Behöver ledningen förstå – eller bara godkänna?
Vi fick nyligen återkoppling från en kund efter att ha genomfört en utbildning i cybersäkerhetsledning för en kommunledning. Synpunkten var tydlig: utbildningen upplevdes som för omfattande. Framför allt ansågs att ledningen inte behöver förstå innebörden av säkerhetsåtgärder – det räcker att veta vad som ska godkännas och följas upp. Det är kanske en intuitivt tilltalande tanke: att ansvar kan utövas genom formella beslut, och att säkerhetsfunktionen kan skapa styrdokumenten utan att belasta ledningen med detaljer. Men den tanken håller inte särskilt långt. Inte enligt cybersäkerhetslagen (2025:1506), ISO/IEC 27001:2022, forskning eller Myndigheten för civilt försvars (MCF) metodstöd.
Styrning utan förståelse är inte styrning
Precis som i citatet som ofta attribueras till Sokrates: ”The beginning of wisdom is the definition of terms” behöver man först förstå och definiera vad det är man styr, innan man kan styra det.
Ett systematiskt och riskbaserat säkerhetsarbete, så som det beskrivs i standarder, lagstiftning och metodstöd, bygger inte på själva godkännandet. Det bygger på de avvägningar som leder fram till beslutet. För att möjliggöra sådana avvägningar krävs en grundläggande förståelse. Även om inte en djup teknisk detaljkunskap krävs, så behövs tillräcklig insikt för att kunna bedöma:
- vad som är verksamhetskritiskt och varför,
- hur säkerhetsåtgärder påverkar risker,
- vilka effekter säkerhetsåtgärder får för verksamheten,
- vilka konsekvenser som kan uppstå om säkerhetsåtgärder inte vidtas, eller om fel säkerhetsåtgärder vidtas,
- hur ekonomiska resurser ska allokeras.
Om inte tillräcklig insikt finns, så reduceras beslutet till en formell sign-off. Ansvar ligger kvar hos ledningen – men förmågan att utöva det har i praktiken delegerats bort.
Två konsekvenser som ofta underskattas
När förståelsen kring relevanta avvägningar saknas uppstår två återkommande problem.
1. Risken styrs inte – den ärvs
Ledningen tar inte aktiva ställningstaganden, utan accepterar implicit de prioriteringar som redan gjorts längre ned i organisationen.
2. Uppföljningen tappar funktion
Rapportering blir något man tar emot, inte använder. Ett gap uppstår då mellan att “rapportera säkerhet” och att faktiskt styra den.
Vad säger regelverket?
Det här är inte bara en teoretisk invändning. NIS2-direktivet (EU) 2022/2555, artikel 20.2 är tydlig: ledningsorgan ska genomgå utbildning för att få tillräcklig kunskap. Tillräcklig kunskap behövs för att kunna identifiera risker och bedöma cybersäkerhetsarbete samt dess påverkan på verksamheten. Samma resonemang återkommer i de svenska förarbetena, där syftet med utbildning uttryckligen kopplas till förmågan att förstå risk och fatta informerade beslut.
I utkastet till föreskrift och allmänna råd om säkerhetsåtgärder och utbildning, som tagits fram av MCF, förtydligas detta ytterligare genom konkreta förväntningar på vilken kunskapsnivå och förmåga som ledningen behöver ha för att kunna utöva styrning. Även om föreskriften ännu inte är beslutad så är riktningen tydlig: ledningens ansvar förutsätter faktisk förståelse, inte bara formella beslut. Det handlar alltså inte om att utbilda ledningen “för säkerhetsfunktionens skull”. Det handlar om att ge ledningen förutsättningar att ta ansvar!
En rimlig avgränsning
Frågan ska inte behöva handla om huruvida ledningen behöver förstå – utan vilken nivå av förståelse som krävs för att kunna ta ansvar.
Det är inte rimligt att en djup teknisk detaljkunskap ska behövas, men det är däremot rimligt att en tillräcklig förståelse uppnås för att kunna:
- Väga relevanta alternativ mot varandra,
- fatta beslut under osäkerhet,
- mäta och följa upp säkerhetsarbetet.
Det är där skillnaden ligger mellan formell styrning och faktisk styrning.
En bredare rörelse eller fortfarande ett särintresse?
Den här diskussionen är större än en enskild utbildning. Cybersäkerhet utvecklas från att vara ett specialistområde till att bli en grundläggande del av verksamhetsstyrning. Inte bara på grund av en ökad hotbild, utan också för att det uppfyller samma kriterier som andra etablerade ledningsområden: det påverkar direkt verksamhetens förmåga, ligger på ledningens ansvar och kräver löpande riskbaserade avvägningar.
Ur det perspektivet utgör krav som de i NIS2 inte endast ett tillägg, utan också ett uttryck för en förskjutning i synsätt. Från att hantera cybersäkerhet som stödfråga, till att betrakta det som en del av kärnuppdraget.
En öppen fråga
Det är fullt legitimt att ifrågasätta omfattning och pedagogik i en utbildning. Men om utgångspunkten är att ledningen inte behöver förstå det den ansvarar för – då är det kanske inte utbildningens omfattning som är problemet, utan synen på vad ledningens ansvar faktiskt innebär.
Victor Langåsve, MBA, CPP, CISM, CISSP-ISSMP, CISA, CRISC, QSA, C|CISO, cATO, CIPT, 27001 Lead. Victor arbetar med ledning, teknik och juridik inom säkerhetsområdet.
Josefin Knudsen, informationssäkerhetskonsult som arbetar med bland annat rådgivning inom systematisk cybersäkerhet.
Tommy Wahlman , senior informationssäkerhets- och säkerhetsskyddskonsult.
