Varför talar vi om personligt ansvar?

NIS2-direktivet (EU 2022/2555) introducerade något som var i princip obefintligt i den tidigare europeiska cybersäkerhetsregleringen: ett uttryckligt fokus på organisationens högsta ledning. I Sverige har detta omsatts i Cybersäkerhetslagen (SFS 2025:1506) genom två kombinerade mekanismer: utbildningskrav på personer i ledningen enligt 2 kap. 4 §, och möjligheten att meddela förbud att inneha ledningsfunktion vid uppsåt eller grov oaktsamhet enligt 4 kap. 6 §. Bestämmelserna är utformade för att adressera det som EU-kommissionen identifierade som ett strukturellt problem: att cybersäkerhet historiskt behandlats som en operativ IT-fråga snarare än en strategisk ledningsfråga.

Syftet är att tvinga fram ett aktivt engagemang från styrelse och VD. Lagstiftaren vill att cybersäkerhet diskuteras på ledningsnivå med samma allvar som finansiell riskhantering eller regelefterlevnad. Det personliga ansvaret ska fungera som ett incitament: om styrelseledamöter personligen kan drabbas av konsekvenser vid bristande efterlevnad minskar risken för att frågan delegeras bort och glöms.

Vad säger lagen?

2 kap. 3 § (med 2 kap. 4 §): Faktiskt vidtagande och utbildning

Ledningen i en väsentlig eller viktig entitet ska:

1.Godkänna de riskhanteringsåtgärder som organisationen vidtar enligt 2 kap. 3 § (de tio minimiåtgärderna).
2.Övervaka genomförandet av dessa åtgärder.
3.Vid uppsåt eller grov oaktsamhet kan förbjudas att inneha ledningsfunktion enligt 4 kap. 6 § om verksamhetsutövaren är väsentlig och tidigare föreläggande inte följts.

Det tredje punkten är avgörande. Ansvaret knyts inte till att en incident inträffar, utan till huruvida organisationen har vidtagit adekvata och proportionella åtgärder. En organisation kan drabbas av en allvarlig incident och ändå vara compliant om den kan visa att den hade lämpliga skyddsåtgärder, riskbedömningar och rutiner på plats.

2 kap. 4 §: Utbildningsplikt

Ledningen ska genomgå utbildning i cybersäkerhet som ger tillräcklig kompetens att:

Förstå de risker organisationen står inför.
Bedöma huruvida de riskhanteringsåtgärder som vidtagits är lämpliga.
Fatta informerade beslut om cybersäkerhetsinvesteringar och prioriteringar.

Utbildningskravet gäller samtliga styrelseledamöter och den verkställande ledningen (VD och vice VD). Det räcker inte med att CISO eller IT-chef har genomgått utbildning; kravet riktar sig uttryckligen till dem som fattar de strategiska besluten.

Vem räknas som "ledning"?

Cybersäkerhetslagen definierar ledning i linje med associationsrättsliga principer:

Styrelsens ledamöter, det vill säga samtliga ordinarie ledamöter och suppleanter som deltagit i relevanta beslut.
Verkställande direktör (VD) och vice verkställande direktör.
Motsvarande befattningshavare i andra organisationsformer (stiftelser, föreningar, offentliga organ).

Det är värt att notera att ansvaret inte kan delegeras nedåt i organisationen. En styrelse kan utse en CISO och ge denne ett tydligt mandat, men styrelsen behåller alltid det yttersta ansvaret för att godkänna och övervaka att riskhanteringsåtgärderna faktiskt genomförs.

Praktiskt: vad styrelsen måste göra

1. Formellt godkänna riskhanteringsåtgärder

Styrelsen ska i protokollförda beslut godkänna organisationens cybersäkerhetsramverk, inklusive:

Övergripande informationssäkerhetspolicy, med tydlig koppling till de tio minimiåtgärderna.
Riskbedömning och riskbehandlingsplan, inklusive prioriteringar och accepterade kvarstående risker.
Incidenthanteringsplan, med definierade roller, eskaleringskedjor och rapporteringsrutiner.
Kontinuitetsplan. BCP (Business Continuity Plan, kontinuitetsplan) och DR (Disaster Recovery, katastrofåterställning) med definierade återhämtningsmål: RTO (Recovery Time Objective, hur snabbt en tjänst ska vara återställd) och RPO (Recovery Point Objective, hur mycket data som maximalt får gå förlorad).
Leverantörssäkerhetspolicy, med krav på tredjepartsriskbedömning och avtalskrav.

