Ensam om ansvaret. Informationssäkerhetssamordnaren som aldrig fick mandat.

I många svenska kommuner finns en informationssäkerhetssamordnare. En. Ibland på deltid. Ibland har ansvaret landat hos IT-chefen, inte för att det var planerat utan för att ingen annan tog det.

Den personen förväntas hantera risker i verksamheter hen aldrig fattat beslut om. System hen aldrig upphandlat. Utan mandat. Utan resurser. Utan formell koppling till ledningen.

Utifrån ser det bra ut. Checklistor bockas av. Policyer finns. En LIS-struktur går att visa upp vid revision.

Men under ytan byggs det upp en skuld. En organisatorisk skuld som består av beslut som aldrig dokumenterades, risker som accepterades muntligt och åtgärder som skjutits på framtiden utan spårbarhet.

Problemet är inte personen. Det är strukturen

Informationssäkerhetssamordnaren hamnar ofta i en omöjlig position. Hen ska vara rådgivande men saknar tillgång till ledningsrummet. Hen ska bedriva tillsyn av verksamheter som äger sina egna system och risker. Hen ska samordna utan befogenhet att kräva.

I praktiken blir samordnaren en administrativ funktion snarare än en styrande. Policyer tas fram utan förankring i verksamhetens beslutsprocesser. Riskbedömningar genomförs utan tydligt ägarskap för resultaten.

Säkerhetsarbetet lever sitt eget liv vid sidan av verksamheten. Det syns i dokument men inte i beslut.

Cybersäkerhetslagen synliggör glappet

Den 15 januari 2026 trädde cybersäkerhetslagen (SFS 2025:1506) i kraft. För de verksamheter som omfattas ställer lagen nya krav på spårbarhet, ansvarsfördelning och systematik.

Tillsynsmyndigheten kan begära in uppgifter och handlingar (3 kap. 3 §). Säkerhetsrevisioner kan genomföras (3 kap. 5 §). Vid överträdelser bedöms det om det handlat om uppsåt eller oaktsamhet (4 kap. 2 §).

Det räcker inte att ha en policy. Det måste gå att visa hur beslut fattades, av vem och på vilka grunder.

Det är precis här den ensamma samordnarens situation blir problematisk. Inte för att hen gör ett dåligt jobb, utan för att organisationen aldrig gav hen förutsättningarna att göra ett spårbart jobb.

Som vi beskrev i Cybersäkerhetslagen och ledningsansvaret: det är formellt kommunstyrelsen som utgör ledningsorganet i en kommun. Ansvaret för cybersäkerhetsarbetet vilar ytterst på politisk nivå. Men i praktiken delegeras det operativa ansvaret nedåt, ofta till en funktion som saknar både mandat och resurser.

Tre varningssignaler att ta på allvar

Det finns mönster som avslöjar att styrningen inte hänger ihop.

Riskbeslut utan spårbarhet

Risker identifieras i en bedömning. Någon säger “det accepterar vi” i ett möte. Men det dokumenteras aldrig formellt.

Ingen vet efter sex månader vem som fattade beslutet, vilken information det grundades på, eller vilka villkor som gällde. Under cybersäkerhetslagen räcker det inte. Tillsynsmyndigheten kan begära in handlingar som visar beslutsunderlag och beslutsfattare.

Ansvar utan befogenhet

Samordnaren ansvarar för att driva säkerhetsarbetet framåt men har ingen plats i ledningsgruppen, ingen budget och ingen möjlighet att ställa krav på verksamheterna.

Resultatet är en funktion som dokumenterar men inte styr. Det skapar en illusion av kontroll.

Systemkunskap som inte finns centralt

Ingen enskild person, och ofta ingen enskild funktion, har en samlad bild av var kommunens känsliga information befinner sig. Inte heller vilka system som hänger ihop, eller var de kritiska beroendena finns.

Utan den bilden vet inte ledningen vilka risker de borde äga. Och då kan de inte fatta informerade beslut om dem.

Det börjar inte med verktyg

Det är frestande att tro att lösningen är en plattform eller ett ramverk. Men det strukturella problemet löses inte med teknik. Det löses med styrning.

Det börjar med att förstå var informationen rör sig. Vilka system som hänger ihop. Var beroendena finns. Först då kan ledningen fatta beslut om vilka risker som ska hanteras, vilka som ska accepteras, och dokumentera dem på ett sätt som håller vid tillsyn.

Som vi lyfte i Femton år av samma hotbild: Sverige saknar inte kompetens, rapporter eller medvetenhet. Det som saknas är systemförändring. Och den förändringen börjar inte hos samordnaren. Den börjar i ledningsrummet.

Vad kan kommunen göra konkret?

Cybersäkerhetslagen skapar en ram. Men det är organisationen som måste fylla den med innehåll.

Ge samordnaren formellt mandat. Koppla rollen till delegationsordningen. Säkerställ tillgång till ledningsgruppen och en dokumenterad rapportväg till kommunstyrelsen.

Inrätta riskägarskap. Varje verksamhet som hanterar känslig information behöver en namngiven riskägare. Inte IT-chefen. Inte samordnaren. Verksamheten själv.

Gör riskbeslut spårbara. Varje riskacceptans behöver dokumenteras: vem som fattade beslutet, på vilket underlag, med vilka villkor och med vilket giltighetsdatum.

Kartlägg informationsflöden och systemberoenden. Innan organisationen kan bedöma risk behöver den förstå var den känsliga informationen befinner sig. Det arbetet kräver verksamheternas aktiva medverkan, inte bara samordnarens.

Ge ledningen operativa lägesbilder. Kommunstyrelsen behöver mer än en årsrapport. De behöver löpande beslutsunderlag som visar aktuell riskbild, status på åtgärder och avvikelser. Utan det saknar de förutsättningar att utöva sitt lagstadgade ansvar.

Skulden som byggs upp i tystnad

Det finns en parallell till teknisk skuld i systemutveckling. Varje genväg, varje beslut som inte dokumenteras, varje risk som accepteras utan formell process — det ackumuleras. Inte synligt. Inte omedelbart. Men det finns där.

När tillsynsmyndigheten frågar, eller när incidenten inträffar, blir skulden plötsligt synlig.

Den informationssäkerhetssamordnare som i dag sitter ensam med ansvaret vet ofta exakt var bristerna finns. Hen har försökt lyfta dem. Hen har skrivit PM som ingen läst. Hen har begärt resurser som inte beviljats.

Frågan är inte om samordnaren gör tillräckligt. Frågan är om organisationen ger samordnaren förutsättningar att göra det som krävs.

Var i din organisation fattas riskbeslut utan att någon kan visa vem som fattade dem?

Behöver ni stöd med att bygga styrning som håller, inte bara policyer som ser bra ut? Kontakta oss för en kostnadsfri genomgång.