Sweden
Logga in

Cybersäkerhet 2025: Har ditt företag gjort sin hemläxa?

Publicerad torsdag, 06 mars 2025 08:00

Cyberattacker och dataläckor är numera vardag. Trots uppmärksammade incidenter har många svenska företag fortfarande bristande skydd mot digitala hot. Vilka är de vanligaste misstagen? Och hur kan företag förbereda sig inför den skärpning av EU-regler som väntar 2025? MSB-experten Margareta Palmqvist delar med sig av sina bästa råd.

Cyberattacker har blivit allt mer sofistikerade och omfattande de senaste åren. Svenska företag och myndigheter har blivit måltavlor för ransomware-attacker, datastölder och social ingenjörskonst. Trots detta saknar många företag en strukturerad och långsiktig strategi för cybersäkerhet.

Enligt Margareta Palmqvist, senior rådgivare på MSB (Myndigheten för samhällsskydd och beredskap), är ett vanligt misstag att ledningen inte tar ett helhetsgrepp:

– Ledningens uppgift är att ansvara för riskbilden och säkerställa att hela organisationen bygger en motståndskraft mot hot för att skydda sin information och sina system.

Ledningens viktiga uppgift: riskbedömning

Ett viktigt steg är att utse en Chief Information Security Officer (CISO). Den driver säkerhetsarbetet och samverkar med många roller i företaget, såsom upphandlare, jurister, revisorer, IT- och säkerhetsexperter.

– Ofta är själva tekniken komplicerad, men ledningen behöver inte förstå alla detaljer. Det viktiga är att ha koll på riskerna. Ledningen behöver vara tydlig med att cybersäkerheten syftar till samma sak som verksamheten: att lösa sina uppgifter och nå sina mål.

Margareta Palmqvist betonar vikten av att skilja mellan att bygga förmåga och att vidta specifika åtgärder:

– När mediebilden fokuserar på en viss typ av attack är det lätt att fastna i att skydda sig mot just det hotet. Men företag måste vara förberedda på flera olika scenarier. Ett systematiskt arbetssätt ger bättre beslutsunderlag och riskhantering.

Incidentberedskap och risker i vardagen

Attacker sker dagligen, men alla får inte effekt. Många går att avvärja – om företaget är förberett. En vanlig brist är dock avsaknaden av en tydlig incidenthanteringsplan, vilket gör att företag saknar strategi för att snabbt agera vid en attack.

Margareta Palmqvist
Man måste vara snabb på bollen, och för att lyckas krävs regelbunden övning.

– Man måste vara snabb på bollen, och för att lyckas krävs regelbunden övning. Vi på MSB har tagit fram scenariobaserade övningar för ledningsgrupper.

Fokus ligger ofta på bluffmejl och utomstående hot, men den mänskliga faktorn orsakar fortfarande många incidenter.

– Människor gör misstag, exempelvis vid systemuppdateringar, ändringshanteringar eller rent slarv som att gräva av en kabel. Det låter banalt, men det händer fortfarande.

Balansen mellan säkerhet och användarvänlighet

För anställda kan säkerhetsåtgärder som lösenordsbyten, systemuppdateringar och flerfaktorsautentisering kännas krångliga. Hur hittar man balansen?

– Visst finns det onödigt komplicerade lösningar, men de förbättras ständigt. Nyckeln är utbildning – om personalen förstår nyttan med säkerhetsåtgärder blir de mer benägna att följa dem, säger Margareta Palmqvist.

AI spelar en allt större roll inom cybersäkerhet, både för angripare och försvarare.

– AI-utvecklingen går otroligt snabbt, men ur ett ledningsperspektiv är principen densamma som för allt annat: analysera vilka tillgångar du vill skydda och vilka risker som finns, säger hon.

Skärpta EU-regler och juridiska konsekvenser

Hur långt har ditt företag kommit i säkerhetsarbetet? Det är hög tid att reflektera över det, eftersom nya EU-regler skärper kraven. NIS2-direktivet kan innebära höga böter vid säkerhetsbrister.

– Jag ser att jurister börjar intressera sig mer för dessa frågor i takt med att regelverket skärps, säger  Margareta Palmqvist och fortsätter:

– NIS2 kräver bland annat att ledningen utbildar sig för att ha rätt kompetens och att de tillhandahåller utbildning för personalen. Det är något alla bör påbörja redan nu. Ett tips är att använda MSB:s verktyg Cybersäkerhetskollen för att få en nulägesanalys och vägledning framåt.

Fakta: NIS2-direktivet

Bakgrund:
NIS (Network and Information Security Directive) är ett EU-direktiv som syftar till att höja cybersäkerheten. NIS2 är en förstärkt version med utökade krav.

Viktiga förändringar:

  • Höjda krav på riskhantering
  • Sanktioner vid bristande efterlevnad.

Vilka omfattas:
Medelstora och stora företag inom samhällsviktig verksamhet, exempelvis energi, transport, bank, tillverkningsindustri och digital infrastruktur.

Vad gäller i Sverige:
NIS2 kommer att implementeras i svensk lag som Cyberäkerhetslagen och förväntas träda i kraft under 2025.

Cybersäkerhetsrådgivning hos MSB

Företag som kört fast med informationssäkerhetsarbetet kan kontakta MSB för rådgivning. Läs mer om det på MSBs webbplats.

    Mer intressant läsning

    Så minskar du riskerna för kundförluster i konkurstider

    När konkurserna ökar står företag inför stora utmaningar: att skydda sig mot kundförluster. Det handlar om att ha en aktiv reskontra och att vara vaksam, menar experterna Henrik Hargéus, kreditanalytiker på Dun & Bradstreet, och Jonatan Fornander, koncernkreditchef på Svea Bank. Här ger de sina bästa tips för att minimera riskerna.

    Så många onlineshoppare är rädda för bedrägerier – känner du igen dig?

    Generation Z ligger i framkant när det gäller digitala plånböcker och självbetjäningskassor. Samtidigt uttrycker de unga också en växande oro för säkerheten online, visar Svea Banks nya upplaga av ”Payments in the Nordics”.

    Experter om 2025: "vi ser ljuset – frågan är hur lång är tunneln"

    Har ditt företag klarat av den ekonomiska stormen så här långt? Grattis – det är en bedrift som visar att din produkt verkligen efterfrågas. Nu när vi ser räntesänkningar och stabilare priser, kan vi börja hoppas. Är det nu det äntligen vänder? Låt oss se vad experterna förutspår för 2025.