Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
När Sveriges nya cybersäkerhetslag nu trätt i kraft är det frestande att göra det vi alltid gör när nya regler införs: läsa paragraferna, tolka föreskrifterna och fråga oss hur vi snabbast kan bli ”klara”. Men det är att missa poängen. NIS2 handlar i grunden inte om juridik, utan om förmåga – om vår faktiska kapacitet att förebygga, upptäcka och hantera digitala angrepp i ett samhälle där hotbilden förändrats i grunden.
Den som fortfarande ser NIS2 som ännu ett complianceprojekt riskerar att stå illa rustad när något faktiskt händer.
Lagen speglar verkligheten – inte tvärtom
Att EU valt att skärpa kraven är ingen abstrakt ambition från Bryssel. Det är en direkt spegling av en verklighet där cyberangrepp, informationspåverkan och insiderhot blivit vardag även för samhällsbärande verksamheter. När skyddet av tekniska företagshemligheter nu blivit en straffrättslig fråga, även för personer med behörig åtkomst, är det ett tydligt tecken på att hoten inte längre kommer enbart utifrån. Det handlar lika mycket om styrning, kultur och kontroll internt.
Detta går igen i flera delar av säkerhetslandskapet. Inom säkerhets- och bevakningsbranschen varnar Securitas för att ett ensidigt fokus på belastningsregister skapar en falsk trygghet. Registerutdrag fångar varken sårbarheter, påtryckningsrisker eller förändringar över tid – just de faktorer som ofta ligger bakom insiderproblematik i samhällsviktiga verksamheter.
Det är samma mönster som NIS2 försöker bryta: idén att säkerhet går att reducera till en punktinsats eller ett dokumenterat moment.
Förmåga byggs i vardagen, inte vid revisionen
Ett av de tydligaste exemplen på detta är kraven på incidentrapportering. På pappret kan det uppfattas som ännu en administrativ börda. I praktiken är det ett lackmustest på om organisationen över huvud taget har förmåga att upptäcka incidenter, förstå deras allvar och agera strukturerat under press.
Valmyndighetens utökade ansvar inför valet 2026 illustrerar detta väl. Obligatorisk incidentrapportering, snabb lägesbild och samverkan mellan myndigheter är inte åtgärder som kan improviseras fram när valet väl pågår. De kräver upparbetade arbetssätt, tydliga roller och kontinuerlig träning långt innan det blir skarpt läge valmyndigheten.
Det är här NIS2 blir intressant – och obekväm. Direktivet kräver inte perfektion, men det kräver riktning och tempo. Framför allt kräver det att cybersäkerhet lyfts från IT-avdelningen till ledningsrummet.
Samverkan är inte ett tillval
En annan röd tråd är behovet av samverkan. Varken cybersäkerhet, personalsäkerhet eller valintegritet kan längre hanteras i stuprör. Bristen på kompetens, resurser och informationsdelning är redan påtaglig, och kommer inte att lösas av enskilda organisationer var för sig.
Här är NIS2 tydlig: förmåga byggs tillsammans. Genom gemensamma lägesbilder, erfarenhetsutbyte och strukturerade samarbeten mellan offentliga och privata aktörer. Alternativet är fragmenterade insatser som ser bra ut på papper, men faller när de utsätts för verklig belastning.
Mer än compliance
I slutändan är NIS2 en lag som måste följas. Men dess värde avgörs inte av hur väl organisationer kan bocka av krav, utan av om den leder till verklig motståndskraft. Om den bidrar till bättre styrning, tydligare ansvar och en säkerhetskultur som håller även när systemen pressas, människorna gör misstag och hoten blir mer sofistikerade.
Det är där debatten om NIS2 borde börja – och sluta. Inte i paragraferna, utan i frågan om vi faktiskt klarar nästa incident.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Skaffa Aktuell Säkerhet Nyhetsbrev
Genom att klicka på ”Prenumerera” ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.