Contact sales

Leave your details and we'll get back to you shortly.

Håll mig uppdaterad om Hy5:s funktioner, compliance-insikter och regelverksförändringar.

Vi använder dina uppgifter enbart för att besvara din förfrågan.

Vad kostar det att inte följa cybersäkerhetslagen?

En fråga som dyker upp ofta i våra kunddialoger är inte "vad händer om vi missar ett krav?" utan snarare "vad är det som faktiskt triggar en tillsynsgranskning?" Det är en mer relevant fråga, och den avslöjar något viktigt: de flesta organisationer som kommer till oss har redan förstått att de berörs av cybersäkerhetslagen. Det de vill veta är hur de undviker att hamna i myndigheternas fokus, och vad som händer om de gör det ändå.

Sanktionsnivåerna i korthet

Cybersäkerhetslagen delar in verksamheter i två kategorier: väsentliga entiteter och viktiga entiteter. Kategorin avgör inte bara vilka krav som gäller, utan också hur intensiv tillsynen är och hur stora böterna kan bli.

För väsentliga entiteter är taket 10 miljoner euro eller 2 procent av den globala årsomsättningen, det högsta beloppet gäller. För viktiga entiteter är taket lägre: 7 miljoner euro eller 1,4 procent av omsättningen.

Det här är maximinivåer. I praktiken baseras sanktionens storlek på hur allvarlig överträdelsen är, om den är upprepad, och om organisationen aktivt försökt åtgärda problemet. Men siffrorna är tillräckligt stora för att ta sig in i ett styrelserum, vilket är precis poängen.

En sak som direkt påverkar hur ett compliance-system behöver konfigureras: klassificeringen som väsentlig eller viktig entitet är inte alltid självklar. MCF har ännu inte kommunicerat tydlig vägledning för alla sektorer. Det är en systemfråga som behöver hanteras löpande, inte bara vid registrering.

Den decentraliserade tillsynsmodellen

Sverige har valt en decentraliserad tillsynsmodell. Det betyder att det inte finns en enda myndighet som granskar alla. Vilken myndighet som har tillsyn över din organisation beror på vilken sektor du verkar i.

MCF har ett övergripande samordningsansvar för cybersäkerhetslagen, men den operativa tillsynen ligger hos sektorsspecifika myndigheter. Energiföretag granskas av en annan myndighet än sjukvårdsaktörer, som i sin tur granskas av en annan än digitala infrastrukturbolag.

Det här är viktigt att förstå av ett praktiskt skäl: det finns ingen enhetlig praxis ännu för hur tillsynen genomförs. Olika myndigheter är i olika faser av att bygga upp sin tillsynskapacitet. Det innebär att trycket varierar beroende på sektor, men det innebär inte att risken är låg.

Personligt ansvar: det som faktiskt fångar styrelsens uppmärksamhet

Böterna är stora, men det är personligt ansvar som brukar förändra dynamiken i ett styrelserum.

Cybersäkerhetslagen ställer krav på att ledningen aktivt deltar i och godkänner organisationens säkerhetsarbete. Det räcker inte att delegera ner till IT-avdelningen. Om en incident inträffar och det kan visas att ledningen inte hade tillräcklig insyn eller inte hade godkänt relevanta åtgärder, kan enskilda ledningspersoner hållas personligt ansvariga.

Det här är en fråga som ofta kommer upp när organisationer börjar konfigurera sitt compliance-system. Hur dokumenterar man ledningens godkännande på ett sätt som håller vid en granskning? Hur säkerställer man att rätt person har signerat rätt beslut vid rätt tidpunkt? Det är inte en juridisk fråga, det är en systemfråga.

Hy5 hanterar det här genom att koppla säkerhetsåtgärder och riskbeslut direkt till ansvariga roller i organisationen, med tidsstämplade godkännanden som är spårbara och granskningsbara.

Vad tillsynsmyndigheterna faktiskt tittar på

Baserat på hur cybersäkerhetslagens krav är formulerade och hur liknande tillsynsregimer fungerat i andra EU-länder är det rimligt att anta att tillsynen fokuserar på:

  • Dokumentation: Finns det skriftliga rutiner och policyer för de nio säkerhetsområdena?
  • Incidenthantering: Har organisationen rapporterat incidenter inom rätt tidsramar?
  • Ledningens engagemang: Finns det spår av att ledningen aktivt deltagit i säkerhetsarbetet?
  • Leverantörsgranskning: Har organisationen bedömt risker i sin leverantörskedja?

Det är inte en slumpmässig granskning av tekniska system. Det är en granskning av om organisationen kan visa att den har ett strukturerat och dokumenterat säkerhetsarbete. Skillnaden är viktig för hur ett compliance-system behöver byggas.

Proaktiv compliance är billigare än reaktiv

Det låter som en kliché, men det är en matematisk realitet. En sanktion på 2 procent av global omsättning är i de flesta fall ett mångfalt dyrare än att bygga ett fungerande compliance-system från start.

Det vi ser i våra kunddialoger är att organisationer som väntar med att strukturera sitt compliance-arbete ofta hamnar i ett läge där de måste göra allt på en gång, under tidspress, med manuella processer som inte håller vid en granskning.

Vill du veta hur Hy5 stödjer dokumentation, spårbarhet och ledningsansvar under cybersäkerhetslagen?

Hy5 automatiserar compliance-uppföljning och skapar granskningsbara spår för alla nio säkerhetsområden under cybersäkerhetslagen. Används av svenska organisationer för att operationalisera NIS2-krav utan manuell administration.

Boka en demonstration av plattformen

Hy5 kan drastiskt öka effektiviteten och precision för compliancearbete.

NIS2 Compliance lösningar

Relaterat innehåll

Så bygger du ett strukturerat NIS2-compliance-arbete

NIS2-implementation handlar inte om regeltext utan om systemdesign. Så här strukturerar svenska verksamheter ett hållbart compliance-arbete under cybersäkerhetslagen.

Incidentrapportering under cybersäkerhetslagen: tidslinjer och ansvar

Cyberincidenter måste rapporteras inom strikta tidsramar: 24 timmar, 72 timmar och 30 dagar. Vi förklarar vad som krävs i varje steg.

Det här kräver cybersäkerhetslagen av din organisation

Nio säkerhetsområden definierar kraven i cybersäkerhetslagen. Vi går igenom vad som måste dokumenteras och vilka tre områden organisationer ofta underskattar.

Omfattas din verksamhet av cybersäkerhetslagen?

Cybersäkerhetslagen gäller 18 sektorer och företag med 50+ anställda eller över 10 miljoner euro i årsomsättning. Ta reda på om din organisation är berörd.