NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
När hemsidan krånglar, blir hackad eller läcker kunduppgifter räcker det sällan att veta att något är fel. Det som avgör hur snabbt ni är tillbaka i drift är om ni redan innan vet vem som gör vad. Här är en mall att fylla i innan något har hänt.
En incidentplan är ingen teknisk lösning utan en kort, skriftlig ordning för vem som gör vad de första timmarna efter att något gått fel. Enligt Nationellt cybersäkerhetscenter (NCSC) bör en incidenthanteringsplan förbereda roller, kontaktvägar, resurser och kommunikation i förväg, så att teamet inte behöver komma på allt samtidigt som problemet pågår. För ett litet företag behöver planen inte vara mer avancerad än ett dokument på en sida: en kontaktlista och fyra korta ordningar för de situationer som faktiskt kan inträffa. Den här sidan är en mall att fylla i med era egna namn, telefonnummer och inloggningar, och länkar vidare till fördjupningarna för de vanligaste enskilda händelserna.
Utse en huvudansvarig för incidentplanen, oftast den person i teamet som redan har mest kontakt med webbhotellet, utvecklaren eller CMS-plattformen. Rollen innebär inte att lösa allt själv, utan att sätta igång planen: bedöma vad som hänt, kalla in rätt kontakt och hålla i tidslinjen. Utse också en ersättare, så att planen fungerar även om huvudpersonen är på semester eller sjuk. I ett riktigt litet företag kan samma person hålla i både den tekniska biten och GDPR-bedömningen, men skriv ändå ner vem som gör vad, så att ingen av delarna glöms bort i stressen. Om ni har en extern utvecklare eller IT-konsult, klargör i förväg om den personen förväntas rycka in samma dag eller om det tar längre tid, så att ni vet vad ni kan räkna med.
Spara listan nedan tillsammans med övrig dokumentation, gärna både digitalt och utskriven, eftersom ett driftstopp ibland även påverkar tillgången till er egen e-post.
| Kontakt | Vad de hjälper till med | Namn / uppgifter att fylla i |
|---|---|---|
| Webbhotell / driftleverantör | Stänga av sajten, återställa säkerhetskopia, ge serverloggar | Kontoinnehavare, supportnummer, kundnummer |
| Domänregistrar | Låsa domänen, kontrollera DNS-ändringar, återställa ägarskap | Kontoinnehavare, inloggning, supportnummer |
| Utvecklare / IT-konsult | Felsöka intrång, sanera kod, bekräfta att en backup är ren | Namn, telefon, avtalad svarstid |
| Huvudansvarig incidentplan | Sätter igång planen, kallar in rätt kontakt, håller tidslinjen | Namn, telefon, ersättare |
| GDPR-bedömare | Avgör om personuppgifter är berörda och om IMY ska kontaktas | Namn, telefon, ersättare |
Orden för det som kan hända används ofta blandat, men det finns en skillnad värd att känna till. En driftincident handlar om att tjänsten inte fungerar som den ska, till exempel att sajten är nere eller svarar fel, oavsett om orsaken är säkerhetsrelaterad. En informationssäkerhetsincident är bredare och gäller allt som hotar sekretess, riktighet eller tillgänglighet i informationen, till exempel ett intrång, även om inga personuppgifter är inblandade. En personuppgiftsincident är den del av informationssäkerhetsincidenterna som specifikt rör personuppgifter, och är den enda av de tre som kan utlösa anmälningsplikt till IMY. I praktiken överlappar de ofta: ett intrång som exponerar kunduppgifter är både en informationssäkerhetsincident och en personuppgiftsincident.
De fyra vanligaste händelserna nedan delar samma kontaktlista men börjar olika. Läs igenom ordningen innan något har hänt, och fördjupa er i respektive guide vid behov.
