Vad svenska aktiebolags styrelser och ledningar behöver förstå om det nya regelverkslandskapet
Det är frestande att betrakta cybersäkerhet som något som hanteras längst ner i organisationen — ett ansvar för IT-avdelningen, en post i driftbudgeten, ett problem som löses med teknik. Den synen är inte längre hållbar. Med Cybersäkerhetslagen (Sveriges genomförande av NIS2), DORA, CRA och ett alltmer aktivt tillsynslandskap har cybersäkerhet flyttat upp till styrelserummet. Och det har gjort det av en specifik anledning: lagstiftaren har börjat behandla cybersäkerhet som ett styrningsproblem.
Det är en viktig insikt. För om cybersäkerhet är ett styrningsproblem, då vet vi redan en hel del om hur det ska hanteras, eftersom corporate governance under decennier har utvecklat ett genomtänkt ramverk för precis denna typ av fråga.
Varför cybersäkerhet liknar varje annan styrningsutmaning
Corporate governance existerar i grunden för att hantera ett strukturellt problem: de som äger ett företag styr det inte själva, och de som styr det bär inte den fulla ekonomiska konsekvensen av sina beslut. Det skapar informationsasymmetri och behov av tillsyn. Styrning är det strukturella svaret på detta — inte en moralisk teori, utan en mekanism för ansvarsutkrävande.
Cybersäkerhet uppvisar exakt samma mönster. Styrelsen bär det yttersta ansvaret men har sällan teknisk detaljkunskap. IT-funktionen och eventuella externa leverantörer besitter informationen men fattar inte de strategiska besluten. Mellan dessa nivåer uppstår precis den informationsklyfta som god styrning är till för att överbrygga. När en styrelse frågar “hur vet vi att vi faktiskt är skyddade?” ställer den en klassisk governance-fråga, inte en teknisk.
Det betyder att styrelsen inte behöver bli expert på brandväggar. Den behöver tillämpa den kompetens den redan har: att ställa rätt frågor, kräva tillförlitlig information, sätta ramar och hålla någon ansvarig.
Risk ska styras — inte elimineras
En av de mest grundläggande principerna i modern bolagsstyrning är att företag existerar för att ta risk, inte för att undvika den. Styrelsens uppgift är inte att eliminera risk utan att se till att risk identifieras, förstås och övervakas, och att fastställa hur mycket risk företaget är berett att acceptera. Detta kallas risk appetite, och det ska vara förankrat i affärsstrategin.
Denna princip översätts direkt till cybersäkerhet. En styrelse som tror att målet är “fullständig säkerhet” har missförstått uppgiften. Fullständig säkerhet existerar inte, och jakten på den leder till orimliga kostnader och förlamad verksamhet. Den relevanta frågan är i stället: Vilka digitala risker är vi villiga att bära, vilka måste vi reducera, och var går gränsen?
Här är distinktionen mellan risk och osäkerhet användbar. Risk innebär identifierbara utfall med uppskattbar sannolikhet, ett ransomware-angrepp mot ett känt system, ett dataintrång i en specifik databas. Osäkerhet rör det icke-kvantifierbara, det helt nya angreppssättet, den ännu okända sårbarheten. Styrelsen förväntas styra risken; den kan inte trolla bort osäkerheten. Ett cybersäkerhetsprogram som lovar att eliminera all osäkerhet är antingen naivt eller oärligt. Ett trovärdigt program siktar på resiliens, förmågan att stå emot, upptäcka och återhämta sig, inte på perfektion.
Cybersäkerhetslagen kodifierar faktiskt denna logik. Den kräver ett systematiskt och riskbaserat säkerhetsarbete, inte en uppsättning enhetliga kontroller applicerade likformigt, utan resurser fördelade efter var riskerna är väsentliga.
Tillsyn är inte detsamma som operativ ledning
En central poäng som löper genom all modern styrning: styrelsen styr genom frågor, granskning och beslut, den driver inte den dagliga verksamheten. Ansvaret för det operativa ligger hos ledningen. Styrelsen bedöms på kvaliteten i sina processer, inte på att garantera ett visst utfall.
