Säkerhetskultur: Sverige vs USA – vad kan vi lära oss om ledningsansvar?

Säkerhetskultur: Sverige vs USA – vad kan vi lära oss om ledningsansvar?

Publicerad 2026-04-24 | Jonas Stewén, Brave Security AB

---

En vecka i USA ger perspektiv

Efter en veckas uppdrag i USA bekräftas något jag sett länge: synen på ansvar i säkerhetsfrågor skiljer sig fundamentalt åt.

I Sverige handlar diskussionen ofta om hur lite vi kan göra och ändå klara oss. I USA är frågan en annan: gör vi tillräckligt? Det är inte en liten nyansskillnad. Det är en fundamentalt annorlunda utgångspunkt.

---

Ansvaret sitter högre upp i USA

I USA är det etablerat att cybersäkerhet är en ledningsfråga — inte en IT-fråga. VD och styrelse förväntas äga frågan, inte delegera den. Konsekvenserna vid allvarliga incidenter är tydliga och personliga.

Det är inte tomma ord. Target-VD:n avgick 2014 efter ett intrång som exponerade 40 miljoner kortuppgifter och 70 miljoner kunders persondata. Sony, FACC och Coupang är andra exempel där ledning fått lämna i kölvattnet av allvarliga cyberincidenter. Det sänder en signal — inte bara till de bolagen, utan till hela marknaden.

---

Sverige: många incidenter, inga avgångar

I Sverige ser mönstret annorlunda ut. Bara under 2025 drabbades SVT, banker, myndigheter och Svenska kraftnät av allvarliga angrepp. Listan på drabbade organisationer de senaste åren är lång — och med dem de tusentals organisationer som var beroende av deras system.

MSB har konstaterat att stora delar av den offentliga förvaltningen inte arbetar systematiskt med sin informationssäkerhet. Trots det: i inget känt fall har en svensk VD eller generaldirektör fått lämna sin post som en direkt konsekvens av en cyberincident. Det säger något om var ansvaret anses ligga.

---

Hjältar är inte en strategi

Vi har något starkt i Sverige som förtjänar att lyftas: ansvarskänsla och lojalitet. Många organisationer hålls säkra tack vare individer som tar personligt ansvar långt utanför sin formella roll — varje dag.

Men det är inte en strategi. Det är ett strukturellt problem.

Bara 3–5 procent av svenska företag som utsätts för utpressning anmäler det till polisen. Mörkertalet är stort, konsekvenserna osynliga — och incitamenten att investera förebyggande förblir svaga.

---

NIS2 och cybersäkerhetslagen förändrar spelreglerna

Det är mot den här bakgrunden man ska förstå varför EU behövde NIS2. En av de mest betydande förändringarna är introduktionen av personligt ledningsansvar — styrelseledamöter och verkställande direktörer kan hållas direkt ansvariga för att organisationen uppfyller alla krav. Ledningen kan inte längre delegera bort ansvaret för cybersäkerhet till IT-avdelningen.

I allvarliga fall kan personer i ledningen förbjudas att arbeta i ledande position i upp till tre år. Sanktionerna kan uppgå till tio miljoner euro eller två procent av global omsättning.

Sveriges cybersäkerhetslag trädde i kraft den 15 januari 2026 och implementerar NIS2 i svensk rätt. För de organisationer som omfattas är det inte längre frivilligt att ta säkerhetsfrågan på allvar — det är ett lagkrav med personliga konsekvenser.

---

Enforcement-kulturen som saknas

Utöver lagstiftning finns en djupare kulturskillnad. I USA råder en tydlig enforcement-kultur. Missar du säkerhetsträning eller bryter mot policy — då får det konsekvenser, oavsett position. Det är inte bestraffning för sin egen skull — det är en kultur som bygger på att regler finns av en anledning.

I Sverige är vi mer förlåtande. Det har sina fördelar, men det skapar också en miljö där säkerhetsarbete kan glida neråt på prioriteringslistan utan att det märks förrän det är för sent.

---

Frågan som ingen ställer

Säkerhet kan inte vara en restpost i budgeten.

Så frågan är: vilken svensk VD vågar ställa sig upp och säga — säkerhet är en budgetpost vi aktivt beslutar om, inte en restpost vi hoppas räcker?

Det är inte en teknisk fråga. Det är en ledarskapsfråga.

---