Vi bygger och säljer program för säkerhet och regelefterlevnad. Så det här kan låta märkligt: programmet löser inte ert problem. Inte själv. Låt oss förklara vad det faktiskt inte kan göra.
Ett bra system håller koll på vad som ska göras. Det påminner när något är försenat. Det visar vem som ändrade vad, och när. Det gör en granskning mindre smärtsam och ordning och reda lättare att visa upp. Allt det är värdefullt.
Men det kan inte ge någon makten att faktiskt bestämma. Och utan den makten är allt ansvar bara ord på ett papper.
Ansvar utan makt är ingen ovanlighet. Det är nästan regeln.
Vi har sett det här gång på gång hos verksamheter vi möter. Någon står som ansvarig för informationssäkerheten. På pappret är det glasklart. I verkligheten sitter besluten någon helt annanstans: pengarna, prioriteringarna, vad som ska hinnas med. Personen har titeln och ansvaret, men inte rätten att bestämma över det hon ansvarar för.
Det är inte ett undantag. Det är ett mönster. Någon högre upp delar ut ansvaret nedåt och behåller makten själv.
Så här går det ofta till. Det kommer en ny lag. Halva ledningen börjar fundera på vad de själva kan ställas till svars för om något går fel. Och så ringer man efter hjälp. Det finns alltid någon som lovar att fixa alltihop snabbt och smidigt, utan att störa verksamheten och utan att kosta för mycket. Lagom till granskningen ska allt vara på plats.
Och man får sina dokument. Massor av dokument. Fina pärmar, långa listor, en rapport där allt lyser lugnt och grönt.
Sedan ställer någon den enda fråga som betyder något: vem ansvarar egentligen för det här?
Och då pekar man nedåt. På IT-chefen. På säkerhetsansvarig. Någon som får ansvaret nedskrivet men inte makten att göra något åt det.
Lagen har ändrat på det här
Sedan den 15 januari 2026 gäller cybersäkerhetslagen i Sverige. Det är den lag som gör de nya EU-reglerna, det som kallas NIS2, skarpa här hemma. Och den säger något viktigt: det är ledningen själv som ska godkänna säkerhetsarbetet, hålla koll på att det faktiskt görs, och som kan ställas till svars personligen om det inte sköts. Att peka på IT-avdelningen är inte längre en utväg. Det är inte ens tillåtet.
Med andra ord: den som har makten måste nu också bära ansvaret. Äntligen sitter de ihop.
Och det är just det inget dataprogram kan ordna åt er. Lägger man en otydlig ansvarsfördelning i ett system får man bara en prydlig och välorganiserad otydlighet.
Därför börjar vi i fel ände, med flit
Vi bygger inte en knapp som lovar att allt är klart. Vi börjar med de jobbiga frågorna. Vem ansvarar? Vem får bestämma? Och sitter de två hos samma person, eller har någon fått skulden på förhand?
Verktyg hjälper. Men de ersätter aldrig att den som leder också tar ansvaret, på riktigt och med sitt eget namn.
Det är därför vår CISO-as-a-Service inte börjar med ett system att fylla i. Den börjar med att reda ut vem som äger vad, vilka beslut som ska fattas och av vem, och hur ansvaret hänger ihop med mandatet. Först när den strukturen finns på plats blir verktygen verkligt användbara. Vill ni veta var er verksamhet står idag, hör av er till oss.
Först ordning och struktur. Sedan verktyg. Och alltid säkerhet hela vägen.
Fler insikter
Relaterade artiklar
Mognadsrapporten är skriven för ledningen. Inte för krisen.
Statusrapporter testar ingen. När larmet går 02:14 en fredag är det ledningens beslutsförmåga som avgör, inte mognadspoängen. Därför behöver ledningen övas, inte bara informeras.
Ert leverantörsregister är inte en krisplan
När larmet går räcker det inte att veta vilka leverantörer ni har. Ni behöver veta vad som faktiskt slutar fungera — och vem som ska besluta vad. Från lista till beroendekarta.
Det som var rätt igår är inte rätt idag
Europa sitter inte fast hos hyperskalarna av tvång. Vi tog bra beslut och slutade ompröva dem. NIS2, DORA och cybersäkerhetslagen gör nu omprövning till en formell skyldighet.