Varför artikel 20 är den verkliga vändpunkten
Jag tycker att
artikel 20 är den mest missförstådda delen av NIS2. Inte för att den är svår,
utan för att den är obekväm. Den gör något som många organisationer har försökt
undvika i åratal: den flyttar cybersäkerhet från “någon annans bord” till ledningens
bord.
NIS2 säger i
praktiken tre saker om ledningen:
För det första: ledningen ska godkänna
riskhanteringsåtgärderna.
För det andra: ledningen ska övervaka att
de fungerar.
För det tredje: ledningen ska kunna bli personligt
ansvarig om man inte sköter detta. (European Union, 2022).
Det här kan
låta självklart. Men i verkligheten har många verksamheter byggt en kultur där
cybersäkerhet blir “en funktion”, medan ledningen “håller med” på distans.
Artikel 20 säger: kaptenen måste vara på bryggan när det gäller.
“Engagemang” är inte en känsla – det är styrning
som syns
Här tycker jag
att vi behöver vara brutalt praktiska. Engagemang är ett fint ord. Men i
tillsyn och revision betyder engagemang något mycket konkret: spårbarhet.
Att ledningen
engagerar sig märks när man kan följa en rak linje:
Det är därför
NIS2 kopplar artikel 20 så tydligt till artikel 21. Artikel 21 beskriver vad
som ska finnas på plats i form av riskhantering och säkerhetsåtgärder. Artikel
20 säger att ledningen ska se till att det händer och hålla i ratten. (European
Union, 2022).
Artikel 21 i ledningens spegel
Artikel 21
listar tio områden (a till j) som ska täckas av riskhanteringsåtgärder. Jag
tänker inte återge dem som en checklista här, för då gör jag exakt det som NIS2
försöker få oss att sluta med. Men jag vill säga något tydligt: artikel 20
blir meningslös om ledningen inte gör artikel 21 styrbar.
Om jag
översätter artikel 21 till bryggspråk så handlar det om att ledningen måste
kunna svara på tre frågor utan att någon i rummet börjar hosta nervöst:
Vad är vår
riskbild?
Det är artikel
21.2 a: policys för riskanalys och säkerhet i informationssystem. Alltså: vet
vi var vi kan gå på grund och varför? (European Union, 2022).
Vilka förmågor
har vi när något händer?
Det är
incidenthantering och kontinuitet, backup och återställning, krishantering och
kommunikation. Det är också det som gör att “proportionerligt” och “lämpligt”
slutar vara poesi och börjar bli verklighet. (European Union, 2022).
Hur vet vi att
det fungerar?
Det är den
kanske viktigaste frågan. NIS2 pekar uttryckligen på behovet av att åtgärder
ska vara effektiva och att man ska beakta “state of the art”, alltså aktuell
teknisk och metodmässig nivå. För vissa typer av aktörer finns också EU-krav
som preciserar tekniska och metodiska delar i en genomförandeförordning (EU)
2024/2690. (European Union, 2022; European Commission, 2024).
Här brukar jag
stanna upp och säga något som är lätt att förstå även om man aldrig läst en rad
juridik:
Det som inte
testas, finns inte.
På en båt
räknas inte livbåtarna för att de står på däck. De räknas när de går att
sjösätta.
Den vanligaste missuppfattningen jag möter i
ledningsrum
“Det här är
väl tekniskt?”
Nej. Det
tekniska är en del av åtgärderna. Men artikel 20 är ett krav på styrning.
Och styrning är att fatta beslut om prioriteringar, resurser och acceptabla
risker.
Det är också
därför NIS2 kräver att ledningspersoner ska genomgå utbildning. Utbildning här
betyder inte att de ska bli tekniker. Det betyder att de ska förstå riskerna
och kunna värdera riskhanteringsåtgärder, samt hur de påverkar den tjänst
verksamheten levererar. (European Union, 2022). Jag brukar beskriva det
som att ledningen inte behöver kunna skruva i motorn. Men den måste förstå
skillnaden mellan “en lampa blinkar” och “vi tar in vatten”.
Svensk tillämpning: mer än bara en EU-idé
Med
Cybersäkerhetslagen och cybersäkerhetsförordningen har Sverige etablerat hur
tillsyn, rapportering och ansvar ska fungera nationellt, inklusive roller för
samordning och vidarebefordran av incidentrapporter mellan medlemsstater.
(Sveriges riksdag, 2025b).
Det är här som
många organisationer kommer att känna skillnaden mellan “vi är nog ganska bra”
och “vi kan visa att vi är bra”. För tillsyn tittar inte på ambition. Den
tittar på spårbarhet och effekt.
Min vision, utan att drömma bort verkligheten
Jag tror att
artikel 20 kan bli en av de bästa saker som hänt europeisk cybersäkerhet. Inte
för att den skapar fler krav, utan för att den flyttar fokus från papper till
verklighet.
Men då måste
vi förstå detta: artikel 20 är inte en moralparagraf. Den är en konstruktion
som ska ändra incitament. Den gör det dyrare att vara passiv. Den gör det mer
lönsamt att bygga verklig förmåga.
Och det är där
jag tycker “wow-faktorn” ligger, om man vågar se den:
När ledningen
faktiskt tar bryggan på allvar så blir cybersäkerhet inte en bromskloss. Den
blir en stabilisator. Den gör att organisationen vågar fatta snabbare beslut,
för att man vet var gränserna går och hur man tar sig tillbaka om man halkar.
Slutkläm
Artikel 20
säger inte att du ska vara perfekt. Den säger att du ska vara ansvarig. Och i
en värld där digitala tjänster är samhällsbärande är det svårt att argumentera
emot. Jag vill att vi slutar prata om cybersäkerhet som en avdelning. Jag vill
att vi börjar behandla det som det är: en del av ledningens kärnuppdrag att
hålla verksamheten flytande, även när det blåser.
Kaptenen
behöver inte vara överallt. Men den får inte lämna bryggan.
Referenser
European
Commission. (2024). Commission Implementing Regulation (EU) 2024/2690.
EUR-Lex.
European
Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the
European Union, L 333.
Regeringen.
(2026). Ny lag stärker cybersäkerheten / Nu skärps kraven på svensk
cybersäkerhet (sidor om ikraftträdande 15 januari 2026).
Sveriges
riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk
författningssamling.
Sveriges
riksdag. (2025b). Cybersäkerhetsförordning (2025:1507). Svensk
författningssamling.
