabbt kan vi återhämta oss från en ransomware-attack?
- Hur hanterar vi säkerheten hos våra leverantörer?
- Har vi testat vår incidenthantering det senaste året?
- Uppfyller vi alla NIS2-krav? Om inte, vad saknas?
Vilka nyckeltal behöver ledningen?
En effektiv översiktspanel ger överblick utan att drunkna i detaljer:
| KPI | Beskrivning | Mål |
|---|---|---|
| Efterlevnadsnivå | Andel uppfyllda NIS2-krav | 100 procent |
| Kritiska risker | Antal öppna kritiska risker | 0 |
| Incidenter | Antal betydande incidenter | Trend nedåt |
| Patchnivå | Andel system med aktuella patchar | Över 95 procent |
| Utbildning | Andel personal som genomgått utbildning | 100 procent |
| Leverantörer | Andel granskade kritiska leverantörer | 100 procent |
Vilka misstag bör du undvika?
NIS2 gör det tydligt: ansvaret ligger på ledningen. Att delegera det operativa arbetet går bra, men ansvaret kan inte delegeras bort.
En timmes allmän presentation räcker inte. Utbildningen ska vara tillräckligt djupgående så att ledningen faktiskt kan bedöma risker och åtgärder.
Att bara agera när något går fel är för sent. Proaktiv riskhantering och regelbunden uppföljning är nyckeln.
Om det inte finns i protokollet hände det inte. Dokumentera styrelsens beslut, godkännanden och den information som presenteras.
Nästa steg: Kontrollera om din organisation omfattas av NIS2 och läs mer om alla NIS2-krav i vår ramverksöversikt.
Så kan Securapilot hjälpa
Securapilot ger ledningen de verktyg som behövs för att uppfylla NIS2-kraven:
- Ledningsöversikt: Överblick över efterlevnadsstatus, risker och incidenter
- Automatiserade rapporter: Styrelserapporter med rätt detaljeringsnivå
- Riskhantering: Spårbarhet för alla risker och beslut
- Dokumentation: Bevis på godkännanden och uppföljning
- Incidenthantering: Eskalering och rapportering inom tidskraven
Boka en demo och se hur vi kan hjälpa er styrelse ta kontroll över cybersäkerheten.
Vanliga frågor
Kan styrelsen delegera cybersäkerhetsansvaret?
Nej, enligt NIS2 kan ledningens ansvar för cybersäkerhet inte delegeras. Styrelsen måste aktivt godkänna åtgärder och övervaka implementationen. Man kan delegera det operativa arbetet, men ansvaret kvarstår hos ledningen.
Vilken utbildning krävs för styrelsen?
NIS2 kräver att ledningen genomgår regelbunden cybersäkerhetsutbildning för att kunna identifiera risker och bedöma säkerhetsåtgärder. Utbildningen ska vara anpassad till organisationens verksamhet och risker.
Kan styrelseledamöter bli personligt ansvariga?
Ja, NIS2 möjliggör personligt ansvar för ledningspersoner vid allvarliga överträdelser. I extrema fall kan personer förbjudas att inneha ledningsroller. Detta är ett betydande avsteg från tidigare praxis.
Hur ofta ska styrelsen behandla cybersäkerhet?
Det finns inget specifikt krav, men god praxis är kvartalsvis rapportering till styrelsen plus extraordinära möten vid incidenter. Cybersäkerhet bör vara en stående punkt på styrelsens agenda.
