Trots att cyberhoten aldrig varit större visar ny forskning från MIT att styrelser paradoxalt nog blir sämre på att hantera frågor om cybersäkerhet. I Sverige sticker problemen ut extra tydligt.
Rapport: Styrelser misslyckas med cybersäkerhet – tre misstag som kostar miljarder
Cyberattacker kostade amerikanska företag 33 procent mer under 2024 jämfört med året innan, enligt FBI. Ändå visar en ny studie från MIT Sloan och Bentley University att styrelsernas förmåga att hantera hoten bara förbättrats marginellt, trots ökat fokus.
”Vi har intervjuat mer än 75 styrelseledamöter och styrelsenära chefer. Trots att styrelser lägger mer tid på cyber har deras förmåga att faktiskt minska riskerna knappt förbättrats”, skriver forskarna Jeffrey Proudfoot och Stuart Madnick i Harvard Business Review.
Tre brister sticker ut.
1. Expertisen saknas i styrelserummet
Av 239 styrelseledamöter i cybersäkerhetskommittéer vid 62 företag hade bara en enda formell cybersäkerhetsutbildning. Fem hade genomgått certifieringar. 16 bidrog med relevant praktisk erfarenhet.
”AI och cyber rör sig så snabbt att jag själv har svårt att hänga med, och jag kan tekniken och bor i Silicon Valley”, säger en styrelseledamot i studien.
Lösningen är inte att rekrytera fler cyberexperter till styrelsen, menar forskarna. Istället bör styrelser fokusera på att hitta och övervaka kompetenta cybersäkerhetschefer, och bedöma dem genom krisövningar och simulerade incidenter.
2. AI-diskussioner ignorerar säkerheten
I praktiskt taget varje styrelserum diskuteras AI, men samtalen handlar nästan uteslutande om strategi och affärsmöjligheter. Säkerhetsaspekterna faller bort.
AI används redan av cyberkriminella för att skapa övertygande nätfiskeattacker, generera skadlig kod snabbare och automatisera storskaliga angrepp.
”Styrelser bör vara lika oroade för AI-drivna cyberhot som de är entusiastiska över AI:s affärsmöjligheter”, skriver Proudfoot och Madnick.
3. Regelefterlevnad förväxlas med säkerhet
Styrelser som tror att de är säkra för att de uppfyller regulatoriska krav sitter i en fälla. Forskarna är skarpa i sin kritik.
”Myndigheter har svårt att komma bortom mentaliteten ’gå till slagfältet och skjut de sårade’, det vill säga straffa företag som redan drabbats”, säger en expert i studien.
”Om du ser det som en användbar övning i moralhöjning, då vet du allt du behöver veta om cybersäkerhetsregleringar.”
Sverige sticker ut – negativt
Bara 48 procent av svenska chefer planerar att öka cybersäkerhetsinvesteringarna på grund av geopolitisk oro, visar en PwC-undersökning bland närmare 4 000 ledande befattningshavare globalt.
Globalt är siffran 60 procent.
”Det är en anmärkningsvärd siffra. Vi i Sverige sticker verkligen ut i jämförelse med resten av världen”, sa Marie Strömberg på PwC. ”Det kan finnas en viss naivitet kring hur säkra vi är, detta trots att vi ser en stor ökning av intrång.”
Närmare hälften av alla större svenska företag attackerades under 2025, enligt Azets Barometer. Nästan var fjärde drabbades mer än en gång.
Av de 300 offentliga organisationer som deltog i Cybersäkerhetskollen 2025 nådde bara en handfull nivån för systematiskt cybersäkerhetsarbete.
”En ledningsfråga, inte en IT-fråga”
Anna-Clara Söderbaum, vd för cybersäkerhetsbolaget Omegapoint, är tydlig.
”Det vanligaste misstaget är att man ser cybersäkerhet som en it-fråga. Ledningen delegerar och tänker att arbetet är klart. Men det är en affärsrisk”, sa hon i en intervju om svenska företags överskattade cybersäkerhet. ”Vill någon ta sig in så kommer man nog kunna göra det. Så ser vår verklighet ut idag.”
Emil Olofsson, säkerhetsexpert på Integrity360, ser samma mönster. ”Man behöver inte se cybersäkerhet som en IT-fråga, utan mer som en ledningsfråga och en kontinuitetsfråga”, sa han i en genomgång av hur svenska företag hotas av allt från tonårshackers till cyberkarteller.
Ny lag – personligt ansvar för styrelsen
Den nya cybersäkerhetslagen trädde i kraft 15 januari 2026. Lagen bygger på EU:s NIS2-direktiv och innebär att styrelseledamöter kan hållas personligt ansvariga för brister i cybersäkerhetsarbetet.
Sanktionsavgifterna enligt direktivet når upp till 10 miljoner euro eller 2 procent av den globala omsättningen för väsentliga verksamheter.
Trots det visar PwC:s siffror att svenska informationssäkerhetschefer i större utsträckning rapporterar till ekonomichefer snarare än till den högsta ledningen.
Det skiljer dem från internationella kollegor.
Miljardnotor när det brister
I augusti 2025 attackerades systemleverantören Miljödata. Över 200 kommuner och regioner drabbades. 1,5 miljoner svenskars känsliga uppgifter hamnade på Darknet.
Samma månad tvingades Jaguar Land Rover stoppa sin globala produktion i fem veckor. Direktkostnaden landade på 2,6 miljarder kronor och attacken spred sig till 5 000 företag i leveranskedjan.
Total kostnad för brittisk ekonomi: 33 miljarder kronor.
Vägen framåt
MIT-forskarnas budskap är tydligt: sluta jaga teknisk expertis i styrelserummet, sluta förväxla regelefterlevnad med säkerhet, och börja behandla AI som lika mycket ett hot som en möjlighet.
”Dynamiken liknar flygsäkerhet – organisationer motiveras att förbättra sig för att konsekvenserna av misslyckande är omedelbara och allvarliga”, skriver Proudfoot och Madnick.
Regeringen satsar 300 till 400 miljoner kronor per år fram till 2028 på Sveriges cyberberedskap.
Styrelserna har pengarna. Nu handlar det om att använda dem rätt.
