Choose language

Informationssäkerhet

Informationssäkerhet är arbetet med att skydda organisationens information från obehörig åtkomst, förlust och förändring, oavsett om informationen finns digitalt, på papper eller i människors huvuden. För svenska organisationer styrs arbetet idag av flera parallella regelverk, framför allt cybersäkerhetslagen (2025:1506) som trädde i kraft 15 januari 2026 och dataskyddsförordningen GDPR. Behöver ni en samlad struktur för det operativa arbetet kan ni utgå från ett incidenthanteringssystem.

Det här behöver du veta:

  • Informationssäkerhet skyddar all information, inte bara digital. CIA-triaden, konfidentialitet, integritet och tillgänglighet, är den styrande modellen.
  • Cybersäkerhetslagen som implementerar NIS2-direktivet (EU 2022/2555) trädde i kraft 15 januari 2026 och omfattar väsentliga och viktiga entiteter i 18 sektorer.
  • Art. 32 GDPR kräver lämpliga tekniska och organisatoriska åtgärder för all behandling av personuppgifter.
  • ISO 27001:2022 är den internationellt etablerade standarden för ledningssystem för informationssäkerhet (LIS), med 93 kontroller i bilaga A.
  • Sanktionsavgifter kan landa på upp till 10 miljoner euro eller 2 % av global omsättning enligt cybersäkerhetslagen, och 20 miljoner euro eller 4 % enligt GDPR.

Vad är informationssäkerhet?

Informationssäkerhet är ett systematiskt arbete för att skydda information mot obehörig åtkomst, förändring och förlust, så att den är konfidentiell, korrekt och tillgänglig när den behövs.

Det är så vi sammanfattar vad informationssäkerhet är i en mening, men i praktiken sträcker sig arbetet längre. Begreppet täcker både digitala och fysiska informationstillgångar. En personalakt i pärm, ett kontoutdrag i ett ekonomisystem, en muntlig genomgång i ett ledningsmöte och källkoden till en kärnaffär omfattas alla av samma grundprincip, informationen ska skyddas på ett sätt som speglar dess värde och risken för att den hamnar fel.

I praktiken byggs arbetet i 3 lager, tekniska skyddsåtgärder som kryptering och åtkomststyrning, organisatoriska åtgärder som rutiner, utbildning och ansvarsfördelning, samt juridisk struktur i form av policys, dokumentation och riskanalyser som visar att verksamheten arbetar systematiskt. Det är när dessa lager hänger ihop som ni har ett skydd som håller vid tillsyn.

CIA-triaden: konfidentialitet, integritet och tillgänglighet

CIA-triaden är den centrala modellen i informationssäkerhet och består av 3 principer som ska vara uppfyllda samtidigt, konfidentialitet, integritet och tillgänglighet.

Förkortningen CIA kommer från engelskans Confidentiality, Integrity och Availability. De tre principerna används både som mål för informationssäkerhetsarbetet och som checkmodell när ni bedömer en risk eller en åtgärd.

  • Konfidentialitet innebär att information bara är tillgänglig för dem som har behov av den. Brister i konfidentialitet uppstår när uppgifter exponeras för fel mottagare, läcker via felaktig behörighet eller delas i öppna kanaler
  • Integritet innebär att information är korrekt, fullständig och oförändrad. Brister i integritet uppstår när data manipuleras, raderas av misstag, eller när uppgifter förs in fel utan att felet upptäcks
  • Tillgänglighet innebär att information finns att tillgå när den behövs. Brister i tillgänglighet uppstår vid ransomware, driftstörningar, bortglömd licensförnyelse eller när enda personen som vet hur ett system fungerar slutar

En åtgärd ska normalt stärka minst en av de 3 principerna utan att försvaga de andra. Hård kryptering stärker konfidentialiteten, men om nyckelhanteringen sköts dåligt kan det istället slå mot tillgängligheten. Den här typen av avvägningar är kärnan i ett moget informationssäkerhetsarbete.

Skillnaden mellan informationssäkerhet, cybersäkerhet och IT-säkerhet

Informationssäkerhet är det bredaste begreppet och omfattar all information oavsett form. IT-säkerhet är skyddet av digital information och digitala system. Cybersäkerhet är en delmängd av IT-säkerheten med särskilt fokus på skydd mot hot via internet och andra nätverk.

Skillnaden är viktig i regelverken, eftersom den styr vilka krav som gäller. För en organisation som vill täcka in alla regelverk är det enklaste att utgå från det bredaste begreppet, informationssäkerhet, eftersom både IT-säkerheten och cybersäkerheten då omfattas naturligt. En djupare genomgång, med gränsdragningar per regelverk, finns i artikeln om skillnaden mellan cybersäkerhet, IT-säkerhet och informationssäkerhet.

