Choose language

Skillnaden på Cybersäkerhet, IT-säkerhet & Informationssäkerhet

Cybersäkerhet, IT-säkerhet och informationssäkerhet används ofta synonymt, men i regelverk och praktiskt arbete har de skilda betydelser. Informationssäkerhet är det bredaste begreppet och omfattar all information oavsett form, IT-säkerhet handlar om skyddet av digital information och digitala system, och cybersäkerhet är den delmängd av IT-säkerheten som fokuserar på hot via internet och andra nätverk. Behöver ni en samlad struktur för det operativa arbetet kan ni utgå från ett incidenthanteringssystem.

Det här behöver du veta:

  • Informationssäkerhet är överbegreppet och omfattar all information, även papper, samtal och kunskap som finns hos människor.
  • IT-säkerhet skyddar digital information och digitala system, oavsett om hotet kommer via nätverk eller fysisk åtkomst.
  • Cybersäkerhet är en delmängd av IT-säkerheten med fokus på hot via internet och andra nätverk, ofta från externa angripare.
  • Svenska regelverk använder begreppen olika, cybersäkerhetslagen reglerar främst it-relaterade hot, GDPR och säkerhetsskyddslagen omfattar bredare informationssäkerhet.

Vad är informationssäkerhet, IT-säkerhet och cybersäkerhet?

Informationssäkerhet skyddar all information oavsett form, IT-säkerhet skyddar digital information och digitala system, och cybersäkerhet skyddar specifikt mot hot via internet och andra nätverk.

Begreppen har vuxit fram i olika takt. Informationssäkerhet är ett gammalt begrepp som funnits sedan långt före datoriseringen, ursprungligen för att hantera fysiska arkiv, sekretessbelagda dokument och muntlig informationsdelning. IT-säkerhet växte fram med datoriseringen från 1970-talet och framåt, med fokus på säkerhet i informationssystem. Cybersäkerhet är ett yngre begrepp som etablerats särskilt under 2010-talet i takt med att internetbaserade hot blivit den dominerande angreppsvektorn.

I praktiken används begreppen idag delvis överlappande. Många organisationer talar om sin "cybersäkerhetsstrategi" när de menar hela informationssäkerhetsarbetet, vilket fungerar i kommunikation men inte i juridisk eller revisionsmässig granskning. När en tillsynsmyndighet ställer frågor är skillnaden styrande för vilka krav som gäller.

Hierarkin: så förhåller sig begreppen till varandra

Informationssäkerhet är det bredaste begreppet, IT-säkerhet ligger inom informationssäkerheten och cybersäkerhet är i sin tur en delmängd av IT-säkerheten. Bygger du för informationssäkerhet, omfattas IT-säkerhet och cybersäkerhet naturligt.

Hierarkin kan illustreras som tre koncentriska cirklar:

Informationssäkerhet är det bredaste begreppet. IT-säkerhet ligger inom informationssäkerheten, och cybersäkerhet är en delmängd av IT-säkerheten. Informationssäkerhet IT-säkerhet Cybersäkerhet
  • Informationssäkerhet (yttersta cirkeln), all information, även papper, samtal, whiteboard-anteckningar, fysiska arkiv, kunskap hos medarbetare och processer som inte är digitala
  • IT-säkerhet (mellancirkeln), all digital information och alla digitala system, både de som är uppkopplade och de som är isolerade
  • Cybersäkerhet (innersta cirkeln), skydd mot hot via internet och andra nätverk, ofta i form av phishing, ransomware, DDoS, intrång eller andra externa angrepp

Cirkelmodellen är förenklad. I praktiken har de tre områdena egna metoder, ramverk och kompetensprofiler. Men för en organisation som ska planera sitt arbete, är det bästa att utgå från det yttersta lagret. Då ligger även de inre lagren rätt.

Skillnaden i praktiken: vad omfattar respektive begrepp?

Informationssäkerhet hanterar exempelvis tryckta personalakter och muntliga ledningsbeslut, IT-säkerhet hanterar bland annat servrar, klienter och åtkomststyrning, och cybersäkerhet hanterar direkta hot som phishing, ransomware och nätverksintrång.

