Krönika: Cybersäkerhet 2026 - Från IT-fråga till styrelseansvar

Cyberattacker är inte längre en fråga om, utan när. Genom att den nya cybersäkerhetslagen trädde i kraft i januari 2026 skärptes också kraven på organisationers ansvar, rapportering och styrning. Det innebär ett tydligt skifte: cybersäkerhet är inte längre något som kan delegeras till IT-avdelningen. Det är en fråga för ledningen.

Den nya cybersäkerhetslagen, som implementerar EU:s NIS2-direktiv, är nu på plats. Kraven skärps. Ansvaret förtydligas. Och cyberrisker har flyttat från IT-avdelningen till styrelserummet. Det här är inte bara ännu en reglering. Det är en tydlig signal. 

Cybersäkerhet är inte längre en teknisk fråga. Det är en ledningsfråga.

Under många år har cyberrisker funnits med på organisationers risklistor. Men de har ofta behandlats som IT-incidenter. Något för tekniker att hantera när det händer. Nu förändras spelplanen.

Den nya lagstiftningen ställer tydliga krav på systematiskt säkerhetsarbete, incidentrapportering och organisatoriskt ansvar. Det handlar inte bara om brandväggar och patchning, utan också om styrning, processer och ansvar.

Samtidigt ser vi en geopolitisk utveckling där cyberangrepp används som strategiska verktyg. I säkerhetsbranschen har hybridpåverkan och digitala hot länge varit återkommande teman. Rapporter om intrång och attacker är numera en del av vardagen. Det intressanta är att många organisationer fortfarande tänker teknik när de borde tänka styrning. Jag möter ofta ledningar som säger: 

“Vi har en IT-leverantör som sköter det där.”

Men lagstiftningen riktar sig inte till leverantören. Den riktar sig till verksamheten. Det är en avgörande skillnad.

Cybersäkerhet handlar i grunden om bland annat:

• ledningsförankring,
• ansvarsfördelning,
• kontinuitetsplanering,
• incidenthantering, och
• ja - kompetens inom hela organisationen...

2026 är året då cybersäkerhet på allvar blivit en compliancefråga, en verksamhetsrisk och en strategisk konkurrensfaktor. Den organisation som väntar på en incident för att agera kommer snabbt att hamna efter. Den som däremot investerar i kunskap, struktur och ansvar bygger något mycket viktigare: motståndskraft. Och i en tid av ökande digitala hot är motståndskraft en förutsättning för att kunna bedriva verksamhet.

Cybersäkerhet har blivit en fråga om ledarskap.
Och ledarskap går inte att outsourca.

Krönikör: Susan Bergman, ansvarig för säkerhetsutbildningar och -konferenser på Företagsuniversitetet.