Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Cybersäkerhet blir en tydligare styrningsfråga

Cybersäkerhet har under lång tid betraktats som en operativ och teknisk fråga. Under det senaste året har dock utvecklingen börjat peka åt ett annat håll. Nya regelverk, förändrade tillsynsmodeller och ökade beroenden mellan organisationer medför att cybersäkerhet i allt högre grad påverkar styrning och ansvar – inte bara inom enskilda verksamheter, utan även på samhällsnivå.

Det ökade behovet av hantering av tredjepartsrisker medför ett skifte i prioriteringar

Inom ramen för kraven i DORA har europeiska tillsynsmyndigheter under 2025 identifierat kritiska leverantörer av informations- och kommunikationsteknik (IKT) inom den finansiella sektorn. Identifieringen tydliggör hur starkt beroende sektorn och samhället i stort är av ett begränsat antal IKT-leverantörer och hur dessa beroenden inte längre kan betraktas som enbart operativa frågor.  

När tillsyn och leverantörsuppföljning riktas mot IKT-leverantörer förändras också förutsättningarna för styrning av cybersäkerhet. Frågor om riskacceptans, leverantörsrisker och beroenden lyfts närmare ledning och styrelse, snarare än att hanteras uteslutande inom it- eller cybersäkerhetsfunktioner. Det innebär ett skifte från teknisk kontroll till strategisk styrning och uppföljning, där hantering av IKT-leverantörer och system behöver prioriteras.

Förutom IKT-leverantörer som kan vara kritiska för en organisation eller EU:s finanssektor så finns det flera som även skulle kunna betraktas som kritiska på nationell nivå. Hur lagstiftaren anser att de IKT-leverantörer som kan vara kritiska på nationell nivå ska hanteras återstår att se. Det kan även finnas överlapp till nationell säkerhet och vår svenska säkerhetsskyddsreglering som behöver beaktas i sammanhanget.

Organisationens cybersäkerhetsyrning får påverkan bortom den egna organisationen

DORA fokuserar på den finansiella sektorn medan cybersäkerhetslagen (CSL) adresserar betydligt fler samhällsviktiga verksamheter. Tillsammans förstärker regleringarna det gemensamma budskapet att it-störningar inte längre är isolerade till enskilda organisationer och deras digitala motståndskraft, utan kan få konsekvenser för ett helt ekosystem i samhället.

Perspektivet påverkar hur cybersäkerhetsstyrning behöver utformas. Ansvar för cybersäkerhet handlar inte enbart om intern regelefterlevnad och den egna organisationen, utan om att förstå sin roll i värdekedjor och samhällsberoenden. Strategiska beslut om säkerhetsnivåer, leverantörer och kontinuitetsåtgärder blir därmed också beslut som påverkar samhällets robusthet.

Förändrade prioriteringar med ett ökat strategiskt fokus

Utvecklingen i styrningen av cybersäkerhet syns alltmer även i hur säkerhetsarbetets prioriteringar förändras. Enligt CSO Security Priorities Study utvidgas, även för en CISO, fokus under 2026 än mer från tekniska skyddsåtgärder till frågor som affärskontinuitet, leverantörsberoenden, AI-utvecklingens konsekvenser och organisatorisk motståndskraft.

Ett år in i DORA och med CSL blir det tydligare att cybersäkerhet inte längre enbart kan förstås genom tekniska eller juridiska krav. Det är en strategisk styrnings- och ledningsfråga. Cybersäkerhetsmognaden behöver öka på bred front, särskilt eftersom det inte längre endast är den enskilda organisationen som behöver skyddas, utan hela samhället!

Relaterade inlägg