INFORMATIONSSÄKERHET

Tre perspektiv – ett gemensamt uppdrag. Under ett aktuellt säkerhetsseminarium delade Agnes Hammarstrand, jurist och expert på digitalt regelverk, Patrik Nilsson, rådgivare inom informationssäkerhet, och Johan Ekström, BIM-samordnare på Sveriges riksdag, sina insikter om den snabbt föränderliga säkerhetsagendan.

Från juridiska krav och ledningsansvar till den praktiska verkligheten i en statlig verksamhet stod en sak klar: cybersäkerhet är inte längre en IT-fråga – det är en ledningsfråga och en samhällsfråga. 

Cybersäkerhet har gått från att vara en teknisk fråga till att bli en central del av organisationers överlevnadsstrategi. Med det nya EU-direktivet NIS2 och en växande mängd nationella regelverk förändras nu spelplanen för både offentlig och privat sektor. För säkerhetschefer, CTO:er och CISO:er handlar det inte längre om om man påverkas – utan hur väl förberedd man är. 

Ett nytt ramverk för ansvar 

NIS2, den nya cybersäkerhetslagen som träder i kraft i januari 2025, syftar till att höja den gemensamma säkerhetsnivån i hela EU. Direktivet omfattar nu långt fler sektorer än tidigare – inte bara samhällskritiska verksamheter som energi, vatten och sjukvård, utan även tillverkningsindustri, forskning, IT-tjänster och logistik.

Det betyder att tusentals svenska organisationer, direkt eller via sina leverantörsled, kommer att omfattas av krav på systematiskt säkerhetsarbete, incidentrapportering och ledningsansvar. 

Kärnan i NIS2 är tydlig: säkerhetsarbetet ska vara ledningsstyrt. Det räcker inte med en IT-policy eller ett säkerhetsramverk på papper – ledningen måste förstå riskerna, kunna visa på kontroll och stå till svars vid överträdelser. Sanktionerna är kännbara, med böter på upp till 10 miljoner euro eller två procent av den globala årsomsättningen. 

Från teknik till styrning 

Den största utmaningen ligger inte i tekniken, utan i styrningen. Många verksamheter lider fortfarande av ett glapp mellan IT och informationssäkerhet – där tekniska skyddsåtgärder inte backas upp av styrning, ansvarsfördelning och utbildning.

Det nya regelverket kräver att organisationer etablerar ett tydligt ledningssystem för informationssäkerhet, gärna baserat på etablerade standarder som ISO 27001. Det innebär dokumenterade rutiner, riskanalyser, incidenthantering och regelbundna kontroller – men också utbildning av ledning och personal. 

En central aspekt är också säkerheten i leveranskedjan. Företag måste kunna visa att deras leverantörer uppfyller kraven, att avtal innehåller rätt säkerhetsvillkor och att rutiner finns för granskning och uppföljning. 

Säkerhet som verksamhetsstrategi 

På nationell nivå pågår samtidigt en förskjutning från teknisk IT-säkerhet till bredare informationssäkerhet – där frågan om styrning, språk och ansvar står i centrum. Flera experter påpekar att vi fortfarande saknar ett gemensamt språk mellan teknik och verksamhet. Det leder till att säkerhetsfrågor ibland fastnar i tekniska detaljer istället för att ses som en strategisk verksamhetsrisk. 

Säkerhetsarbetet måste därför utgå från en helhetssyn: informationssäkerhet är både en självbevarelsedrift och ett nationellt intresse. Organisationer som hanterar kritiska data, samhällstjänster eller levererar till andra skyddsvärda verksamheter har ett ansvar bortom sina egna system – de är en del av samhällets digitala motståndskraft. 

Nästa steg för ledningen 

För svenska verksamheter är budskapet tydligt: 

• Gör en nulägesanalys och identifiera om ni omfattas av NIS2 – direkt eller indirekt. 

• Etablera ett ledningssystem för informationssäkerhet med tydlig ansvarsfördelning. 

• Se över avtal och leverantörskedjor, och bygg in säkerhetskrav i hela processen. 

• Utbilda ledning och nyckelpersoner i deras ansvar enligt lagen. 

• Dokumentera, följ upp och öva – kontinuitet och förmåga att agera vid incidenter är centralt. 
  

Talare på seminariet var:

Patrik Nilsson - Coachstar

Johan Ekström - Riksdagsförvaltningen

Agnes Hammarstrand - Advokatfirman Delphi