Kompetensbristen är reell — men problemet är mer specifikt än de flesta tror

Det talas mycket om "kompetensbristen inom cybersäkerhet", och den är verklig. Enligt branschrapporter från bland annat ISC2 och Gartners analyser har gapet mellan efterfrågan och tillgång på säkerhetskompetens vuxit konsekvent de senaste åren, globalt och i Norden.

Men det vi ser i praktiken är att bristen inte är jämnt fördelad. Det finns relativt gott om juniora kandidater som nyligen tagit en Security+-certifiering eller gått en bootcamp. Bristen är akut på tre specifika nivåer:

• Seniora incidenthanterare med dokumenterad erfarenhet av verkliga intrång (inte bara CTF-övningar)
• Cloud security-specialister som förstår infrastruktur-as-code, Kubernetes-säkerhet och molnleverantörernas säkerhetsmodeller på djupet
• Säkerhetsledare (CISO/säkerhetschef) som kan bygga säkerhetsprogram, inte bara reagera på incidenter

Det innebär att ni behöver anpassa rekryteringsstrategin efter vilken nivå ni söker. En junior SOC-analytiker hittar ni sannolikt inom rimlig tid. En senior cloud security architect med NIS2-erfarenhet? Den sökningen kan ta sex månader — om ni inte överväger alternativa modeller.

Rekryteringsprocessen steg för steg

1. Definiera behovet med precision

Innan ni skriver en jobbannons, svara på dessa frågor:

• Vilken hotbild har ni? En e-handlare med kunddata i molnet har en annan riskprofil än ett industriföretag med OT/SCADA-system.
• Vilka regulatoriska krav gäller? Om ni omfattas av NIS2-direktivet behöver ni annan kompetens än om ni "bara" hanterar GDPR.
• Vad finns redan internt? Har ni en IT-avdelning som hanterar grundläggande säkerhet, eller startar ni från noll?
• Behöver ni 24/7-kapacitet? Om svaret är ja (och det borde det vara för de flesta medelstora och stora organisationer), bör ni räkna på vad det kostar att bemanna det internt kontra att använda en managerad SOC-tjänst.

2. Skriv en jobbannons som attraherar rätt person

Det här låter banalt, men de flesta IT-säkerhetsannonser vi ser på svenska jobbsajter är antingen för vaga ("vi söker en driven säkerhetsexpert") eller önskelistor med 25 kravpunkter som ingen enskild person uppfyller.

Gör istället så här:

• Lista 4–6 specifika ansvarsområden, inte 20 vaga.
• Dela krav i "måste ha" och "meriterande" — och menar det. Om ni skriver CISSP som krav men egentligen anställer någon utan det, signalerar ni att ni inte vet vad ni vill ha.
• Beskriv er säkerhetsmognad ärligt. Seniora kandidater vill veta om de bygger från grunden eller förfinar en befintlig organisation.
• Ange lönespann. Transparens attraherar. I Sverige 2026 ligger en senior cybersecurity-konsult på 65 000–95 000 SEK per månad beroende på roll och erfarenhet.

3. Sök på rätt ställen

Standardjobbsajterna (LinkedIn, Indeed) fungerar för juniora roller. För seniora säkerhetsspecialister behöver ni komplettera med:

• OWASP- och CNCF-communities — aktiva bidragsgivare har ofta djup teknisk kompetens
• Säkerhetskonferenser — SEC-T (Stockholm), BSides-evenemang, Nordic IT Security
• Bug bounty-plattformar — HackerOne och Bugcrowd har nordiska deltagare med bevisad offensiv kompetens
• Rekryteringsfirmor med IT-säkerhetsfokus — men ställ krav på att de förstår skillnaden mellan en nätverkstekniker och en penetrationstestare

4. Testa verklig kompetens — inte bara teori

Här gör de flesta organisationer sitt största misstag. Ett typiskt rekryteringstest inom IT-säkerhet består av multiple choice-frågor om nätverksprotokoll. Det mäter minnesförmåga, inte problemlösningsförmåga.

Så här gör vi det bättre:

Scenariobaserad intervju: Beskriv en verklig (anonymiserad) incident och låt kandidaten resonera genom sin åtgärdsplan. Exempel: "Ni får en alert från ert SIEM om att en adminanvändare loggar in från en ovanlig IP-adress klockan 02:00. Hur prioriterar du?"

