Cybersäkerhet i offentlig sektor avgörs sällan av om policydokumenten finns på plats eller om rätt teknik är upphandlad. För dig som har ansvar för frågan på riktigt handlar det oftare om något mer svårfångat: om ansvar, samarbete och beslutsförmåga faktiskt håller den dag något händer.
Cybersäkerhet i offentlig sektor har blivit en självklar ledningsfråga i kommuner, myndigheter och andra offentliga verksamheter. På många håll har mycket också hänt. Det finns styrdokument, ramverk, upphandlade säkerhetslösningar och en tydligare medvetenhet än för bara några år sedan.
Men du som arbetar nära frågan vet också att det inte automatiskt betyder att verksamheten är redo.
För den avgörande frågan är ofta en annan: Hur väl fungerar allt det här om något faktiskt inträffar i morgon?
Det är där det brukar bli intressant på riktigt. För det är också där många upptäcker ett glapp. Inte nödvändigtvis mellan ambition och vilja, utan mellan det som är beslutat och det som faktiskt fungerar under press.
Du kanske känner igen det här: styrningen ser tydlig ut på papperet, tekniken finns på plats, men den operativa förmågan är svårare att bedöma. Vem leder vid en incident? Hur ser beslutsvägarna ut när tiden är knapp? Vad händer i samspelet mellan verksamhet, IT, ledning, kommunikation och externa aktörer? Och kanske viktigast av allt: har ni faktiskt testat det, eller bara antagit att det fungerar?
Det här samtalet har blivit ännu mer relevant i takt med att regelverken skärps. NIS2-direktivet gör det tydligare att cybersäkerhet inte kan stanna i policy, teknik eller specialistfunktioner. Ledningen behöver förstå, prioritera och kunna ta ansvar för att arbetet faktiskt fungerar i praktiken. Direktivet omfattar 18 kritiska sektorer, ställer krav på riskhantering och incidentrapportering och lyfter också fram ledningens ansvar tydligare än tidigare.
Det innebär också ett skifte i hur du kan behöva se på cybersäkerhet i offentlig sektor. Frågan är inte längre bara om rätt skydd finns på plats, utan om verksamheten har förmågan att agera samlat, klokt och snabbt när den utsätts för press.
Och det är ofta där den verkliga motståndskraften avgörs.
Därför uppstår glappet
Det är lätt att tro att bristerna framför allt handlar om teknik eller budget. Ibland gör de det. Men ganska ofta handlar det om något annat.
Policy sätter riktning. Teknik ger möjligheter. Men inget av det skapar skydd på egen hand.
Skydd uppstår först när människor vet vad de ska göra, när ansvar är tydligt, när beslutsvägar fungerar och när verksamheten har övat tillräckligt för att inte tappa fart precis när det verkligen gäller.
Det här är en av de stora utmaningarna i offentlig sektor. Digitaliseringen går snabbt, beroendena blir fler och konsekvenserna av avbrott kan bli väldigt stora. Samtidigt är resurserna ofta pressade, specialistkompetens svår att säkra och vardagen redan full av andra krav som också måste hanteras.
Det gör att säkerhetsarbetet ibland hamnar i två olika spår. Antingen blir det mycket styrning, dokumentation och kravuppfyllnad. Eller så blir det mycket teknik, verktyg och specialistdiskussioner. Båda behövs, men inget av dem räcker om helheten saknas.
World Economic Forum lyfter i rapporten Global Cybersecurity Outlook 2024 fram att organisationer världen över investerar mer än tidigare i cybersäkerhet, samtidigt som cyberresiliensen pressas av ökande komplexitet, ojämlikhet och nya typer av hot. Det är en viktig påminnelse även för offentlig sektor: mer teknik betyder inte automatiskt bättre beredskap.
Det är därför cybersäkerhet i offentlig sektor behöver förstås som något större än en säkerhetsfråga. Det handlar också om ledning, kultur, prioriteringar och förmågan att få hela verksamheten att fungera tillsammans när läget blir skarpt.