Lagar och regelverk som styr informationssäkerhet i Sverige

Informationssäkerhetsarbetet i Sverige styrs framför allt av cybersäkerhetslagen som implementerar NIS2-direktivet, dataskyddsförordningen GDPR och säkerhetsskyddslagen för verksamheter med skyddsvärden av betydelse för Sveriges säkerhet.

Regelverken kompletterar varandra, och de flesta större organisationer omfattas av flera samtidigt. De mest centrala är:

  • Cybersäkerhetslagen (2025:1506), som implementerar NIS2-direktivet (EU 2022/2555), trädde i kraft 15 januari 2026. Den ställer krav på riskhantering, säkerhetsåtgärder, incidentanmälan och ledningsansvar för väsentliga och viktiga entiteter i 18 sektorer. Allvarliga incidenter rapporteras i två spår, dels till CSIRT-funktionen (CERT-SE), dels till ansvarig tillsynsmyndighet, med en tidig varning inom 24 timmar, en incidentrapport inom 72 timmar och en slutrapport inom 1 månad
  • Dataskyddsförordningen (EU 2016/679), GDPR, art. 32, kräver lämpliga tekniska och organisatoriska åtgärder vid all behandling av personuppgifter. Säkerhetskraven gäller oavsett storlek på organisationen
  • Säkerhetsskyddslagen (2018:585) gäller verksamheter med information som är av betydelse för Sveriges säkerhet och ställer egna krav på säkerhetsåtgärder, informationssäkerhetsanalys och säkerhetsskyddsavtal
  • DORA-förordningen (EU 2022/2554) för finansiella entiteter, med särskilda krav på IKT-riskhantering och tredjepartsuppföljning
  • Dataskyddslagen (2018:218), den svenska kompletteringen till GDPR, gäller parallellt med förordningen
  • Sektorslagstiftning, exempelvis patientdatalagen (2008:355) för hälso- och sjukvård, ställer egna informationssäkerhetskrav

För en utförlig genomgång av hur lagarna hänger ihop och vilka som omfattas av vad, se artikeln om lag om informationssäkerhet. För organisationer i NIS2:s tillämpningsområde kan ni utgå från NIS2-tjänsten.

ISO 27001 och ledningssystem för informationssäkerhet (LIS)

ISO 27001 är den internationella standarden för ledningssystem för informationssäkerhet (LIS) och definierar hur en organisation systematiskt ska planera, genomföra, följa upp och förbättra informationssäkerhetsarbetet, med PDCA-cykeln (Plan, Do, Check, Act) som ryggrad.

Standarden är frivillig, men har blivit den de facto-modell som tillsynsmyndigheter, kunder och leverantörer hänvisar till när de vill se att en organisation arbetar strukturerat. För svenska organisationer som omfattas av cybersäkerhetslagen är en ISO 27001-certifiering ofta det enklaste sättet att visa att kraven på riskhantering och säkerhetsåtgärder är uppfyllda. Draftit är själva ISO 27001-certifierade och bygger sina egna tjänster på samma struktur som verksamheter med stränga säkerhetskrav lutar sig mot.

I bilaga A finns standardens kontrollkatalog. Sedan 2022-revisionen är kontrollerna 93 stycken, indelade i 4 kategorier:

  1. Organisatoriska kontroller, exempelvis policyer, roller, ansvarsfördelning, leverantörshantering och hotbildsanalyser
  2. Människor, exempelvis utbildning, bakgrundskontroller och hantering vid anställning och avslut
  3. Fysiska kontroller, exempelvis tillträde till lokaler, säkra zoner och hantering av utrustning
  4. Tekniska kontroller, exempelvis loggning, kryptering, åtkomststyrning och säker utveckling

I 2022-revisionen tillkom 11 nya kontroller med fokus på områden som hotbildsbevakning, molnsäkerhet och dataläckage. Bygger ni ett ledningssystem från grunden, är bilaga A en användbar checklista även om ni inte söker certifiering. För en kort definition, se vad är ISO 27001.

Så bygger ni informationssäkerhetsarbetet i praktiken

Du bygger informationssäkerhetsarbetet i 5 steg, kartlägg informationstillgångar, gör en riskanalys, fastställ skyddsåtgärder, dokumentera och utbilda, följ upp och förbättra.