Tekniskt labb (take-home eller live): Ge kandidaten en begränsad miljö — exempelvis en förberedd AWS-instans med kända sårbarheter — och låt dem dokumentera sina fynd. Tidsbegränsa till 2–4 timmar.

Kommunikationstest: Be kandidaten förklara en teknisk risk för en fiktiv styrelse. Om de inte kan göra det begripligt, kommer de inte kunna det i er organisation heller.

5. Onboarding som sätter säkerhetskontexten

De första 90 dagarna avgör om er nya cybersecurity-konsult blir effektiv eller frustrerad. Se till att de får:

• Tillgång till er fullständiga hotbild, incidenthistorik och riskregister
• Introduktion till samtliga system och arkitekturbeslut (inklusive teknisk skuld — var ärliga)
• Tydligt mandat att eskalera säkerhetsfrågor, även om det innebär att säga nej till affärskritiska förändringar
• En sponsor i ledningsgruppen, inte bara en rapporteringslinje till IT-chefen

När intern rekrytering inte räcker — och outsourcing blir strategiskt rätt

Det finns ett pragmatiskt argument som fler organisationer borde göra: ni behöver kanske inte rekrytera en cybersecurity-konsult alls.

Det låter kontraintuitivt i en artikel om rekrytering, men hör oss. Att bygga ett internt säkerhetsteam med 24/7-kapacitet kräver minst 6–8 personer (för att täcka skift, semester och sjukdom). Med svenska lönenivåer landar det på 5–7 miljoner SEK per år bara i personalkostnader — före verktyg, utbildning och lokaler.

För många organisationer — särskilt de med 50–500 anställda — är en hybridmodell mer realistisk och ofta mer effektiv:

Opsios erfarenhet är att hybridmodellen ger bäst resultat i de flesta fall. En intern säkerhetsansvarig (CISO eller säkerhetschef) som äger strategi, riskhantering och styrelserelationen — kombinerad med en managerad SOC/NOC-tjänst som hanterar operativ övervakning, alerthantering och incidentrespons dygnet runt.

Det ger er det bästa av två världar: organisationsspecifik kunskap internt och skalbar, specialiserad kompetens externt.

NIS2 och GDPR: regulatoriska krav som driver rekryteringsbehovet

NIS2-direktivet har breddat kretsen av organisationer som måste ha dokumenterad cybersäkerhetsstyrning avsevärt. Om ni verkar inom energi, transport, hälso- och sjukvård, digital infrastruktur, vattenförsörjning, finans, offentlig förvaltning eller leveranskedjor till dessa sektorer — ja, då omfattas ni sannolikt.

Konkret innebär NIS2 bland annat:

• Incidentrapportering inom 24 timmar till behörig myndighet (MSB i Sverige)
• Regelbundna riskanalyser och dokumenterade säkerhetsåtgärder
• Ledningens personliga ansvar för säkerhetsstyrning — styrelseledamöter kan hållas ansvariga
• Krav på säkerhet i leveranskedjan — ni måste bedöma era leverantörers säkerhetsmognad

Parallellt skärper Integritetsskyddsmyndigheten (IMY) sin tillsyn av GDPR-efterlevnad, med allt högre sanktionsavgifter för bristande tekniska och organisatoriska åtgärder.

Allt detta driver efterfrågan på cybersecurity-konsulter som förstår både tekniken och det regulatoriska landskapet. En ren tekniker räcker inte — ni behöver någon som kan bygga ett säkerhetsprogram som håller vid både en incident och en tillsynsgranskning.

Läs mer om molnsäkerhet och regelefterlevnad

Certifieringar: vad som faktiskt betyder något

Certifieringsdjungeln inom cybersäkerhet är tät. Här är vår ärliga bedömning av de vanligaste:

Vår rekommendation: vikta erfarenhet tyngre än certifieringar, men se certifieringar som ett kvalitetsfilter — särskilt CISSP och OSCP som kräver verklig kompetens för att klara.

Opsio-perspektivet: vad vi ser i produktion

Från vårt SOC ser vi varje dag hur hotlandskapet ser ut i praktiken för nordiska organisationer. Några mönster som är relevanta för er rekrytering:

Identitetsbaserade attacker dominerar. Majoriteten av de incidenter vi hanterar börjar med komprometterade inloggningsuppgifter — inte sofistikerade zero-day-exploits. Det innebär att ni behöver kompetens inom Identity & Access Management (IAM) lika mycket som klassisk nätverkssäkerhet.

Molnfehlkonfigurationer är den nya attackytan. Öppna S3-buckets, överprivilegierade IAM-roller i AWS, publikt exponerade Azure Blob Storage-konton — vi ser det veckovis. En cybersecurity-konsult som inte förstår molninfrastruktur på djupet är inte komplett 2026.

Ransomware-gruppers affärsmodell har mognat. Dubbelutpressning (exfiltrering + kryptering) är standard. Incidentrespons-kompetens som inkluderar digital forensik, förhandlingsstrategi och backup-validering är kritisk.

Automatisering av säkerhetsarbetet accelererar. SOAR-plattformar och AI-assisterad triage minskar behovet av L1-analytiker men ökar behovet av seniora analytiker som kan hantera det automatiseringen inte fångar. Rekrytera för djup, inte bredd.

Så bygger ni en långsiktig säkerhetsorganisation

Rekrytering av en enskild cybersecurity-konsult löser inte säkerhetsproblemet — det är en byggsten i ett större arbete. Organisationer som lyckas med cybersäkerhet långsiktigt gör tre saker konsekvent:

1. De behandlar säkerhet som en affärsfråga, inte en IT-fråga. Säkerhetschefen rapporterar till VD eller styrelse, inte bara till IT-chefen. Säkerhetsbudgeten är en del av affärsplanen.

2. De kombinerar intern kompetens med extern kapacitet. Den interna säkerhetsansvarige äger strategi och riskbedömning. En managerad tjänsteleverantör hanterar operativ övervakning och håller kompetensen aktuell dygnet runt.

3. De investerar i säkerhetskultur, inte bara säkerhetsverktyg. Phishing-simuleringar, säkerhetsutbildning för alla anställda och tydliga processer för incidentrapportering gör mer nytta än ytterligare ett verktyg i stacken.

Oavsett om ni väljer att rekrytera en cybersecurity-konsult internt, anlita en extern specialist eller outsourca hela er säkerhetsövervakning — börja med att definiera vad ni faktiskt behöver skydda, mot vilka hot, och med vilken regulatorisk ribba. Svaret på den frågan avgör vilken kompetens ni ska jaga.

Vanliga frågor

Vad kostar det att anställa en cybersecurity-konsult i Sverige?

En senior cybersecurity-konsult i Sverige kostar typiskt 65 000–95 000 SEK per månad i fast anställning, beroende på specialisering och erfarenhet. Inhyrda konsulter ligger på 1 200–2 000 SEK per timme. Managed SOC-as-a-Service kan vara betydligt billigare för organisationer som behöver dygnet-runt-bevakning utan att bygga ett komplett internt team.

Vilka certifieringar bör en cybersecurity-konsult ha?

De mest relevanta certifieringarna är CISSP för strategiskt säkerhetsarbete, OSCP eller GPEN för penetrationstestning, och CISM för säkerhetsledning. I nordisk kontext är erfarenhet av NIS2-efterlevnad och ISO 27001 ofta viktigare än certifieringarna i sig — fråga efter konkreta projektexempel snarare än bara bokstäver efter namnet.

Ska vi anställa en intern cybersecurity-konsult eller outsourca till en MSP?

Det beror på er hotbild, reglering och storlek. Organisationer med färre än 200 anställda får sällan ihop ett fullständigt säkerhetsteam internt. Managed SOC/NOC ger tillgång till 24/7-expertis till en bråkdel av kostnaden. Idealiskt kombinerar ni en intern säkerhetsansvarig med en extern partner som hanterar operativ övervakning och incidentrespons.

Hur påverkar NIS2-direktivet behovet av cybersecurity-konsulter?

NIS2 utökar kraftigt kretsen av organisationer som måste ha dokumenterad säkerhetsstyrning, incidentrapportering inom 24 timmar och regelbundna riskanalyser. Det innebär att många svenska företag som tidigare klarade sig utan dedikerad säkerhetskompetens nu behöver antingen rekrytera eller upphandla den.

Hur testar jag en cybersecurity-konsults verkliga kompetens under intervju?

Ge kandidaten ett realistiskt scenario — till exempel en misstänkt lateral movement i ert nätverk — och låt dem resonera högt om sin åtgärdsplan. Fråga efter specifika incidenter de hanterat, vilka verktyg de använde och vad utfallet blev. Tekniska kunskapsprov är bra, men förmågan att kommunicera under press avslöjar mer om verklig kompetens.