Tre saker har förändrats i hotbilden under senaste året som tillsammans gör att styrelsens befintliga risk- och rapporteringsprocesser riskerar att ge en systematiskt för låg bild. Den här sidan beskriver vad som är nytt, varför det sätter saker på sin spets, och åtta beslut styrelsen kan fatta vid dagens möte — utan att behöva fördjupa sig i tekniken.
Målgrupp: styrelse / ledningLästid: ~10 minuterPrint: ⌘/Ctrl + P
Vad är nytt
Tre förändringar som tillsammans förändrar förutsättningarna kvalitativt — inte gradvis.
1. Time-to-exploit har kollapsat.
En sårbarhet som publiceras klockan åtta på morgonen kan vara automatiskt vapeniserad och i bruk innan kvällen. Antagandet om att organisationen har 30 dagar att rulla ut en patch — som ligger till grund för de flesta change advisory-rutiner — stämmer inte längre för den övre allvarlighetsklassen.
2. AI-agenter är nu privilegierade arbetstagare.
I de flesta organisationer kör idag mjukvaru-agenter (MCP-servrar, IDE-tillägg, agent-skills) som har samma åtkomst till källkod, hemligheter och produktionssystem som en mänsklig ingenjör. Skillnaden: de saknar ofta dokumenterad ägare, övervakning eller ansvarsutkrävande. De är en attackyta och ett angreppsverktyg på samma gång.
3. Defensiva AI-verktyg går från experimentella till operativt nödvändiga.
Frivilliga AI-program i säkerhetsteamet skapar spridd kapacitet — några team i framkant, resten efter. Angripare opererar redan i maskinhastighet och riktar sig mot eftersläntrarna. Att säkerhetsfunktionen fått mandat att använda AI är skillnaden mellan ett organiserat försvar och ett individbaserat.
Varför sätter det saker på sin spets
Två konkreta legala konsekvenser för en svensk styrelse — utöver den operativa risken.
Cloud Security Alliances rapport bedömer att kapacitet som idag finns hos ett fåtal frontier-laboratorier blir tillgänglig som open-weight-modeller inom 6–12 månader. Det är tidsfönstret som driver schemats angelägenhet. Stämmer prognosen blir anfall som idag kräver statliga resurser billiga och allmänt tillgängliga, försvarsteamets arbetsbelastning ökar diskontinuerligt, och riskmodeller som inte uppdaterats förlorar sin täckning under NIS2/DORA-rapporteringen.
Riskbilden ni förvaltar är systematiskt för låg.
Pre-AI-antaganden i riskregister, försäkringsavtal och kvartalsrapporter ger ett grönare läge än verkligheten. Det är inte ett påhittat problem. Det påverkar investeringsbeslut, försäkringstäckning och NIS2-efterlevnad direkt.
Personligt ansvar under NIS2 art. 20.
NIS2-direktivet och dess svenska implementering (Cybersäkerhetslagen) flyttar uttryckligen ansvar för cybersäkerhetsstyrning till ledningsnivå. Art. 20 kräver att ledningsorgan godkänner riskhanteringsåtgärder, övervakar genomförandet, och kan hållas personligen ansvariga för bristande efterlevnad. Ledamöter ska delta i utbildning. Styrelsen ska kunna visa att man fattat informerade beslut — inte att man delegerat allt till CISO. Beslutsraden nedan är formulerad så att den både ger CISO mandat och samtidigt utgör ett dokumentationsspår för revision.
För finansiell sektor: DORA art. 5.
DORA art. 5 ställer specifika krav på ledningsorganets ansvar för ICT-riskhanteringsramverket — skriftligt godkänt, regelbundet granskat. Beslut nr 1 (mandatera AI-agent), nr 2 (innovationsforum) och nr 3 (uppdaterad riskrapport) är de tre som direkt adresserar detta krav. Se DORA art. 5-mappning.
Vid betydande incident: 24 h / 72 h / 1 månad.
NIS2 art. 23 och DORA art. 19 har olika trösklar. Som styrelse ska ni inte mikro-styra rapportering — men ni ska veta att Mythos-typiska incidenter kan trigga rapporteringskrav, och att kommunikationsvägen ska vara förberedd före första larm.
8 beslut att fatta idag
Av schemats elva åtgärder finns det åtta som inte kräver pilot eller fördjupning — bara ett styrelsebeslut. Formuleringen kan föras in i protokoll vid dagens möte.