För cybersäkerhet innebär detta en viktig balansgång. Styrelsen ska inte sitta och granska loggfiler eller godkänna enskilda systemkonfigurationer. Men den ska heller inte abdikera. Dess roll är att säkerställa att det finns:
- en tydlig riskaptit för digitala risker, kopplad till strategin,
- fungerande system för identifiering, skydd, upptäckt och respons,
- tillförlitlig rapportering uppåt, så att styrelsen faktiskt vet hur läget ser ut,
- och en mekanism för att utmana ledningens egna riskbedömningar.
Det sista är värt att understryka. En av de vanligaste svagheterna i styrning är att styrelsen passivt tar emot ledningens lugnande besked. God styrning kräver att styrelsen är beredd att ifrågasätta, att fråga hur ledningen vet det den påstår sig veta.
Internkontroll: rimlig säkerhet, inte garantier
Internkontroll i styrningsmening omfattar långt mer än finansiell rapportering. Den inkluderar operativa kontroller, regelefterlevnad och riskhanteringssystem. Och dess syfte är uttryckligen rimlig säkerhet — inte absolut visshet. Kontrollmisslyckanden är oundvikliga; ett system kan vara väl utformat och ändå fallera.
Detta är avgörande att internalisera när det gäller cybersäkerhet, av två skäl.
För det första skyddar det styrelsen från en falsk trygghet. Att ha policyer, certifieringar och kryssade rutor betyder inte att organisationen är säker. Formell efterlevnad kan samexistera med allvarligt misslyckande. En ISO 27001-certifiering är värdefull, men den är ett bevis på en strukturerad ansats — inte en garanti mot intrång.
För det andra omformar det frågan om ansvar efter en incident. När något går fel är den relevanta frågan inte “hände något dåligt?”, i en värld av oundvikliga kontrollmisslyckanden kommer något dåligt förr eller senare att hända. Frågorna är i stället: Identifierades risken? Eskalerades den? Hade organisationen rimliga system på plats? Agerade den korrekt när problemet uppstod? En styrelse kan ha skött sitt uppdrag väl och ändå drabbas av en incident. Den kan också ha brustit i tillsyn utan att något olagligt skett. Styrningsmisslyckande och regelbrott är inte samma sak.
Det är också precis så tillsynsmyndigheter resonerar. Genomgående i modern regulatorisk praxis prioriteras process framför utfall, och brister i tillsyn behandlas allvarligare än brister i system. Ett systemfel kan mötas med överseende om organisationen kan visa att systemet var rimligt utformat och att korrigerande åtgärder vidtogs. Ett tillsynsfel, att ledningen eller styrelsen ignorerade varningssignaler, underfinansierade säkerhetsfunktionen eller lät kommersiella mål gå före, pekar på ett styrningsproblem och bedöms därefter.
Tone at the top — varför ledningens signaler är en strukturell faktor
I compliance-sammanhang talar man om tone at the top: idén att ledningens beteende formar organisationens kultur. Detta är inte mjuk retorik. Det har konkret betydelse, eftersom det avgör om säkerhetssystemen fungerar i praktiken eller bara på pappret.
Tone at the top handlar inte om tal och slogans. Det handlar om incitament, beslut och reaktioner. Om ledningen, explicit eller implicit, belönar att man tar genvägar för att hinna med en lansering, kommer säkerhetsprogrammet att behandlas som verkningslöst oavsett hur välformulerat det är. Om en medarbetare som flaggar en sårbarhet möts av irritation snarare än tacksamhet, kommer nästa sårbarhet inte att rapporteras.
Cybersäkerhetslagen gör detta uttryckligt genom kravet på ledningens ansvar: ledningen ska vara involverad i cybersäkerhetsarbetet. Lagstiftaren har, med andra ord, kodifierat tone at the top. Det är inte längre en kulturell ambition utan ett rättsligt krav.
Detta är också den punkt där en cybersäkerhetsbrist kan förvandlas till ett styrningsmisslyckande. En formellt adekvat säkerhetsorganisation som ändå fallerar gör det nästan alltid för att tonen från toppen inte stödde den.
