Cybersäkerhetslagen har gällt i tre månader. Och den största svagheten bland svenska organisationer är inte molnet, inte AI och inte ens ransomware i sig. Det är leveranskedjan.
Enligt OneMore Secures Cybersäkerhet Mognadsrapport 2025, baserad på över 750 svenska verksamheter, har 42 procent låg mognad inom leverantörskedjesäkerhet. Det är inte en marginell siffra. Det är den största enskilda svagheten på området.
Men det farligaste är inte statistiken. Det är vad den döljer.
42 procent är inte en teknisk brist. Det är en ledningsfråga
Låg mognad i leverantörskedjan betyder sällan att någon saknar ett verktyg. Det betyder att ingen har beslutat vem som äger risken, vilka leverantörer som är verksamhetskritiska, eller vad som händer när en av dem slutar fungera.
Samma rapport visar att över 25 procent saknar kontinuitetsplaner och nästan 40 procent saknar dataklassificering. Det är samma brister som rapporterats sedan 2010: patchning, segmentering, backup, identitetsstyrning.
Det saknas inte kunskap. Det saknas beslut.
Missuppfattningen: “vi är för små för att vara intressanta”
Den här meningen hör jag ofta. Den är också en av de farligaste.
Cyberkriminella bryr sig inte om hur stor du är. De bryr sig om hur lätt det är att ta sig in.
ENISAs Threat Landscape 2025 analyserar 4 875 incidenter mellan juli 2024 och juni 2025. Slutsatsen är tydlig: små och medelstora verksamheter är numera high-value targets.
Attackerna industrialiseras. 60 procent av intrången börjar med nätfiske. Över 80 procent av kampanjerna använder AI-genererat innehåll. När attacker kostar nästan ingenting att skala spelar det ingen roll om du är liten. Det enda som räknas är om du är sårbar.
Och om du tänker “men lagen gäller ju inte oss” finns det en poäng att stanna vid. De som omfattas av lagen tvingas bygga strukturer för att hantera risker. De som inte gör det har samma hotbild, men utan krav på sig att agera.
Färre resurser, tunnare marginaler, mindre utrymme att hantera en incident.
Du kan falla utanför lagen, men inte utanför kraven
Det finns ytterligare en dimension som många missar.
Levererar du tjänster till någon som omfattas av cybersäkerhetslagen? Då ställer lagen krav på dem att hantera risken du utgör.
I praktiken innebär det säkerhetskrav i avtalet, revisionsrätt och krav på incidentrapportering. Du behöver inte själv omfattas av lagen för att träffas av den.
Det är så här regleringen sprider sig genom ekosystemet. Inte genom direkt tillsyn. Genom avtal.
Tre verkliga mönster vi ser i praktiken
Verksamheten utan plan för ransomware
De har backup. De har till och med brandvägg. Men ingen har testat återställning.
När något händer upptäcker de att backupen är tre veckor gammal, och att ingen vet vem som ska fatta beslut om man ska betala lösen.
IT-leverantören som aldrig frågade vem som äger risken
De sålde verktygen och installerade dem. De skrev under ett standardavtal. Men när kundens miljö drabbas finns det ingen i organisationen som kan svara på vad som är deras ansvar och vad som är kundens.
Organisationen som tillåter privata enheter utan kontroll
Anställda kopplar upp sig från egna laptops. VPN finns, men ingen MDM och ingen åtkomstkontroll per enhet. När en enhet komprometteras blir hela den interna miljön exponerad.
Gemensamt för alla tre: det är inga tekniska missar. Det är beslut som aldrig fattades.
Varför samma brister kvarstår år efter år
Tekniska problem får teknisk uppmärksamhet. Beslutsproblem får ingen alls, tills något brinner.
Det är därför samma brister kvarstår år efter år. Ledningsansvaret för cybersäkerhet skärps i lagtexten, men om ingen i ledningen äger frågan i praktiken förändras ingenting. Systemet rullar vidare tills en incident tvingar fram ett beslut som skulle ha fattats år tidigare.
Börja med besluten
Du behöver inte ett fullt ISMS för att komma igång. Du behöver svar på tre frågor:
- Vilka system har ni inte råd att förlora ens en dag? Inte “vilka system är viktiga” utan vilka som skulle stoppa verksamheten om de låg nere i 24 timmar.
- Vem har mandat att agera när något går fel? Inte “vem är IT-ansvarig” utan vem som under press kan stänga system, kalla in hjälp eller meddela kunder.
- Fördelar ni resurser efter risk, eller efter storlek? Om cybersäkerhetsbudgeten skalas med omsättning och inte med hotbild, är det ett symptom på att beslutet aldrig grundats i verkligheten.
Att svara ärligt på de här frågorna kräver ingen teknisk kompetens. Men det kräver att ledningen faktiskt sätter sig ned och fattar beslut. Det är där arbetet börjar — inte i en styrningsstruktur, och definitivt inte i ett verktyg.
Liten betyder inte säker
Liten betyder inte säker. Att falla utanför lagen betyder inte att man faller utanför risken. Den som är enkel att ta sig in hos är attraktiv, oavsett omsättning.
Vem äger er viktigaste teknikrisk idag — inte i teorin, utan i praktiken?
Om du inte kan svara på den frågan direkt, är det där ni behöver börja. Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Lagen skyddar inte din verksamhet – det måste du göra själv
Cybersäkerhetslagen gäller inte alla. Men cyberhoten gör det. Fyra affärsrisker som kräver ledningens uppmärksamhet.
Sex regelverk. En styrningsstruktur. Noll ursäkter.
NIS2, GDPR, DORA, CRA, AI Act och cybersäkerhetslagen ställer överlappande krav. Fem tecken på att er styrning inte håller, och vad som fungerar istället.