Knowit trendrapport visar att:
- 59% av privata företag känner sig inte trygga med sin förmåga att hantera en digital kris.
- 34% i privat sektor vet inte hur robusta deras leverantörer egentligen är.
- 53 % av privata företag har digital motståndskraft på ledningsagendan – mot 92% i offentlig sektor.
Samtidigt upplever många svenska organisationer en betydande osäkerhet kring hur de olika regelverken ska tolkas och omsättas i praktiken. Det menar Tommy Wahlman, senior cybersäkerhetskonsult, och Jannika Törnqvist, senior jurist, som båda arbetar med att stötta verksamheter i frågor som rör informationssäkerhet, cybersäkerhet och regelefterlevnad.
– Många organisationer försöker samtidigt förhålla sig till NIS2, CER, Cyber Resilience Act, säkerhetsskyddslagstiftning, dataskydd, kontinuitet och upphandlingskrav. Det som ofta skapar störst osäkerhet är inte själva regelverket, utan hur långt ledningens ansvar faktiskt sträcker sig när verksamheten är starkt beroende av leverantörer och decentraliserade organisationer, säger Tommy.
Jannika pekar samtidigt på att många inväntar tydligare besked innan de vågar fatta större beslut:
– Osäkerheten handlar ofta om hur olika regelverk samspelar i den egna verksamheten. Flera organisationer väntar dessutom på mer konkret vägledning, tekniska standarder och besked om kommande förändringar, bland annat kopplade till Digital Omnibus.
Säkerhet blir en ledningsfråga
En tydlig utveckling är att cybersäkerhet i allt större utsträckning blir en fråga för den högsta ledningen. Både NIS2-direktivet och säkerhetsskyddslagstiftningen kräver att styrelser och ledningsgrupper behöver ta ett mer aktivt ansvar för verksamhetens säkerhetsarbete.
– Cybersäkerhet behöver integreras i den ordinarie verksamhetsstyrningen genom ökad kunskap, aktiv uppföljning och ett systematiskt säkerhetsarbete. Ansvarsfördelningen blir tydligare och ledningens ansvar ökar. Organisationer arbetar fortfarande i silos och det finns ibland en föreställning om att juridik, teknik och verksamhet har motstridiga mål. Det leder till onödiga konflikter och sämre säkerhetsarbete, säger Jannika.
Tommy ser samma utveckling i praktiken:
– Många organisationer behöver lämna synen på informationssäkerhet som en ren specialist- eller IT-fråga. Frågor om riskacceptans, prioriteringar och kontinuitet hamnar allt oftare hos verksamhetsansvariga och ledningen. Samtidigt saknas fortfarande ett tydligt riskägarskap i många organisationer. Vi ser ofta att juridik, IT, kontinuitet, verksamhetsutveckling och upphandling arbetar med olika perspektiv på samma risk. Organisationerna är ofta relativt mogna när det gäller att formulera krav, men betydligt svagare på att skapa styrning som fungerar i vardagen. Riskanalyser blir alltför ofta dokumentation istället för ett aktivt beslutsunderlag för ledningen.
Fokus flyttas från dokument till styrning
När kraven på efterlevnad ökar blir det också viktigare att kunna visa hur säkerhetsarbetet faktiskt bedrivs.
Jannika menar att dokumentationen måste vara enkel att hålla uppdaterad och fungera tillsammans med flera olika regelverk.
– Dokumentationen behöver vara lättillgänglig, enkel att uppdatera och bygga på verksamhetsnära processer som faktiskt fungerar i praktiken. Annars blir den snabbt en administrativ belastning.
Tommy anser att många organisationer behöver ändra fokus.
– Framöver handlar det mindre om mängden styrdokument och mer om spårbarhet mellan risk, beslut, åtgärd och uppföljning. De organisationer som kommit längst har integrerat informationssäkerhet i den ordinarie verksamhetsstyrningen istället för att behandla den som ett separat compliance-spår.
Rådet till ledningsgrupper: börja med verksamheten
Inför 2027 uppmanar båda experterna ledningsgrupper att prioritera samverkan och tydligare ansvar.
– Bryt silos och skapa förutsättningar för samarbete mellan juridik, teknik och verksamhet redan tidigt i processerna. Det minskar både juridiska och operativa risker, säger Jannika.
Tommy avslutar med vikten av att utgå från verksamhetens mest kritiska beroenden.
– Identifiera de viktigaste beroendena – inte bara tekniska system utan även processer, leverantörer och beslutsvägar. Säkerställ att riskägarskap fungerar i praktiken och bygg säkerhetsarbetet stegvis över tid. Det viktigaste är att skapa ett säkerhetsarbete som hjälper verksamheten att fatta bättre beslut under osäkerhet, inte bara att uppfylla formella krav.








