Beredskap i kommuner och regioner – när störningar hotar samhällsuppdraget
För kommuner och regioner är beredskap inte en sidofråga utan en del av samhällsuppdraget. När IT-stöd faller bort, leveranser uteblir, bemanningen påverkas eller när andra störningar slår mot verksamheten prövas inte bara organisationens krishantering, utan också förmågan att fortsätta leverera det som invånare, patienter, brukare och medborgare behöver.
Samhällsuppdraget måste fungera även vid störningar
Beredskap i kommuner och regioner handlar inte om stora ord, utan om vardagsnära verksamhetsfrågor. Vad måste fungera först? Vilka verksamheter är mest kritiska? Vilka resurser, funktioner och leveranser är mest sårbara? Hur länge klarar verksamheten ett avbrott innan det leder till allvarliga konsekvenser?
Det är i de frågorna som beredskap blir något konkret. För offentlig sektor syns riskerna ofta i tillgången till personal, fungerande systemstöd, lokaler, information, kommunikation och leverantörer. När någon av dessa delar påverkas kan följderna snabbt bli större än den ursprungliga störningen. Därför är det klokt att arbeta strukturerat med att identifiera vilka funktioner som bär verksamheten, vilka resurser som är mest kritiska och vilka delar som måste prioriteras först.
Kontinuitet är en del av styrningen
Beredskap behöver kopplas till kontinuitet och till den ordinarie styrningen. Om ett system ligger nere, om personal inte kommer till arbetet eller om en verksamhet inte kan bedrivas som vanligt måste organisationen veta vad som ska prioriteras, vad som kan vänta och hur samhällsviktiga funktioner ska upprätthållas.
Det här är inte bara en säkerhetsfråga utan även en styrningsfråga. Kommuner och regioner behöver kunna fatta beslut om prioriteringar, ansvar och resurser innan störningen inträffar och inte mitt i den. När kontinuitet blir en del av ordinarie ledning och uppföljning blir det lättare att hantera både mindre avbrott och mer omfattande störningar på ett samlat sätt.
Kritiska funktioner och nyckelkompetens behöver vara kända
En viktig del i beredskapsarbetet är att identifiera vilka funktioner och kompetenser som är mest kritiska. Alla roller är inte lika sårbara, men vissa funktioner kan vara avgörande för att en större verksamhet ska fungera. Det kan handla om verksamhetsnära nyckelkompetens, beslutsfunktioner eller stödfunktioner som dokumentation, kommunikation och tekniskt stöd.
När detta inte är tydligt i förväg blir organisationen mer reaktiv än förberedd. Därför behöver kommuner och regioner ställa frågor som: vilka funktioner måste vara bemannade först, vilka kritiska resurser måste hållas tillgängliga och vilka reservrutiner finns om ordinarie arbetssätt inte fungerar? Ju tydligare svaren är, desto enklare blir det att agera samlat när något faktiskt inträffar.
Beredskap måste ägas av ledningen
Ansvar och mandat behöver därför vara tydliga och beredskap kan inte ligga för långt från ledningen. När störningar påverkar samhällsuppdraget måste det finnas tydliga beslutsvägar och en gemensam bild av vad som ska skyddas först. Det gäller särskilt i verksamheter där flera förvaltningar, stödfunktioner eller externa aktörer behöver samverka under press.
Det är också därför beredskap inte bör behandlas som ett separat sidospår vid sidan av ordinarie styrning. När frågan integreras i ledning, verksamhetsplanering och uppföljning blir det lättare att gå från allmän ambition till faktisk förmåga.
NIS2 gäller redan – CER är nästa steg
Sedan den 15 januari 2026 gäller cybersäkerhetslagen i Sverige. Lagen genomför NIS2-direktivet och ställer tydligare krav på riskanalyser, säkerhetsåtgärder, incidentrapportering och ledningens deltagande i cybersäkerhetsarbetet. Kommuner, regioner och kommunalförbund omfattas oavsett storlek under sektorn offentlig förvaltning. De ska också själva bedöma sin omfattning och anmäla sig.
Det innebär att informations- och cybersäkerhet inte längre kan behandlas som ett isolerat teknikområde. Arbetet ska bedrivas systematiskt och riskbaserat och vara integrerat i organisationens befintliga styrning. För kommuner och regioner är det därför klokt att se informationssäkerhet, kontinuitet, kritiska resurser, funktioner och verksamhetsstyrning som delar av samma helhet.
Samtidigt är CER ännu inte fullt genomfört i svensk rätt. Den officiella tidslinjen pekade på proposition den 17 mars 2026, preliminärt ikraftträdande för ny lag och förordning under våren eller sommaren 2026 och mer detaljerade föreskrifter först senare under året. Någon proposition har emellertid i skrivande stund ännu inte publicerats. Eftersom verksamheter som omfattas av CER per automatik också omfattas av cybersäkerhetslagen blir riktningen tydlig redan nu: fokus flyttas mot bredare motståndskraft i samhällsviktig verksamhet.
Vad bör kommuner och regioner göra nu?
Det första steget är att identifiera vilka verksamheter och funktioner som måste fungera även under störning. Nästa steg är att kartlägga vilka kritiska resurser, funktioner och leveranser verksamheten bygger på: personal, system, lokaler, information, leverantörer och kommunikationsvägar. Därefter behöver ansvar, prioriteringar och beslutsvägar tydliggöras.
Det är också klokt att arbeta med enkla, realistiska scenarier. Vad gör vi om ett centralt system ligger nere? Hur påverkas verksamheten om bemanningen brister? Vilka reservrutiner finns om dokumentation eller kommunikation inte fungerar som vanligt? Beredskap i kommuner och regioner handlar ytterst om att säkra att samhällsuppdraget håller även när vardagen inte gör det.
I behov av rådgivning?
På Lawbox erbjuder vi utbildning och rådgivning för kommuner och regioner som vill arbeta mer strukturerat med kontinuitet, beredskap och praktisk motståndskraft. Det kan handla om att identifiera kritiska funktioner, tydliggöra ansvar i ledning och förvaltning eller omsätta övergripande krav till ett mer användbart och verksamhetsnära arbetssätt. Välkommen att kontakta oss för rådgivning
