"Så kan Sverige lära av andras misstag och sätta en NIS2-modell i världsklass"

Robert Willborg vill att Sveriges lagstiftare ska inse att NIS2 är ett verktyg för verklig säkerhet – inte en skrivbordsprodukt.

DEBATT. Flera europeiska länder, däribland Danmark, har gått fel i NIS2-implementeringen. Nu måste Sverige lära av andra länders misstag och ta fram en cybersäkerhetslag med höga krav på ledningsgrupp, leverantörsled och incidentrapportering. Därigenom kan vi få en lag som faktiskt håller för framtiden och inte bara fler dokument i hyllan. Det skriver Robert Willborg, medgrundare och CSO på Onemore Secure, på Voister Debatt.

16 maj 2025Uppdaterad 16 maj 2025DebattFoto Onemore Secure, Adobe stock

Sverige står inför ett vägskäl. NIS2-direktivet, eller som det i folkmun redan kallas, den svenska cybersäkerhetslagen, är på väg att implementeras. Men frågan är inte om vi ska följa direktivet – utan hur. Kommer vi att ta plats i Europas säkerhetsorkester med styrka, ambition och innovation? Eller nöjer vi oss med att spela blockflöjt i hörnet medan hotaktörer dirigerar vår digitala vardag och leverantörskedjorna blir nästa svaga länk?

Vad andra länder redan har förstått – och varför Sverige inte får blunda för deras misstag

Det här är en debattartikel. Åsikterna som framförs är skribentens egna.

När vi studerar Belgien, Italien, Ungern och Danmark ser vi en tydlig trend. Flera länder har valt att gå längre än EU:s minimikrav – ofta med smärtsam insikt efter egna incidenter eller kritiska rapporter. Belgien har centraliserat cybersäkerheten under CCB, med krav på registrering av alla berörda verksamheter. Italien har kraftigt utökat antalet omfattade verksamheter, från några hundra till över 12 000 – och infört tydligt ledningsansvar, med personliga sanktioner vid brister. Ungern har infört tre risknivåer och utvidgat reglerna till utländska leverantörer.

Danmark har valt en sektorspecifik modell, med detaljerade krav inom energi, telekom och finans. Det har skapat snabb framdrift – men också risker. Flera danska experter pekar på risken för blinda zoner och otydliga gränsdragningar i leverantörsledet, där varje sektor skapar egna regler utan övergripande helhetsgrepp.

Lettland och Rumänien, däremot, valde en minimalistisk väg. Här har man främst fokuserat på formella processer och basala krav. Kritiken har inte låtit vänta på sig: en överbetoning på dokumentation utan operativ förmåga riskerar att lämna organisationerna oskyddade.

Tre områden där Sverige måste skärpa sig – innan det är för sent

1. Leverantörsledet – den svaga länken vi inte får ignorera

Cyberkriminella älskar leverantörsledet. Där finns blinda fläckar, dåliga avtal och svaga kontroller. Flera länder har redan adresserat detta med strikta krav på third-party risk management, insyn och revisionsplikt för underleverantörer. Sverige, som är extremt beroende av outsourcing i både offentlig och privat sektor, kan inte låta leverantörsledet vara en juridisk gråzon.

Flera incidenter visar redan riskerna: Coops incident via Kaseya, återkommande allvarliga störningar i trygghetslarmssystem hos flera kommuner på grund av brister hos leverantörer som Tunstall och CareTech, samt flera andra incidenter där outsourcing skapat okontrollerade risker.

Sverige måste ställa krav på att verksamheter säkerställer hela leverantörskedjan – inte bara sin egen lilla del av nätverket.

2. Incidentrapportering – timmar, inte dagar

Länder som Ungern, Italien och Kroatien har infört skarpa krav på incidentrapportering med snäva tidsfönster och obligatoriska handlingsplaner. Här har Sverige fortfarande en kultur av eftertänksamhet, där incidenter riskerar att stanna internt för länge innan någon slår larm.

I en digital verklighet där timmar kan betyda skillnaden mellan lokal incident och nationell kris, är det inte acceptabelt. Vi måste kräva snabba processer och återkommande övningar, där verksamheter testar sina förmågor i worst-case-scenarier – precis som man övar brandövningar. Skillnaden? Här brinner det digitalt, och det räcker inte med att samla alla på innergården.

3. Ledningsansvar och tillsyn – från papper till verklighet

Många svenska verksamheter pratar gärna om ledningsansvar i cybersäkerhet. Men i praktiken blir det ofta en fråga som landar hos CIO eller en stressad säkerhetschef. Den juridiska handen måste möta den organisatoriska handsken. Och ansvaret måste ligga där det hör hemma – i styrelsen och ledningen.

Flera EU-länder har infört tydligt juridiskt ansvar för ledningen. Det är inte möjligt att delegera bort det övergripande ansvaret. Samtidigt måste vi våga ställa krav på reell kompetens. Det räcker inte med att cyberfrågor nämns på styrelsemöten – ledningen måste förstå riskerna, ställa rätt frågor och fatta beslut baserat på fakta.

Bild Från Eu Kommissionen Och Sverige Flagga

Läs mer

Sverige får anmärkning från EU – har inte införlivat NIS2 fullt ut

Här kommer tillsynen in. Utan kraftfulla tillsynsmyndigheter som kan genomföra oanmälda granskningar, utfärda förelägganden och i värsta fall stänga ner verksamheter som inte sköter sig, blir reglerna tandlösa.

Flera andra länder har redan gått den vägen. Sverige måste göra detsamma. Annars blir våra regelverk luftslott.

Framtidsspaning – hur skulle en svensk NIS2-modell i världsklass se ut?

För att gå från minimikrav till europeisk förebild måste Sverige:

Införa krav på leverantörskedjan som går längre än NIS2:s basnivå. Alla avtal måste innehålla säkerhetskrav, rapporteringsskyldighet och rätt till revision.
Etablera incidentrapportering som en integrerad del av verksamhetsstyrningen, med skarpa SLA:er, rapporteringskrav och obligatoriska krisövningar varje år.
Lägga ansvaret för cybersäkerhet där det hör hemma – hos styrelsen och ledningen – med tydliga krav på kompetens, förståelse och engagemang.
Ge tillsynsmyndigheten både muskler, resurser och befogenheter att agera snabbt och kraftfullt – inklusive möjligheten att stänga ner samhällskritiska verksamheter vid grova brister.
Införa en nationell cyberhygienstandard som alla verksamheter kan använda som självutvärderingsverktyg, kopplat till incitament snarare än bara sanktioner.

Sveriges tre största fallgropar om vi inte skärper oss:

Risk	Konsekvens
Undantag i leverantörsledet	Skapar blinda fläckar som cyberkriminella älskar.
Ledningsansvar utan kompetenskrav	Risker förbises i styrelserummet.
Tillsyn utan skarpa verktyg	Regler blir luftslott utan verklig effekt.

Ett vänligt men tydligt finger åt lagstiftarna

Det här handlar inte om fler dokument i hyllan. Det handlar om att säkra vår digitala motståndskraft, våra samhällskritiska funktioner och vår ekonomiska konkurrenskraft.

Att ställa krav är inte överambition – det är ansvarstagande.

Vi måste våga vara radikalt inkluderande, logiskt konsekventa och juridiskt glasklara. NIS2 är ingen skrivbordsprodukt. Det är ett verktyg för verklig säkerhet – om vi vågar använda det.

Så till lagstiftarna: Ge oss inte ännu en kompromiss. Ge oss en cybersäkerhetslag som håller för framtiden.

Robert Willborg, medgrundare och CSO, Onemore Secure

Läs mer om ämnet: