Hoppa till huvudinnehåll
Säkerhet 2025-09-10

Cybersäkerhetslagen är nu en akut ödesfråga för ledningen

Specialistspaning | Den nya Cybersäkerhetslagen kräver omedelbara åtgärder trots att den ännu inte är klubbad i riksdagen. Du som är högsta befattningshavare i verksamheten är just nu i ett vinna eller försvinna-läge, menar Ateas säkerhetsexpert Carl-Johan Ekelund.

Bara sex av tio organisationer har en plan för hur de ska hantera cyberattacker och andra "oförutsedda" händelser. Det gör mig orolig på riktigt.

Spaningen i ett nötskal

Alldeles för många väntar på att den nya Cybersäkerhetslagen ska sjösättas innan de går igenom sin riskexponering, medvetandegör sina sårbarheter, gör konsekvensanalyser och prioriterar. Priset kan bli högt för detta avvaktande. Inte bara för verksamheten vid en attack, utan även för dig personligen när den nya lagen kommer på plats. Du som är vd inom tillverkningsindustri, transport, livsmedel, vatten, avlopp, el eller annan samhällsviktig funktion kan bli portad från ledningsfunktioner i 1-3 år om du nonchalerar säkerhetsarbetet (se sidan 16 i regeringens förslag på ny lag). Utöver det väntar kännbara sanktionsavgifter för verksamheter som agerar för slappt kring säkerheten, upp till 10 miljoner euro i extrema fall. Bara lagrådets synpunkter återstår innan lagen kan klubbas i riksdagen. Regeringen har föreslagit att lagen träder i kraft den 15 januari 2026. Utmaningen är att hinna bli redo i tid. 

Carl-Johan Ekelund är Head of Security på Atea och en av landets ledande experter på informationssäkerhet. Följ honom på Linkedin här

Vad du kommer att upptäcka

Om din organisation spelar korten rätt – och genast börja göra det jobb som krävs – undviker du inte bara sanktionsavgifter, personligt näringsförbud, och förödande intrång och skador på verksamheten. Du banar också väg för att kunna ta marknadsandelar när lagen väl är på plats. Många, framförallt upphandlande organisationer, kommer att fortsätta ställa höga krav i leveranskedjan, när det gäller regelefterlevnad i enlighet med kraven i Cybersäkerhetslagen. I många upphandlingar och affärsdialoger kommer ni att behöva påvisa att ni gör det. Vill ni förbättra era odds att landa fler affärer och upphandlingar är det inte fel att även satsa på en ISO 27001-säkerhetscertifiering eller liknande. Om ni ”sitter lugnt i båten” kommer ni i stället att bli akterseglade. Tänk på att det blir knivigare att få tillgång till rätt kompetens efter att den nya lagen har klubbats. Det är mer som behöver göras än vad många inser. Arbetssätt behöver förändras, och ni behöver jobba proaktivt i stället för reaktivt. Så se nu till att ni blir redo i tid.

Pådrivande faktorer
  • Alla börjar bli mer medvetna om hoten från omvärlden. Mardrömmen är att främmande makt lyckas slå ut, manipulera och störa el- och energiförsörjning, elnät, vatten, styrsystem inom transport och distribution, information- och media, och även sjukvård.
  • Incidenterna blir fler. Under det senaste året har 20 procent av de offentliga verksamheterna i Sverige, och 13 procent av företagen, upplevt stora cyberattacker, enligt rapporten Voister CIO Analytics 2025. Samhällsviktiga funktioner som BankID, Arbetsförmedlingen och SVT har drabbats under året. Även ett 30-tal fall av sabotage mot tele- och radiomaster längs E22-korridoren på östkusten har konstaterats.
  • Fler krav i samhället på att ha koll på säkerheten. Ett exempel är EU:s nya Cyber Resilience Act (CRA). CRA syftar till att höja säkerhetsnivån på digitala produkter och mjukvara som säljs inom EU – exempelvis att utvecklare måste dokumentera sårbarheter och erbjuda uppdateringar under hela produktens livslängd.

Värt att reflektera över 💡

  • Omfattas ni av Cybersäkerhetslagen?  (Läs sidorna 42-23 i Regeringens lagrådsremiss under sektionen ”Vilka ska omfattas av lagen?) Är du tveksam, ta in juridisk hjälp, gärna en it-rättsjurist. 
  • Oavsett om ni berörs av den nya lagen eller inte, vilka följder kan en cyberattack få för er och era kunder/medborgare/medarbetare?
  • Hur trygga vill ni att era kunder (eller medborgare och medarbetare) ska känna sig? 
  • Hur ser ert nuläge ut vad gäller säkerheten? Vilken riskexponering utsätter ni er för? Vilka förmågor har ni? Vilka sårbarheter? 
  • Hur verifierar ni att säkerheten, rutiner i vardagen och det löpande säkerhetsarbetet håller måttet? 

Hur kan vi hjälpa dig på NIS2-resan?

Fyll i formuläret så ser jag till att du kommer i kontakt med rätt person.

Carl-Johan Ekelund

Carl-Johan Ekelund, Head of Security.

Inte redo för kontakt än?

Vi hjälper dig att analysera, identifiera och implementera processer, metoder, rutiner och åtgärder som behövs för att tillmötesgå NIS2 och cybersäkerhetslagen.

Mer om NIS2/cybersäkerhetslagen

leverantörskedjan är en säkerhetsrisk Säkerhet Därför är leverantörskedjan den verkliga säkerhetsrisken