Enligt OneMore Secures Cybersäkerhet Mognadsrapport 2025, baserad på över 750 svenska verksamheter, har 42 procent låg mognad inom leverantörskedjor. 25 procent saknar kontinuitetsplaner.
Nästan 40 procent saknar dataklassificering. 25 procent krypterar inte känsliga uppgifter.
Det här är inte nya problem. Det är samma tekniska brister som rapporterats sedan 2010: patchning, segmentering, identitetsstyrning, backup. Trots femton år av rapporter, utredningar och strategier har mognaden knappt rört sig.
Lägst offentligt stöd i EU
Samtidigt visar Europeiska investeringsbanken (EIB) att Sverige ligger lägst i EU på offentligt investeringsstöd till cybersäkerhet. Endast 3 procent av företagen uppger att de fått stöd. 75 procent finansierar cybersäkerhet från egna medel. Finansieringsbristen är den högsta sedan 2019.
Parallellt intensifieras retoriken: “cybermiljarden”, NATO-övningar, ny cyberstrategi, “möjlighet att sätta ny standard”. Orden blir fler. Förändringen uteblir.
Strukturell dissonans
Cyberhot beskrivs som nationell säkerhet, men infrastrukturen styrs fortfarande som lokal IT-förvaltning. Kommunalt självstyre, lägsta pris-upphandling, frivillig samverkan. Avståndet mellan hur hotet beskrivs och hur det hanteras är inte ett kommunikationsproblem. Det är ett systemproblem.
Tre möjliga förklaringar
1. Hotet är retoriskt användbart
Det legitimerar budgetar utan att kräva mätbar förändring. FRA och MSB kan rapportera samma riskbild årligen utan att behöva förklara varför problemen från 2010 fortfarande finns kvar. Hotbilden fyller en funktion, men den driver inte transformation.
2. Systemet är strukturellt trögt
Många aktörer, svag central styrning, begränsad operativ samordning. NIS2 försöker lösa detta genom tvång, men tvång utan stödstrukturer skapar regelefterlevnad på papperet, inte i praktiken.
3. Den faktiska riskaptiten är högre än den deklarerade
91 procent av svenska företag investerar ändå, över EU-snittet. Men investeringarna går till transformation, produktutveckling, energieffektivisering. Cybersäkerhet är en kostnadspost, inte en värdeskapare.
Riskaptit syns inte i rapporter. Den syns i resursallokering.
Cybersäkerhetslagen utan stödstrukturer
Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Men utan stödstrukturer och med högst finansieringsbrist i EU blir resultatet sannolikt: minsta möjliga efterlevnad, konsultprojekt för att bocka av krav, sedan tillbaka till vardagen. Tills den första sanktionen eller incidenten tvingar fram verklig förändring.
Problemet är inte kunskap
Sverige saknar inte kompetens, rapporter eller medvetenhet. Det som saknas är systemförändring. Så länge cybersäkerhet behandlas som en lokal driftfråga snarare än en nationell infrastrukturfråga kommer mognaden att stå still. Oavsett hur många strategier som publiceras.
Behöver du stöd med att bygga faktisk mognad, inte bara efterlevnad? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Compliance-kostnaden är inte en teknikfråga. Det är en styrningsskuld.
Europeiska företag lägger ~150 miljarder euro på regelefterlevnad varje år. AI snabbar inte upp det om styrningen saknas.
Säkerhet som inte kommuniceras är säkerhet som inte finns
Rätt riskbild räcker inte om ledningen inte kan agera på den. Så når du beslut uppåt och beteende nedåt.