ArbetslistanRapportenPilotFAQOm oss Anmäl intresse
Fördjupning · Cybersäkerhetslagen · Kommuner

Cybersäkerhetslagen i kommuner

Cybersäkerhetslagen ändrar inte bara vilka krav som ställs på kommunen. Den höjer också kraven på vad kommunen måste kunna visa när arbetet ska följas upp. För IT innebär det att spridda exporter, punktinsatser och muntliga lägesbilder får allt svårare att bära. För ledningen innebär det att uppföljning måste vila på något mer robust än att arbete pågår.

Iveron Technology AB·Läsning: 9 min·Uppdaterad april 2026
I korthet

Det lagen skärper

Tyngdpunkten flyttas från enstaka aktiviteter till sådant som faktiskt går att följa upp, redovisa och koppla till riskreduktion.

Det vanliga glappet

Information finns ofta, men inte i en form som håller för ledningsfrågor, revision och tillsyn.

Den praktiska konsekvensen

Kommunen behöver en återkommande bild av läget, inte punktvisa utdrag som måste tolkas om varje gång.

När lagkravet möter kommunal verklighet

Det är lätt att prata om cybersäkerhetslagen som ett regelverk på armlängds avstånd. I praktiken landar den i en enklare fråga: går det att visa ett verkligt säkerhetsläge, och går det att följa det över tid?

För många kommuner är det där friktionen uppstår. Inte för att inget görs, utan för att arbetet inte lämnar efter sig ett tydligt, återkommande och jämförbart underlag. När frågor kommer från ledning, revision eller tillsyn börjar man därför ofta samla ihop material på nytt.

Vad kommunen i praktiken behöver kunna visa

Det centrala är inte att kunna visa perfekt säkerhet. Det centrala är att kunna visa ett systematiskt arbete som går att följa.

  • Hur såg läget ut vid senaste mätningen?
  • Vad har förändrats sedan dess?
  • Vilka åtgärder har genomförts och vilken effekt fick de?

Cybersäkerhetslagen skärper inte bara kraven på säkerhetsarbete. Den skärper också behovet av något mer stabilt än punktinsatser och ad hoc-sammanställningar.

Vad kommuner faktiskt behöver kunna visa

Inför tillsyn eller revision

  • Vilket nuläge som gällde vid senaste mätningen
  • Vad som förändrats sedan dess
  • Vilka brister som fortfarande är kända
  • Vilka åtgärder som har genomförts

För IT i praktiken

  • Patchstatus och kända sårbarheter
  • EOL-system och EOL-programvara
  • Endpoint-skydd och diskkryptering
  • AD-hygien och extern exponering

Varför information ändå inte blir ett användbart styrunderlag

Patchstatus finns ofta någonstans. Endpoint-skydd någon annanstans. Kryptering i ett tredje system. AD-relaterade frågor i manuella utdrag. Exponering och sårbarheter i andra verktyg eller i separata leveranser.

Det som saknas är inte nödvändigtvis information. Det som saknas är form. Spridd information är inte samma sak som ett underlag som går att bära vidare.

Vad IT behöver kunna följa utan att drunkna i detaljdata

För IT är det sällan hjälpsamt att försöka följa allt samtidigt. Det viktiga är att ha ett mindre antal tekniska områden som återkommer i samma struktur och går att jämföra mellan mätningar.

  • Patchstatus och kända sårbarheter
  • EOL-system och EOL-programvara
  • Endpoint-skydd
  • Diskkryptering
  • AD-hygien
  • Extern exponering
För IT
Se hur Iveron fungerar för IT
Arbetslista, nuläge och uppföljning i samma logik.
För ledning
Se hur samma underlag fungerar för ledning
Uppföljning, prioritering och ledningsrapportering utan att börja om.

Skillnaden mellan att ha uppgifter och att ha ett underlag

Data är råmaterial. Ett fastställt underlag är något organisationen kan stå för. Det innebär att man vid varje mätning faktiskt kan säga: det här var läget här och då, det här har förändrats sedan sist och det här kräver åtgärd.

Det är en annan sak än att bara kunna plocka fram uppgifter ur olika system när någon frågar.

Vad detta betyder för ledning, ansvar och uppföljning

Ledningen ska inte gå in i tekniska detaljer. Men ledningen måste kunna följa säkerhetsarbetet på ett sätt som håller över tid. När underlaget är fastställt blir det lättare att följa utvecklingen, se om åtgärder ger effekt och svara tydligare när revision eller tillsyn vill veta mer.

En rimlig väg framåt

  • Samma grundstruktur vid varje mätning
  • Ett tydligt nuläge
  • En tydligare riskreduktion över tid
  • En tydligare koppling mellan åtgärd och effekt
  • Ett underlag som IT kan stå för och ledningen kan använda

Var Iveron kommer in

Iveron är byggt för just detta läge: när arbetet redan pågår, men underlaget fortfarande är för spritt, för personberoende eller för tillfälligt för att hålla över tid.

Det gör det lättare att arbeta praktiskt i IT. Det gör det också lättare att visa var risk har reducerats när frågor kommer från ledning, revision eller tillsyn.

Läs också: Från fragmenterad säkerhetsdata till ett fastställt underlag, Tillsyn och revision utan akutprojekt och Ledningsrapport för cybersäkerhet.

Se hur Iveron fungerar för kommuner

Ett återkommande säkerhetsunderlag som gör det lättare att följa läget, visa riskreduktion över tid och stå bättre rustad när frågorna kommer.

Anmäl intresse för pilot →

Läs också

Fördjupning
Från fragmenterad säkerhetsdata till ett fastställt underlag
Fördjupning
Tillsyn och revision utan akutprojekt
Fördjupning
Fastställt säkerhetsunderlag och ledningsrapport
Fördjupning
Ledningsrapport för cybersäkerhet