No items found.
Tjänster
Penetrationstester
Sårbarhetsskanningar
Red teaming
Incidenthantering
Sårbarhetsskanning med AI
AI Security Testing
Kurser
Säker utveckling
IT-säkerhetsutbildning
KUNDCASE
Företaget
Om oss
Karriär
Kontakta oss
Kunskapsbank
Research
Nyheter
Artiklar
Guider
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
SV
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
kontakta oss
PRISER
Gå tillbaka
Link Copied!
Copy link
Featured

Vad gör du när ditt företag utsatts för intrång?

February 1, 2026
0
min läsning
Andreas Gjelset
Medgrundare, Cyloq
Människor sitter och arbetar vid datorer i ett kontorslandskap, sedda genom en glasvägg med reflektioner. En kvinna med långt blont hår i förgrunden tittar koncentrerat mot en skärm.

Ett intrång är kaotiskt. De första minuterna avgör ofta hur stora skadorna blir. Den här artikeln ger dig en konkret handlingsplan för de första kritiska timmarna och vad du behöver göra efter incidenten.

Har du en pågående incident? Ring 010-333 10 33 direkt.

Gör det här först – de första 30 minuterna

Det viktigaste i det här skedet är att inte förvärra situationen. Fel beslut i panik kan förstöra bevis och försvåra hela utredningen.

  1. Stäng inte av systemen. Minnet innehåller värdefull information om vad som hänt. Isolera istället – koppla bort nätverket men låt maskinerna vara igång.
  1. Samla incidentteamet. IT-chef, säkerhetsansvarig och juridik ska vara informerade omedelbart. Beslut ska inte fattas av en person ensam i det här läget.
  1. Dokumentera allt från start. Tidsstämplar, skärmbilder, loggutdrag. Vad ni ser, vad ni gör och när. Det här materialet behövs både för utredning och för eventuell myndighetsrapportering.
  1. Kontakta en extern expert. Intern kompetens räcker sällan till vid ett aktivt intrång. Ju tidigare ni tar in extern hjälp, desto mer går att rädda.
  1. Informera ledningen. VD och styrelse ska veta vad som pågår. De behöver inte alla tekniska detaljer, men de behöver vara förberedda på att beslut kan behöva fattas snabbt.

De första 24 timmarna – containment och skadebegränsning

När de mest akuta åtgärderna är gjorda är nästa steg att begränsa skadan och förstå vad som faktiskt hänt.


  • Isolera drabbade system utan att stänga av dem. Koppla bort dem från nätverket så att angriparen inte kan fortsätta röra sig lateralt, men bevara systemtillståndet för forensisk analys.
  • Säkra loggar omedelbart. Loggar är flyktig information som kan skrivas över eller raderas. Exportera och skydda dem så snart som möjligt – från brandvägg, AD, endpoint och alla system som kan vara berörda.
  • Identifiera patient zero. Var börjar händelsekedjan? Vilket system komprometterades först och hur tog angriparen sig in? Det är avgörande för att förstå omfattningen och för att säkerställa att ni stänger rätt hål.
  • Bedöm hur långt intrånget nått. Har angriparen eskalerat behörigheter? Rört sig i nätverket? Exfiltrerat data? Svaren på de frågorna styr prioriteringarna i allt som kommer härnäst. Anta att skadan är större än den verkar tills ni vet mer.

Rapporteringskrav – tidsfrister

Ett intrång utlöser ofta rapporteringsskyldigheter. Missar ni rapporteringsfristerna riskerar ni böter och tillsynsåtgärder ovanpå allt annat ni redan hanterar. Här är tidsfristerna ni inte får slarva med.

  • NIS2 kräver en initial rapport till MSB inom 24 timmar från det att ni fått kännedom om incidenten. En fullständig rapport ska lämnas inom 72 timmar. För väsentliga och viktiga entiteter gäller detta utan undantag.
  • GDPR kräver att Integritetsskyddsmyndigheten (IMY) underrättas inom 72 timmar om personuppgifter berörs och intrånget innebär en risk för de registrerade individerna. Osäker på om persondata berörs? Anta att det gör det och agera utifrån det.
  • Försäkringsbolaget bör kontaktas inom 24 timmar. Kontrollera villkoren i er cyberförsäkring – många har specifika krav på när och hur anmälan ska göras. Missar ni det kan ersättningsrätten påverkas.
  • Polisen bör kontaktas om utpressning pågår eller om skadan är betydande. Polisens Nationella operativa avdelning (NOA) tar emot anmälningar om IT-brottslighet.

Kommunikation – vad säger ni till vem?

Kommunikationen under en incident är lika viktig som de tekniska åtgärderna. Vad ni väljer att säga, och inte säga, spelar stor roll för förtroendet – både hos kunder och internt. Budskap som går ut för tidigt, eller som sedan behöver korrigeras, är svåra att ta tillbaka.