Fyra insikter som gör skillnad i praktiken
1. Policy är viktig, men den skyddar ingen på egen hand
Policys behövs. De skapar struktur, sätter ramar och hjälper verksamheten att fatta bättre beslut över tid. Utan dem blir säkerhetsarbetet lätt spretigt och personberoende.
Men policydokument i sig stoppar inga incidenter.
Det som gör skillnad är om innehållet faktiskt lever i vardagen. Om ansvar är begripligt. Om roller är tydliga. Om uppföljning leder till förändring. Om det finns en koppling mellan styrning och verkligt beteende i organisationen.
Annars är det lätt att få en känsla av mognad som ser bra ut i rapportering och revision, men som inte riktigt håller när något oväntat inträffar.
Och det är precis därför NIS2-direktivet är viktigt att ta på allvar. Det förstärker att det inte räcker att kunna visa att något är dokumenterat. Du behöver också kunna visa att det fungerar.
2. Teknik utan förmåga kan skapa en falsk trygghet
Många verksamheter har i dag investerat i avancerade säkerhetslösningar. Det är i grunden positivt. Problemet uppstår när tekniken finns, men förmågan att använda den fullt ut inte gör det.
Det kan handla om brist på kompetens. Om otydliga processer. Om för få resurser. Eller om att ingen riktigt äger helheten mellan teknik, verksamhet och ledning.
Då finns risken att verktygen blir mer av en symbol för kontroll än ett faktiskt stöd i praktiken.
Det här är en viktig insikt, inte minst för ledningsgrupper. För diskussionen om cybersäkerhet fastnar lätt i vilka system man har, när den kanske borde handla mer om hur människor, ansvar och arbetssätt fungerar tillsammans.
På Mindley möter vi ofta experter som lyfter just den här helheten. Samtalen landar sällan i ett enskilt verktyg. De landar oftare i frågor som: Förstår ledningen sitt ansvar? Vet verksamheten hur den ska agera? Finns det en struktur som gör att tekniken faktiskt används på rätt sätt när det gäller?
3. Incidentförmågan visar hur starkt säkerhetsarbetet verkligen är
Det finns en fråga som skär rakt igenom allt annat:
Vad händer hos er om något sker i morgon?
Den frågan säger ofta mer än tio styrdokument.
För det är först när du tittar på incidentförmågan som det blir tydligt hur säkerhetsarbetet fungerar i praktiken. Vet ni vem som leder? Finns det ett tydligt mandat? Hur snabbt går det att samla rätt personer? Hur ser kommunikationen ut, internt och externt? Vad händer om ett system slås ut, om känslig information riskerar att läcka eller om verksamheten behöver prioritera om snabbt?
Många som arbetar nära incidentövningar vittnar om samma sak: de största bristerna är sällan rent tekniska. Ofta handlar de i stället om samordning, kommunikation och beslutsfattande under press.
Det är därför övning är så centralt. Inte för att skapa dramatik, utan för att skapa realism. ENISA beskriver i The ENISA Cybersecurity Exercise Methodology övningar som ett sätt att planera, genomföra och utvärdera cybersäkerhetsövningar från start till mål, med rätt profiler och intressenter involverade vid rätt tidpunkt.
4. Ledningens engagemang är det som avgör om säkerhetsarbetet bär
Cybersäkerhet beskrivs fortfarande ibland som ett område för IT eller säkerhetsspecialister. Men i verkligheten är det alldeles för verksamhetskritiskt för att stanna där.
När ledningen är engagerad händer något viktigt. Då blir säkerhetsarbetet inte en separat funktion vid sidan av verksamheten, utan en del av hur organisationen styr, prioriterar och bygger motståndskraft.
Det betyder inte att ledningen ska kunna allt om teknik. Men den behöver förstå riskerna, ställa rätt frågor, säkra rätt förutsättningar och vara delaktig i hur verksamheten förbereder sig.
