08-21 92 00
Techteam i samtal om NIS2, DORA och kompetensbristen ingen pratar om

Lästid: 4 minuter

Publicerad:

Senast redigerad:

När lagen kräver mer än ni har: NIS2, DORA och kompetensbristen ingen pratar om

Regelverken är på plats, men techteamen är inte redo

Snabbversion

  • NIS2, DORA och EU AI Act kräver nu kompetens som kombinerar teknisk riskbedömning med regulatorisk förståelse, samtidigt uppger 95 procent av alla cybersäkerhetsteam att de har minst ett kompetensgap.
  • Bolag som inte agerar riskerar att missa incidentrapporteringskrav, tappa kontroll på AI governance och stå utan beslutsunderlag när styrelsen behöver det som mest.
  • Kartlägg era regulatoriska gap, bestäm vad ni behöver äga internt och ta in senior IT-konsultkompetens för att täcka det kritiska snabbt.

Juridikavdelningen har läst igenom NIS2. Styrelsen har fått en presentation om DORA. Någon har börjat titta på vad EU AI Act egentligen innebär för er verksamhet. Ändå sitter ni kvar med samma fråga: vem i IT-teamet ska faktiskt äga det här operativt? Det är inte en juridisk fråga. Det är en kompetensfråga. Och den är svårare att lösa än den ser ut.

NIS2 kräver att ledningen tar direkt ansvar för cybersäkerheten. DORA kräver dokumenterad operativ motståndskraft, testade incidentplaner och kontroll på vad era leverantörer faktiskt gör med er data. EU AI Act lägger sedan ett tredje lager ovanpå: krav på transparens, mänsklig tillsyn och riskklassning av AI-system som används i kritiska funktioner.

Sammantaget pekar regelverken mot en person, eller ett team, som kan röra sig mellan teknik, risk och affär. Som förstår vad ett SIEM-system faktiskt larmar om och kan förklara det för en styrelse samma eftermiddag. Som vet vilka av era AI-system som faller under högriskklassning och vad det innebär i praktiken, inte bara på papper.

Team ni inte hittar på Linkedin

Men den profilen finns knappast. Varken på Linkedin eller på den egna IT-avdelningen.

– Det vi ser i kundsamtal är att bolag vet att de behöver agera på NIS2. Men när vi börjar nysta i vad de faktiskt saknar är det inte en säkerhetsanalytiker. Det är någon som kan koppla ihop teknisk riskbedömning med vad styrelsen behöver förstå och fatta beslut om. Den kombinationen är ovanlig, nästan omöjlig i dagsläget, säger Linda Segerman, Talent Business Partner inom IT-säkerhet på Ada Digital.

Stort kompetensgap

Det här lyfter också ISC2:s Workforce Study 2025 som visar att 95 procent av alla cybersäkerhetsteam har minst ett kompetensgap. Hela 59 procent lever med kritiska eller allvarliga brister, en ökning med 15 procentenheter på ett år. World Economic Forums senaste rapport bekräftar bilden: 54 procent av organisationer uppger otillräcklig kunskap och kompetens som det största hindret för att implementera AI i sin säkerhet.

Det är inte en branschsiffra att luta sig mot. Det är verkligheten i de flesta IT-team just nu.

Därför måste bolag dubbla upp med AI-kompetens inom IT-säkerhet
Läs mer Därför måste bolag dubbla upp med AI-kompetens inom IT-säkerhet

Därtill visar WEF att oro för AI-genererade säkerhetsrisker, som phishing, malwareutveckling och deepfakes, ökade till 47 procent bland säkerhetschefer under 2025. Det är en kraftig uppgång från 29 procent 2024. Dessutom uppger 39 procent att de är osäkra på riskbilden överhuvudtaget. Vilket innebär att nästan fyra av tio inte vet vad de försvarar sig mot.

Mot den bakgrunden träder samtidigt NIS2 och DORA in med tydliga krav på incidentrapportering, dokumentation och ledningsansvar. Timingen är, milt sagt, krävande.

Tre kompetenser krävs framåt

För att möta kompetensbristen måste bolag börja tänka nytt och bredda sin syn på kompetens, allt för att stänga det växande kompetensgapet. För det som krävs, är något som marknaden inte hinner producera:

  1. Regulatorisk teknisk kompetens
    Att förstå vad NIS2 och DORA konkret innebär för systemarkitektur, loggning, incidenthantering och leverantörskedjor. Det räcker inte att ha läst lagtexten. Det krävs en person som kan omsätta kraven i praktiken och löpande kommunicera statusen uppåt i organisationen, utan att förenkla för mycket.
  2. AI governance i praktiken
    Någon i IT-teamet måste äga EU AI Act operativt. Det handlar om att hålla koll på vilka system som klassas som högrisk i er specifika verksamhet, säkra att dokumentation och mänsklig tillsyn faktiskt fungerar och inte bara finns på papper. Det är tvärfunktionell kompetens som kräver förståelse för både teknik, affär och regulatoriska konsekvenser.
  3. Incidentrespons med rapporteringskrav
    NIS2 och DORA ställer tydliga tidskrav på hur incidenter ska rapporteras till myndigheter. Det förutsätter att It- och techteamet inte bara kan hantera en incident tekniskt, utan dokumentera och eskalera ärenden under press. Det är en helt annan förmåga än att konfigurera ett system.

– Riskbedömning och compliance är det näst vanligaste kompetensgapet vi ser i ISC2:s data. 29 procent av specialisterna uppger det som kritiskt. Det stämmer med det vi hör från kunderna. Det saknas personer som kan hålla ihop den tekniska och regulatoriska dimensionen samtidigt, säger Linda.

Släng bort gamla jobbtitlar

Linda Segerman, Ada Digital
Linda Segerman, Talent Business Partner Ada Digital.

Gartner visar samtidigt att CISO-rollen nu utvidgas till att inkludera data governance, AI-policy och verksamhetskontinuitet. Det innebär att de som sitter i den rollen behöver ha ett bredare team. Ett teknikteam som måste byggas utifrån vad organisationen faktiskt behöver framåt, inte av jobbtitlar som skapar trygghet

– De bolag som söker en exakt titel i en jobbannons till exempel en IT-säkerhetsanalytiker med fem års erfarenhet av SIEM, kommer rekrytera för en värld som redan förändrats. De som i stället letar efter personer med förmågan att förstå hotbilden, äga governance och kommunicera risk, är de som faktiskt hittar rätt, säger Linda och avslutar: Det är en avgörande skillnad. Och den syns i resultaten.

Kartlägg vad ni ska äga

Kartlägg de regulatoriska gapen innan ni formulerar en kravprofil. Vad kräver NIS2 och DORA av er specifikt, och vilka delar av det är faktiskt täckta idag? Det ger er ett underlag som är svårare att argumentera bort på ett ledningsgruppsmöte, än en svag formulering om av att ”vi behöver bli bättre på säkerhet.”

Bestäm sedan vad ni behöver äga, och därmed rekrytera, internt och vad ni kan lösa snabbare med en konsult. En NIS2-gapanalys, en genomlysning av er AI governance eller ett konkret incidentrespons-ramverk är alla uppdrag som lämpar sig för en senior IT-konsult.

Nästa steg?

De flesta bolag vet att de behöver agera på NIS2 och DORA. Färre vet exakt vad de saknar. Och ännu färre hittar rätt person för att täcka det.

Ada Digital matchar er organisation med IT-säkerhetsspecialister som rör sig mellan teknik, risk och affär. Hör av er, så börjar vi med det som faktiskt gör skillnad.

Kontakta oss idag!

Charlotte Ulvros, marknadschef Ada Digital

Skribent

Charlotte Ulvros

Charlotte är marknadschef på Ada Digital och ansvarar för marknadsföring, varumärke och digitala utveckling. Med bakgrund inom media och e-handel leder hon ett specialistteam inom digital marknadsföring, webb, content och analys. Hon följer utvecklingen på den svenska och internationella arbetsmarknaden och analyserar hur AI, digitalisering och nya kompetenskrav påverkar Tech- och IT-branschen på både kort och lång sikt. Insikter och trender hon delar hon med sig av på Ada Digitals insiktsblogg.

Källor

Rekommenderat för dig

Därför måste bolag dubbla upp med AI-kompetens inom IT-säkerhet

BYOAI: när medarbetarna bygger sin egen IT-avdelning

Data är det nya guldet, men många gräver med fel verktyg. Ada Digital listar sex trender som formar framtidens analysteam.
Data är det nya guldet, har du rätt analysteam?

,

Ada Digital är en del i företagsgruppen Key People Group
Ada Digital TNG TNG Tech TNG Lead TNG Evolve
Invici Signpost ToFindOut Mesh Tengai