Du känner till dem vid det här laget. NIS2. GDPR. DORA. Cyber Resilience Act. AI Act. Cybersäkerhetslagen. Sex regelverk, var och ett med sina krav, sina tidsfrister och sina tillsynsmyndigheter.
Var för sig hanterbara. De flesta organisationer har påbörjat något: en GDPR-kartläggning här, en NIS2-utredning där, kanske en AI-policy som någon fick i uppdrag att skriva.
Men här är det ingen pratar högt om: de överlappar alla i exakt samma krav.
Sex regelverk, fem gemensamma krav
Riskhantering. Ledningsinvolvering. Dokumentation. Rapportering. Leverantörskontroll.
Fem förväntningar som återkommer i varje regelverk. De flesta organisationer hanterar dem i separata spår. Separata ansvariga. Separata tidsplaner. Dokumentsamlingar som ingen har koll på.
Fem krav som alla sex regelverken delar:
- Systematisk riskhantering. NIS2, GDPR, DORA, CRA och AI Act kräver alla att risker identifieras, bedöms och hanteras löpande.
- Dokumenterat ledningsansvar. Direktion och styrelse ska godkänna, övervaka och kunna motivera sina prioriteringar.
- Incidentrapportering. Snäva tidsfrister, tydliga eskaleringsvägar, dokumenterade processer.
- Leverantörskontroll. Tredjepartsbedömning vid upphandling och löpande uppföljning.
- Spårbar dokumentation. Vem beslutade vad, när, och varför. Den tråden söker revisorer alltid.
Resultatet av att hantera dessa i separata spår? Parallella compliance-initiativ som ingen har helhetsbild över. Dubbelarbete. Motstridiga prioriteringar. En ledningsgrupp som tror att allt är under kontroll, för att varje enskilt spår rapporterar grönt.
En SAFEict/HarmonyQ-studie från februari 2026 visar samma mönster för Nederländerna och Belgien. Ett integrerat ledningssystem minskar dubbelarbetet: samma kontroller kan påvisas för flera regelverk samtidigt. Vår guide om kontrollmappning för multi-framework compliance beskriver tillvägagångssättet steg för steg.
Varför det här inte är ett IT-problem
Det är frestande att delegera reguleringshanteringen till IT-avdelningen. Det är ju “tekniska” regelverk.
Kravbilden pekar åt ett annat håll. NIS2 och Cybersäkerhetslagen fastslår explicit ledningsansvar. Direktion och styrelse ska dokumentera sin involvering. Riskbedömningar ska förankras på ledningsnivå. Resursallokering ska kunna motiveras.
Det här kan inte en IT-chef lösa ensam. Det kräver att organisationens styrningsstruktur är tydlig och testad. Vem beslutar vad, när, och på vilken grund?
Beata Kaminski, cybersäkerhetsexpert med fokus på NIS2-strategi för små och medelstora verksamheter, sammanfattar det i sin analys av den danska reguleringsrörelsen. Den väsentligaste förändringen är inte teknisk komplexitet. Det är governance-komplexitet.
Den observationen gäller hela Norden. Vi har skrivit mer om ledningens specifika ansvar under NIS2.
Sveriges specifika läge
I Sverige trädde Cybersäkerhetslagen (SFS 2025:1506) i kraft den 15 januari 2026. Den implementerar NIS2-direktivet och innebär en skärpning jämfört med tidigare lagstiftning.
Cybersäkerhetslagen kräver bland annat:
- Systematisk riskhantering baserad på en allriskansats
- Incidentrapportering med snäva tidsfrister
- Leverantörskontroll som en del av riskhanteringen
- Dokumenterat ledningsansvar, där styrelse och direktion ska kunna visa sin involvering
Läs mer i vår genomgång av fem saker du behöver veta om Cybersäkerhetslagen.
Parallellt närmar sig AI Act:s tidsfrister. Organisationer som använder AI-system i högriskkategorier behöver ha governance-strukturer på plats. GDPR-praxis skärps kontinuerligt. Och för finanssektorn adderar DORA ytterligare krav på digital operationell resiliens.
Din organisation berörs. Frågan är om ert svar är strukturerat nog.
Fem tecken på att er styrning inte håller
De här mönstren dyker upp i organisation efter organisation. Känner du igen tre eller fler är det dags att agera.
Ni har en GDPR-ansvarig, en NIS2-ansvarig och någon som "tar AI". Men ingen som ser hur kraven hänger ihop och kan samordna insatserna.
Istället för per verksamhetsprocess. Samma risk dokumenteras tre gånger i tre system, med tre olika bedömningar.
Policies godkänns på ledningsgruppsmötet. Men ingen i rummet kan beskriva vilka risker som motiverade besluten.
Leverantörer granskas vid avtalstecknande. Systematisk uppföljning under avtalstiden saknas.
Er incidenthantering är en plan i en pärm, inte en testad process. Ingen vet om rapporteringstiderna håller förrän det smäller på riktigt.
Varje enskild punkt går att åtgärda. Men tillsammans avslöjar de något djupare: avsaknad av en gemensam styrningsstruktur. Precis det som reguleringsvågen 2026 testar.
