Sex regelverk. En styrningsstruktur. Noll ursäkter.

NIS2, GDPR, DORA, CRA, AI Act och cybersäkerhetslagen ställer överlappande krav. Fem tecken på att er styrning inte håller, och vad som fungerar istället.

Styrning · · 5 min lästid

Varför den verkliga utmaningen 2026 inte är teknisk komplexitet, utan governance-komplexitet.

Jag pratar med ledningsgrupper varje vecka. Nästan alla känner till NIS2. De flesta har hört talas om cybersäkerhetslagen. Många har påbörjat något: en GDPR-kartläggning här, en NIS2-utredning där, kanske en AI-policy som någon fick i uppdrag att skriva.

Men nästan ingen har svarat på grundfrågan: hur hänger allt ihop i vår styrning?

Problemet: sex regelverk, sex parallella spår

Du känner till dem vid det här laget. NIS2. GDPR. DORA. CRA. AI Act. Cybersäkerhetslagen. Var för sig hanterbara. Men de överlappar alla i exakt samma krav:

  • Riskhantering
  • Ledningsinvolvering
  • Dokumentation
  • Rapportering
  • Leverantörskontroll

Fem grundläggande förväntningar som återkommer i varje regelverk. Och de flesta organisationer hanterar dem i separata spår, med separata ansvariga, separata tidsplaner och separata dokumentsamlingar.

Resultatet? Parallella compliance-initiativ som ingen har helhetsbild över. Dubbelarbete. Motstridiga prioriteringar. Och en ledningsgrupp som tror att allt är under kontroll, för att varje enskilt spår rapporterar grönt.

Varför det här inte är ett IT-problem

Det är frestande att delegera reguleringshanteringen till IT-avdelningen. Det är ju “tekniska” regelverk.

Men kravbilden pekar åt ett annat håll. NIS2 och cybersäkerhetslagen fastslår explicit ledningsansvar. Direktion och styrelse ska dokumentera sin involvering.

Riskbedömningar ska förankras på ledningsnivå. Resursallokering ska kunna motiveras.

Det här är inte något en IT-chef kan lösa ensam. Det kräver att organisationens styrningsstruktur, vem beslutar vad, när och på vilken grund, är tydlig, dokumenterad och testad.

Beata Kaminski, cybersäkerhetsexpert med fokus på NIS2-strategi för samhällskritiska SMV:er, sammanfattar det träffande i sin analys av den danska reguleringsrörelsen. Den väsentligaste förändringen är inte teknisk komplexitet. Det är styrningskomplexitet.

Och den observationen gäller hela Norden.

Sveriges specifika läge

I Sverige trädde cybersäkerhetslagen (2025:1506) i kraft den 15 januari 2026. Den är Sveriges implementering av NIS2-direktivet och innebär en markant skärpning jämfört med tidigare lagstiftning.

För verksamheter inom samhällskritiska sektorer innebär detta bland annat krav på systematisk riskhantering, incidentrapportering med snäva tidsfrister, leverantörskontroll och, avgörande, dokumenterat ledningsansvar.

Parallellt närmar sig EU AI Acts tidsfrister. Organisationer som använder AI-system i högrisk­kategorier behöver ha governance-strukturer på plats. Och GDPR-praxis skärps kontinuerligt.

Frågan är inte längre om din organisation berörs. Frågan är hur strukturerat ert svar är.

Fem tecken på att er styrning inte håller

De här mönstren dyker upp i organisation efter organisation. Om du känner igen tre eller fler är det dags att agera:

  1. Ni har en GDPR-ansvarig, en NIS2-ansvarig och någon som “tar AI”, men ingen som äger helhetsbilden över hur kraven hänger ihop.

  2. Riskbedömningar görs per regelverk istället för per verksamhetsprocess.

  3. Ledningsgruppen godkänner policies men kan inte beskriva vilka risker som motiverade besluten.

  4. Leverantörskontroll sker vid upphandling men följs inte upp systematiskt.

  5. Er incidenthantering är en plan i en pärm, inte en testad process.

Varje enskild punkt är hanterbar. Men tillsammans avslöjar de något djupare: avsaknad av en gemensam styrningsstruktur. Och det är precis vad regulerings­vågen 2026 testar.

