Informationssäkerhet är arbetet med att skydda organisationens information från obehörig åtkomst, förlust och förändring, oavsett om informationen finns digitalt, på papper eller i människors huvuden. För svenska organisationer styrs arbetet idag av flera parallella regelverk, framför allt cybersäkerhetslagen (2025:1506) som trädde i kraft 15 januari 2026 och dataskyddsförordningen GDPR. Behöver ni en samlad struktur för det operativa arbetet kan ni utgå från ett incidenthanteringssystem.
Det här behöver du veta:
Informationssäkerhet är ett systematiskt arbete för att skydda information mot obehörig åtkomst, förändring och förlust, så att den är konfidentiell, korrekt och tillgänglig när den behövs.
Det är så vi sammanfattar vad informationssäkerhet är i en mening, men i praktiken sträcker sig arbetet längre. Begreppet täcker både digitala och fysiska informationstillgångar. En personalakt i pärm, ett kontoutdrag i ett ekonomisystem, en muntlig genomgång i ett ledningsmöte och källkoden till en kärnaffär omfattas alla av samma grundprincip, informationen ska skyddas på ett sätt som speglar dess värde och risken för att den hamnar fel.
I praktiken byggs arbetet i 3 lager, tekniska skyddsåtgärder som kryptering och åtkomststyrning, organisatoriska åtgärder som rutiner, utbildning och ansvarsfördelning, samt juridisk struktur i form av policys, dokumentation och riskanalyser som visar att verksamheten arbetar systematiskt. Det är när dessa lager hänger ihop som ni har ett skydd som håller vid tillsyn.
CIA-triaden är den centrala modellen i informationssäkerhet och består av 3 principer som ska vara uppfyllda samtidigt, konfidentialitet, integritet och tillgänglighet.
Förkortningen CIA kommer från engelskans Confidentiality, Integrity och Availability. De tre principerna används både som mål för informationssäkerhetsarbetet och som checkmodell när ni bedömer en risk eller en åtgärd.
En åtgärd ska normalt stärka minst en av de 3 principerna utan att försvaga de andra. Hård kryptering stärker konfidentialiteten, men om nyckelhanteringen sköts dåligt kan det istället slå mot tillgängligheten. Den här typen av avvägningar är kärnan i ett moget informationssäkerhetsarbete.
Informationssäkerhet är det bredaste begreppet och omfattar all information oavsett form. IT-säkerhet är skyddet av digital information och digitala system. Cybersäkerhet är en delmängd av IT-säkerheten med särskilt fokus på skydd mot hot via internet och andra nätverk.
Skillnaden är viktig i regelverken, eftersom den styr vilka krav som gäller. För en organisation som vill täcka in alla regelverk är det enklaste att utgå från det bredaste begreppet, informationssäkerhet, eftersom både IT-säkerheten och cybersäkerheten då omfattas naturligt. En djupare genomgång, med gränsdragningar per regelverk, finns i artikeln om skillnaden mellan cybersäkerhet, IT-säkerhet och informationssäkerhet.
Informationssäkerhetsarbetet i Sverige styrs framför allt av cybersäkerhetslagen som implementerar NIS2-direktivet, dataskyddsförordningen GDPR och säkerhetsskyddslagen för verksamheter med skyddsvärden av betydelse för Sveriges säkerhet.
Regelverken kompletterar varandra, och de flesta större organisationer omfattas av flera samtidigt. De mest centrala är:
För en utförlig genomgång av hur lagarna hänger ihop och vilka som omfattas av vad, se artikeln om lag om informationssäkerhet. För organisationer i NIS2:s tillämpningsområde kan ni utgå från NIS2-tjänsten.
ISO 27001 är den internationella standarden för ledningssystem för informationssäkerhet (LIS) och definierar hur en organisation systematiskt ska planera, genomföra, följa upp och förbättra informationssäkerhetsarbetet, med PDCA-cykeln (Plan, Do, Check, Act) som ryggrad.
Standarden är frivillig, men har blivit den de facto-modell som tillsynsmyndigheter, kunder och leverantörer hänvisar till när de vill se att en organisation arbetar strukturerat. För svenska organisationer som omfattas av cybersäkerhetslagen är en ISO 27001-certifiering ofta det enklaste sättet att visa att kraven på riskhantering och säkerhetsåtgärder är uppfyllda. Draftit är själva ISO 27001-certifierade och bygger sina egna tjänster på samma struktur som verksamheter med stränga säkerhetskrav lutar sig mot.
I bilaga A finns standardens kontrollkatalog. Sedan 2022-revisionen är kontrollerna 93 stycken, indelade i 4 kategorier:
I 2022-revisionen tillkom 11 nya kontroller med fokus på områden som hotbildsbevakning, molnsäkerhet och dataläckage. Bygger ni ett ledningssystem från grunden, är bilaga A en användbar checklista även om ni inte söker certifiering. För en kort definition, se vad är ISO 27001.
Du bygger informationssäkerhetsarbetet i 5 steg, kartlägg informationstillgångar, gör en riskanalys, fastställ skyddsåtgärder, dokumentera och utbilda, följ upp och förbättra.
Det här är arbetsgången oavsett om ni siktar på ISO 27001-certifiering eller bara vill uppfylla cybersäkerhetslagen och GDPR:
Var ni står idag är ofta inte tydligt förrän ni gör en mognadsbedömning. För en snabb avstämning av era egna rutiner kan ni börja med Draftits kostnadsfria GDPR-test.
Tre scenarier som ofta dyker upp i tillsynsärenden och incidentanmälningar:
Gemensamt är att åtminstone en av de 3 principerna i CIA-triaden brutits, ofta på grund av otydliga rutiner snarare än teknisk svaghet.
Ledningen, alltid. Genom delegationer kan operativt ansvar landa hos IT-säkerhetschef, säkerhetschef eller CISO, men det rättsliga ansvaret för att informationssäkerheten håller måttet kan inte delegeras bort. Både cybersäkerhetslagen och GDPR uttrycker det explicit, och i NIS2 är ledningens utbildningsansvar dessutom skarpare formulerat än i tidigare regelverk.
Nej. Dataskydd är skyddet av personuppgifter, vilket är en delmängd av informationssäkerhet. Allt dataskyddsarbete kräver god informationssäkerhet enligt art. 32 GDPR, men informationssäkerhet täcker även information som inte är personuppgifter, exempelvis affärshemligheter, prismodeller, källkod och interna strategibeslut.
Ja. GDPR ställer krav på alla som behandlar personuppgifter, oavsett storlek. Cybersäkerhetslagen träffar däremot främst medelstora och stora verksamheter i utpekade sektorer, men även små underleverantörer påverkas indirekt via krav på leverantörsuppföljning, eftersom större kunder ofta för vidare sina egna krav i avtal.
Sanktioner enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global omsättning. Sanktioner enligt cybersäkerhetslagen kan uppgå till 10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter, och något lägre belopp för viktiga entiteter. Utöver sanktionerna tillkommer skadestånd till drabbade enligt art. 82 GDPR, varumärkesskada, förlorade affärer och kostnader för incidenthantering.
Minst 1 gång per år är ett rimligt riktvärde, men en översyn ska också utlösas vid större förändringar, ny lagstiftning, ny IT-arkitektur, byte av kritisk leverantör eller efter en allvarlig incident. PDCA-cykeln i ISO 27001 förutsätter att uppföljningen är en löpande aktivitet, inte ett årligt projekt.
Nej. En policy beskriver vad ni vill, ett ledningssystem för informationssäkerhet beskriver hur ni gör det och kan visa att ni gjort det. Det är det andra som krävs vid tillsyn. En policy utan en organisation, dokumentation och uppföljning bakom sig fungerar varken som styrning eller som bevis på att kraven är uppfyllda.