Skillnaden blir tydlig om du listar vad respektive område typiskt täcker:

Informationssäkerhet

  • Säker hantering av papper, pärmar och fysiska arkiv
  • Sekretessavtal och tystnadsplikt
  • Klassning av information
  • Lokalsäkerhet och tillträdesskydd
  • Rutiner för säker kommunikation, även muntlig
  • Kunskap som finns hos medarbetare och hur den dokumenteras inför avslut

IT-säkerhet

  • Åtkomststyrning och behörighetshantering i system
  • Säkerhetsuppdateringar och patch-rutiner
  • Säkerhetskopiering och återställning
  • Kryptering av data i vila och under överföring
  • Loggning och övervakning av systemhändelser
  • Säker utveckling av applikationer

Cybersäkerhet

  • Skydd mot phishing, vd-bedrägerier och social manipulation
  • Försvar mot ransomware och annan skadlig kod
  • Skydd mot DDoS och andra nätverksbaserade attacker
  • Hotbildsbevakning av aktörer på internet
  • Säker konfiguration av brandväggar, VPN och fjärråtkomst
  • Incidentrespons vid externa angrepp

Områdena överlappar i flera punkter, exempelvis behörighetshantering, som är kärnan i både IT-säkerhet och informationssäkerhet. Det är just överlappet som gör att organisationer ofta drar arbetet under ett samlat begrepp i den dagliga driften.

Vilken roll spelar skillnaden i svenska lagar och regelverk?

Skillnaden är styrande för vilka regelverk som omfattar er. Cybersäkerhetslagen reglerar främst it-relaterade hot, GDPR ställer krav på informationssäkerhet vid behandling av personuppgifter och säkerhetsskyddslagen omfattar all information som är av betydelse för Sveriges säkerhet.

De svenska regelverken använder begreppen på olika sätt:

  • Cybersäkerhetslagen (2025:1506), som implementerar NIS2-direktivet (EU 2022/2555), använder främst begreppen nätverks- och informationssystem. Lagen reglerar IT-säkerhet och cybersäkerhet snarare än fysisk informationssäkerhet. Den trädde i kraft 15 januari 2026 och omfattar väsentliga och viktiga entiteter i 18 sektorer. Mer om lagen i artikeln om cybersäkerhetslagen
  • Dataskyddsförordningen (EU 2016/679), GDPR, art. 32, talar om säkerhet för behandling av personuppgifter, vilket omfattar både digital och fysisk informationssäkerhet
  • Säkerhetsskyddslagen (2018:585) använder begreppet informationssäkerhet i sin breda mening och omfattar både digital och fysisk hantering av säkerhetsskyddsklassificerade uppgifter
  • DORA-förordningen (EU 2022/2554) för finansiella entiteter talar om operativ resiliens och IKT-risker, alltså en specifik form av IT-säkerhet med ett bredare kontinuitetsperspektiv

För en samlad genomgång av alla regelverk som styr informationssäkerheten, se artikeln om lag om informationssäkerhet. För organisationer i NIS2:s tillämpningsområde är NIS2-tjänsten en naturlig utgångspunkt.

Hur arbetar man med alla 3 områden samtidigt?

Du arbetar med alla 3 områden samtidigt genom att utgå från det bredaste begreppet, informationssäkerhet, och bygga ett ledningssystem som rymmer både IT-säkerhet och cybersäkerhet som naturliga delar.

Det vedertagna ramverket är ISO 27001, ledningssystemet för informationssäkerhet (LIS), som täcker både fysisk, digital och cyberrelaterad säkerhet. För en kort definition, se vad är ISO 27001.

I praktiken brukar arbetet organiseras så här:

  1. Informationssäkerhetsansvarig eller CISO äger helheten och rapporterar till ledningen
  2. IT-säkerhetsansvarig ansvarar för tekniska skyddsåtgärder i system och nätverk
  3. Cybersäkerhetsfunktion eller SOC övervakar hotbild och responderar på externa angrepp
  4. Dataskyddsombud ansvarar för informationssäkerhet i den del som omfattar personuppgifter
  5. Ledningen har det rättsliga och organisatoriska huvudansvaret och kan inte delegera bort det

För mindre organisationer ligger ofta flera av rollerna hos samma person, men ansvaret är detsamma. Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.