Godkännandet bör dokumenteras i styrelseprotokollet med en explicit hänvisning till Cybersäkerhetslagen 2 kap. 3 §. Det räcker inte med ett generellt "styrelsen noterar informationssäkerhetspolicyn". Beslutet ska visa att styrelsen har tagit del av innehållet, ställt frågor och fattat ett aktivt beslut.

2. Upprätta en löpande rapporteringsstruktur

Styrelsen behöver regelbundna rapporter som ger underlag för övervakning. En rekommenderad struktur:

Kvartalsvis säkerhetsrapport: sammanfattning av risknivåer, incidenter, avvikelser och statusen på planerade åtgärder.
Årlig revision: en formell genomgång av hela cybersäkerhetsramverket, inklusive testresultat (penetrationstester, revisioner), uppdaterade riskbedömningar och resursallokering.
Ad hoc-rapportering vid allvarliga incidenter. Styrelsen ska informeras omedelbart vid betydande incidenter, inte först vid nästa planerade styrelsemöte.

Rapporterna bör vara utformade så att de är begripliga för styrelseledamöter utan djup teknisk bakgrund. Det innebär att de ska fokusera på affärsrisker och konsekvenser, inte tekniska detaljer.

3. Genomgå utbildning och dokumentera det

Utbildningsplikten i 2 kap. 4 § kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder. Lagen specificerar inte exakt vilken utbildning som krävs, men tillsynsmyndigheterna har i sina vägledningar angett att utbildningen bör täcka:

NIS2-direktivet och Cybersäkerhetslagens krav: vad lagen kräver och vad konsekvenserna är.
Aktuella hotbilder: ransomware, leverantörsattacker, phishing, insider-hot.
Riskhanteringsprocessen: hur man läser en riskbedömning och fattar beslut baserat på den.
Incidentrapportering: rapporteringsplikt, tidskrav och ledningens roll vid incidenter.
Styrelsens specifika ansvar: vad som krävs och vilka konsekvenserna kan bli vid bristande efterlevnad.

Dokumentation av genomförd utbildning är kritisk. Spara deltagarlistor, kursbeskrivningar, presentationsmaterial och eventuella intyg. Vid en tillsynsgranskning kommer myndigheten att efterfråga bevis på att utbildningsplikten uppfyllts.

4. Säkerställa resurser och organisatorisk förankring

Styrelsen ansvarar inte bara för att godkänna policyer utan också för att säkerställa att organisationen har de resurser som krävs för att genomföra dem:

Budget. Cybersäkerhetsbudgeten ska vara tillräcklig i förhållande till riskexponeringen.
Kompetens. Organisationen ska ha, eller ha tillgång till, tillräcklig cybersäkerhetskompetens.
Organisatorisk placering. CISO eller motsvarande funktion bör rapportera tillräckligt högt i organisationen för att ha verkligt inflytande.
Mandat. Säkerhetsfunktionen ska ha mandat att kräva ändringar, stoppa driftsättningar och eskalera till ledningen.

Dokumentationskrav

Dokumentation är inte bara god praxis, det är den primära bevisbörda organisationen har gentemot tillsynsmyndigheten. Följande dokument bör finnas och vara uppdaterade:

Dokument	Syfte	Uppdateringsfrekvens
Styrelseprotokoll med säkerhetsbeslut	Bevisar godkännande och övervakning	Varje styrelsemöte
Informationssäkerhetspolicy	Övergripande ramverk	Årligen eller vid väsentlig förändring
Riskbedömning och riskbehandlingsplan	Visar systematisk riskhantering	Årligen och efter väsentliga förändringar
Utbildningsregister	Bevisar uppfylld utbildningsplikt	Löpande
Incidentlogg	Spårbarhet för rapporteringsplikten	Löpande
Revisionsrapporter	Bevisar utvärdering av åtgärder	Årligen
Budget och resursallokering	Visar att resurser tilldelats	Årligen