Delegering tar inte bort ansvaret
De flesta aktiebolag delegerar cybersäkerhet, till en intern IT-funktion, en CISO, en molnleverantör eller en managed service-partner. Delegering är nödvändig; ingen styrelse kan sköta detta operativt. Men en bärande styrningsprincip är att delegering inte tar bort ansvar. Styrelsen måste förstå och övervaka det som delegeras.
Detta får särskild tyngd i cybersäkerhet, eftersom risken i hög grad lever i leverantörskedjan. Cybersäkerhetslagen kräver uttryckligen att tredjepartsrisker utvärderas, och i compliance-praxis är det väletablerat att tredjepartsmissförhållanden ofta behandlas som en förlängning av den egna organisationens brister , särskilt när due diligence varit otillräcklig.
För en svensk styrelse innebär detta att frågorna inte stannar vid den egna brandväggen. De omfattar: Vilka leverantörer har tillgång till våra system och data? Har vi gjort en riskbaserad bedömning av dem? Finns avtalsmässiga skyddsmekanismer? Övervakar vi relationen löpande, eller var due diligence en engångsföreteelse vid upphandlingen? En organisation kan inte delegera bort sitt cybersäkerhetsansvar genom att lägga ut driften, den delegerar utförandet, men behåller ansvaret.
Upptäckt, rapportering och visselblåsning
God styrning bygger på att problem upptäcks tidigt och eskaleras. Internrevision och andra oberoende granskningsfunktioner finns till för att ge styrelsen oberoende försäkran, inte beroende av samma ledning som ska granskas.
Cybersäkerhetslagen för in detta i lag genom krav på incidentrapportering: allvarliga incidenter ska anmälas till MSB inom bestämda tidsfönster. Men den formella rapporteringsskyldigheten fungerar bara om informationen faktiskt når uppåt internt först. Det förutsätter en kultur där den som upptäcker ett problem vågar säga till.
Här blir kopplingen till visselblåsning relevant. Ett detektionssystem fungerar bara om de som rapporterar är skyddade mot repressalier. För svenska bolag innebär det att interna kanaler för att flagga säkerhetsbrister måste vara trovärdiga, responsiva och trygga. En rapporteringskanal som medarbetarna inte litar på är funktionellt värdelös, oavsett hur den ser ut på organisationsschemat.
Transparens och redovisning som ansvarsmekanism
Den svenska styrningsmodellen, och bredare den brittiska principbaserade traditionen den är besläktad med — vilar tungt på disclosure. Transparens ersätter i viss mån stel kontroll: genom att tvingas redovisa hur man hanterar en fråga skapas ett tryck att hantera den väl, och utomstående får möjlighet att granska.
Cybersäkerhetslagen följer samma logik med krav på efterlevnadsövervakning, revisioner och korrigerande åtgärder. För styrelsen innebär detta att den bör kunna visa, inte bara hävda, att den utövar tillsyn. Det handlar om dokumenterade riskbedömningar, protokollförda diskussioner om digital risk, spårbara beslut om riskaptit. Detta är inte byråkrati för dess egen skull. Om en incident inträffar är det skillnaden mellan en styrelse som kan visa att den skötte sitt uppdrag och en som bara påstår det.
En realistisk slutsats
Det vore fel att avsluta med löftet att rätt styrning gör ett bolag säkert. Det gör den inte. Styrning kan inte eliminera affärsrisk, kan inte förhindra alla intrång och ger rimlig säkerhet snarare än garantier. Ett välstyrt bolag kan ändå drabbas.
Men det är just därför styrningsperspektivet är det rätta. Poängen med god cybersäkerhetsstyrning är inte att utlova ett utfall, utan att säkerställa att bolaget fattar genomtänkta beslut under osäkerhet — att det förstår sina risker, sätter medvetna ramar, övervakar det som delegerats, bygger en kultur där problem kommer upp till ytan, och kan stå för sina processer i efterhand.
Det nya svenska och europeiska regelverket, Cybersäkerhetslagen, DORA, CRA, har inte uppfunnit en ny disciplin. Det har lyft cybersäkerhet in i den disciplin som redan finns: bolagsstyrning. För en styrelse som tar styrning på allvar är cybersäkerhet därför inte ett främmande tekniskt territorium. Det är välbekant mark, med en ny karta.
