2026-03-31

Blogg Guide
Sv
Daniel Chronlund Johan Cronquist Waxberg
Säkerhet

När säkerhet blir en fråga som landar i ledningsrummet

Business people having a discussion and using a laptop

Det finns frågor som länge har fått leva i utkanten av verksamheten, trots att de i grunden alltid har hört hemma i dess kärna. Säkerhet är en sådan fråga. I många organisationer har den behandlats som något som hanteras av specialister, drivs i separata processer eller lyfts fram först när något redan har inträffat. Så länge vardagen fungerar är det också lätt att intala sig att ansvar och beredskap finns på plats. Men när omvärlden blir mer instabil, beroendena fler och konsekvenserna större, förändras också frågans karaktär. Då räcker det inte längre att veta att arbete pågår. Då måste ledningen kunna känna att organisationen faktiskt håller.

NIS2 förändrar inte hotbilden, den förändrar ansvaret

Det är här NIS2 blir viktigt. Inte i första hand för att direktivet tillför ännu ett lager av krav, utan för att det skärper något som många verksamheter redan anat men inte fullt ut har tagit konsekvensen av. Säkerhet är inte längre en fråga som kan betraktas på avstånd från ledningens perspektiv. Den är en del av hur verksamheten leds, prioriteras och hålls samman. Det betyder inte att ledningen ska bli teknisk expertis. Det betyder att ledningen måste ta ansvar för att det finns struktur, styrning och faktisk förmåga att hantera det som hotar verksamhetens kontinuitet. 

För många är det just där obehaget uppstår. Inte för att frågan är ny, utan för att den blir svårare att skjuta ifrån sig. Det går inte längre att luta sig mot att någon annan äger den fullt ut. Man kan delegera uppgifter, men inte ansvar. Och när det perspektivet väl sjunker in förändras också sättet att se på säkerhet. Den framstår inte längre som ett avgränsat område bland andra, utan som en del av organisationens motståndskraft.

“Jag drivs av att se svenska företag bli mer motståndskraftiga på riktigt. Inte genom fler initiativ, utan genom att ledningen tar ett tydligt ansvar för att få struktur, beslut och förmåga att hänga ihop. Det är där skillnaden avgörs.”

- Daniel Chronlund, Säkerhetsexpert och Microsoft MVP

När mycket är gjort, men lite faktiskt håller ihop

Samtidigt är det just här många organisationer känner igen sig i en besvärlig motsägelse. Man har ofta gjort mycket. Investeringar har gjorts, policyer har uppdaterats, tekniska lösningar har införts och utbildningsinsatser har genomförts. Ändå finns en kvarstående osäkerhet. Inte nödvändigtvis kring vad som har gjorts, utan kring om det verkligen hänger ihop. Om ansvarsfördelningen bär när något händer. Om beslutsvägarna fungerar under tidspress. Om uppföljningen faktiskt leder till bättre styrning. Om organisationen som helhet vet hur den ska agera när läget inte längre är normalt. 

Det är en viktig känsla att ta på allvar, för den pekar oftast inte på bristande aktivitet, utan på bristande struktur. Säkerhetsarbetet kan vara omfattande utan att vara tillräckligt integrerat i ledningens sätt att styra verksamheten. Det är där glappet uppstår mellan det som finns på papperet och det som faktiskt håller i praktiken.

“De flesta organisationer har mer säkerhetsarbete än de tror. Problemet är att de saknar struktur för att styra det. Och det som inte går att styra, går inte heller att lita på när det verkligen gäller.”

- Johan Cronquist Waxberg, Head of Security Specialist Team

Ledningens uppgift är inte att förstå teknik, utan att säkerställa förmåga

Det som ofta missförstås är vad som faktiskt förväntas av en ledning i detta läge. Uppgiften är inte att förstå alla tekniska lösningar eller att kunna varje detalj i ett regelverk. Uppgiften är att säkerställa att organisationen har en form som gör säkerhet möjlig att styra. 

Det innebär att ansvar inte bara ska vara uttalat, utan också fungera när det prövas. Att strukturen inte bara ska finnas dokumenterad, utan bära beslutsfattande under press. Att förmågan inte bara ska beskrivas, utan visa sig i hur organisationen faktiskt agerar när något händer. Och att detta inte sker i form av tillfälliga initiativ, utan som en del av hur verksamheten leds över tid.

