Femton år av samma hotbild. Varför står mognaden still?

Färsk kartläggning visar att 42 procent av svenska organisationer har låg mognad inom leverantörskedjor. 25 procent saknar kontinuitetsplaner. Nästan 40 procent saknar dataklassificering. 25 procent krypterar inte känsliga uppgifter.

Det här är inte nya problem. Det är samma tekniska brister som rapporterats sedan 2010: patchning, segmentering, identitetsstyrning, backup. Trots femton år av rapporter, utredningar och strategier har mognaden knappt rört sig.

Lägst offentligt stöd i EU

Samtidigt visar Europeiska investeringsbanken (EIB) att Sverige ligger lägst i EU på offentligt investeringsstöd till cybersäkerhet. Endast 3 procent av företagen uppger att de fått stöd. 75 procent finansierar cybersäkerhet från egna medel. Finansieringsbristen är den högsta sedan 2019.

Parallellt intensifieras retoriken: “cybermiljarden”, NATO-övningar, ny cyberstrategi, “möjlighet att sätta ny standard”. Orden blir fler. Förändringen uteblir.

Strukturell dissonans

Cyberhot beskrivs som nationell säkerhet, men infrastrukturen styrs fortfarande som lokal IT-förvaltning. Kommunalt självstyre, lägsta pris-upphandling, frivillig samverkan. Avståndet mellan hur hotet beskrivs och hur det hanteras är inte ett kommunikationsproblem. Det är ett systemproblem.

Tre möjliga förklaringar

1. Hotet är retoriskt användbart

Det legitimerar budgetar utan att kräva mätbar förändring. FRA och MSB kan rapportera samma riskbild årligen utan att behöva förklara varför problemen från 2010 fortfarande finns kvar. Hotbilden fyller en funktion, men den driver inte transformation.

2. Systemet är strukturellt trögt

Många aktörer, svag central styrning, begränsad operativ samordning. NIS2 försöker lösa detta genom tvång, men tvång utan stödstrukturer skapar regelefterlevnad på papperet, inte i praktiken.

3. Den faktiska riskaptiten är högre än den deklarerade

91 procent av svenska företag investerar ändå, över EU-snittet. Men investeringarna går till transformation, produktutveckling, energieffektivisering. Cybersäkerhet är cost center, inte value driver.

Riskaptit syns inte i rapporter. Den syns i resursallokering.

Cybersäkerhetslagen utan stödstrukturer

Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Men utan stödstrukturer och med högst finansieringsbrist i EU blir resultatet sannolikt: minsta möjliga compliance, konsultprojekt för att checka boxen, sedan business as usual. Tills första sanktionen eller incidenten tvingar fram verklig förändring.

Problemet är inte kunskap

Sverige saknar inte kompetens, rapporter eller medvetenhet. Det som saknas är systemförändring. Så länge cybersäkerhet behandlas som en lokal driftfråga snarare än en nationell infrastrukturfråga kommer mognaden att stå still. Oavsett hur många strategier som publiceras.

Behöver ni stöd med att bygga faktisk mognad, inte bara compliance? Kontakta oss för en kostnadsfri genomgång.