Sanktioner vid bristande ledningsansvar

Vid konstaterade brister i ledningens ansvar har tillsynsmyndigheterna flera verktyg:

Sanktionsavgifter

Sanktionsavgifter kan riktas mot organisationen som helhet men ledningens agerande, eller brist på agerande, är en faktor som påverkar avgiftens storlek. Faktorer som beaktas:

Om ledningen kände till riskerna men underlät att agera.
Om ledningen saknade utbildning trots lagkravet.
Om det saknades dokumentation som visar godkännande och övervakning.
Om organisationen tidigare uppmärksammats på brister utan att vidta åtgärder.

Tillfälligt förbud mot ledningsbefattning

Den mest ingripande sanktionen i Cybersäkerhetslagen, och den som utan tvivel fångat mest uppmärksamhet, är möjligheten att tillfälligt förbjuda en person att utöva en ledningsbefattning i en väsentlig entitet. Denna sanktion kan tillgripas vid:

Upprepade allvarliga överträdelser.
Underlåtenhet att vidta åtgärder trots föreläggande.
Grav försummelse av tillsynsansvaret.

Förbudet gäller under en begränsad tid och kan överklagas, men signalvärdet är kraftfullt. En styrelseledamot som riskerar befattningsförbud har starka incitament att ta cybersäkerhet på allvar.

Praktiska steg: en åtgärdslista för styrelsen

Baserat på lagens krav och tillsynsmyndigheternas vägledning rekommenderar vi följande steg:

Omedelbart (om inte redan genomfört):

1.Genomför en formell genomgång av Cybersäkerhetslagens krav i styrelsen.
2.Utse en styrelseledamot med särskilt ansvar för cybersäkerhetsfrågor.
3.Boka och genomför cybersäkerhetsutbildning för samtliga styrelseledamöter och VD.
4.Begär en statusrapport från organisationens säkerhetsfunktion.

Inom tre månader:

1.Godkänn eller uppdatera organisationens informationssäkerhetspolicy med explicit koppling till Cybersäkerhetslagens krav.
2.Godkänn den aktuella riskbedömningen och riskbehandlingsplanen.
3.Upprätta en kvartalsvis rapporteringsstruktur till styrelsen.
4.Dokumentera allt i styrelseprotokoll.

Löpande:

1.Genomför kvartalsvis uppföljning av cybersäkerhetsstatus.
2.Genomför årlig revision av hela cybersäkerhetsramverket.
3.Uppdatera utbildningen vid väsentliga förändringar i hotbild eller regelverk.
4.Säkerställ att incidentrapporteringsprocessen inkluderar styrelsenivån.

Slutord

Det personliga ledningsansvaret i Cybersäkerhetslagen är inte en formalitet. Det är en fundamental förändring av hur svensk lag ser på cybersäkerhet: från en teknisk driftsfråga till en strategisk styrningsfråga som ytterst vilar på styrelserummet. Styrelseledamöter och VD som väljer att ignorera eller delegera bort dessa krav gör det på egen risk, bokstavligt talat.

Organisationer som redan har en mogen säkerhetsstyrning med styrelseengagemang behöver formalisera det som redan görs. Organisationer som behandlat cybersäkerhet som en IT-fråga behöver en kulturförändring, och det börjar med att styrelsen tar sitt lagstadgade ansvar.

Varför talar vi om personligt ansvar?

Vad säger lagen?

2 kap. 3 § (med 2 kap. 4 §): Faktiskt vidtagande och utbildning

Ledningen i en väsentlig eller viktig entitet ska:

1.Godkänna de riskhanteringsåtgärder som organisationen vidtar enligt 2 kap. 3 § (de tio minimiåtgärderna).
2.Övervaka genomförandet av dessa åtgärder.
3.Vid uppsåt eller grov oaktsamhet kan förbjudas att inneha ledningsfunktion enligt 4 kap. 6 § om verksamhetsutövaren är väsentlig och tidigare föreläggande inte följts.

