Sverige är ett av Europas mest digitaliserade länder, men när Myndigheten för civilt försvar (MCF) mäter hur väl vi faktiskt skyddar vår digitala infrastruktur, är bilden en annan. Av de 47 organisationer som deltog i samtliga fyra mätningar i Cybersäkerhetskollen 2025 klarar bara tre den lägsta nivån. Ingen klarar nivå 2 eller högre.
Det är inte ett resultat som går att vifta bort med hänvisning till att mätningarna är nya eller att kraven är höga. Det systematiska cybersäkerhetsarbetet som mäts i Cybersäkerhetskollen handlar om grundläggande informationssäkerhet:
Det är med andra ord inte raketforskning. Det är förvaltning.
65 procent av de deltagande organisationerna uppger att de saknar den personal som krävs för att förbättra sitt cybersäkerhetsarbete. Det är ett reellt problem – men MCF-rapporten pekar mot något annat som orsak. Det svagaste området är konsekvent uppföljning och utvärdering av säkerhetsåtgärder. Det är inte ett resursproblem, det är ett styrningsproblem. Och styrning är en ledningsfråga. Det handlar inte om att man inte vet vad som behöver göras, utan om att det sällan får utrymme när budgetar och agendor redan är fyllda. Frågan varje ledning behöver ställa sig är inte om de har råd att prioritera cybersäkerhet, utan om de har råd att låta bli.
Cybersäkerhet är en ledningsfråga. Det slås fast i cybersäkerhetslagen som trädde i kraft den 15 januari 2026. Ledningen måste ha tillräcklig kunskap för att kunna identifiera risker, bedöma vilka säkerhetsåtgärder som ska vidtas och följa upp att organisationens skyddsnivå är tillräcklig. Det är inte ett ansvar som kan delegeras bort.
Lagen gäller inte bara statliga myndigheter. Den gäller alla verksamhetsutövare inom 18 utpekade sektorer. De som omfattas får krav på att införa systematiskt cybersäkerhetsarbete med dokumentation av tekniska och organisatoriska säkerhetsåtgärder, riskanalyser och leverantörskontroller – och ska rapportera betydande cyberincidenter till ansvarig tillsynsmyndighet. Vid bristande efterlevnad kan tillsynsmyndigheterna utfärda förelägganden, ingripa organisatoriskt och ta ut sanktionsavgifter. Tillsynsmyndigheterna bryr sig inte om vilken bransch du tillhör.
Det allra svagaste resultatet i årets mätning gäller OT-säkerhet. OT-säkerhet står för Operational Technology och handlar om att skydda de system som styr fysiska processer i den verkliga världen. Specifikt pekar de svagaste resultaten mot skyddet av de industriella styr- och kontrollsystem som reglerar vattenrening, elförsörjning och transporter där hela nio av tio organisationer saknar grunderna. Inte en enda har nått nivå 3. Det är de systemen som en angripare – statsaktör eller kriminell – kan orsaka störst skada via.
Det säkerhetspolitiska läget är allvarligt. Under 2025 stals personuppgifter från 164 kommuner och fyra regioner i ett enda angrepp mot Miljödata. SportAdmin drabbades av en omfattande incident. Leveranskedjeattacker ökar. Och ändå är det bara tre, t-r-e, av 47 organisationer som klarar Cybersäkerhetskollens lägsta nivå i sin helhet. Det är en väckarklocka.
Av de 600-700 organisationer som tidigare omfattades av NIS-lagstiftningen valde bara 20 privata bolag att delta i Cybersäkerhetskollen 2025. Det gör det omöjligt för MCF att ta fram en samlad nationell bild – och det är inte bara ett problem för myndigheterna, utan för hela samhällets motståndskraft.
Med cybersäkerhetslagen förväntas antalet verksamhetsutövare växa till mellan 3 000 och 5 000 organisationer. Det är ett enormt åtagande. Och grunden för att klara det är densamma oavsett om du är en region, en kommun eller ett privat bolag: systematik, uppföljning och ett ledarskap som tar ansvar.
MCF-rapporten är inte en akademisk övning. Den är en lägesbild som kräver ett svar. Många organisationer är faktiskt nära att nå godkänd nivå – de har genomfört en rad åtgärder, men brister i systematik eller saknar dokumentation. Med rätt stöd på plats kan många förbättra sig snabbt.
På Draftit hjälper vi organisationer att omsätta lagkrav i praktisk handling, oavsett om det gäller dataskydd, informationssäkerhet eller den nya cybersäkerhetslagen.
Tre av 47 klarar kraven. Vet du om din organisation är en av dem? Om du inte vet svaret är det dags att ta reda på det.