Åtgärderna för att utveckla cybersäkerheten i förhållande till den föränderliga säkerhetsmiljön är inte tillräckliga

Våren 2025 inleddes en utredning om cybersäkerhetsmognaden inom olika sektorer, och nu är utredningen slutförd. Den färska utredningen visar att den nationella cybersäkerhetsmognadens nivå har utvecklats endast måttligt sedan 2022. Samtidigt fortgår den tekniska omvälvningen och säkerhetsmiljön förändras betydligt snabbare än organisationernas förmåga att förnya sig och investera i cybersäkerhet. Den avgörande skillnaden mellan företag som har uppnått ett högt snittbetyg respektive ett lågt snittbetyg är ledningens engagemang i att utveckla cybersäkerheten.

Företagens affärsverksamhet bygger i dag på välfungerande datanätförbindelser, informationssystem och data. För att försörjningsberedskapen ska kunna tryggas är det därför viktigt att företag som driver viktiga samhällsfunktioner har en tillräcklig beredskap mot cybersäkerhetshot. Utredningen om cybersäkerhetsmognaden inom olika sektorer 2025 utvärderar nivån på beredskapen mot cybersäkerhetshot på företag som är kritiska för försörjningsberedskapen, och föreslår utvecklingsåtgärder för att höja nivån. Utredningen genomfördes förra gången år 2022.

Enligt utredningen 2025 är snittbetyget för cybersäkerhetsmognaden på företagen 3,09 (på en skala från 1 till 5). Flera sektorer överstiger 3, ett snittbetyg som har ansetts vara måttligt, men även sektorer som är kritiska för samhällsfunktionerna understiger det. Sektorer som är starkt reglerade när det gäller cybersäkerhet, såsom finans-, telekommunikations- och IKT-sektorerna, ligger i täten i sektorjämförelsen. Sist i sektorjämförelsen ligger till exempel livsmedelsförsörjning, hamnar, varv och operatörer samt transporter och logistik, där digitaliseringen av hävd har gått långsammare. Bland svaren från nästan varje sektor finns även en stor spridning.

Teknisk omvälvning och utveckling av cybersäkerhetshot fortgår snabbare än utvecklingen av beredskapen

Jämfört med resultaten 2022 har cybersäkerhetsmognadens nivå inom sektorerna mestadels förblivit oförändrad. Utredningen visar att utvecklingsområdena för att förbättra cybersäkerheten fortfarande är likadana som i den utredning som gjordes för tre år sedan. Företagen kämpar fortfarande med samma frågor, såsom knappa resurser och brist på cybersäkerhetskompetens.

Någon nämnvärd utveckling har därmed inte skett, trots att vår säkerhetsmiljö har varit i kontinuerlig förändring under de senaste åren. Det verkar som att de nya cybersäkerhetshot som den tekniska omvälvningen har medfört och förändringarna i den globala säkerhetsmiljön utvecklas snabbare än företagens beredskap mot cybersäkerhetshot.

”Världen förändras och utvecklingsåtgärderna i förhållande till den föränderliga säkerhetsmiljön är inte tillräckliga. Om utvecklingen av cybersäkerheten inte gör större framsteg, är den uppenbara risken att vi egentligen bara går tillbaka”, säger Juha Ilkka, programdirektör för Digital säkerhet 2030 på Försörjningsberedskapcentralen (FBC).

Ledningens engagemang är avgörande

Utredningen visar att den främsta skillnaden mellan företag som har uppnått ett högt snittbetyg respektive ett lågt snittbetyg för cybersäkerhetsmognaden är ledningens engagemang i att utveckla cybersäkerheten. Företag med det högsta betyget har till exempel infört modeller för ledning och hantering av cybersäkerhet och utvärderat modellernas effekter. I företag med låga betyg för cybersäkerhetsmognaden framstår hanteringen av cybersäkerhetshot snarare som en stödverksamhet och är inte tillräckligt fast integrerad i affärsledningen.

Enligt de intervjuer som gjorts i utredningen ökar dock intresset för cybersäkerhet kontinuerligt inom företagsledningen, och hanteringen av cybersäkerhet håller på att bli mer systematisk. Detta avspeglas dock ännu inte i den nivå som utredningen om cybersäkerhetsmognaden visar. Dessutom visade utredningen ännu inte effekterna av NIS2-direktivet, som trädde i kraft i april 2025 och som syftar till att förbättra cybersäkerheten.

Utredningen har beställts av Digipoolen, som ingår i Försörjningsberedskapsorganisationen, och har genomförts av Accenture. Utredningen har finansierats inom ramen för Försörjningsberedskapscentralens program Digital säkerhet 2030.

Se rapporten via följande länk  (på Finska)