Det här är arbetsgången oavsett om ni siktar på ISO 27001-certifiering eller bara vill uppfylla cybersäkerhetslagen och GDPR:

  1. Kartlägg informationstillgångar. Vilken information finns i verksamheten, vilka system hanterar den, vilka människor har tillgång, vilka externa parter behandlar uppgifter på ert uppdrag. Utan kartläggningen vet ni inte vad ni ska skydda
  2. Gör en riskanalys. Bedöm vilka hot och sårbarheter som finns, och vilken konsekvens en realiserad risk skulle få. Riskanalysen är fundamentet i hela arbetet, och formen ska spegla verksamhetens komplexitet. Mer om hur du gör det i guiden om riskanalys för informationssäkerhet
  3. Fastställ skyddsåtgärder. Välj tekniska och organisatoriska åtgärder utifrån riskbilden. Bilaga A i ISO 27001 är användbar som checklista, även när ni inte certifierar er
  4. Dokumentera och utbilda. Policys, rutiner, biträdesavtal och incidenthanteringsplan måste finnas på plats och vara kända av dem som ska följa dem. En osynlig policy ger inget skydd, varken praktiskt eller juridiskt
  5. Följ upp och förbättra. Granska skyddet löpande, minst 1 gång per år och alltid efter en incident eller större förändring. PDCA-cykeln i ISO 27001 är det vedertagna ramverket

Var ni står idag är ofta inte tydligt förrän ni gör en mognadsbedömning. För en snabb avstämning av era egna rutiner kan ni börja med Draftits kostnadsfria GDPR-test.

Exempel på situationer där informationssäkerhet aktualiseras

Tre scenarier som ofta dyker upp i tillsynsärenden och incidentanmälningar:

  • "En medarbetare delar en länk till ett internt dokument med 'alla på företaget' utan tanke på att dokumentet innehåller känsliga personuppgifter."
  • "En leverantör drabbas av ett ransomware-intrång och er produktionsdata fanns i deras säkerhetskopia."
  • "En tidigare anställd loggar in med ett konto som glömts kvar och tar med sig kunddata till nästa arbetsgivare."

Gemensamt är att åtminstone en av de 3 principerna i CIA-triaden brutits, ofta på grund av otydliga rutiner snarare än teknisk svaghet.

Vanliga frågor om informationssäkerhet

Vem är ansvarig för informationssäkerheten i en organisation?

Ledningen, alltid. Genom delegationer kan operativt ansvar landa hos IT-säkerhetschef, säkerhetschef eller CISO, men det rättsliga ansvaret för att informationssäkerheten håller måttet kan inte delegeras bort. Både cybersäkerhetslagen och GDPR uttrycker det explicit, och i NIS2 är ledningens utbildningsansvar dessutom skarpare formulerat än i tidigare regelverk.

Är informationssäkerhet och dataskydd samma sak?

Nej. Dataskydd är skyddet av personuppgifter, vilket är en delmängd av informationssäkerhet. Allt dataskyddsarbete kräver god informationssäkerhet enligt art. 32 GDPR, men informationssäkerhet täcker även information som inte är personuppgifter, exempelvis affärshemligheter, prismodeller, källkod och interna strategibeslut.

Måste små organisationer också arbeta med informationssäkerhet?

Ja. GDPR ställer krav på alla som behandlar personuppgifter, oavsett storlek. Cybersäkerhetslagen träffar däremot främst medelstora och stora verksamheter i utpekade sektorer, men även små underleverantörer påverkas indirekt via krav på leverantörsuppföljning, eftersom större kunder ofta för vidare sina egna krav i avtal.

Vad kostar bristande informationssäkerhet?

Sanktioner enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global omsättning. Sanktioner enligt cybersäkerhetslagen kan uppgå till 10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter, och något lägre belopp för viktiga entiteter. Utöver sanktionerna tillkommer skadestånd till drabbade enligt art. 82 GDPR, varumärkesskada, förlorade affärer och kostnader för incidenthantering.

Hur ofta ska informationssäkerhetsarbetet ses över?

Minst 1 gång per år är ett rimligt riktvärde, men en översyn ska också utlösas vid större förändringar, ny lagstiftning, ny IT-arkitektur, byte av kritisk leverantör eller efter en allvarlig incident. PDCA-cykeln i ISO 27001 förutsätter att uppföljningen är en löpande aktivitet, inte ett årligt projekt.

Räcker det med en IT-policy för att uppfylla kraven?

Nej. En policy beskriver vad ni vill, ett ledningssystem för informationssäkerhet beskriver hur ni gör det och kan visa att ni gjort det. Det är det andra som krävs vid tillsyn. En policy utan en organisation, dokumentation och uppföljning bakom sig fungerar varken som styrning eller som bevis på att kraven är uppfyllda.

Related blog posts