Det ligger också helt i linje med EU-kommissionens beskrivning av NIS2, där top managements ansvar och tillsyn lyfts som en central del i att höja den gemensamma cybersäkerhetsnivån inom EU.
För offentlig sektor är det här särskilt viktigt. När samhällsviktiga tjänster påverkas räcker det inte att konstatera att en incident har inträffat. Då behöver verksamheten fortsätta fungera, beslut fattas snabbt och förtroendet hållas ihop samtidigt.
Från säkerhetsarbete till verklig motståndskraft
Det är därför nästa steg för många kommuner och offentliga verksamheter inte främst handlar om att köpa mer teknik.
Det handlar oftare om att bygga det som får säkerhetsarbetet att bära i verkligheten: tydliga roller, fungerande beslutsvägar, gemensam lägesbild, incidentövning, ledningsförankring och en ärlig förståelse för var sårbarheterna faktiskt finns.
Det låter kanske mindre spektakulärt än nya system och nya investeringar. Men det är ofta där den största skillnaden uppstår.
För när policy, teknik och operativ förmåga börjar dra åt samma håll händer något viktigt. Då blir cybersäkerhet i offentlig sektor inte bara en fråga om kravuppfyllnad eller skyddsmekanismer. Då blir det en del av verksamhetens verkliga motståndskraft.
Och kanske är det just där många borde börja oftare. Inte med frågan om ni har tillräckligt mycket på plats, utan med en enklare och mer avslöjande fråga:
Hur fungerar vi faktiskt när det verkligen gäller?
Mindleys perspektiv
På Mindley ser vi att många offentliga verksamheter inte i första hand behöver mer information. Du har ofta redan läst rapporterna, sett regelverken och förstått allvaret. Det som oftare behövs är hjälp att göra frågan begriplig i den egna verkligheten — mellan ledning, IT, verksamhet och ansvar.
Där kommer våra experter in. Vi har samlat föreläsare, workshopledare, experter och rådgivare inom cybersäkerhet som hjälper organisationer att lyfta blicken, ställa rätt frågor och stärka samspelet mellan teknik, ledning och operativ förmåga.
Vill du lyfta frågan vidare i din organisation?
Vi hjälper dig att hitta rätt föreläsare, workshopledare, expert eller rådgivare utifrån din organisations mål och utmaningar inom cybersäkerhet.
👉 Kontakta oss här
FAQ
Varför räcker inte policy för att skapa cybersäkerhet i offentlig sektor?
För att policy visar riktning, men inte skapar skydd i sig. Skydd uppstår först när ansvar, arbetssätt, uppföljning och incidentförmåga fungerar i praktiken.
Varför räcker inte teknik heller?
För att teknik bara är en del av helheten. Utan rätt kompetens, tydliga processer och fungerande samarbete riskerar även bra verktyg att ge en falsk känsla av trygghet.
Varför är incidentövningar så viktiga?
För att de visar hur verksamheten faktiskt fungerar under press. Det är ofta först då man upptäcker otydliga mandat, svag samordning eller brister i beslutsvägarna. ENISA:s metodik för cybersäkerhetsövningar beskriver också hur övningar kan planeras, genomföras och följas upp för att stärka förmågan över tid.
Varför behöver ledningen vara involverad?
Därför att cybersäkerhet påverkar verksamhetens kontinuitet, risknivå och förtroende. NIS2-direktivet förstärker dessutom att ledningen behöver ta ett tydligare ansvar.
Vad är en bra första fråga att ställa internt?
Hur fungerar vi faktiskt om något händer i morgon? Det är en enkel fråga, men den brukar snabbt visa hur stark den operativa förmågan egentligen är.
Vill du fördjupa dig vidare?
Läs gärna vidare i vår relaterade artikel: Awareness – när cybersäkerhet börjar med människan, inte tekniken