Lösningen: En styrningsstruktur, inte fler checklistor
Lösningen på reguleringsöverbelastningen är inte fler verktyg eller fler konsulter. Det är att bygga en gemensam grund som bär alla regelverk.
- Samla kraven i en struktur NIS2, GDPR, DORA, CRA och AI Act överlappar i kärnprocesserna: riskhantering, leverantörskontroll, incidenthantering, loggning och bevisföring. Istället för separata compliance-projekt bör dessa mappas mot samma processer, tillgångar och informationsflöden. Vår [guide till kontrollmappning](/blogg/multi-framework-compliance/) visar hur det går till.
- Förankra riskbedömningar på ledningsnivå Ledningen ska förstå vilka affärsbeslut riskerna driver. De ska kunna förklara sina prioriteringar. Att godkänna en riskmatris och delegera nedåt räcker inte.
- Dokumentera beslut systematiskt Vem beslutade vad, när, och varför? Det här är den gyllene tråden som revisorer och tillsynsmyndigheter söker: obryten spårbarhet från verksamhetsprocesser till risker till kontroller. Utan den är compliance-dokumentation bara teater.
- Kartlägg informationsflöden Du kan inte styra det du inte ser. Vilka system bearbetar vilken information? Var går data mellan verksamhetsprocesser, IT-system och datakällor? Den kartläggningen är grunden för riskbedömning och regelefterlevnad. Börja med en [GAP-analys](/blogg/gap-analys-nis2-guide/) för att identifiera var ni står.
- Testa beredskap innan tillsynen gör det Incidenthantering, leverantörsuppföljning, rapporteringsprocesser. Allt måste vara testat, inte beskrivet i ett dokument som ingen öppnat sedan förra revisionen. Organisationer som kan visa dokumenterad mognad står starkare vid tillsyn. De vinner också upphandlingar lättare och bygger bättre kundrelationer.
Från kostnad till konkurrensfördel
Det är lätt att se reguleringsvågen som en belastning. Mer papper. Högre kostnader.
Men perspektivet håller inte längre. Cybersäkerhet och den governance som bär den är en konkurrensparameter. Offentliga upphandlingar kräver det. Kunder förväntar sig det.
Organisationer som bygger en sammanhållen styrningsstruktur nu möter regulatoriska krav och minskar dubbelarbete på samma gång. Den governance-mognad det ger syns utåt.
De som inte gör det bygger fasader. Fasader håller inte när det blåser.
Tre frågor att ta med till ledningsgruppen
Börja här. Om ni inte kan svara ja på alla tre är det ett tecken på att styrningsstrukturen behöver ses över.
Behandlas cyberrisk systematiskt på ledningsnivå, eller är det delegerat till IT?
Kan ni dokumentera era prioriteringar, beslut och motiv?
Är ansvar och beslutsgångar testade, eller finns de bara på papper?
Reguleringsvågen 2026 kommer samlad. Svaret behöver vara det också.
Vi har tidigare skrivit om varför compliance inte minskar risk utan styrning och om GDPR och NIS2-integration. Den här artikeln bygger vidare på de insikterna.
Så kan Securapilot hjälpa
- Integrerad compliance: NIS2, GDPR, ISO 27001 och DORA i ett system med kontrollmappning
- Gemensamt riskregister: En riskbild som täcker alla regelverk, med tydliga ägare per risk
- Incidentrapportering: Automatisk anpassning av rapporteringsprocess per regelverk och tidsfrist
- Ledningsöversikt: Samlad riskbild för styrelse och ledning, på klarspråk
- Spårbarhet: Fullständig besluts- och åtgärdshistorik för tillsyn och revision
Boka en demo och se hur en samlad styrningsstruktur ser ut i praktiken.
Vill du börja med en överblick? Testa vårt kostnadsfria compliance-verktyg för att se var ni står.
Vanliga frågor
Behöver vi separata processer för varje regelverk?
Nej. NIS2, GDPR, DORA, CRA och AI Act överlappar i fem kärnprocesser: riskhantering, incidenthantering, ledningsansvar, leverantörskontroll och dokumentation. En samlad styrningsstruktur med kontrollmappning täcker alla sex regelverken utan dubbelarbete.
Vilket regelverk ska vi börja med om vi inte uppfyller något?
Börja med Cybersäkerhetslagen och NIS2, som redan gäller sedan januari 2026 och har tydliga sanktioner. GDPR gäller sedan 2018. Dessa tre ger en grund som täcker merparten av kraven i DORA, CRA och AI Act.
Vad är gemensamt för alla sex regelverken?
Fem kärnkrav återkommer i samtliga: systematisk riskhantering, dokumenterat ledningsansvar, incidentrapportering, leverantörskontroll och spårbar dokumentation av beslut och åtgärder.
Hur vet vi om vår styrningsstruktur håller?
Ställ tre frågor: Behandlas cyberrisk systematiskt på ledningsnivå? Kan ni dokumentera beslut och motiv? Är ansvar och beslutsgångar testade, inte bara beskrivna? Om svaret på någon av dessa är nej finns det ett gap.
