Cybersäkerhetskollen 2025 – vad säger rapporten om cybersäkerhet i Sverige?

Nu finns det svart på vitt – svenska organisationer behöver bli bättre på cybersäkerhet. Myndigheten för samhällsskydd och beredskap (MSB) har publicerat Cybersäkerhetskollen 2025, en omfattande granskning av hur organisationer i Sverige arbetar med digital säkerhet. Resultaten är, minst sagt, oroande.

Rapporten visar att många verksamheter fortfarande saknar grundläggande strukturer för säkerhetsarbete. Samtidigt har den nya cybersäkerhetslagen, baserad på NIS2-direktivet, trätt i kraft i Sverige. Det innebär att kraven på organisationers säkerhetsarbete nu höjs kraftigt.
Men vad är egentligen Cybersäkerhetskollen, och vad betyder resultaten för företag i praktiken?

Vad är Cybersäkerhetskollen?

Cybersäkerhetskollen är en nationell mätning som genomförs av MSB. Syftet är att analysera hur väl organisationer arbetar med säkerhetsfrågor och identifiera svagheter i samhällets digitala motståndskraft.

I Cybersäkerhetskollen 2025 har mätningen breddats jämfört med tidigare år. Utöver informationssäkerhet analyseras nu även IT-säkerhet, OT-säkerhet (operativ teknik, exempelvis styrsystem för vatten och el) och Säkerhet i digitala leveranskedjor. Totalt deltog cirka 300 organisationer. Av de 47 som genomförde alla fyra mätområden klarade endast tre organisationer den lägsta godkända nivån (grundläggande systematiskt cybersäkerhetsarbete). Ingen nådde nivå två eller högre (mer utvecklad och etablerad cybersäkerhetsstyrning).

Det är siffror som tydligt visar att cybersäkerhetsarbetet i Sverige fortfarande ligger långt efter hotbilden.

Samma brister år efter år

Det mest oroande i Cybersäkerhetskollen 2025 är kanske inte resultatet i sig – utan att utvecklingen knappt går framåt. Inom informationssäkerhet, som har mätts sedan 2021, saknar nästan sex av tio organisationer fortfarande ett grundläggande systematiskt säkerhetsarbete. Endast sex procent uppnår en nivå som motsvarar de krav som ställts på myndigheter sedan 2009.

Situationen ser liknande ut inom de nya områdena:

• IT-säkerhet: Drygt hälften saknar grundläggande säkerhetsrutiner
• OT-säkerhet: Nio av tio saknar basfunktioner
• Leveranskedjor: Sju av tio har brister i säkerheten

Kort sagt visar rapporten att många organisationer fortfarande saknar strukturer för att förebygga, upptäcka och hantera cyberincidenter.

Varför ser cybersäkerheten i Sverige ut så här?

Rapporten pekar på flera återkommande orsaker, och det handlar sällan om teknik.

Bristande engagemang i ledningen
Organisationer med svaga resultat i Cybersäkerhetskollen har ofta en sak gemensamt – ledningen är inte tillräckligt involverad i cybersäkerhetsarbetet. Det räcker inte att säga att säkerhet är viktigt, det måste synas i budget, bemanning och uppföljning.

Kompetensbrist
65 procent av organisationerna uppger att de saknar personal eller kompetens för att förbättra sitt säkerhetsarbete. Det är en alarmerande siffra. Samtidigt finns det inte en uppenbar lösning, då kompetens inom cybersäkerhet är mycket specifik.

Brist på uppföljning
Ett mönster som återkommer i mätningarna är att organisationer brister i uppföljning och utvärdering. I många fall är policyer och rutiner en pappersprodukt som sällan följs upp och efterlevs i praktiken.

Cyberincidenter får konsekvenser

Att brister i cybersäkerhet får verkliga konsekvenser blev tydligt under 2025. Angreppet mot Miljödata ledde till att personuppgifter från 164 kommuner och fyra regioner stals. Även universitet, privata företag och andra organisationer drabbades. Ett uppmärksammat angrepp mot SportAdmin påverkade i sin tur hundratusentals privatpersoner.

Denna typ av incidenter visar hur sårbart vårt digitala ekosystem är. Och problemet är inte isolerat till stora aktörer. Mindre företag utsätts också och de är ofta mer sårbara då de saknar dedikerade säkerhetsavdelningar.

Cybersäkerhetslagen och NIS2-direktivet

Den 15 januari 2026 trädde cybersäkerhetslagen i kraft i Sverige, baserad på EU:s NIS2-direktiv. Lagen ställer skarpare krav på riskhantering, säkerhetsåtgärder och incidentrapportering – och den berör betydligt fler verksamheter än tidigare, inte minst privata företag som levererar samhällsviktiga tjänster.

Hur väl förberedda svenska företag står går dock inte att säga med säkerhet. Alltför få verksamheter från den privata sektorn deltog i Cybersäkerhetskollen.

Vad betyder Cybersäkerhetskollen för ditt företag?

Du behöver inte vara en myndighet eller ett stort bolag för att ta resultaten i Cybersäkerhetskollen 2025 på allvar. De brister som rapporten lyfter fram är minst lika relevanta för små och medelstora företag. Ofta är de ännu mer kritiska, eftersom marginalen för misstag är mindre.

Nedan presenteras några av de viktigaste insikterna från rapporten:

Systematiskt säkerhetsarbete
Cybersäkerhet handlar inte bara om brandväggar och antivirus. Organisationer behöver tydliga roller, dokumenterade processer och regelbunden uppföljning som faktiskt efterlevs.

Säkerhet i leveranskedjor
Många cyberattacker sker via leverantörer och underleverantörer. Det innebär att du kan utsättas även om angreppet inte riktats mot just ditt företag – det kan följa med genom en tjänst du köper in.

Incidenthantering
När något händer måste organisationen veta vad den ska göra – då är det för sent att börja famla i blindo. En testad incidentplan kan vara skillnaden mellan en mindre störning och en fullskalig kris.

Ledningens ansvar
Cybersäkerhet är inte enbart en teknisk fråga som IT-avdelningen har ansvar för – det är en affärskritisk risk som behöver lyftas och hanteras på ledningsnivå.