Från upplevd kontroll till faktisk handlingsförmåga

Många organisationer försöker skapa kontroll genom att lägga till fler delar. Fler kontroller, fler rapporter, fler initiativ. Men kontroll uppstår inte genom mängd. Den uppstår när det finns en fungerande koppling mellan ansvar, struktur och beslut. 

Det är först då som ledningen kan känna något som inte går att rapportera fram: en rimlig trygghet i att organisationen faktiskt kan hantera det som händer. Inte för att allt är förutbestämt, utan för att det finns en bärande förmåga.

En gemensam ledningsaktivitet där ansvar blir konkret

I det läget uppstår ett behov som inte går att möta med fler dokument eller enskilda insatser. Ledningen behöver en gemensam förståelse, inte bara för hotbilden, utan för sitt eget ansvar och hur det omsätts i praktiken. 

Men ännu viktigare är att den förståelsen behöver prövas tillsammans. När ledningsgruppen ställs inför realistiska situationer där informationen är ofullständig, besluten måste fattas snabbt och konsekvenserna är affärskritiska, händer något avgörande. Frågan blir verklig. Resonemangen skärps. Olikheter i synsätt blir synliga. Och det skapas en gemensam referensram för hur svåra beslut faktiskt ska tas. 

Det är i den typen av gemensamma övningar som samsyn uppstår. Inte genom att alla tycker lika, utan genom att man förstår varandras perspektiv och kan agera tillsammans när det krävs.

Motståndskraft byggs, den införs inte

Det som ofta beskrivs som motståndskraft riskerar att bli ytterligare ett initiativ. Något som ska “implementeras” vid sidan av övrig verksamhet. Men i praktiken fungerar det inte så. 

Motståndskraft uppstår när ansvar, struktur, förmåga och uppföljning hänger ihop över tid. När ledningen inte bara har förstått sitt ansvar, utan också har skapat förutsättningarna för att det ska kunna bäras i organisationen. Det är då säkerhet går från att vara något man arbetar med, till något verksamheten faktiskt har.

En fråga som kräver ett ställningstagande

För många ledningsgrupper landar detta i en ganska konkret insikt. Frågan handlar inte längre om huruvida detta är viktigt, utan om hur det ska tas på allvar på ett sätt som faktiskt håller. 

Hur går man från spridda insatser till en struktur som går att styra? Hur bygger man en gemensam förståelse som påverkar verkliga beslut? Hur säkerställer man att ansvar inte bara formuleras, utan också bärs över tid? 

Det är inga enkla frågor. Men de är svåra att bortse från.

Nästa steg avgör om det här blir struktur eller fortsatt osäkerhet

För organisationer som vill arbeta vidare med detta finns det en naturlig fördjupning i att som ledningsgrupp gemensamt förstå, diskutera och pröva sitt ansvar i ljuset av NIS2. Inte teoretiskt, utan i situationer som speglar verkliga beslut. 

För de organisationer som vill ta nästa steg handlar det om att etablera motståndskraft som en bärande förmåga, där struktur, ansvar och styrning hänger ihop över tid och blir en integrerad del av hur verksamheten leds. 

Det är i den rörelsen som säkerhet blir något mer än ett krav att förhålla sig till. Det blir en del av verksamhetens faktiska styrka. 

 

Om skribenterna
exobe_favicon

Daniel Chronlund

Senior Consultant

fornamn.efternamn@exobe.com

|

Chatta med mig i Teams

Johan Cronquist Waxberg

Johan Cronquist Waxberg

Göteborg

|

Head of Security Specialist Team & Marketing

fornamn.efternamn@exobe.com

|

Chatta med mig i Teams

Relaterade inlägg

Vill du vara säker på att inte missa något

Som du märker brinner vi för att dela med oss av våra erfarenheter, nyttiga lärdomar och spaningar ut i exosfären. Se till att följa vårt nyhetsbrev eller vårt flöde på Linkedin så du inte missar något.

Hidden
Samtycke(Obligatoriskt)

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Exobe AB, orgnr. 556769-5605 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för personlig anpassning

För att ge dig en bättre upplevelse placerar vi cookies för dina preferenser

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata