It-säkerhet och NIS2-anpassning central för elkonsultbolaget
"Säkerhet är inte bara it-avdelningens ansvar, utan hela organisationens", säger Tony Lundberg.
I mitten av januari 2026 börjar svenska cybersäkerhetslagen att gälla. Lagen, som införlivar många av NIS2-regleringarna från EU, välkomnas i stora drag av Nektab – ett bolag verksamt i elbranschen som i allra högsta grad påverkas av lagen. För CIO Tony Lundberg har säkerhet oavsett varit högt på prioriteringslistan de senaste åren, särskilt efter att man drabbades av en cyberincident.
Nektab är ett konsultföretag bestående av i huvudsak elkraftsingenjörer som arbetar i energisektorn med bland annat projektering och tillståndsfrågor. Mycket av arbetet är kopplat till att bygga framtidens elnät samt förnya det befintliga elnätet.
MSB-stöd i NIS2-arbetet
Och mycket av arbetet specifikt för CIO Tony Lundberg kretsar just nu kring säkerhet. Inte minst eftersom NIS2-direktivet står för dörren: Den 15 januari 2026 träder den nya cybersäkerhetslagen, som innehåller EU:s NIS2-direktiv, i kraft i Sverige, vilket i allra högsta grad rör elnätet i form av produktion, överföring och distribution.
Enligt Tony Lundberg finns en rad mindre och medelstora konsultföretag i leveranskedjan som omfattas av kraven, men där det kanske inte alltid finns kompetens eller resurser för att uppfylla dessa.
– Våra kunder står inför tuffa, regulatoriska krav i och med NIS2, vilket spiller över i andra led och i hela kedjan egentligen. Vi har tagit hjälp av bland annat MSB:s metodstöd som har varit en bra ingångskälla till informationssäkerhet. MSB baserar sin metodik på ISO 27 000. Det är en bra grund att stå på, säger han.
Vad tycker du om NIS2?
– Jag tycker i grunden att direktivet som nu blir cybersäkerhetslagen är bra i många delar, då den bygger på best practice och vedertagna metoder för att arbeta med cyber- och informationssäkerhet.
Behöll lugnet under cyberincident
Tony Lundberg beskriver hur han arbetat aktivt med cybersäkerhet sedan han klev på rollen som CIO på Nektab, och han har dessutom hunnit med att ”slita” med en cyberincident häromåret, som inte helt oväntat började med att en av bolagets medarbetare fick sin identitet stulen.
– Men vi stod väl rustade, behöll lugnet, och tog hjälp tidigt. Det var en av framgångsfaktorerna. Dessutom var vi oerhört transparenta gentemot våra kunder och vår omgivning. Vi hade livesändningar varje morgon med statusuppdateringar för att alla skulle känna sig trygga i att vi arbetade aktivt med åtgärder.
”Inte bara it:s ansvar”
I CIO Analytics 2025 rankas säkerhet som årets högsta prioritering av cirka 65 procent av de tillfrågade it-beslutsfattare (vilket är cirka 20 procentenheter högre än andraplatsen molntjänster som är högsta prio för drygt 4 av 10.)
För Tony Lundberg är en av nycklarna till framgång att aldrig sluta arbeta med frågan. Han beskriver proaktivitet inom säkerhetsarbetet som central, just för att korta tiderna mellan upptäckt av sårbarhet och åtgärd av densamma. Det handlar om alltifrån patch-rutiner till att säkerställa att man inte har ett inflöde av otillåtna appar.
– Rapporter från vårt IRT-team (Incident Response Team, reds. anm.) säger att ca 40 procent av alla cyberattacker kan härledas till medarbetare som använder svaga lösenord och vars identiteter stjäls.
Jag tycker i grunden att direktivet som nu blir cybersäkerhetslagen är bra i många delar.
Därför, menar Tony Lundberg, är det viktigt att alla är med på säkerhetståget.
– Det är en viktig insikt: säkerhet är inte bara it-avdelningens ansvar, utan hela organisationens, vilket samtidigt är en utmaning, för det kan vara organisatoriskt tufft att få alla att ta ansvar för frågan. För att lyckas med att skapa en säkerhetskultur blir människorna viktiga. På den punkten har metoderna runt Ledningssystem för informationssäkerhet (LIS) varit behjälpliga.
Läs mer om ämnet: