No items found.
Tjänster
Penetrationstester
Sårbarhetsskanningar
Red teaming
Incidenthantering
Sårbarhetsskanning med AI
AI Security Testing
Kurser
Säker utveckling
IT-säkerhetsutbildning
KUNDCASE
Företaget
Om oss
Karriär
Kontakta oss
Kunskapsbank
Research
Nyheter
Artiklar
Guider
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
SV
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
kontakta oss
PRISER
Gå tillbaka
Link Copied!
Copy link
Featured

Cybersäkerhet för kommuner och offentlig sektor

June 1, 2026
0
min läsning
Andreas Gjelset
Medgrundare, Cyloq
En kvinna i beige kavaj sitter koncentrerat vid ett skrivbord i ett dunkelt rum och läser ett papper. Bredvid henne står en bärbar dator, en kaffemugg och en mobiltelefon, och scenen ses genom en delvis öppen dörr.

Kommuner och offentliga organisationer hanterar samhällskritisk verksamhet och känsliga personuppgifter – och är ett allt mer attraktivt mål för cyberkriminella. Ändå är säkerhetsarbetet i sektorn ofta eftersatt, inte för att viljan saknas, utan för att budget, kompetens och gamla system sätter gränser.

Varför är kommuner utsatta?

Kalix kommun drabbades 2021 av en allvarlig ransomware-attack som slog ut stora delar av kommunens IT-miljö i veckor. 2025 drabbades IT-leverantören Miljödata av ett angrepp som påverkade över 200 kommuner och regioner – inte för att de själva var målet, utan för att de delade samma leverantör. Offentlig sektor är ett attraktivt mål, och attackerna blir allt fler.

Kommuner är attraktiva mål av flera anledningar:

  • Äldre infrastruktur. Många kommuner driver system som är tio till femton år gamla, köpta under en annan hotbild och svåra att ersätta utan stora investeringar. Säkerhetshål som hade åtgärdats i moderna miljöer finns kvar.
  • Begränsad budget och kompetens. En medelstor kommun kan inte matcha en banks säkerhetsbudget. Säkerhetsarbetet bedrivs ofta av ett fåtal personer med bred IT-ansvar snarare än dedikerade säkerhetsspecialister.
  • Hög beroendegrad av IT. Medborgarservice, socialtjänst, skola och vård är beroende av fungerande system. Det gör att kostnaden av ett driftstopp är enorm, vilket gör kommuner till lämpliga offer för utpressning.
  • Stor angreppsyta. Många externa tjänster, leverantörsintegrationer och ett stort antal användare med varierad digital kompetens skapar en bred yta att angripa.

Regulatoriska krav för offentlig sektor

Kraven på informationssäkerhet i offentlig sektor har skärpts successivt och fortsätter att öka.

  • NIS2 utvidgar direktivets räckvidd jämfört med NIS1 och omfattar nu offentlig förvaltning på central och regional nivå. Huruvida en specifik kommun eller myndighet omfattas beror på vilka tjänster de tillhandahåller och om de klassificeras som väsentliga entiteter. MSB ger vägledning kring den svenska implementeringen.
  • MSB:s föreskrifter om informationssäkerhet ställer krav på systematiskt säkerhetsarbete för statliga myndigheter, och påverkar indirekt kommuner som samverkar med eller rapporterar till statliga organ.
  • Informationssäkerhetslagen (SÄIF) och Säkerhetsskyddslagen är relevanta för organisationer som hanterar säkerhetsskyddsklassificerad information – något som berör fler kommunala verksamheter än många tror, inte minst inom krisledning och räddningstjänst.
  • Molnfrågor och Schrems II är ett område som skapar utmaningar för offentlig sektor. Personuppgifter och känslig information får inte lagras eller processas i strid med GDPR, och valet av molnleverantör kräver en juridisk bedömning. Det påverkar direkt vilka system och tjänster kommuner kan använda.

Läs mer: Vad behöver ditt företag göra?

De vanligaste säkerhetsbristerna vi ser

Vi ser ofta återkommande mönster när vi testar kommuner och offentliga organisationer:

  • Föråldrade Active Directory-miljöer. AD är ryggraden i de flesta kommunala IT-miljöer, och äldre konfigurationer innehåller ofta inbyggda svagheter. Protokoll som NTLM och Kerberoastable-konton ger angripare möjlighet att eskalera behörigheter snabbt när de väl är inne.
  • Svag nätverkssegmentering. Verksamhetskritiska system och administrativa nätverk är för ofta sammankopplade. En angripare som tar sig in i ett system kan röra sig fritt till nästa utan att stöta på några hinder.
  • Exponerad RDP. Remote Desktop Protocol som pekar direkt mot internet, ibland utan MFA, är en av de vanligaste ingångarna vi ser. Det är lågt hängande frukt för en angripare.
  • Bristande backup-strategi. Backuper finns, men de är sällan testade, inte alltid isolerade från produktionsmiljön och ibland åtkomliga via samma konton som resten av systemen. Vid en ransomware-attack innebär det att backuperna också krypteras.

Prioriterade åtgärder

Det krävs inte alltid stora investeringar för att väsentligt höja säkerhetsnivån. Här är en prioriterad ordning baserad på vad som ger störst effekt:

  1. MFA på alla externa åtkomster.  
    E-post, VPN, RDP och administrativa portaler ska kräva multifaktorautentisering utan undantag. Det är den enskilt mest effektiva åtgärden mot kontokompromettering.
  2. Härdning av Active Directory.  
    Granska privilegierade konton, inaktivera gamla protokoll, ta bort onödiga behörigheter och säkerställ att administrationskonton inte används för vardagliga uppgifter. En AD-granskning ger snabbt en bild av hur exponerad miljön är.
  3. Segmentering av nätverk.  
    Separera verksamhetskritiska system från administrativa nätverk och användarenheter. En angripare som tar sig in i ett segment ska inte kunna röra sig fritt i resten av miljön.
  4. Testad backup-strategi.  
    Säkerställ att backuper är isolerade från produktionsmiljön, regelbundet testade och möjliga att återställa inom en acceptabel tidsram. En backup som aldrig testats är en backup ni inte kan lita på.
  5. Incidenthanteringsövningar.  
    Ha en dokumenterad incidenthanteringsplan och testa den. En plan som aldrig körts igenom fungerar sällan när det väl händer något.

Upphandling av säkerhetstjänster i offentlig sektor

Offentlig sektor lyder under lagen om offentlig upphandling (LOU), vilket påverkar hur säkerhetstjänster kan köpas in.

  • Ramavtal:
    Är det vanligaste sättet för kommuner att upphandla IT- och säkerhetstjänster. Kammarkollegiet, Adda och Dustin administrerar ramavtal inom IT-säkerhetsområdet som kommuner kan avropa från utan en fullständig upphandlingsprocess.
  • Direktupphandling:
    Är möjlig för insatser under tröskelvärdet, vilket ger mer flexibilitet för avgränsade uppdrag som ett enstaka penetrationstest eller en säkerhetsgranskning.

Cyloq arbetar med offentlig sektor och har erfarenhet av de krav som ställs i samband med upphandlingar – dokumentation, sekretess, rapportering och de processer som krävs för att samarbetet ska fungera inom offentliga ramar. Sundbybergs stad är ett exempel på ett kommunalt samarbete som utvecklats till ett flerårigt avtal för löpande penetrationstester och sårbarhetsskanningar.

Läs mer: Sundbyberg Stad: Därför valde vi ett flerårigt avtal med Cyloq

Ta action

Boka ett möte – vi förstår offentlig sektor

Cyloq har erfarenhet av säkerhetstestning i kommunala och offentliga miljöer – med de krav på sekretess, dokumentation och process som det innebär.

Behöver ni ett team som rycker ut när det händer? Cyloqs incidentavtal ger er tillgång till offensiva specialister dygnet runt – redan inkopplade i er miljö innan något går snett. Läs mer om incidenthantering eller boka ett möte.

Boka möte

FAQ

Vanliga frågor om cybersäkerhet för kommuner och offentlig sektor

Omfattas kommuner av NIS2?

Delvis. NIS2 utvidgar omfattningen till offentlig förvaltning som är klassificerad som väsentlig på central eller regional nivå. Kommuner kan omfattas beroende på tjänster och kritiska funktioner. Den svenska implementeringen reglerar detta specifikt och MSB ger vägledning.

Vi har redan en IT-leverantör – behöver vi pentest ändå?

Ja. Drift och säkerhet är skilda saker. En IT-driftleverantör ansvarar för att tjänsten fungerar, inte nödvändigtvis för att den är säker mot offensiva angrepp. Oberoende säkerhetstestning ger en ärlig bild och hittar svagheter som internt arbete missar.

Hur mycket kostar pentest för en kommun?

Det beror på scope. Ett avgränsat test av en e-tjänst ligger typiskt 40 000–80 000 kr. En fullständig granskning av AD-miljö och intern infrastruktur i en medelstor kommun ligger 200 000–500 000 kr. Ramavtal ger bättre pris över tid.

Kan vi göra pentest även om vi har molntjänster?

Det beror på scope, vilka system som ska testas, hur stor miljön är och hur djupt testet ska gå. Använd Cyloqs priskalkylator för en uppskattning baserad på era förutsättningar, eller kontakta oss direkt så tittar vi på vad som passar er.

Home
Följ oss
Tjänster
Penetrationstester
Penetrationstester
Sårbarhetsskanningar
Sårbarhetsskanningar
Red teaming
Red teaming
Incidenthantering
Incidenthantering
Sårbarhetsskanning med AI
Sårbarhetsskanning med AI
AI Security Testing
AI Security Testing
Kurser
Säker Utveckling
Säker Utveckling
IT-Säkerhetsutbildning
IT-Säkerhetsutbildning
Företaget
Kontakt
Kontakt
Om Oss
Om Oss
Kundcase
Kundcase
Karriär
Karriär
hello@cyloq.se
+46 (0) 10 333 10 33
Till toppen
© 2025 - Cyloq AB - Org.nr: 559401-9027
Privacy Policy
Terms of Service
Cookies Settings