Exempel på när skillnaden blir viktig i praktiken

Tre situationer där en organisation behöver veta vilket begrepp som gäller:

  • "Vi har en cybersäkerhetspolicy, men IMY ifrågasätter våra rutiner för pappersbaserade personalakter, då behöver vi prata informationssäkerhet."
  • "Cybersäkerhetslagen kräver att ledningen utbildas, men vår leverantörsuppföljning behöver också täcka biträden som hanterar papper och fysiska arkiv."
  • "Vår IT-avdelning har full koll på serversäkerheten, men det är konsulterna med tillgång till våra molntjänster som är den faktiska cybersäkerhetsrisken."

Vanliga frågor om skillnaden mellan cybersäkerhet, IT-säkerhet och informationssäkerhet

Är cybersäkerhet och IT-säkerhet samma sak?

Nej, men de ligger nära varandra. IT-säkerhet omfattar all säkerhet kring digital information och digitala system, även sådana som inte är uppkopplade mot internet. Cybersäkerhet är den delmängd som specifikt rör hot via internet och andra nätverk, ofta externa angrepp som phishing, ransomware och nätverksintrång. I praktiken används begreppen ibland synonymt, men i certifieringar och regelverk är skillnaden viktig.

Behöver vi en informationssäkerhetsstrategi om vi har en cybersäkerhetsstrategi?

Ja. En cybersäkerhetsstrategi täcker normalt bara skydd mot externa it-hot, inte fysisk säkerhet, organisatoriska rutiner, leverantörsuppföljning, säker hantering av papper eller offboarding av personal. En informationssäkerhetsstrategi är överordnad och rymmer cybersäkerheten som en av flera delar. För att uppfylla cybersäkerhetslagen, GDPR och ISO 27001 räcker det inte med enbart cybersäkerhetsperspektivet.

Vilket begrepp ska vi använda i vår policy?

Använd informationssäkerhet som överbegrepp i policyn och låt IT-säkerhet och cybersäkerhet bli underrubriker eller delpolicys. Det matchar både hur ISO 27001 och svenska regelverk är strukturerade, och gör det enklare att visa fullständig täckning vid tillsyn. Att kalla allt för "cybersäkerhet" fungerar i kommunikation men kan skapa luckor i den juridiska och organisatoriska strukturen.

Är dataskydd samma sak som informationssäkerhet?

Nej. Dataskydd handlar specifikt om skydd av personuppgifter, vilket är en delmängd av informationssäkerheten. Allt dataskyddsarbete kräver god informationssäkerhet enligt art. 32 GDPR, men informationssäkerhet omfattar även information som inte är personuppgifter, exempelvis affärshemligheter, källkod och interna strategibeslut.

Vem ansvarar för vad i en organisation?

Ledningen har det övergripande ansvaret för informationssäkerheten och kan inte delegera bort det. Operativt ansvar fördelas typiskt mellan CISO eller informationssäkerhetsansvarig (helheten), IT-säkerhetsansvarig (digitala system), cybersäkerhetsfunktion eller SOC (externa hot) och dataskyddsombud (personuppgifter). I mindre organisationer ligger flera roller hos samma person, men ansvarsfördelningen ska ändå vara dokumenterad.

Spelar skillnaden roll i en upphandling?

Ja. Stora kunder, särskilt offentlig sektor och verksamheter som omfattas av cybersäkerhetslagen, ställer ofta krav på dokumenterad informationssäkerhet inklusive ISO 27001-certifiering. Krav på enbart cybersäkerhet brukar dyka upp i tekniska bilagor, men huvudkravet i avtal är vanligen formulerat som informationssäkerhet. Skillnaden påverkar därför vilka dokument ni behöver kunna visa upp.

Related blog posts