Tillbaka till bloggen
blog image

Varför börja med cyberhygien före cybersäkerhetslagen?

Publicerad: 2 juli 2025

Snart kommer den nya cybersäkerhetslagen. Det är den svenska implementationen av EU:s NIS2-direktiv, som syftar till att höja nivån inom cybersäkerhet inom ett antal viktiga sektorer i samhället.

Cybersäkerhetslagen har förvisso fördröjts och vi väntar fortfarande på propositionen. Men det är i sig inte ett skäl att avvakta med cyberhygienarbetet.

Generell nivåhöjning

Även om direktivet riktar in sig specifikt på att ett antal kritiska områden så är det troligt att reglerna får en mer generell påverkan på företag och andra organisationer. Ett viktigt skäl till det är att de berörda verksamheterna kommer att behöva höja kraven på sina leverantörer, vilket skapar en effektiv spridningseffekt och en trolig generell höjning kring vad man förväntar sig av leverantörer. Dels i medvetenhet om sin cyberhygien och dels i form av konkret underlag och dokumentation.

Varför sätter man inte igång?

En typisk inställning bland många mindre bolag är att man har hygglig koll på sin informationshantering och IT, men att man är för små för att bedriva ett strukturerat arbete av typen ISO 27001.

Det är sant att ramverk som ISO 27001 inte riktigt är anpassade för mindre bolag. Men konceptet att metodiskt gå igenom område för område för att hitta svagheter är lika relevant för små som stora organisationer. Det är bara en fråga om att hitta en metodik som är anpassad efter den egna verksamhetens förutsättningar.

Första steget är medvetenhet

Att inleda arbetet med sin cyberhygien behöver inte betyda att man etablerar tuffa inloggningskrav i alla delar av verksamheten eller att man behöver byta IT-infrastruktur. Inledningsvis handlar det om medvetenhet. Det kan vara att känna till var svagheterna finns. Det kan handla om att skapa dokumentation om hur man arbetar och det syftar till att etablera förutsättningar att successivt adressera sina svagheter eller att täppa till riskvektorer.

Att sätta igång är nyckeln

Det viktiga är att arbetet kommer igång och att man etablerar en överblick. Den hjälper till att veta vad man ska fokusera på och i vilken ordning. När cybersäkerhetslagen sedan är på plats kan man utifrån en mycket bättre position sätta en plan för hur man ska komplettera med det som saknas.

Lantero erbjuder ett ramverk för arbetet som i praktiken är ett metodstöd där hela temat bryts ner i konkreta aktiviteter, som var och en har ett relevant underlag för att komma igång – och förhoppningsvis komma i mål.