NIS2

Compliance minskar inte risk. Styrning gör det.

Cybersäkerhetslagen är i kraft. Men regelefterlevnad utan styrning är bara tomma rutiner på papper. Här är varför styrning avgör om ni klarar kraven.

Kim Borg
Kim Borg Grundare & VD
6 min läsning
  1. 24%
    av svenska organisationer hade en cybersäkerhetsstrategi förankrad i ledningen vid NIS2-ikraftträdandet
    Källa: Myndigheten för samhällsskydd och beredskap (MSB)
  2. 68%
    av säkerhetsincidenter beror på att befintliga regler inte följs
    Källa: Verizon Data Breach Investigations Report 2025
  3. 15
    januari 2026 trädde Cybersäkerhetslagen (SFS 2025:1506) i kraft
    Källa: Sveriges riksdag
VD i samtal med styrelseledamot om styrning och governance

Jag har haft samma samtal med tre olika ledningsgrupper den senaste månaden. Alla har investerat. Alla har verktyg. Alla har anlitat konsulter och påbörjat certifieringsarbeten. Men ingen av dem kunde svara på en enkel fråga: Var finns våra allvarligaste brister?

Cybersäkerhetslagen (SFS 2025:1506) gäller sedan den 15 januari 2026. Många organisationer är inte redo. Inte för att de saknar budget, inte för att de saknar verktyg, utan för att styrningen aldrig har funnits i praktiken.

Min erfarenhet är tydlig: Compliance minskar inte risk. Styrning gör det. De organisationer som klarar kraven är de där styrning finns i hur beslut fattas, inte i hur dokument arkiveras.

Tre investeringar som inte hjälper utan styrning

Organisationer investerar i tre saker som alla ser bra ut på pappret, men som inte skapar säkerhet utan fungerande styrning.

Verktyg utan efterlevnad

Övervakning, hotskydd, sårbarhetsscanning. Verktygslådorna växer. Men 68 % av säkerhetsincidenter beror på att befintliga regler inte följs, inte på att verktyg saknas. Ett verktyg som ingen använder rätt är bara en kostnad. Frågan är inte "Har vi köpt rätt verktyg?" utan "Följer någon faktiskt de regler vi redan har?"

Certifieringar utan liv

Säkerhetscertifieringar och revisionsrapporter. Imponerande på pappret. Men om ledningssystemet lever i en mapp som ingen öppnar mellan revisionerna skyddar det ingenting. En certifiering bevisar att ni hade styrning vid ett tillfälle. Den säger ingenting om hur det ser ut idag.

Konsulter utan kunskapsöverföring

Externa konsulter som bygger strukturen, skriver reglerna och sedan lämnar. Kunskapen går ut genom dörren med dem. Sex månader senare minns ingen varför en kontroll infördes eller hur den ska underhållas. Konsulter skapar värde, men bara om kunskapen stannar kvar i organisationen.

Vad Cybersäkerhetslagen faktiskt kräver

Cybersäkerhetslagen är inte en checklista. Den kräver styrning: att processer lever, att ledningen är engagerad, och att organisationen kan visa att säkerhetsarbetet fungerar i praktiken.

Cybersäkerhetslagen kräver styrning, inte bara dokument:

  1. Ledningens ansvar (Artikel 20): Styrelsen ska godkänna och övervaka, inte bara signera
  2. Riskhantering (Artikel 21): Systematisk och löpande process, inte engångsbedömning
  3. Effektivitetsbedömning (Artikel 21.2g): Mäta om åtgärderna faktiskt fungerar
  4. Utbildning (Artikel 20.2): Ledningen ska förstå riskerna, inte bara ha gått en kurs

Konsekvens: Tillsynsmyndigheten kommer inte bara granska om dokumenten finns. De kommer granska om styrningen lever.

Vi har tidigare skrivit om vad Cybersäkerhetslagen innebär i praktiken och om ledningens specifika ansvar. Den här artikeln handlar om det underliggande problemet: varför styrning saknas trots att verktygen och dokumenten finns.

Varför styrning saknas: tre mönster

I mina möten med ledningsgrupper ser jag samma mönster upprepas. Problemet är sällan ovilja. Det är att organisationen aldrig har byggt de strukturer som behövs.

  1. Säkerhet har aldrig varit en ledningsfråga Cybersäkerhet har alltid varit IT-avdelningens ansvar. Det var tekniskt. Det var någon annans budget. Nu kräver Cybersäkerhetslagen att ledningen tar ansvar, men vanan finns inte. Ledningen har aldrig haft cybersäkerhet på agendan på riktigt, och vet inte hur de ska börja.
  2. Compliance blev målet, inte medlet Många organisationer har fokuserat på att klara revisionen snarare än att minska risk. Den årliga genomgången blev en sprint för att uppdatera dokument, inte ett tillfälle att förbättra säkerheten. Belöningssystemet gynnade rena rapporter, inte ärliga bedömningar.
  3. Ingen äger helhetsbilden IT äger verktygen. Juridik äger compliance. Säkerhetschefen, om det finns en, sitter mellan dem utan mandat. Riskregister lever i olika system. Ingen har en komplett bild, och ingen har uppdraget att skapa en.

Grundfrågan: vet vi var våra allvarligaste brister finns?

Det här är den fråga som avgör allt. Inte “Uppfyller vi kraven?” utan “Vet vi faktiskt var vi är som svagast?”

