Här följer artikeln i sin helhet:

Göteborgs universitet har ålagts att betala åtta miljoner kronor i sanktionsavgift för allvarliga brister i säkerhetsskyddsarbetet. Försvarshögskolan anmodas betala 1,5 miljoner efter tillsyn från Försvarsmakten. Det är tydliga signaler – och de sprider ringar på vattnet genom hela säkerhetsmarknaden, från slutkund till leverantörsled.

Vi talar inte om en tillfällig trend, utan en strukturell förflyttning. Tillsynsmyndigheterna använder nu de verktyg som lagstiftningen ger dem. Bristande säkerhetsarbete är inte längre en intern fråga – det är en regulatorisk risk med direkt ekonomisk påverkan. Fler sanktionsavgifter är att vänta, inte minst till följd av ny lagstiftning.

Cybersäkerhetslagen, som bygger på NIS2-direktivet och gäller sedan 15 januari 2026, ställer tydliga krav på samhällsviktiga verksamheter. Ledning och styrelse tillskrivs ansvar för systematiskt riskarbete, incidentrapportering och dokumenterad styrning. Bristande teknisk insikt är inte längre en ursäkt. Detta påverkar även leverantörsledet. Säkerhetskonsulter måste ha juridisk förståelse, kunna tala ledningens språk och tydliggöra ansvar, konsekvenser och krav vid tillsyn.

För leverantörer av tekniska lösningar för fysiskt skydd är förändringen omvälvande. Fysisk säkerhet har traditionellt varit en separat disciplin – passerkontroll, kameraövervakning och larm. Men dagens system är i praktiken IT-produkter: nätverksanslutna, mjukvarustyrda och integrerade i verksamhetens digitala infrastruktur. Varje passersystem och varje kamera är därmed också en potentiell cyberrisk.

Samtidigt innebär Cyber Resilience Act (CRA) – cybersäkerhetsförordningen – ett paradigmskifte för produktleverantörer. Medan cybersäkerhetslagen stärker organisationers motståndskraft, riktar CRA kraven direkt mot produkter med digitala element som säljs inom EU.

CRA började gälla redan den 10 december 2024. Från 11 september 2026 börjar rapporteringsskyldighet för sårbarheter gälla. Full efterlevnad krävs från 11 december 2027. Säkerhet ska inte längre adderas i efterhand utan byggas in från början – Security by Design.

Kraven riktas direkt mot produktens konstruktion och livscykel. Leverantörer måste kunna visa hur produkter utvecklas säkert, hur sårbarheter hanteras, hur patchning sker och hur långsiktig support säkerställs. Endast produkter som uppfyller kraven kommer att CE-märkas. Den som inte kan redovisa detta riskerar att bli en svag länk i kundens regelefterlevnad.

Uppkopplade säkerhetsprodukter ska sålunda inte bara leverera funktion – de ska bidra till cyberresiliens och regulatorisk trygghet. De ska stödja dokumentation, spårbarhet och uppföljning och vara designade med säkerhet som utgångspunkt, inte som tillval.

Gränsen mellan fysisk och digital säkerhet suddas snabbt ut. Det märks särskilt i säkerhetsskyddsarbetet, där skyddsvärd verksamhet är beroende av både informationssäkerhet och fysiskt skydd. Leverantörer måste kunna röra sig i båda världarna. Det räcker inte att förstå lås och kameror – man måste även förstå nätverk, IT-åtkomst och logghantering vid incidentutredningar.

Kunderna efterfrågar i allt högre grad helhetslösningar och partners som kan bygga en sammanhållen säkerhetsstruktur – från analys till implementation och uppföljning. Det kräver investeringar i kompetens, kvalitetssäkring och långsiktiga åtaganden.

Miljonböterna är sannolikt bara början. Med NIS2 och CRA får myndigheterna ytterligare verktyg för att stärka samhällets motståndskraft mot cyberangrepp. För säkerhetsbranschens slutkunder ökar behovet av professionellt stöd. För leverantörerna handlar det om ett vägval: att fortsätta vara en traditionell produkt- eller tjänsteleverantör inom fysisk säkerhet – eller att ta steget fullt ut och bli den strategiska partner som krävs i en allt mer reglerad och komplex verklighet.