News

Cybersäkerhet har definitivt blivit en styrelsefråga

En dag på European Resilience Summit, bland Microsoft, Deloitte, Capgemini och offentlig sektor - och överallt samma signal: säkerheten hör hemma vid styrelsebordet.

  • 24 juni 2026
  • 5 min läsning

Ibland lämnar man ett event med känslan av att en marknad är på väg att förändras i grunden. Så kändes European Resilience Summit - en dag bland människor från Microsoft, Deloitte, Capgemini, Fujitsu och offentlig sektor, där ett tema återkom gång på gång: cybersäkerhet är inte längre en IT-fråga. Det har blivit ett ansvar för styrelsen.

Vissa event handlar helt om ny teknik. Andra lämnar dig med känslan av att en marknad förändras i grunden. European Resilience Summit var definitivt av det andra slaget.

Under dagen talade jag med människor från organisationer som Microsoft, Deloitte, Capgemini, Fujitsu och flera offentliga aktörer. Samtalen spände från AI till digital infrastruktur och geopolitik, men ett tema återkom hela tiden: cybersäkerhet är inte längre en IT-fråga. Det har blivit ett ansvar för styrelsen.

Den nya verkligheten med NIS2 och den nederländska cybersäkerhetslagen

De flesta organisationer känner numera till NIS2. Ändå märkte jag i samtal efter samtal att dess påverkan fortfarande underskattas. Den nederländska cybersäkerhetslagen, den nationella implementeringen av NIS2, lägger ansvaret tydligt på styrelsen.

Inom kort kommer styrelseledamöter inte bara att behöva godkänna åtgärder. De måste också kunna visa att de har uppsikt över hur åtgärderna genomförs, och att de vet tillräckligt för att fatta rätt beslut. Det förändrar spelplanen helt. I åratal var cybersäkerhet främst en fråga för IT-chefer och säkerhetsspecialister; nu hamnar den direkt på styrelsens agenda.

Tre frågor varje styrelseledamot bör kunna besvara

En av dagens starkaste slutsatser var förvånansvärt enkel. Varje organisation bör kunna besvara tre frågor redan i dag:

  1. Omfattas vi? Är vi en väsentlig eller viktig verksamhet enligt lagstiftningen?
  2. Kan vi visa att vi lever upp till kraven? Inte bara att ha policyer, utan att faktiskt kunna belägga övervakning, loggning, åtkomstkontroll och riskhantering.
  3. Vem är ansvarig? Vilken styrelseledamot bär ytterst ansvaret och kan hållas till svars?

Talande nog är ingen av dessa en teknisk fråga. Det är frågor om styrning.

Tekniken ensam räcker inte

Vad jag hörde i många samtal är att organisationer ofta letar efter den enda tekniska lösningen. Men regelefterlevnad börjar inte med tekniken. Den börjar med insikt. Du behöver känna dina risker, veta vilka processer som är kritiska och var era sårbarheter finns. Först därefter blir frågan om vilken teknik som stödjer den policyn aktuell.

Samtidigt kan organisationer inte vänta tills varje styrdokument är färdigt. Införandet av AI, moln och hybridarbete går helt enkelt för snabbt. Därför ser vi på Momentum EMEA två rörelser ske samtidigt:

  • Från policy till teknik.
  • Från teknik till policy.

Du utvecklar styrningen samtidigt som du inför de tekniska åtgärder som minskar risken direkt.

Från regelefterlevnad till cyberresiliens

Något annat stack ut: de mest mogna organisationerna talar knappt om regelefterlevnad längre. De talar om resiliens. Cyberresiliens. För dem är regelefterlevnad inte målet utan en biprodukt.

Dessa organisationer investerar i kontinuerlig övervakning, Zero Trust-arkitekturer, multifaktorautentisering, leverantörsbedömningar, spårbarhet och snabb detektering och respons. Inte för att lagen kräver det, utan för att deras verksamhetskontinuitet är beroende av det.

Var Momentum EMEA kommer in

I samtal får jag ofta frågan var ansvaret för en partner som Momentum börjar och slutar. Den gränsdragningen är viktig. Vi hjälper organisationer med den tekniska sidan av deras aktsamhetsplikt:

  • Nätverkssegmentering
  • Zero Trust Network Access (ZTNA)
  • Multifaktorautentisering
  • Kontinuerlig övervakning och loggning
  • Detektering och respons
  • Leverantörs- och åtkomstsäkerhet
  • Säkerhet och uppkoppling via en enda integrerad plattform

Vad vi inte gör är att ta över styrelsens ansvar. Styrning, riskpolicy, juridisk avgränsning och styrelsens ansvarsutkrävande stannar hos organisationen själv. Men vi kan hjälpa till att få den tekniska grunden på plats på ett sätt som går att belägga.

Min viktigaste slutsats

Cybersäkerheten flyttar från serverrummet till styrelserummet. Inte för att tekniken betyder mindre, utan just för att den betyder mer.

Organisationer som i dag investerar i insikt, styrning och teknisk resiliens bygger kontinuitet för morgondagen. För i slutänden handlar resiliens inte om att uppfylla ett lagkrav. Det handlar om huruvida din organisation fortfarande kan verka säkert i morgon om något händer i dag. Och det är ett ansvar som nu når alla vid styrelsebordet.

FAQ

Vanliga frågor

Vad förändrade European Resilience Summit i hur vi ser på cybersäkerhet?

Det återkommande temat var att cybersäkerhet inte längre är en IT-fråga utan ett ansvar för styrelsen. Under NIS2 och den nederländska cybersäkerhetslagen måste styrelseledamöter inte bara godkänna åtgärder, utan också ha uppsikt över dem på ett sätt som går att belägga och ha tillräcklig kunskap för att fatta rätt beslut.

Vilka tre frågor bör varje styrelseledamot kunna besvara?

1) Omfattas vi - är vi en väsentlig eller viktig verksamhet? 2) Kan vi visa att vi lever upp till kraven, med faktiska bevis på övervakning, loggning, åtkomstkontroll och riskhantering? 3) Vem bär ytterst ansvaret och kan hållas till svars?

Var hjälper Momentum EMEA till, och var inte?

Momentum hjälper till med den tekniska sidan av aktsamhetsplikten: nätverkssegmentering, ZTNA, multifaktorautentisering, övervakning, detektering och respons via en enda integrerad plattform. Styrning, riskpolicy och styrelsens ansvarsutkrävande stannar hos organisationen själv.

Boka ett samtal

Från insikt till resiliens

Vill du se hur Momentum EMEA får den tekniska grunden under din aktsamhetsplikt på plats på ett sätt som går att belägga - från ZTNA och segmentering till kontinuerlig övervakning och respons? Boka ett samtal så visar vi hur det ser ut i praktiken.