2 kap. 4 §: Utbildningsplikt

Ledningen ska genomgå utbildning i cybersäkerhet som ger tillräcklig kompetens att:

Förstå de risker organisationen står inför.
Bedöma huruvida de riskhanteringsåtgärder som vidtagits är lämpliga.
Fatta informerade beslut om cybersäkerhetsinvesteringar och prioriteringar.

Vem räknas som "ledning"?

Cybersäkerhetslagen definierar ledning i linje med associationsrättsliga principer:

Styrelsens ledamöter, det vill säga samtliga ordinarie ledamöter och suppleanter som deltagit i relevanta beslut.
Verkställande direktör (VD) och vice verkställande direktör.
Motsvarande befattningshavare i andra organisationsformer (stiftelser, föreningar, offentliga organ).

Praktiskt: vad styrelsen måste göra

1. Formellt godkänna riskhanteringsåtgärder

Styrelsen ska i protokollförda beslut godkänna organisationens cybersäkerhetsramverk, inklusive:

Övergripande informationssäkerhetspolicy, med tydlig koppling till de tio minimiåtgärderna.
Riskbedömning och riskbehandlingsplan, inklusive prioriteringar och accepterade kvarstående risker.
Incidenthanteringsplan, med definierade roller, eskaleringskedjor och rapporteringsrutiner.
Kontinuitetsplan. BCP (Business Continuity Plan, kontinuitetsplan) och DR (Disaster Recovery, katastrofåterställning) med definierade återhämtningsmål: RTO (Recovery Time Objective, hur snabbt en tjänst ska vara återställd) och RPO (Recovery Point Objective, hur mycket data som maximalt får gå förlorad).
Leverantörssäkerhetspolicy, med krav på tredjepartsriskbedömning och avtalskrav.

2. Upprätta en löpande rapporteringsstruktur

Styrelsen behöver regelbundna rapporter som ger underlag för övervakning. En rekommenderad struktur:

Kvartalsvis säkerhetsrapport: sammanfattning av risknivåer, incidenter, avvikelser och statusen på planerade åtgärder.
Årlig revision: en formell genomgång av hela cybersäkerhetsramverket, inklusive testresultat (penetrationstester, revisioner), uppdaterade riskbedömningar och resursallokering.
Ad hoc-rapportering vid allvarliga incidenter. Styrelsen ska informeras omedelbart vid betydande incidenter, inte först vid nästa planerade styrelsemöte.

3. Genomgå utbildning och dokumentera det

NIS2-direktivet och Cybersäkerhetslagens krav: vad lagen kräver och vad konsekvenserna är.
Aktuella hotbilder: ransomware, leverantörsattacker, phishing, insider-hot.
Riskhanteringsprocessen: hur man läser en riskbedömning och fattar beslut baserat på den.
Incidentrapportering: rapporteringsplikt, tidskrav och ledningens roll vid incidenter.
Styrelsens specifika ansvar: vad som krävs och vilka konsekvenserna kan bli vid bristande efterlevnad.

4. Säkerställa resurser och organisatorisk förankring

Styrelsen ansvarar inte bara för att godkänna policyer utan också för att säkerställa att organisationen har de resurser som krävs för att genomföra dem:

Budget. Cybersäkerhetsbudgeten ska vara tillräcklig i förhållande till riskexponeringen.
Kompetens. Organisationen ska ha, eller ha tillgång till, tillräcklig cybersäkerhetskompetens.
Organisatorisk placering. CISO eller motsvarande funktion bör rapportera tillräckligt högt i organisationen för att ha verkligt inflytande.
Mandat. Säkerhetsfunktionen ska ha mandat att kräva ändringar, stoppa driftsättningar och eskalera till ledningen.