Lösningen: en styrningsstruktur, inte fler checklistor

Lösningen på regelverkstrycket är inte att köpa fler verktyg eller anlita fler konsulter. Det är att bygga en gemensam grund som bär alla regelverk.

Samla kraven i en struktur

NIS2, GDPR, DORA, CRA och AI Act överlappar i kärnprocesserna: riskhantering, leverantörskontroll, incidenthantering, loggning och bevisföring. Istället för separata compliance-projekt bör dessa mappas mot samma processer, tillgångar och informationsflöden.

ENISA:s implementeringsguide för NIS2 visar exakt samma mönster: ett integrerat ledningssystem reducerar dubbelarbete genom att samma kontroller kan påvisas för flera regelverk samtidigt. Det är inte teori. Det är den enda skalbara vägen framåt.

Förankra riskbedömningar på ledningsnivå

Inte delegera dem nedåt och glömma bort dem. Ledningen ska inte bara godkänna en riskmatris. De ska förstå vilka affärsbeslut riskerna driver och kunna förklara sina prioriteringar.

Om styrelsen inte kan svara på varför en viss risk accepterats finns det ingen styrning. Det finns bara dokumentation.

Dokumentera beslut systematiskt

Vem beslutade vad, när och varför? Det här är den gyllene tråden som revisorer och tillsynsmyndigheter söker: obryten spårbarhet från verksamhetsprocesser till risker till kontroller.

Utan den är compliance-dokumentation bara teater.

Kartlägg informationsflöden

Du kan inte styra det du inte ser. Vilka system bearbetar vilken information? Var går data mellan verksamhetsprocesser, IT-system och datakällor? Den kartläggningen är grunden för både riskbedömning och regelefterlevnad, och den saknas i förvånansvärt många organisationer.

Testa beredskap innan tillsynen gör det

Incidenthantering, leverantörsuppföljning, rapporterings­processer. Allt detta måste vara testat, inte bara beskrivet. Organisationer som kan visa dokumenterad mognad står starkare. Inte bara vid tillsyn, utan i upphandlingar, kundrelationer och vid styrelsebordet.

Från kostnad till konkurrensfördel

Det är lätt att se regulerings­vågen som en belastning. Fler krav, mer dokumentation, högre kostnader.

Men perspektivet har förändrats. Cybersäkerhet, och den governance som bär den, positioneras allt tydligare som en konkurrens­parameter. En förutsättning för att delta i offentliga upphandlingar. Ett grundlag för förtroende.

Organisationer som bygger en sammanhållen styrningsstruktur nu möter regulatoriska krav och minskar intern friktion från dubbelarbete. De bygger också en styrnings­mognad som syns utåt, i upphandlingar, kundrelationer och vid styrelsebordet.

De som inte gör det bygger fasader. Och fasader håller inte när det blåser.

Tre frågor att ta med till ledningsgruppen

Börja här. Om ni inte kan svara ja på alla tre är det ett tecken på att governance-strukturen behöver ses över:

  1. Är cyberrisk behandlad systematiskt på ledningsnivå, inte bara delegerad?
  2. Kan ni dokumentera era prioriteringar, beslut och motiv?
  3. Är ansvar och beslutsgångar förankrade och testade, inte bara beskrivna?

Regulerings­vågen 2026 kommer samlad. Svaret behöver också vara det.

Behöver du stöd med att bygga en sammanhållen styrningsstruktur? Kontakta oss för en kostnadsfri genomgång.

Författare

KB
Kim Borg

Grundare & VD

25+ års erfarenhet inom IT-ledarskap, från systemutvecklare och Scrum Master till IT-direktör och Group CIO. Djup kompetens inom ISO 27001, NIS2, riskhantering och informationssäkerhetsstyrning. Utbildad inom LIS vid Högskolan i Skövde.

Fler insikter

Relaterade artiklar

Redo att stärka er cybersäkerhet?

Boka ett kostnadsfritt möte så diskuterar vi hur vi kan hjälpa er organisation att möta de nya kraven.

Boka ett möte