Interna risker hamnar högre upp på agendan inom industri- och energisektorn
Interna risker har blivit ett alltmer uppmärksammat område för organisationer som ansvarar för kritisk infrastruktur. Detta beror inte enbart på tidigare incidenter, utan även på högre regulatoriska krav, mer omfattande granskningar och ökad användning av externa leverantörer.
Miljöer inom industri och energi är komplexa till sin natur. Fysiska platser, driftteknik och IT-system är nära sammankopplade. Personer med behörighet i dessa miljöer kan, avsiktligt eller oavsiktligt, påverka säkerheten, verksamhetens drift och allmänintresset.
I slutet av 2025 utsattes den polska energisektorn för en större cyberattack, vilket ledde till att svenska myndigheter, inklusive Försvarets radioanstalt (FRA), uppmanade energisektorn att höja säkerheten och öka vaksamheten, även om det inte finns något konkret hot mot Sverige på nuvarande tidspunkt rapporterar TV4. Samtidigt visar en kartläggning som Ekot gjort att antalet misstänkta brott mot samhällsviktig verksamhet i Sverige har mer än fördubblats jämfört med året innan. Enligt Ekot klassades ”över 2 000 anmälningar av polisen som misstänkt brott mot samhällsviktig verksamhet under 2025”.
Som en följd av detta flyttar allt fler organisationer inom industri- och energisektorn sitt fokus från enbart externa hot till att även hantera interna risker. Det gäller speciellt för roller med hög åtkomst, mycket ansvar och stort inflytande.
Vad vi menar med interna risker och vad som ofta förbises
Interna risker kopplas ofta till sabotage eller bedrägeri, men den bilden är ofullständig. Med interna risker menar vi de sårbarheter som uppstår när personer har åtkomst till system, anläggningar eller processer. Denna åtkomst skapar en risk, även om det inte finns någon avsikt att skada.
Mänskliga misstag, vårdslöshet, yttre påtryckningar eller intressekonflikter kan alla bidra till interna risker. Just eftersom dessa faktorer är mindre synliga upptäcks de ofta först i efterhand, efter att en incident har inträffat.
Risk bedöms utifrån åtkomst, inte avsikt
Vilken nivå och typ av åtkomst en roll har avgör hur stor den interna risken är. Ju bredare åtkomst och större inflytande, desto högre risk.
En titel säger inte allt
Kritiska roller förknippas ofta med seniora eller mycket specialiserade befattningar. I praktiken säger titeln lite om den faktiska exponeringen.
Inom industri och energi definieras risk av åtkomst till produktionssystem, energinät, drifttekniska miljöer, fysiska anläggningar eller beslutsbefogenheter inom verksamheten.
Tillfällig personal, konsulter och leverantörer har i allt högre grad sådan åtkomst, utan att det alltid uppmärksammas att de faktiskt har kritiska roller.
Tillfälliga och externa roller kräver större fokus
Brist på arbetskraft och projektbaserade leveransmodeller har ökat beroendet av extern personal. Åtkomst ges ofta snabbt för att undvika driftstörningar.
Inflytande: den osynliga faktorn bakom interna risker
Förutom åtkomst är inflytande en betydande, men ofta underskattad, faktor bakom interna risker.
Inflytande kan uppstå genom ekonomiska påtryckningar, beroende av externa intressen, långvarigt engagemang i samma organisation eller motstridiga lojaliteter inom komplexa leverantörskedjor. Sådana dynamiker är svåra att upptäcka, särskilt i fragmenterade verksamhetsmodeller. Problemet med traditionella urvals- och kontrollmetoder är att de sällan är utformade för att hantera den här typen av risker.
Återkommande kontroller för att fånga interna risker
I många organisationer fokuserar man främst på risker i samband med rekryteringsprocessen. Säkerhetskontroller och urvalsbedömningar genomförs ofta enbart vid anställningstillfället. Men riskbilden förblir inte statisk efter att någon har anställts.
Med tiden kan en persons livssituation förändras. Exempelvis kan ekonomiska svårigheter, rättsliga problem eller andra händelser i livet påverka en persons riskprofil. När bakgrundskontroller behandlas som en engångsåtgärd riskerar sådana förändringar att förbli oupptäckta, vilket gör att nya risker kan uppstå över tid.
Ansvar för riskhantering är dessutom ofta splittrat mellan olika avdelningar (till exempel HR, säkerhet och drift). Åtkomsthantering, rollbeskrivningar och bedömningar av tillförlitlighet sker ofta isolerat och utan att man har en fullständig överblick.
Resultatet blir att interna risker kan utvecklas obemärkt. Det kan även hända i organisationer med etablerade rutiner. Kontinuerlig uppföljning och samordning mellan avdelningar är därför avgörande för att minska risken för incidenter.
Större fokus på interna risker när lagstiftning skärps
Kraven på hur organisationer hanterar åtkomst till kritiska funktioner och system skärps. NIS2-direktivet ställer tydligare krav på riskhantering, styrning och ansvar för organisationer som driver samhällsviktig verksamhet. Organisationer behöver kunna visa hur tillgång till system, nätverk och annan kritisk infrastruktur kontrolleras och följs upp över tid.
Även den svenska Säkerhetsskyddslagen ställer krav på att organisationer som hanterar säkerhetskänslig verksamhet ska säkerhetspröva personer som får åtkomst till känsliga funktioner, system eller information. Bedömningar ska inte bara göras vid anställning utan också följas upp när roller, ansvar eller åtkomstnivåer förändras.
Revisorer och tillsynsmyndigheter intresserar sig i allt större utsträckning för motiven bakom åtkomstbeslut: Varför beviljades åtkomst? På vilken grund? Och hur följs dessa beslut upp över tid? Interna risker handlar därför inte enbart om säkerhet, utan i allt högre grad om styrning, ansvar och spårbarhet i organisationen.
Frågan organisationer i allt högre grad förväntas kunna svara på
Vilka roller inom organisationen har åtkomst till kritisk infrastruktur, och vilken nivå av skydd är proportionerlig för den åtkomsten – även för konsulter och andra externa aktörer?
Vägen framåt
Hur kan organisationer hantera interna risker på ett strukturerat och hållbart sätt? Inte genom enskilda kontroller, utan genom en strukturerad process som kopplar ihop roller, åtkomst och tillförlitlighet – utan att störa verksamhetens drift.