Dokumentationskrav

Dokumentation är inte bara god praxis, det är den primära bevisbörda organisationen har gentemot tillsynsmyndigheten. Följande dokument bör finnas och vara uppdaterade:

Dokument	Syfte	Uppdateringsfrekvens
Styrelseprotokoll med säkerhetsbeslut	Bevisar godkännande och övervakning	Varje styrelsemöte
Informationssäkerhetspolicy	Övergripande ramverk	Årligen eller vid väsentlig förändring
Riskbedömning och riskbehandlingsplan	Visar systematisk riskhantering	Årligen och efter väsentliga förändringar
Utbildningsregister	Bevisar uppfylld utbildningsplikt	Löpande
Incidentlogg	Spårbarhet för rapporteringsplikten	Löpande
Revisionsrapporter	Bevisar utvärdering av åtgärder	Årligen
Budget och resursallokering	Visar att resurser tilldelats	Årligen

Sanktioner vid bristande ledningsansvar

Vid konstaterade brister i ledningens ansvar har tillsynsmyndigheterna flera verktyg:

Sanktionsavgifter

Sanktionsavgifter kan riktas mot organisationen som helhet men ledningens agerande, eller brist på agerande, är en faktor som påverkar avgiftens storlek. Faktorer som beaktas:

Om ledningen kände till riskerna men underlät att agera.
Om ledningen saknade utbildning trots lagkravet.
Om det saknades dokumentation som visar godkännande och övervakning.
Om organisationen tidigare uppmärksammats på brister utan att vidta åtgärder.

Tillfälligt förbud mot ledningsbefattning

Upprepade allvarliga överträdelser.
Underlåtenhet att vidta åtgärder trots föreläggande.
Grav försummelse av tillsynsansvaret.

Praktiska steg: en åtgärdslista för styrelsen

Baserat på lagens krav och tillsynsmyndigheternas vägledning rekommenderar vi följande steg:

Omedelbart (om inte redan genomfört):

1.Genomför en formell genomgång av Cybersäkerhetslagens krav i styrelsen.
2.Utse en styrelseledamot med särskilt ansvar för cybersäkerhetsfrågor.
3.Boka och genomför cybersäkerhetsutbildning för samtliga styrelseledamöter och VD.
4.Begär en statusrapport från organisationens säkerhetsfunktion.

Inom tre månader:

1.Godkänn eller uppdatera organisationens informationssäkerhetspolicy med explicit koppling till Cybersäkerhetslagens krav.
2.Godkänn den aktuella riskbedömningen och riskbehandlingsplanen.
3.Upprätta en kvartalsvis rapporteringsstruktur till styrelsen.
4.Dokumentera allt i styrelseprotokoll.

Löpande:

1.Genomför kvartalsvis uppföljning av cybersäkerhetsstatus.
2.Genomför årlig revision av hela cybersäkerhetsramverket.
3.Uppdatera utbildningen vid väsentliga förändringar i hotbild eller regelverk.
4.Säkerställ att incidentrapporteringsprocessen inkluderar styrelsenivån.

Ledningens personliga ansvar under NIS2

Varför talar vi om personligt ansvar?

Vad säger lagen?

2 kap. 3 § (med 2 kap. 4 §): Faktiskt vidtagande och utbildning

2 kap. 4 §: Utbildningsplikt

Vem räknas som "ledning"?

Praktiskt: vad styrelsen måste göra

1. Formellt godkänna riskhanteringsåtgärder

2. Upprätta en löpande rapporteringsstruktur

3. Genomgå utbildning och dokumentera det

4. Säkerställa resurser och organisatorisk förankring

Dokumentationskrav

Sanktioner vid bristande ledningsansvar

Sanktionsavgifter

Tillfälligt förbud mot ledningsbefattning

Praktiska steg: en åtgärdslista för styrelsen

Slutord

Ledningens personliga ansvar under NIS2

Varför talar vi om personligt ansvar?

Vad säger lagen?

2 kap. 3 § (med 2 kap. 4 §): Faktiskt vidtagande och utbildning

2 kap. 4 §: Utbildningsplikt

Vem räknas som "ledning"?

Praktiskt: vad styrelsen måste göra

1. Formellt godkänna riskhanteringsåtgärder

2. Upprätta en löpande rapporteringsstruktur

3. Genomgå utbildning och dokumentera det

4. Säkerställa resurser och organisatorisk förankring

Dokumentationskrav

Sanktioner vid bristande ledningsansvar

Sanktionsavgifter

Tillfälligt förbud mot ledningsbefattning

Praktiska steg: en åtgärdslista för styrelsen

Slutord