Hur får vi ledningen att prioritera säkerheten? – insikter och praktiska råd från vårt senaste webinarium

Dagen efter att riksdagen beslutat om Sveriges nya cybersäkerhetslag samlade Junglemap över 100 deltagare till ett webinarium om en av de mest aktuella frågorna just nu: hur får vi styrelser och ledningsgrupper att verkligen prioritera cybersäkerheten?

December 12, 2025
Författare:
Per Lagerström
Director of Communication & Marketing
Reviewer:
Bianca van Dam
Marketing Manager
Spread the word

Medverkade gjorde Tommy Wahlman, säkerhetsrådgivare och NIS2-expert på KnowIt, Hanna Funk-Rosling, säkerhetsstrateg inom informationssäkerhet på Sigtuna kommun och Maria Niewiem, Head of Customer Success, på Junglemap. Samtalet gav flera viktiga lärdomar för både privata företag och offentliga verksamheter.

En ny lag – och ett nytt läge
Den svenska cybersäkerhetslagen innebär ett tydligt och efterlängtat skifte:ledningen ges ett uttryckligt ansvar för cybersäkerheten i organisationen. Både i Sverige och Norge stärks nu regelverket kraftigt, och lagens införande blir en konkret hävstång för att kommunicera varför säkerhetsfrågor måste lyftas till högsta nivån.

Hanna Funk-Rosling beskrev det träffande: ”Det är skönt att nu kunna säga: det är inte vi som bestämmer – det är beslutat. Nu ska vi framåt.”
För många organisationer innebär lagkravet ett välbehövligt mandat: det legitimerar satsningar, skapar struktur och gör det enklare att få genomslag för nödvändiga åtgärder.

Ledningens är ansvarig – men vem är ledningen?
En återkommande fråga från organisationer är både om man som organisation omfattas av lagen och vem som skall anses utgöra ledningen.  

Tommy Wahlman förtydligade: I aktiebolag är det styrelse och vd, i offentlig sektor kan det variera, men principen är densamma: det är den strategiska ledningen bär ansvaret. När det gäller det specifika utbildningskravet kan även operativa ledningar och chefer inkluderas beroende på organisationens risker.

Hanna beskrev hur Sigtuna kommun valt att se bredare på ansvar: alla chefer fick genomgå både den generella informationssäkerhetsutbildningen och den ledningsinriktade varianten. Resultatet?

”Det skapade diskussion mellan medarbetare och chefer, och en helt annan medvetenhet.”

Hur övertygar man ledningen? - från friktion till relevans

Att få tid hos en styrelse eller ledningsgrupp är svårt. Att dessutom få dem att lyssna är ännu svårare. Därför måste budskapet vara skarpt, relevant och kopplat till deras verklighet.

Tommy Wahlmans tre nycklar:

1. Utgå från målgruppens perspektiv
Styrelser drivs av risk, konkurrenskraft, regelefterlevnad och tillväxt. Operativ ledning fokuserar på effektivitet, kvalitet och innovation. Koppla säkerheten till dessa perspektiv.

2. Minska friktionen
Generella utbildningar fungerar sämre för en redan pressad ledningsgrupp. Innehållet måste vara kortfattat, anpassat till kontexten och direkt kopplat till verksamhetens risker och mål.
3. Sätt utbildningen i ett större sammanhang
Utbildning är inte lösningen i sig – men en förutsättning för att ledningen ska kunna ta rätt beslut och styra säkerhetsarbetet på ett systematiskt sätt.

Erfarenheterna från Sigtuna användning av utbildningen pekar på att de inte bara höjde kunskapsnivån, utan också ökade också tryggheten. Chefer vågar ställa frågor och medarbetare förstår bättre hur deras agerande påverkar säkerheten.

- Diskussionsklimatet har förbättrats och säkerhet har blivit en naturlig del av vardagen, konstaterar Hanna Funk-Rosling.  
Den kanske viktigaste lärdomen är att repetition är avgörande och som Maria Niewiem påpekade: ”Kunskap försvinner om den inte hålls levande.”

Kompetensbristen – en av våra största utmaningar
Kompetensen inom cyber- och informationssäkerhet är en bristvara, både i privat och offentlig sektor. Panelen var överens om att det framförallt krävs två saker:

1. En säkerhetskultur där alla förstår sin roll och sitt ansvar. Säkerhet kan inte bäras av en person eller en funktion.
2. Systematisk kompetensplanering. Lagstiftningen kräver nu att organisationer planerar kompetens över tid, precis som för andra kärnkompetenser.

Tommy Wahlman påpekade att det inte är IT-kompetensen som saknas, utan en förståelse för vad digitaliseringen faktiskt innebär för verksamhetens sårbarhet.

Var ska man börja?
Nu har den svenska cybersäkerhetslagen beslutats. Olika organisationer har kommit olika långt. Till den som fortfarande står i startgroparna eller början av arbetet gav panelen flera konkreta råd:
1. Etablera ett ledarskap.
Få till ett mandat, en sponsor, ett forum.

2. Gör en gap-analys.
Var står ni idag jämfört med vad lagen kräver?

3. Skapa forum och nätverk.
Kommuner: ta rygg på de som kommit längre. Privat sektor: jobba genom branschorganisationer.

4. Börja smått – men börja nu. Varje steg framåt är bättre än att vänta.

Som Hanna Funk-Rosling sammanfattar situationen: “Så länge vi rör oss framåt är det bättre än att ta steg bakåt.”

Webinariet avslutades med en tydlig slutsats: med den nya lagen i ryggen har vi nu bättre förutsättningar än någonsin att få ledningen att prioritera säkerheten.

Fyll i formuläret för att få tillgång till inspelningen av detta webinar:

Fler inlägg du kanske är intresserad av

December 2, 2025
Phishing

Funkar inte phishingsimulering?

När University of Chicago tidigare i höst slog fast att phishingsimulering “inte fungerar”, väckte det både frågor och oro – inte minst hos organisationer som satsar på utbildning och träning som syftar till att förändra säkerhetsbeteenden. På Junglemaps Learning Breakfast tog vi oss an frågan.
Läs mer
November 18, 2022
Information Security

STAR-beteende: Minska impulsiva misstag

Impulsiva reaktioner kan leda fel. Med STAR-metoden kan vi pausa, reflektera och agera mer genomtänkt – även i pressade situationer.
Läs mer
November 12, 2025
NanoLearning

Så gör vi säkerhet till en del av jobbvardagen

Cyberhoten ökar – därför måste säkerhet bli en del av vardagen. Junglemap visar hur kontinuerligt lärande och korta nano-lektioner stärker säkerhetskulturen på riktigt.
Läs mer
Se alla