Krisplanen kan vara beslutad, säkerhetsarbetet etablerat och ansvarsmatrisen ifylld. Men det säger inte allt om hur organisationen agerar när en större digital störning inträffar.
Så hittar du svagheterna innan systemen går ner
BESLUTSSTÖD Strategier och policyer är en sak. Men när systemen går ner avgörs beredskapen av ansvar, beslut, kommunikation och återställning. Här är frågorna som visar om organisationen är redo.

Någonting är fel
Läs vidare – starta din prenumeration
I en undersökning som Verian har genomfört på uppdrag av Knowit uppger 53 procent av de privata företagen att digital motståndskraft är högt prioriterad av ledningen. Samtidigt känner sig bara 45 procent ganska eller mycket säkra på organisationens förmåga att hantera en större digital kris.
Enligt Fredrik Ekerhovd, affärsområdeschef för Solutions på Knowit och från och med den 1 augusti tillförordnad vd och koncernchef, visar siffrorna ett gap mellan det som finns på plats och det som faktiskt har testats.
– Många organisationer har kommit långt med strategier, styrning och säkerhetsarbete. Men det är stor skillnad mellan att ha rätt planer och att faktiskt ha testat sin förmåga i praktiken, säger han.
Samtidigt har hotbilden blivit svårare att överblicka. Cyberattacker, AI-drivna angrepp, nya teknikberoenden och ett mer osäkert geopolitiskt läge gör att dokument, ansvarsmatriser och tekniska skydd inte räcker.
– Det räcker inte längre att ha rätt dokument på plats. Digital motståndskraft behöver vara en naturlig del av verksamhetens kontinuerliga utveckling, säger Fredrik Ekerhovd.
Bristen ligger sällan i tekniken
När digitala krisplaner inte fungerar är det sällan bara tekniken som brister. Den svaga punkten är oftare det som händer efter larmet: vem som fattar beslut, hur information delas och hur verksamheten hålls i gång.
– Den största bristen är sällan tekniken, utan den operativa förmågan. Många organisationer övar fortfarande för lite och underskattar hur beroende de är av sina leverantörer, säger Fredrik Ekerhovd.
Leverantörskedjan är en av rapportens tydligaste riskpunkter. I den privata sektorn svarar 34 procent att de inte vet hur robusta deras leverantörer är. Samtidigt uppger 65 procent att leverantörsberoenden påverkar den digitala motståndskraften i ganska eller mycket hög grad.
Den egna it-miljön kan därför vara väl säkrad samtidigt som verksamheten stannar om en kritisk molntjänst, driftpartner, kommunikationsplattform eller integrationsleverantör får problem.
– Det är först när man testar organisationen i praktiken som det blir tydligt om planerna fungerar. Många organisationer bygger in motståndskraft för sent. Den behöver finnas med redan när nya lösningar utvecklas och inte läggas till i efterhand, säger han.
Testa besluten, inte bara systemen
För att mäta den digitala beredskapen räcker det inte att kontrollera säkerhetskopiering, återställning och teknisk redundans. Organisationen behöver också veta vem som gör vad när läget är oklart.
– Man ska inte bara testa om systemen fungerar, utan också om organisationen gör det. Det gör man genom att öva realistiska scenarier där verksamheten, it-funktionen och ledningen deltar, säger Fredrik Ekerhovd.
En bra övning ska ge svar på frågorna: När upptäcks incidenten? Vem eskalerar? Vem fattar beslut? Vem informerar? Vad återställs först?
Det är just där många organisationer fortfarande brister. Enligt rapporten arbetar omkring 28 procent av företagen i den privata sektorn löpande och strukturerat med utbildning och övningar kopplade till digitala incidenter. I den offentliga sektorn är motsvarande andel 49 procent.
– Det är den samlade förmågan som avgör, säger han.
Fyra saker att prioritera
Fredrik Ekerhovd pekar ut fyra områden för organisationer som vill stärka sin beredskap under det kommande året.
Öva oftare. Kris- och incidentövningar behöver vara realistiska och omfatta hela verksamheten, inte bara it-funktionen.
Höj kompetensen. Digital motståndskraft är inte en isolerad teknikfråga. Chefer, medarbetare och stödfunktioner behöver veta vilken roll de har när något inträffar.
Kartlägg leverantörerna. Organisationen behöver veta vilka externa beroenden som är kritiska, vilka avbrott som får störst konsekvenser och var det behövs redundans eller alternativa arbetssätt.
Följ upp i ledningen. Motståndskraft behöver hanteras med samma disciplin som andra verksamhetskritiska risker.
– Den bästa motståndskraften märks egentligen inte förrän den dag den verkligen behövs. Därför är det också lätt att skjuta investeringarna framför sig. Men det är betydligt dyrare att upptäcka bristerna när en störning redan har inträffat, säger Fredrik Ekerhovd.
Fem frågor som visar om krisplanen håller
För att gå från plan till faktisk förmåga bör organisationen kunna svara på fem frågor:
- Vilka system och leverantörer måste fungera för att verksamheten inte ska stanna?
- Vem får fatta beslut när informationen är ofullständig och tiden är knapp?
- Hur snabbt upptäcks, eskaleras och kommuniceras en incident?
- Vilka funktioner ska återställas först om de ordinarie systemen inte fungerar?
- När testades detta senast i en realistisk övning där ledningen, it-funktionen och verksamheten deltog?
Om svaren är otydliga är krisplanen sannolikt inte tillräckligt förankrad i organisationens faktiska arbetssätt. Problemet är då inte att planen saknas, utan att förmågan ännu inte har testats.
Fakta: Undersökningen
Undersökningen genomfördes av Verian på uppdrag av Knowit. Den bygger på 206 intervjuer med vd och andra personer i ledande befattningar i den privata sektorn samt 62 intervjuer med personer i den offentliga sektorn.
Datainsamlingen genomfördes den 8–25 april 2026.
