Cybersäkerhetslagen, från krav till säker infrastruktur i kommuner

Cybersäkerhetslagen, den svenska implementationen av EU:s NIS2-direktiv. Gäller sedan den 15 januari i år och syftet är att skapa en robust infrastruktur och höja cybersäkerheten i EU där kommuner är en viktig del. För när en kommun drabbas av en incident är det sällan bara “IT” som påverkas. Det kan handla om åtkomst till socialtjänstens system, skolplattformar, trygghetslarm, vatten och avlopp, fastighetsautomation, löneutbetalningar, e-tjänster, ärendehantering och kommunikation med invånare. För en kommun är syftet att kunna fortsätta leverera välfärd och samhällsservice. Även när digitala system utsätts för angrepp eller störningar.

Ändå är det många kommuner som fortfarande brottas med vad Cybersäkerhetslagen faktiskt innebär i praktiken. Kraven återfinns inom områden riskhantering, säkerhetsåtgärder, incidentrapportering, ledningsansvar och samverkan. Dessa är även mer utförligt beskrivna i MCFs förslag till föreskrifter och allmänna råd om säkerhetsåtgärder och utbildning. som nu är på remiss. Nedan kommer vi beskriva utmaningarna och prioriteringar för en kommun, tekniska lösningar som kan vara ett stöd i detta samt diskutera komplexiteten.

Kommunal verklighet: varför detta är svårt

Kommuner har en särskild komplexitet. En och samma kommun kan rymma kontors-IT, skola, bibliotek, räddningstjänst, omsorg, socialtjänst, samhällsbyggnad, VA, fastighet, kameraövervakning, IoT, välfärdsteknik, e-tjänster, arkiv, upphandling, ekonomi och HR. Ofta finns även kommunala bolag, gemensamma nämnder, kommunalförbund och externa driftleverantörer.

Det innebär att nätverken ofta har gamla och nya beroenden. Äldre verksamhetssystem, molntjänster, VPN-lösningar, leverantörskonton, skolnät, gästnät, klienter, servrar, identiteter, brandväggsregler och OT-miljöer som byggts upp under många år.

Samtidigt visar Cybersäkerhetskollen 2025 att mognaden behöver höjas. Enligt MCF hade över 300 organisationer rapporterat in svar, och resultatet visade allvarliga brister inom det systematiska cybersäkerhetsarbetet i offentlig förvaltning. Hälften av de deltagande offentliga organisationerna hade grundläggande brister och inga uppenbara förbättringar jämfört med 2024 års mätning.

Vi har frågat Åsa Schwarz som möter den här situationen dagligen. Med över 25 års erfarenhet av cybersäkerhet har hon en tydlig bild av var de flesta organisationer bör börja.

Åsas topp 5 prioriteringar

Prio 1 – Omfattning, styrning & ansvar

Kommunen måste veta vad som omfattas av cybersäkerhetslagen, vem som ansvarar och vilka verksamheter som är mest kritiska. Skapa en karta över kommunen, kommunala bolag, kommunalförbund, kritiska leverantörer och berörda sektorer.

Prio 2 – Uppfinn inte hjulet på nytt

Många kommuner har redan kommit en bit i sitt systematiska cybersäkerhetsarbete. Ofta genom etablerade ledningssystem och använda standarder som ISO 27001. Utgångspunkten bör därför inte vara att bygga något helt nytt, utan att vidareutveckla och förstärka det arbete som redan finns på plats. Här kan man också ta hjälp av MCFs metodstöd och tips för kommuner.

Prio 3 – Var beredda. Incidenter kommer att inträffa

Cyberincidenter är inte en fråga om de inträffar, utan när. Därför behöver kommunen kunna upptäcka avvikelser i tid, begränsa skadan och agera enligt en tydlig incidentprocess. Åtgärder som nätverkssegmentering, stark åtkomstkontroll, loggning, övervakning, säkra backuper och rutiner för hur man anmäler incidenter kan vara skillnaden mellan en begränsad störning och en kommunövergripande kris.

Prio 4 – Ha kontroll över ditt digitala landskap

Kommunen behöver ha en tydlig bild av sitt eget digitala landskap: vilka system som finns, vilka verksamheter de stödjer, vem som har åtkomst till dem och vilka beroenden som finns mellan användare, leverantörer, nätverk och kritiska tjänster.

Prio 5 – Ta hjälp av tekniken och minska risken

Försök att lägga så lite ansvar på den mänskliga faktorn som möjligt. Principen om minsta privilegium är en av de mest effektiva åtgärderna för att minska risk. Ingen användare, inget system och ingen leverantör ska ha mer åtkomst än uppdraget kräver samtidigt som det är viktigt att ha tillgång till den data man faktiskt behöver. Speciellt i dessa tider när ai skapa stora kvalitets- och effektiviseringsvinster. För kommuner handlar det om att begränsa spridning, minska attackytan och säkerställa att åtkomst alltid är motiverad, spårbar och möjlig att återkalla.

Hur kan vi ta hjälp av tekniken?

Det Åsa beskriver kräver ett systematiskt cybersäkerhetsarbete där nätverket spelar en viktig roll. Det handlar inte bara om att skydda enskilda system, utan om att bygga en infrastruktur som gör det möjligt att se vad som finns i miljön, styra vem som får åtkomst till vad, begränsa spridning vid incidenter och snabbt kunna agera när något avviker.

Grundbulten är Zero Trust: lita aldrig automatiskt på en användare, en enhet eller en anslutning bara för att den befinner sig på kommunens nätverk. Åtkomst ska baseras på identitet, roll, enhetens status, kontext och faktisk behovsbild. Det här är inte en teknisk lösning utan modell och tankesätt.

Även om varje kommun ser olika ut finns det idag välbeprövade nätverkslösningar som kan omsätta de här principerna i praktiken. Med lösningar från  tex HPE Aruba Networking kan kommuner steg för steg bygga en säkrare, mer kontrollerad och mer motståndskraftig nätverksmiljö.

Skapa synlighet och kontroll över hela miljön

För att kunna skydda kommunens digitala landskap behöver man först kunna se det. Det gäller inte bara centrala kontor och datacenter, utan även skolor, bibliotek, vårdboenden, tekniska verksamheter, IoT-enheter, accesspunkter, switchar och uppkopplade klienter.

Här kan Aruba Central bidra med en samlad bild av nätverket och göra det enklare att övervaka, konfigurera, felsöka och följa upp miljön över många olika platser. För kommuner med många geografiskt spridda verksamheter blir central kontroll en viktig grund för både drift, säkerhet och incidenthantering.

Styr vem och vad som får ansluta

En central Zero Trust-princip är att ingen användare eller enhet ska få åtkomst bara för att den är ansluten till nätverket. Kommunen måste veta vem som ansluter, med vilken enhet, roll och åtkomst, aldrig mer än nödvändigt.

Med HPE Aruba Networking ClearPass Policy Manager kan kommunen införa nätverksåtkomstkontroll och rollbaserade policys för exempelvis anställda, elever, gäster, leverantörer, skrivare, kameror, IoT-enheter och OT-system. Det gör det möjligt att ge rätt åtkomst till rätt resurs – men inte mer än nödvändigt.

Begränsa rörelsefriheten inne i nätverket

Att stoppa alla hot vid gränsen är inte realistiskt. Det vet de flesta som jobbar med säkerhet. Frågan är vad som händer när någon väl tar sig in. Genom att segmentera nätverket. Dela upp det i mindre, isolerade delar – begränsar man hur långt en angripare kan röra sig. HPE Aruba Networking CX10000 är ett exempel på hur den typen av segmentering kan implementeras direkt i datacentret, på ett sätt som inte kräver att man river upp hela sin befintliga infrastruktur.

Lagom bra räcker inte

Teknik är sällan problemet. Det som avgör är om du har rätt kompetens att sätta ihop den, och förvalta den över tid. En naturlig reaktion är att söka en leverantör som kan allt. En kontakt, ett avtal, ett helhetsansvar. Det är begripligt, men det är sällan det bästa valet när kraven är höga och konsekvenserna av fel är stora. Bredden går ofta före djupet, och över tid bygger du upp ett beroende som är svårt att ta sig ur.

Aranyas medgrundare Christoffer Jacobsson har sett det här mönstret upprepas gång på gång. Han förespråkar selektiv multi-sourcing – inte fler leverantörer överallt, utan rätt specialist på rätt plats.

”Komplexiteten försvinner inte för att du samlar allt hos en aktör. Den blir bara mindre synlig – tills det är dags att förändra något”

Inom IT-infrastruktur är det här särskilt tydligt. Det räcker inte att ha någon som är lagom bra på nätverk eller säkerhet som en del av bredare erbjudande. Det behöver faktiskt djup kompetens. Den organisation som bygger sitt ekosystem med rätt specialister på rätt plats har inte bara bättre förutsättningar att möta krav som cybersäkerhetslagen. Den har också bättre förhandlingsläge, mer utvecklingskraft och en verksamhet byggd för att förändras. 

Komplext, men inte ohanterligt

Cybersäkerhetslagen ställer höga krav – men de är möjliga att möta och målsättningen rimlig. Att kommunen ska kunna fortsätta leverera välfärd och samhällsservice även när digitala system drabbas av angrepp eller störningar. Med rätt prioriteringar, rätt teknik och rätt kompetens vid sidan av sig är det fullt möjligt att inte bara uppfylla lagens krav, utan att faktiskt bygga en säkrare verksamhet på köpet.

Vill du prata mer om hur det här ser ut för just din organisation? Hör av dig till oss på här så hjälper vi er att hitta rätt väg framåt.