Ge säkerhetsfunktionerna mandat att använda AI-agenter
Beslut: samtliga säkerhetsfunktioner (SOC, AppSec, IR, GRC) ska använda AI-agenter med dokumenterade kontroller från och med nästa månad. CISO återkommer med plan inom 30 dagar.
Påverkar:Åtgärd 2 i schematBudget: ~ 4–6 FTE-veckor första kvartaletCarry-out: CISO
Inrätta innovations- och accelereringsforum
Beslut: ett tvärfunktionellt forum (säkerhet, juridik, inköp, engineering) får besluta om defensiva verktyg under en av styrelsen fastställd budgetgräns med snabbspår på 14 dagar. Forumet rapporterar månadsvis.
Påverkar:Åtgärd 4Budget: ingen ny — processförändringCarry-out: CISO + CFO/inköp
Beställ uppdaterad riskrapport
Beslut: CISO levererar uppdaterad riskrapport till styrelsen senast nästa möte. Rapporten ska reflektera time-to-exploit under ett dygn för KEV-listade sårbarheter och föreslå konsekvenser för försäkring och leverantörsavtal.
Påverkar:Åtgärd 6Budget: ingen, mot ledtidCarry-out: CISO + GRC-lead
Sanktionera kontinuerlig patching
Beslut: säkerhetspatchar med CVSS ≥ 9.0 eller KEV-listning får rullas inom 7 dagar utan att gå förbi ordinarie change advisory board, mot dokumenterad rollback-plan. Avvikelser rapporteras månadsvis.
Beslut: platform-teamet levererar komplett SBOM (CycloneDX eller SPDX) på de tio mest kritiska internet-exponerade tjänsterna inom 90 dagar, samt leverantörskrav på patch-SLA i nya och förnyade avtal.
Ge mandat att kräva phishing-resistant MFA på privilegierade konton
Beslut: samtliga konton med produktionsåtkomst ska ha passkeys eller hårdvarunyckel (FIDO2) inom 90 dagar. SMS-baserad MFA och TOTP fasas ut för dessa konton.
Beslut: budget för AI-driven SAST-granskning av all kod (mänsklig + AI-genererad) i pipelinen för identifierade kritiska repon, med uppstart inom 30 dagar. AppSec äger triagen.
Beslut: CISO återkommer med organisationsförslag för permanent VulnOps-funktion senast Q3. Förslaget ska innehålla bemanning, budget och leverans-SLO för 2026/27.
Påverkar:Åtgärd 11Budget: 3–5 FTE permanent från 2027 — utvärderasCarry-out: CISO
Vad styrelsen inte behöver göra
Rollfördelningen är viktig. Styrelsen ger mandat, budget och kontrollpunkter — inte implementationsdetaljer.
Lämna till CISO och fackfunktioner
Välja specifika leverantörer av AI-verktyg, MFA-hårdvara eller SAST-tjänster
Definiera tekniska kontroller, prompt-strategier eller pipeline-konfiguration
Granska individuella sårbarheter, CVE-listor eller patch-fönster
Beslut om interna prioriteringar mellan team — det är CISO:s uppgift att lösa
Vad ni ska kräva av CISO inom 30 dagar
Styrelsens kontrollpunkter — fyra leverabler som ger underlag för nästa kvartalsmöte.
Att kräva senast 30 dagar efter dagens beslut
Skriftlig genomförandeplan för var och ett av de åtta besluten ovan, med ägare, milstolpar och risker
Uppdaterad riskbedömning som speglar AI-driven hotbild — inklusive konsekvenser för försäkring och NIS2-/DORA-rapportering
Tre KPI:er som styrelsen kan följa varje kvartal (förslag: MTTP på KEV-listade, andel agent-användning med mandat, antal kontroller med mandat som utlösts)
Förslag på externa kontrollpunkter under året — penntester, red team, oberoende AI-säkerhetsgranskning
Granska innan publicering
De juridiska anknytningarna (NIS2 Art. 20–21, DORA Art. 5/28, MSB-vägledning) är vägledande — verifiera mot er bolagsjurists tolkning innan formuleringen tas in i protokoll
Budgetuppskattningarna är generiska — kalibrera mot organisationens storlek och nuvarande mognad
Tidsramarna ("inom 30 dagar", "inom 90 dagar") är medvetet ambitiösa men förhandlingsbara mot komplexitet i miljön