Margarita Sallinen och Daniel Lilliehöök
Artiklen publicerades först i Aktuell Säkerhet den 14 april 2025
Sverige är ett av de mest uppkopplade länderna i världen, vilket skapar stora affärsmöjligheter för företag, men också en större exponering för cyberhot. Med ökande hotbild och skärpta krav både från EU-regelverk och den svenska regeringen har cybersäkerhet blivit en prioriterad fråga för allt fler verksamheter. Ledningsgrupper har blivit mer medvetna om cybersäkerhetens betydelse, och många företag anlitar cybersäkerhetsexperter och konsulter för att hantera dessa utmaningar.
Trots detta kvarstår en central fråga: vilken roll bör ledningen ha i cybersäkerhetsarbetet?
Från it-fråga till affärsstrategiskt beslut
En vanlig missuppfattning än idag är att cybersäkerhet enbart handlar om teknik och it-system, men i verkligheten är det en affärsstrategisk fråga som direkt påverkar verksamhetens kontinuitet, lönsamhet och förtroende. Företagsledningar som ser cybersäkerhet som en integrerad del av sin affärsstrategi har bättre förutsättningar att hantera både ekonomiska och operativa risker. Det handlar inte bara om att skydda sig mot cyberattacker, utan också om att säkerställa att investeringar i cybersäkerhet bidrar till att minska risker på ett kostnadseffektivt sätt.
Vad betyder detta i praktiken?
Cybersäkerhet handlar i grund och botten om riskhantering, och kan liknas vid andra former av riskhantering. Precis som finansiella och operativa risker måste cybersäkerhetsrisker analyseras och prioriteras noggrant utifrån hur de påverkar affärsverksamheten. Ledningen har ett avgörande ansvar för att styra och integrera cybersäkerhetsrisker i verksamhetens övergripande riskhanteringsstrategi. Det handlar om att säkerställa att verksamheten – och därmed affären – kan fortsätta fungera trots cyberattacker, dataintrång eller andra cyberhot. Frågor som ledningen bör ställa sig inkluderar:
· Hur påverkar en cyberattack vår förmåga att leverera våra tjänster?
· Vilka kostnader får vi vid ett driftstopp eller dataläcka?
· Hur mycket mindre risk får vi för pengarna vi investerar i cybersäkerhet?
Att bli drabbad av ransomware är ett konkret exempel på en affärskritisk risk koppad till cyberhot. Det är idag ett av de största cyberhoten mot verksamheter och betraktas av många som den största och mest akuta enskilda risken. Ransomwareattacker kan orsaka allvarliga ekonomiska förluster genom exempelvis driftstopp, intäktsbortfall och juridiska konsekvenser. Dessutom kan en ransomwareattack leda till juridiska och regulatoriska påföljder vid bristande efterlevnad. Genom att integrera cybersäkerhet i den övergripande riskhanteringsstrategin kan ledningen förebygga och hantera denna typ av risk mer effektivt.
Cybersäkerhet som en investering, inte en kostnad
Ett strukturerat cybersäkerhetsarbete hjälper ledningen att ta kontroll över kostnaderna för säkerhet. Istället för att satsa på den senaste tekniken utan tydlig koppling till affärsnytta kan verksamheten fokusera på att investera i de åtgärder som minskar de största riskerna. Att kunna mäta effektiviteten av cybersäkerhetsinsatserna – och visa hur de skyddar verksamheten från ekonomiska förluster – är centralt för att få till en mer strategisk dialog i ledningsgruppen.
Hur ska man arbeta på ett systematiskt och kontinuerligt sätt? Att införliva informationssäkerhet som en integrerad del i organisationens ledningssystem, till exempel genom att införa ett LIS (ledningssystem för informationssäkerhet) enligt ISO/IEC 27001, är ett sätt att ge ledningen makten att styra, mäta och följa upp säkerhetsarbetet. Det ger arbetet rätt affärsmässiga perspektiv och skapar tydlighet i varför olika cybersäkerhetsåtgärder införs samt hur de bidrar till verksamhetens övergripande mål.
En strategisk fråga för framtiden
Nya regelverk, som NIS2-direktivet och den kommande cybersäkerhetslagen, skärper dessutom kraven på ledningens ansvar. För många verksamheter innebär detta att cybersäkerhetsfrågor inte längre kan delegeras till it-avdelningen. Istället handlar det om att skapa en förståelse för hur digitala risker påverkar affären och att engagera sig på rätt nivå.
De organisationer vars ledningar tar cybersäkerhet på allvar idag och integrerar det som del av sin affärsstrategi kommer att vara bättre rustade för framtidens cyberhot. Genom att säkerställa att cybersäkerhetsarbetet är en del av affärsstrategin kan de inte bara skydda sin verksamhet – utan också skapa förutsättningar för lönsamhet och tillväxt.
Margarita Sallinen, informationssäkerhetsspecialist, Omegapoint
Daniel Lilliehöök, senior informationssäkerhetsspecialist, Omegapoint