NCC står rustade för nya cybersäkerhetskrav i byggprojekt
När den nya cybersäkerhetslagen trädde i kraft i januari 2026 skärptes kraven på informations- och cybersäkerhet till att gälla fler verksamheter än tidigare. För NCC innebär det att arbetssätt som länge varit självklara i säkerhetsklassade byggprojekt nu blir relevanta i betydligt fler uppdrag.
– Cybersäkerhetslagen gör att frågor som länge varit självklara i säkerhetsklassade uppdrag nu blir aktuella i fler byggprojekt. I genomförandet innebär det att säkerhetsarbetet behöver vara integrerat i styrningen från start, inte hanteras som en separat fråga vid sidan av, säger Hampus Levén, affärsansvarig Säkerhetsklassade byggnader på NCC.
NCC har under lång tid arbetat med byggprojekt där informationssäkerhet är en naturlig del av arbetssättet. I dessa projekt hanteras känslig information redan i tidiga skeden, samtidigt som många aktörer, system och beroenden behöver samordnas för att produktionen ska fungera. När kraven nu breddas blir den erfarenheten allt mer relevant även i uppdrag som tidigare inte varit säkerhetsklassade.
Nya krav möter en redan komplex byggprocess
Beställare inom exempelvis vård, kommunal service, energi och infrastruktur får, i och med den nya cybersäkerhetslagen, ett tydligare ansvar för att arbeta systematiskt med informations- och cybersäkerhet. Det omfattar bland annat riskanalyser, incidenthantering, säkerhet kopplad till leverantörskedjan samt krav på dokumenterade rutiner, rapportering och tillsyn.
– Cybersäkerhetslagen innebär att frågor som många redan brottas med i komplexa projekt nu blir tydligare reglerade. För byggprojekt betyder det att säkerhetsarbetet behöver vara en del av styrningen från start, säger Hampus Levén.
Det innebär att säkerhetsfrågorna behöver hanteras parallellt med projektering, inköp och produktion – i projekt som redan präglas av hög komplexitet och många gränssnitt.
Arbetssätt som redan fungerar i vardagen
I säkerhetsklassade byggprojekt har kraven på både fysisk och digital säkerhet länge varit en del av vardagen. Där behöver tillträde, informationshantering och uppföljning fungera parallellt med produktionen, utan att störa framdriften.
– När säkerhetsarbetet är en naturlig del av projektets arbetssätt går det att hantera hög komplexitet utan att tappa tempo. Erfarenheten visar att tydliga strukturer och ansvar snarare förenklar genomförandet än försvårar det, säger Hampus Levén.
Leverantörskedjan i centrum
I byggprojekt där många leverantörer och individer är involverade behöver inköp, säkerhet och produktion samordnas tidigt för att undvika sena omtag och otydliga ansvar.
– I praktiken handlar det om att få rätt aktörer på plats i rätt tid, med tydliga förutsättningar från början. När säkerhetskraven är integrerade i inköpsarbetet går det att hantera både komplexitet och tidplan på ett kontrollerat sätt. Det är ett arbetssätt vi har byggt upp genom lång erfarenhet av säkerhetsklassade uppdrag, säger Hampus Levén.
Om nya cybersäkerhetslagen
Den nya cybersäkerhetslagen, som trädde i kraft 15 januari 2026, bygger på EU:s NIS2-direktiv och skärper kraven på informations- och cybersäkerhet. Lagen omfattar fler verksamheter än tidigare och ställer krav på ett systematiskt säkerhetsarbete, inklusive riskhantering, incidentrapportering och hantering av säkerhet i leverantörskedjan. Det innebär till exempel att cybersäkerhetsfrågan bör lyftas in redan i systemhandlingsskedet. Syftet är att stärka motståndskraften mot cyberhot i samhällsviktiga verksamheter.