  • Internt: ska ledningen få dagliga lägesuppdateringar så länge incidenten pågår. Övriga medarbetare informeras när ni har ett korrekt och fullständigt budskap att ge – inte innan. Informationsvakuum skapar ryktesspridning, och rykten under en kris kan skapa onödig oro och försvåra krishanteringen.
  • Externt: gäller det att skilja på vad ni vet och vad ni tror. Kunder vars data kan ha berörts ska informeras, men vänta tills ni har fakta. Ett kommunikationsmönster som skapar onödig panik och sedan korrigeras upprepade gånger underminerar förtroendet mer än intrånget i sig.
  • Media: hanteras med försiktighet. Undvik att uttala er offentligt innan ni har en klar bild av vad som hänt. Förbered ett kort, faktabaserat uttalande i samråd med juridik och kommunikation.
  • Leverantörer och partners: med tillgång till era system ska informeras om det finns risk att de berörs.

Ska ni betala lösensumma vid ransomware?

Rekommendationen är nej.  

Att betala garanterar inte att ni får tillbaka era data. En stor andel av de organisationer som betalar får antingen inte fungerande dekrypteringsnycklar eller utsätts för ytterligare utpressning kort därefter. Dessutom riskerar betalning att bryta mot sanktionsregler om utpressarna finns på en sanktionslista, vilket kan ge juridiska konsekvenser för ert företag.

Om betalning ändå övervägs ska beslutet aldrig fattas utan juridisk rådgivning och extern incidenthanteringsexpertis inblandad. Det är ett beslut med långtgående konsekvenser som inte bör fattas under tidspress och panik.

Parallellt ska ni alltid arbeta med återställning från backup oavsett om betalning diskuteras eller inte. Det ger er ett förhandlingsalternativ och minskar beroendet av angriparens kooperation.

Efter incidenten – vad kommer sen?

När det akuta är hanterat börjar nästa fas: att förstå vad som hände och säkerställa att det inte händer igen.

  • Återställning ska ske från verifierade, rena backuper. Återanslut inte system till nätverket förrän de är forensiskt granskade och härdade.
  • Identifiering av rotorsaken är det viktigaste steget som flest organisationer hoppar över. Hur tog angriparen sig in? Vad möjliggjorde det? Utan svar på de frågorna riskerar ni att åtgärda symtomen men lämna grundproblemet intakt.
  • Lessons learned ska dokumenteras och delas inom organisationen för att säkerställa att samma sårbarhet inte utnyttjas igen.
  • Förbättra beredskapen. En incident är ett underlag för ett starkare säkerhetsarbete framåt. Det inkluderar uppdaterade rutiner, teknisk härdning och regelbunden testning av era system.

Läs vår guide: Så funkar incidenthantering — steg för steg

Ta action

Pågående incident? Ring 010-333 10 33 direkt.

Cyloq hjälper organisationer att hantera aktiva intrång. Vill du hellre förbereda dig innan något händer? Läs mer om vår tjänst Incidenthantering.

Boka möte

FAQ

Vanliga frågor

Ska vi stänga av systemen direkt?

Nej, inte som första åtgärd. Att stänga av kan förstöra viktiga bevis i minnet och försvåra utredningen. Isolera istället genom att koppla bort nätverket men låt systemen vara påslagna. Dokumentera allt som görs.

Hur vet vi om data exfiltrerats?

Kolla loggar för stora utgående dataöverföringar, okända utgående anslutningar och nya användarkonton som skapats. Det är ofta svårt att bekräfta utan grundlig forensisk undersökning. Anta att data exfiltrerats tills motsatsen bevisas och agera utifrån det.

Måste vi informera våra kunder?

Om persondata berörs: ja. GDPR kräver att Integritetsskyddsmyndigheten (IMY) underrättas inom 72 timmar om intrånget innebär en risk för de berörda individerna. Om affärshemligheter berörs krävs en juridisk bedömning. Informera alltid transparent när ni vet omfattningen. Undvik spekulation innan ni har fakta.  

Kan polisen hjälpa?

Polisens NOA tar emot anmälningar om IT-brottslighet. De utreder sällan individuella företagsfall men bidrar till en större hotbild. Anmälan är rekommenderad om utpressning pågår eller om skadan är betydande. Parallellt behöver ni professionell incidenthanteringshjälp.

Home
Följ oss
Tjänster
Penetrationstester
Penetrationstester
Sårbarhetsskanningar
Sårbarhetsskanningar
Red teaming
Red teaming
Incidenthantering
Incidenthantering
Sårbarhetsskanning med AI
Sårbarhetsskanning med AI
AI Security Testing
AI Security Testing
Kurser
Säker Utveckling
Säker Utveckling
IT-Säkerhetsutbildning
IT-Säkerhetsutbildning
Företaget
Kontakt
Kontakt
Om Oss
Om Oss
Kundcase
Kundcase
Karriär
Karriär
hello@cyloq.se
+46 (0) 10 333 10 33
Till toppen
© 2025 - Cyloq AB - Org.nr: 559401-9027
Privacy Policy
Terms of Service
Cookies Settings