| Situation | Första steget | Läs mer |
|---|---|---|
| Intrång (hemsidan hackad eller manipulerad) | Begränsa skadan, byt lösenord till CMS och webbhotell, dokumentera tidslinjen innan ni återställer | Hackad hemsida: steg för steg de första timmarna |
| Dataläckage (kunduppgifter exponerade eller stulna) | Bedöm vilka uppgifter det gäller och om de kan ha nått obehöriga, innan ni avgör anmälningsplikt | Dataintrång: när ska incidenten anmälas till IMY? |
| Driftstopp (sajten nere eller otillgänglig) | Kontrollera status hos webbhotellet, avgör om det är ett angrepp eller ett tekniskt fel, informera kunder vid längre avbrott | HTTPS-kontroll: vad som faktiskt gör webbplatsen säker |
| Misstänkt personuppgiftsincident (osäker på om något läckt) | Dokumentera vad ni vet och när ni fick vetskap, gör en riskbedömning inom loppet av samma dag | GDPR-checklista för dig som äger en hemsida |
Gemensamt för alla fyra är att klockan börjar räkna redan vid upptäckten, inte när utredningen är klar. Enligt Integritetsskyddsmyndigheten (IMY) ska en personuppgiftsincident anmälas inom 72 timmar från det att ni fick vetskap om den, om det inte är osannolikt att den medför risk för de registrerades rättigheter och friheter. Den tidsgränsen gäller även om ni fortfarande är mitt i den tekniska saneringen, så påbörja riskbedömningen parallellt med det akuta arbetet i stället för att vänta tills allt är löst.
De flesta driftstopp och mindre intrång går att hantera med webbhotellet och en utvecklare. CERT-SE ger stöd vid pågående eller redan inträffade it-säkerhetsincidenter och kan vara relevant att kontakta vid större eller mer komplexa angrepp, och en frivillig rapportering dit kan vara värdefull även för er som inte har någon särskild rapporteringsplikt. Har ni ingen fast IT-konsult sedan tidigare, notera i kontaktlistan vem som skulle kunna anlitas med kort varsel, så att ni inte behöver leta efter hjälp mitt under en pågående incident. Är ni osäkra på om en personuppgiftsincident ska anmälas till IMY, väger en kort avstämning med en dataskyddskunnig rådgivare ofta tyngre än att gissa, eftersom en felaktig bedömning av 72-timmarsregeln kan vara svårare att rätta till i efterhand.
När det akuta är löst, skriv färdigt tidslinjen för vad som hände. Punkterna nedan går att kopiera in i ett eget dokument som en enkel incidentrapport-mall:
Den ifyllda rapporten är underlag om en kund, ett försäkringsbolag eller IMY frågar i efterhand, och den är samtidigt det bästa materialet för att förbättra planen till nästa gång. Gå igenom hela mallen minst en gång per år även om inget har hänt, och alltid direkt efter en faktisk incident. Testa gärna kontaktlistan genom att faktiskt ringa eller mejla en gång om året i stället för att bara läsa igenom den, eftersom ett nummer som slutat gälla annars upptäcks först mitt i en skarp incident. Kontrollera samtidigt att kontaktuppgifter, inloggningar och ansvarsfördelning fortfarande stämmer, särskilt om någon i teamet har slutat eller bytt roll sedan förra genomgången, och att en säkerhetskopia faktiskt går att återställa och inte bara skapas (se backupstrategi för webbplats). En del av den återkommande rutinen är att se till att delade inloggningar till adminpanel, webbhotell och domänkonto faktiskt är unika och byts när någon lämnar teamet. En lösenordshanterare som NordPass gör det enklare att hålla ordning på vilka konton som är delade och att rotera dem snabbt, utan att lösenord behöver skickas i klartext mellan kollegor.
Spara incidentplanen där den går att nå även om hemsidan eller den vanliga e-posten är nere, till exempel utskriven eller i ett delat dokument utanför det egna nätverket. En plan som bara finns på den server som just har kraschat hjälper ingen mitt i ett driftstopp.
En gemensam kontaktlista räcker långt, men lägg till korta steg-för-steg-ordningar för de fyra vanligaste händelserna: intrång, dataläckage, driftstopp och misstänkt personuppgiftsincident. De delar samma kontakter men kräver delvis olika första åtgärder.
Utse en huvudansvarig, oftast den som redan har mest kontakt med webbhotellet eller utvecklaren, och en ersättare om huvudpersonen är otillgänglig. Ansvaret är att sätta igång planen, inte att lösa allt själv.
Nej. Anmälan krävs när det inte är osannolikt att incidenten medför risk för de registrerades rättigheter och friheter, och ska då göras inom 72 timmar från att ni fick vetskap om den. Är risken låg dokumenterar ni ändå bedömningen.
Gå igenom listan minst en gång per år och direkt efter varje faktisk incident. Testa gärna kontaktuppgifterna genom att faktiskt ringa eller mejla i stället för att bara läsa igenom dem, och kontrollera att en säkerhetskopia går att återställa. Se också till att ansvarsfördelningen fortfarande stämmer, särskilt om någon i teamet har slutat.
Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan