Vanliga frågor om informationssäkerhet (FAQ)

Här hittar du svar på de vanligaste frågorna vi får från personer som precis börjat arbeta med informationssäkerhet – oavsett om du jobbar i en kommun, ett företag eller bara är nyfiken.

Jag vet ingenting om informationssäkerhet – var börjar jag?

Du är inte ensam. Det är vanligt att man inte vet var man ska börja, särskilt i offentlig sektor där mycket ansvar faller mellan stolarna. Börja här:

  • Ta reda på vad ni har för information (personuppgifter, känsliga handlingar, driftskritiska system).
  • Gör en enkel riskbedömning – vad händer om informationen förloras, förvanskas eller sprids?
  • Skapa grundläggande rutiner – lösenord, backup, åtkomstkontroller.
  • Börja dokumentera – även om det bara är i Word eller Excel till att börja med.

Kolla in vår steg-för-steg-guide för att komma igång.

Vad är skillnaden mellan NIS2 och cybersäkerhetslagen?

NIS2 är ett EU-direktiv som alla medlemsländer måste följa. Cybersäkerhetslagen är Sveriges sätt att införa NIS2 – en svensk lag baserad på direktivet. Man kan alltså säga:

  • NIS2 = EU:s regler
  • Cybersäkerhetslagen = Sveriges version av reglerna

Innehållet är till största del detsamma, men vissa delar i lagen förtydligas och anpassas till svenska förhållanden. Till exempel vilka myndigheter som ansvarar för tillsyn.

Måste vi följa både ISO 27001 och NIS2?

Nej, det finns inget krav på att följa ISO 27001. Det är en frivillig standard. Men om ni omfattas av cybersäkerhetslagen (NIS2) måste ni följa lagens krav – oavsett om ni följer ISO eller inte.

Däremot är ISO 27001 ett jättebra stöd för att uppfylla lagens krav – särskilt om ni vill ha struktur, checklistor och tydliga processer att luta er mot.

Vad är skillnaden mellan IT-säkerhet och informationssäkerhet?

IT-säkerhet handlar om att skydda tekniken – nätverk, datorer, servrar och system. Informationssäkerhet är bredare och handlar om att skydda själva informationen – oavsett om den finns digitalt, på papper eller bara i någons huvud.

Du kan ha jättebra brandväggar, men om någon skriver ut ett dokument och glömmer det i kopiatorn, då brister det i informationssäkerheten.

Vad är skillnaden mellan NIS2, GDPR och säkerhetsskydd?

NIS2 / Cybersäkerhetslagen = handlar om skydd av nätverk och informationssystem inom samhällsviktig verksamhet.
GDPR = skyddar personuppgifter.
Säkerhetsskydd = handlar om att skydda Sveriges säkerhet, t.ex. mot spioneri eller sabotage.

👉 Alla tre reglerar olika aspekter av säkerhet – ibland överlappar de, men de har olika syften.

Hur vet jag om vår organisation omfattas av NIS2 / Cybersäkerhetslagen?

Om ni är en kommun eller region som tillhandahåller samhällsviktiga tjänster – t.ex. skola, vård, omsorg eller räddningstjänst – så kommer ni med stor sannolikhet omfattas av cybersäkerhetslagen.

Det beror på att ni räknas som en offentlig verksamhetsutövare enligt lagens definition. Regeringen kommer att peka ut en ansvarig myndighet (troligen MSB) som får besluta exakt vilka verksamheter som ska rapportera, men det är redan nu tydligt att:

  • Kommuner och regioner kommer omfattas
  • Exempel på omfattade verksamheter: grundskola, äldreomsorg, socialtjänst, individ- och familjeomsorg, räddningstjänst, vattenförsörjning

TIPS: Vänta inte – börja redan nu att kartlägga era informationssystem och säkerställa att ni har grundläggande skydd på plats. Det är enklare att anpassa än att börja från noll när kraven väl träder i kraft.

Måste vi köpa dyra verktyg eller system för att börja jobba med informationssäkerhet?

Nej. Det går att komma långt med:

  • Excel
  • Word-mallar
  • Klara rutiner
  • Vanligt sunt förnuft

Det viktiga är att ni har koll och dokumentation – inte vilket system ni använder.

Vad är en gap-analys?

En gap-analys visar skillnaden mellan nuläget och ett önskat läge. Exempel: Du jämför hur ni arbetar idag mot kraven i ISO 27001 eller NIS2. Det som saknas = era gap. OpenSec har färdiga mallar för gap-analyser du kan ladda ner.

Vad är CER-direktivet?

CER står för "Critical Entities Resilience" – ett EU-direktiv som syftar till att säkerställa att verksamheter som tillhandahåller samhällsviktiga tjänster kan motstå störningar, oavsett om de orsakas av cyberattacker, sabotage, elavbrott eller andra kriser.

Vilka verksamheter omfattas av CER-direktivet?

CER pekar ut elva samhällsviktiga sektorer, bland annat:

  • Energi
  • Vatten
  • Transport
  • Hälso- och sjukvård
  • Digital infrastruktur

Kommunala förvaltningar som bedriver hälso- och sjukvård (t.ex. hemsjukvård enligt HSL) kan därmed omfattas – men endast om de identifieras som "kritiska verksamhetsutövare" av en tillsynsmyndighet (t.ex. IVO eller MSB).

När vet vi om vår verksamhet är en kritisk verksamhetsutövare?

Senast 17 juli 2026 ska alla medlemsstater ha identifierat sina kritiska verksamhetsutövare. Först då vet ni säkert. Om ni blir identifierade får ni 9 månader på er att göra en riskbedömning och sedan ytterligare 1 månad att införa motståndskraftiga åtgärder.

Vad krävs av en verksamhet som identifierats som kritisk?

Ni behöver ta fram:

  • En omfattande riskanalys för tekniska, fysiska och organisatoriska sårbarheter
  • En motståndskraftsplan som innehåller t.ex. backup-ström, larmsystem, manuella rutiner och åtkomstkontroller
  • Rutiner för incidentrapportering till IVO/MSB om störningar uppstår

Vad är skillnaden mellan NIS2 och CER-direktivet?

NIS2 handlar främst om cybersäkerhet och digitala risker. CER handlar om övergripande fysisk och organisatorisk motståndskraft. Båda kan gälla samtidigt. Vissa krav överlappar – exempelvis kring incidentrapportering och riskhantering.

Vad innebär lagen om motståndskraft hos kritiska verksamhetsutövare?

Den svenska lagen är den nationella implementeringen av CER-direktivet. Den reglerar bland annat:

  • Vilka som kan räknas som kritiska
  • Hur identifiering och tillsyn ska ske
  • Rätt att göra bakgrundskontroller vid rekrytering
  • Sekretessbestämmelser vid informationsdelning

Måste vi genomföra bakgrundskontroller på personalen?

Ja – om ni är en kritisk verksamhetsutövare enligt lagen, kan det krävas bakgrundskontroller vid nyanställningar eller för särskilda roller. Dock måste det ske inom ramen för arbetsrätten, vilket innebär att ni inte fritt kan neka anställning utan tydliga skäl.

Vilka är de viktigaste datumen i CER-direktivet att ha koll på?

Dessa datum gäller för den svenska implementeringen av CER-direktivet (lagen om motståndskraft hos kritiska verksamhetsutövare):

  • 17 januari 2026: Den svenska staten ska ha genomfört en nationell riskbedömning för att identifiera hot mot samhällsviktiga sektorer.
  • 17 juli 2026: Alla kritiska verksamhetsutövare ska ha blivit identifierade av behörig myndighet (t.ex. MSB, IVO eller Energimarknadsinspektionen).
  • Inom 9 månader efter identifiering: Den som identifierats som kritisk måste ta fram en egen riskanalys och rapportera in denna.
  • Senast 10 månader efter identifiering: En motståndskraftsplan med konkreta åtgärder ska vara införd – t.ex. backup-rutiner, fysiskt skydd och personalberedskap.

Dessa datum gäller alltså inte NIS2 eller cybersäkerhetslagen – utan endast för er som omfattas av CER-direktivet.

Vill du ställa en egen fråga?

Saknar du svar på något? Mejla gärna till info@opensec.se eller använd kontaktformuläret på startsidan.