Brister i Sveriges cybersäkerhetsarbete

Varje år genomför Myndigheten för civilt försvar, tidigare MSB, mätningen Cybersäkerhetskollen. Det är en undersökning där hundratals offentliga verksamheter deltar och svarar på frågor om sitt Cybersäkerhetsarbete.

Förra årets rapport konstaterade att 6 av 10 verksamheter i offentlig förvaltning visar på klara brister vad det gäller deras cybersäkerhetsbete. Resultatet av Cybersäkerhetskollen 2025, som nyligen publicerades, är tyvärr lika dystert: säkerhetsnivån i Sverige behöver förbättras och takten på förbättringsarbetet behöver öka!

Engagemang krävs på ledningsnivå, så cybersäkerhetsarbetet prioriteras och tilldelas mer resurser.

En strategisk fråga om överlevnad 

Cybersäkerhet är ett av de viktigaste fundamenten för stabilitet och affärskontinuitet, vilka i sig är förutsättningar för att säkerställa en verksamhets utveckling och överlevnad. När cyberhotet är allvarligare än någonsin då går det inte längre att hantera en så här viktig fråga på operativ nivå. Varje företagsledning värd namnet behöver föra upp cybersäkerhet och affärskontinuitet på den strategiska agendan och det är ingen annan än ledningens ansvar att säkerställa att det finns tillgängliga resurser för att bedriva ett systematiskt arbete.

I Cybersäkerhetskollen 2024 var det tydligt att de organisationer som presterade bäst var de som hade en ledning och ledningsgrupp som var engagerad och som tillsatte resurser. Ändå uppger 65 % av organisationerna i Cybersäkerhetskollen 2025 att de inte har den personal som krävs för att förbättra cybersäkerhetsarbetet. 

Generaldirektör Myndigheten för civilt försvar, Mikael Frisell är väl så konkret man kan bli:
- Det krävs nu ett tydligt engagemang från ledningsnivå, där cybersäkerhetsarbetet prioriteras och tilldelas mer resurser. Utvecklingen är inte i linje med behovet givet det säkerhetspolitiska läget.

En elefant måste ätas en tugga i taget

En mångfacetterad fråga

Det finns naturligtvis många områden som man behöver jobba med gällande cybersäkerhet, områden som alla har stor betydelse för företagets motståndskraft. Uppgiften kan då kännas överväldigande och att man inte har resurser att avsätta. Förvånande för många är dock att arbetet på operativ nivå inte nödvändigtvis behöver vara otroligt resurskrävande. Men det är en omöjlighet för de flesta organisationer att identifiera svagheter och riskområden på den operativa nivån.

En ordentlig genomlysning och riskanalys måste först ske på företagsövergripande nivå med de strategiska glasögonen på – vilket är företagsledningens ansvar. Därefter blir det en operativ fråga, där den strategiska genomlysningen ger både en tydlig identifiering av riskområden men också en glasklar prioriteringsordning. Bryt ner arbetet i mindre bitar, tilldela resurser och ansvar.

En elefant måste ätas en tugga i taget!

65 % av organisationerna har inte personal nog för att förbättra cybersäkerhetsarbetet

Cybersäkerhetskollen, den fjärde i ordningen, handlar om offentlig verksamhet och resultaten gäller såklart endast för dessa. Det finns dock en överhängande risk att bilden inte skiljer sig nämnvärt inom det privata näringslivet.

Skärpning Sverige!