Det säger Anna-Clara Söderbaum, vd för Omegapoint Sverige, som menar att ett av de största misstagen sker redan på ledningsnivå.
”Jag tror det första är att man tror att det är en teknik eller en it-fråga. Ledningen delegerar uppgiften och så tänker man att där är jag klar”, säger hon.
Måste upp på styrelsens bord
Konsekvensen blir att cybersäkerhet behandlas som en isolerad teknisk funktion i stället för en central affärsrisk. Enligt Söderbaum måste frågan upp på styrelsens bord och bli en del av bolagets strategi och kultur.
Den nya cybersäkerhetslagen, som trädde i kraft den 15 januari 2026, förändrar spelplanen. Företag måste nu kunna visa att de arbetar systematiskt med cybersäkerhet och rapportera incidenter snabbt.
”Det blir helt enkelt inte längre valbart. Det går från att bli en rekommendation till ett lagkrav”, säger Söderbaum och tillägger att företag som brister riskerar ”ganska ordentliga böter”.
Många bolag oförberedda
Samtidigt är många bolag oförberedda. Problemen handlar mindre om teknik och mer om organisation och riskförståelse.
”Medvetandegraden ligger efter och sättet att agera på den här risken ligger efter. Man tror att det är ett it-problem”, säger hon.
Ett effektivt skydd handlar inte bara om att stoppa intrång utan om att vara redo när de sker. Söderbaum betonar vikten av att bygga en kultur där incidenter rapporteras öppet och snabbt, och där beredskap prioriteras.
”Vill någon ta sig in så kommer man nog kunna göra det. Så ser vår verklighet ut idag. Det ska inte skapa panik utan en vilja att skapa beredskap.”
