Cybersäkerhetslagen: Vad mindre bolag behöver veta om leveranskedjor och cyberhygien
Publicerad: 1 januari 1970
Senast uppdaterad: 12 juli 2026
Den nya cybersäkerhetslagen (som bygger på EU-lagstiftning) har blivit ett hett samtalstema i näringslivet. Lagens huvudsakliga syfte är tydligt: att höja cybersäkerheten och incidentberedskapen i hela samhället samt ge företagsledningar ett tydligare ägarskap över säkerhetsfrågorna.
Fokus ligger på samhällskritiska verksamheter, såsom myndigheter, kommuner, energibolag och matförsörjning. Så varför pratas det då så brett om en lag som specifikt riktar sig till kritiska samhällsfunktioner? Svaret stavas leveranskedjan.
Kraven som ärvs neråt i leden
I lagstiftningen finns ett strikt krav på att de organisationer som omfattas måste säkerställa att hela deras leveranskedja är cybersäker. När en myndighet eller ett energibolag upphandlar varor och tjänster måste de kontrollera sina leverantörer.
I praktiken innebär det att oavsett om du driver ett stort eller litet bolag, kommer du att mötas av tuffa säkerhetsfrågor i framtida upphandlingar. Kraven ärvs helt enkelt neråt. En svaghet hos en underleverantör flera led bort blir i slutänden en svaghet för den samhällsviktiga verksamheten.
Compliance-börda eller verklig nytta?
Det är lätt att se nya lagar som mest onödig administration. Men mycket av arbetet har en påtaglig nytta och om man tar sig an arbetet på ett klokt sätt så behöver det heller inte vara så betungande.
Informationssäkerhet handlar i grunden om struktur och när man har fått strukturerna på plats innebär det säkerhetsförbättringar som är med och skyddar verksamheten varje dag. I en tid med frekventa cyberangrepp och phishingförsök är en god "cyberhygien" direkt avgörande för alla företag.
Tre steg för att ta sig an projektet
För mindre organisationer som saknar en stor IT-budget eller en egen compliance-avdelning handlar det om att vara konkret och avgränsa området. Arbetet kan kokas ner till tre centrala steg:
- Gör tekniskt rätt: Börja med de lågt hängande frukterna. Inför tvåfaktorsautentisering på alla system, se till att brandväggar är påslagna och gör löpande säkerhetsuppdateringar. Utbilda även personalen kontinuerligt så att de känner igen hot som phishing (falska mejl) och wishing (telefonbedrägerier).
- Dokumentera: Gör en enkel inventering av era resurser – vilka mjukvaror, hårdvaror och nätverk använder ni? Identifiera riskerna kopplade till dessa och upprätta tydliga policyer. Hur hanterar ni exempelvis "Shadow IT" (när anställda använder privata telefoner eller datorer i arbetet)? Genom att dokumentera era processer har ni färdiga svar när kunderna ställer frågor i en upphandling.
- Följ upp: Cybersäkerhet är ett rörligt mål. Med jämna mellanrum måste ni utvärdera om era rutiner stämmer överens med verkligheten, göra nya riskanalyser vid inköp av ny teknik och hålla er uppdaterade om nya hot.
Måste man certifiera sig enligt ISO 27001?
Större organisationer driver ofta tunga projekt för att certifiera sig enligt ISO 27001. För ett mindre bolag – kanske runt 50 anställda med en mindre komplicerad verksamhet – är en formell certifiering sällan nödvändig, såvida det inte krävs direkt av era kunder.
Det är betydligt viktigare att ni faktiskt gör rätt och har det dokumenterat i ett välfungerande informationssäkerhetssystem som liknar strukturen i ISO 27001, snarare än att ha själva certifikatet på väggen.
Här på Lantero har vi utvecklat färdiga, lättbegripliga mallar och ifyllda exempel som hjälper er att inventera era resurser, göra riskanalyser och sätta rätt struktur från början – utan att göra processen tyngre än den behöver vara.