Den viktigaste frågan en styrelse kan ställa sig är inte “Uppfyller vi kraven?” utan “Vet vi var våra allvarligaste brister finns?” Om svaret är nej, eller tystnad, då har ni ett styrningsproblem oavsett hur många verktyg ni köpt.

Jag ser det ofta: ledningsgrupper som tror att de är redo för att de har köpt en plattform eller anlitat en partner. Men ingen har ställt den grundläggande frågan.

Fem tecken på att styrning saknas:

  • Ledningen kan inte namnge de tre största riskerna utan att fråga IT
  • Riskregistret uppdaterades senast inför förra revisionen
  • Incidentprocessen har aldrig testats i skarpt läge
  • Säkerhetspolicyn godkändes, men ingen vet vem som äger uppföljningen
  • “Vi har det dokumenterat” är standardsvaret, men ingen kan visa att det efterlevs

Från compliance till styrning: fem steg

Att gå från dokumentbaserad compliance till levande styrning är inte ett ögonblicksprojekt. Men det börjar med enkla, konkreta steg.

  1. Gör en ärlig GAP-analys Inte bara mot kraven, utan mot verkligheten. Mät inte bara om dokumenten finns, utan om de faktiskt följs i vardagen. Prata med medarbetarna, inte bara de ansvariga. Vår GAP-analysguide visar steg-för-steg hur du gör detta.
  2. Förankra hos ledningen med riskbild, inte regelbok Presentera resultatet i termer som ledningen förstår. Inte "vi uppfyller 64 % av NIS2" utan "vi har tre brister som kan kosta oss X kronor var." Ledningen agerar på risk och konsekvens, inte på procenttal.
  3. Utse ägare för varje riskområde Ingen risk utan ägare. Ingen åtgärd utan ansvarig. Ingen deadline utan uppföljning. Styrning kräver att ansvar är personligt och spårbart, inte kollektivt och vagt.
  4. Bygg in styrning i befintliga beslutsprocesser Gör cybersäkerhet till en stående punkt på ledningsgruppens agenda. Inte som ett separat "säkerhetsmöte" utan som en del av vanliga verksamhetsbeslut: nya leverantörer, systembyten, organisationsförändringar.
  5. Mät och följ upp kontinuerligt Styrning som inte mäts är önsketänkande. Sätt upp mätbara mål. Rapportera till ledningen varje kvartal. Använd avvikelser som lärande, inte som misslyckande.

Compliance som livsstil, inte projekt

Organisationer som behandlar Cybersäkerhetslagen som ett projekt att “bli klara med” kommer vara tillbaka på ruta ett när nästa regelverk kommer. Organisationer som bygger styrning in i sin verksamhet upptäcker att nya krav blir stegvisa justeringar, inte omvälvande förändringar.

Compliance-projektet vs. Styrningsmodellen:

  • Compliance-projektet: Börjar vid ny lag. Slutar vid revision. Ägs av projektledare. Mäts i procent uppfyllt. Nästa regelverk = ny omstart.
  • Styrningsmodellen: Lever hela tiden. Ägs av ledningen. Mäts i risk reducerad. Ny reglering blir en justering, inte en kris.

De organisationer jag möter som faktiskt är redo, det är aldrig de med mest verktyg eller flest certifieringar. Det är de där styrelsen kan svara på frågan: Var är vi svagast, och vad gör vi åt det?

Hur ser det ut i din organisation? Lever styrningen i besluten eller i dokumenten?

Så kan Securapilot hjälpa

  • GAP-analys mot verkligheten: Kartlägg inte bara dokumentation utan faktisk efterlevnad
  • Riskhantering med ägare: Varje risk har en ansvarig, varje åtgärd en deadline
  • Ledningsvy: Överblick i realtid för styrelse och ledning, på klarspråk
  • Kontinuerlig uppföljning: Automatiska påminnelser och statusuppdateringar
  • Spårbarhet: Fullständig historik som tillsynsmyndigheter kan granska

Boka en demo och se hur styrning kan bli verklighet i er organisation.

Vanliga frågor

Vad är skillnaden mellan compliance och styrning?

Compliance handlar om att uppfylla formella krav: bocka av kontroller, skriva regler, klara revisioner. Styrning handlar om att säkerhet faktiskt påverkar beslut i vardagen: att någon äger risker, att avvikelser följs upp, och att ledningen fattar beslut baserat på den verkliga riskbilden.

Kan man uppfylla Cybersäkerhetslagen utan verklig styrning?

På pappret kanske, men inte i praktiken. Cybersäkerhetslagen kräver att ledningen aktivt godkänner, övervakar och tar ansvar. Det räcker inte att ha dokumenten. Tillsynsmyndigheten kommer granska om arbetet faktiskt fungerar.

Hur vet vi om vår styrning fungerar?

Ställ tre frågor: Vet vi var våra allvarligaste brister finns? Fattar ledningen beslut baserat på aktuell riskbild? Följs säkerhetsåtgärder upp regelbundet? Om svaret på någon av dessa är nej, finns det ett styrningsgap.

Vad är första steget för att gå från compliance till styrning?

Börja med en ärlig nulägesanalys som inte bara kartlägger dokumentation utan mäter om regler och rutiner faktiskt följs. Förankra resultatet hos ledningen och skapa en handlingsplan med tydliga ansvariga.

#styrning#governance#Cybersäkerhetslagen#NIS2#compliance#riskhantering#ledarskap

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer