När jag läser rapporten från Radar, Northwave och OneMore Secure fastnar jag i en formulering som är lika teknisk som den är avslöjande:“Supply chain security… collapses to 2.5, making it one of the lowest performing controls across the board. ”Det är inte bara en siffra. Det är en beskrivning av en spricka i isen. En spricka som inte uppstår där vi tittar, utan där vi inte tänkt att titta. Och den sprickan har vuxit länge.
Det är nästan kusligt hur väl detta stämmer överens med vad ENISA beskriver i sin Threat Landscape‑rapport: att angripare allt oftare går via leverantörer eftersom det ger “high systemic impact with minimal effort”. IBM:s X‑Force‑analys från 2025 visar att 82 procent av intrång nu är “malware‑fria”, vilket betyder att angriparna inte längre bryter sig in, de glider in genom sprickor som redan finns. Och i samma rapport står det att genombrottstiden nu är 29 minuter. Det är inte längre en kamp om teknik. Det är en kamp om tid.
Men det som verkligen får mig att stanna upp är inte siffrorna i sig, utan kontrasten. Sverige är ett av världens mest digitaliserade länder. Vi är tidiga med AI, IoT, automatisering, molntjänster. Vi bygger avancerade system som binder samman allt från hamnar till sjukhus till industriproduktion. Vi är som ett enormt isfält där allt är sammankopplat av tunna, eleganta strukturer, men där också en spricka på ett enda ställe kan få hela ytan att vibrera.
Och ändå är det just i dessa sammanlänkningar som vår mognad är som lägst. Det är inte en teknisk paradox. Det är en kulturell. Vi har byggt ett samhälle där vi litar på att isen håller. Men vi har inte byggt ett samhälle där vi pratar om vad som händer när den inte gör det.
Det är här jag börjar fundera på om vi kanske behöver tänka om helt. Jag pratar ofta om att vi som digitala individer och digitala verksamheter inte behöver mer regler, inte fler checklistor, inte fler ramverk som ingen hinner implementera. Certifikat som inte betyder något, utan något mer fundamentalt. Vi behöver en ny berättelse om vad digital resiliens faktiskt är.
För när EU:s NIS2‑direktiv talar om “supply chain governance” och “management accountability” är det egentligen följande de försöker få oss att förstå. Att säkerhet inte längre är en intern angelägenhet. Den är en gemensam infrastruktur. Precis som elnätet. Precis som vägarna. Precis som vattnet i kranen. Det är inte en fråga om att skydda varje organisation. Det är en fråga om att skydda själva isfältet. I detta finns ingen som är oviktig, ingen verksamhet som bidrar till samhällssäkerheten direkt eller indirekt. Därmed anser jag dialgoen om huruvida du berörs av NIS2/CSL är irrelevant. HUR berörs jag är en mer konstruktiv fråga som skall besvaras av VAD behöver jag göra.
Och kanske är det just här Sverige har en unik möjlighet. Vi är ett litet, men viktigt land. Vi är vana vid samarbete. Vi har korta beslutsvägar. Vi har en offentlig sektor som kan samla, och en privat sektor som kan agera snabbt. Vi har en kultur där man faktiskt kan få människor att sitta vid samma bord och prata om problem som angår alla. Det är en styrka som inte syns i tekniska mätningar, men som är avgörande när landskap förändras. Vi är för bövelen landet med Minecraft, Spotify, ABBA, Björn Borg, jordgubbar, mellanmjölk och mycket mer.
Tänk om vi kunde använda denna enorma innovationskraft det till att bygga något som inte finns någon annanstans. Inte en ny myndighet, inte ännu ett lager av regler, inga fler nätverk som egentligen är klubbar för inbördes beundrar med dinosaurier utan ett nätverk av verklig gemensam förmåga att lyssna efter sprickorna i isen och sen kunna kommunicera den enkelt. Att dela information innan den blir farlig. Att agera innan någon faller igenom. Att se cybersäkerhet inte som en kostnad, utan som en förutsättning för att hela isfältet ska hålla.
Det är kanske en naiv tanke. Eller så är det precis den sorts tanke som behövs när världen förändras snabbare än våra institutioner hinner med. För om det är något som forskningen är tydlig med, från ENISA till EU‑kommissionens analyser av NIS2‑implementeringen, så är det att de länder som lyckas är de som förstår att digital resiliens inte är en teknisk fråga. Det är en samhällsfråga. DÅ kan dessa nätverk inte vara makthavare, politiker och myndighetspersoner och särskilt utvalda verksamheter från näringslivet. Detta nätverk måste spegla tvärsnittet av det riktiga digitala Sverige.
Och det är precis där jag anser att vi måste börja. Med att våga säga att isen rör på sig till alla som berörs. Informera att sprickorna finns, hur de rör sig och beter sig. Att vi inte längre kan låtsas att varje verksamhet står på sin egen plattform eller får klara sig själva. Att vi är sammanlänkade, på gott och ont. Skapa en verklig flockimmunitet mot digitala faror, hot och täppa till sårbarheterna utifrån gemensamma erfarenheter.
För i slutändan är det inte den starkaste verksamheten som överlever. Det är det samhälle som lär sig lyssna på viskningarna innan stormen kommer som kommer möjliggöra att alla överlever.
Referenslista
Radar, Northwave & OneMore Secure.(2026).Threat Intelligence Update Q1 – Cyber Risk Navigator: Building Operational Resilience.(Primärkälla för siffror om supply chain‑mognad, AI‑drivna attacker och NIS2‑beredskap.)
ENISA – European Union Agency for Cybersecurity.(2024).ENISA Threat Landscape 2024.(Underlag för resonemang om angriparnas metoder, supply chain‑angrepp och systemrisker.)
ENISA – European Union Agency for Cybersecurity.(2023).Supply Chain Cybersecurity Good Practices.(Grund för analysen av strukturella svagheter i leverantörskedjor och systemeffekter.)
IBM Security X‑Force.(2025).Threat Intelligence Index 2025.(Källa för siffror om malware‑fria intrång, identitetsbaserade attacker och genombrottstider.)
EU‑kommissionen.(2023–2025).NIS2 Implementation Reports & Member State Preparedness Assessments.(Underlag för resonemang om NIS2‑mognad, styrningskrav och medlemsstaters utmaningar.)
EU‑kommissionen.(2022).Directive (EU) 2022/2555 – NIS2 Directive.(Primär rättskälla för krav på supply chain governance, management accountability och riskbaserade åtgärder.)
Microsoft Digital Defense Report.(2023–2025). (Använd som bakgrund för resonemang om AI‑drivna attacker, identitetsmissbruk och global hotbild.)
World Economic Forum.(2024).Global Cybersecurity Outlook.(Underlag för resonemang om geopolitik, systemrisker och organisatorisk mognad.)
OECD.(2023).Digital Security Risk Management for Economic and Social Prosperity.(Teoretisk grund för kopplingen mellan digital resiliens och konkurrenskraft.)
MSB / Myndigheten för samhällsskydd och beredskap.(2023–2025).Nationella lägesbilder och analyser av cyberhot.(Använd som svensk kontext för offentlig sektors mognad och systemberoenden.)
Säkerhetspolisen.(2024).Årsrapport – Cyberhot mot Sverige.(Underlag för resonemang om statliga aktörer och systempåverkan.)
Gartner Research.(2024).Identity Threat Detection & Response Trends.
