Den 15 januari 2026 trädde Cybersäkerhetslagen i kraft. Det är knappt två månader sedan. Den genomför EU:s NIS2-direktiv i svensk rätt och förändrar spelreglerna för tusentals organisationer. Jag har läst remisser, lyssnat på webbinarier, följt debatten. Alla pratar om teknik, compliance och rapporteringsfrister.
Nästan ingen pratar om ledarskapet.
Men det är där det avgörs.
Lagen i korthet — för dig som inte orkat läsa den
Cybersäkerhetslagen (2025:1506) kräver tre saker av dig som sitter i ledningen. För det första: du ska personligen genomgå utbildning i cybersäkerhet. Inte din IT-chef. Du. För det andra: du ska övervaka det systematiska riskarbetet. Inte bara godkänna en policy i december och hoppas att den håller. Och för det tredje: du ansvarar för incidenthantering — att organisationen upptäcker, rapporterar och hanterar intrång.
Sanktionerna är inte symboliska. Upp till tio miljoner euro eller två procent av global omsättning. Och det som verkligen biter: vid allvarlig överträdelse kan du förbjudas att utöva ledningsfunktioner i upp till tre år.
Men det är inte sanktionerna som håller mig vaken. Det är något annat.
Det lagen egentligen kräver
Lagen kräver incidentrapportering. Det låter som en administrativ fråga — ett formulär, en process, en tidsfrist. Men tänk efter: vad krävs för att en medarbetare ska rapportera en incident?
Det krävs att hen upptäcker den. Det krävs att hen förstår att det är en incident. Och det krävs — och det här är det avgörande — att hen vågar berätta.
De flesta dataintrång börjar inte med en sofistikerad attack. De börjar med en medarbetare som klickade på fel länk. Kalla kårar. Hjärtklappning. Instinkten att snabbt stänga ner fliken och hoppas att ingen såg. Och sedan — tystnad. Eller en avdelning som visste att deras system var sårbart men inte ville vara den som lyfte det i ledningsgruppen. Eller en chef som sa “det fixar IT” och gick vidare till nästa punkt på agendan.
Det är inte teknik som brister. Det är kultur.
Tillit kan du inte reglera fram
Här blir det intressant ur ett ledarskapsperspektiv. Lagen kräver rapportering, men rapportering förutsätter psykologisk trygghet. Att folk vågar vara ärliga utan rädsla för repressalier. Att misstag leder till lärande, inte bestraffning.
Forskning visar tydligt att ledarstilen är avgörande för den typen av kultur. I organisationer där ledarskapet bygger på kontroll — detaljstyrning, bestraffning av avvikelser, belöning enbart av resultat — utvecklas en kultur av tystnad. Folk gör det som förväntas, inget mer. De rapporterar inte problem de inte måste rapportera.
I organisationer där ledarskapet bygger på tillit — delaktighet, personlig omtanke, att ledaren själv tar ansvar och visar vägen — utvecklas motsatsen. Folk tar initiativ. De lyfter problem tidigt. De rapporterar incidenter inte för att de måste, utan för att de vet att det är rätt sak att göra och att det kommer att tas emot konstruktivt.
Tre frågor att ställa dig själv
Istället för att börja med en compliance-checklista, börja med det här:
Vågar mina medarbetare berätta för mig när något gått fel — utan att jag behöver fråga?
När hörde jag senast om ett misstag från mitt team — och hur reagerade jag?
Om jag delegerar cybersäkerheten till IT — vad signalerar det om mitt eget ansvar?
Svaren säger mer om din organisations cybersäkerhet än något penetrationstest.
Det handlar inte om NIS2
Egentligen handlar det här inte om NIS2 alls. Direktivet är bara en katalysator som synliggör en brist som funnits länge: att vi behandlar säkerhet som en teknisk fråga när det i grunden är en mänsklig fråga. En ledarskapsfråga.
Lagen kräver compliance. Men compliance utan kultur är ett tomt skal. Du kan bocka av varje krav, rapportera i tid och ha rätt system på plats — och ändå vara sårbar om dina medarbetare inte vågar vara ärliga med dig.
Tillit kan du inte reglera fram. Den måste du leda fram. Och det börjar med dig.
Det här är del 1 i serien “Ledarskap i krisernas tid”. I del 2 tittar jag på varför AI Act kräver mod — inte AI-kompetens. Vill du utforska hur du konkret bygger den typen av ledarskap? Hör av dig — jag delar gärna mina erfarenheter.