5 min read· 1,071 words

AWS-säkerhet 2026: ramverket, de fem vanligaste misstagen, och vad NIS2 förändrar

Publicerad: 30 mars 2026·Uppdaterad: 31 mars 2026·Granskad av Opsios ingenjörsteam

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

Att säga "vi använder AWS, så vi är säkra" är en av de farligaste meningarna i en svensk styrelsesal 2026. Det är inte att AWS är osäkert — AWS-plattformen är förmodligen säkrare än något datacenter du själv kan driva. Problemet är att säkerheten ligger i hur du använder den, och Amazons egna data visar att en överväldigande majoritet av cloud-incidenter beror på kundens konfiguration, inte på AWS-plattformens brister. Det här är inte en teknisk artikel om enskilda tjänster. Det är en sammanfattning av ramverket vi använder när vi gör säkerhetsöversyner av svenska AWS-miljöer, de fem misstagen vi nästan alltid hittar, och vad NIS2 faktiskt förändrar för 2026.

Shared responsibility-modellen — där diskussionen måste börja

AWS shared responsibility-modellen säger att AWS ansvarar för säkerheten av molnet (hårdvara, regioner, fysisk åtkomst, hypervisor) och kunden ansvarar för säkerheten i molnet (data, identiteter, applikationer, nätverkskonfiguration, kryptering, åtkomstpolicies). Det här är inte en juridisk formalitet — det är den enda meningen i hela AWS-dokumentationen som de flesta organisationer tolkar fel. Praktiska konsekvenser:

AWS patchar inte din EC2-instans. Det är ditt jobb.
AWS säkerhetskopierar inte din RDS-databas till en annan region. Det är ditt val och din konfiguration.
AWS övervakar inte vem som ändrar dina IAM-policies klockan 02:47 från en GET-anrop i Belarus. Det är CloudTrail + GuardDuty + ditt eget SOC.
AWS skyddar inte din S3-bucket från publik åtkomst om någon konfigurerar den publik. Det är Block Public Access och bucket policies.

Vi har sett tre stora svenska organisationer dela samma missuppfattning de senaste 18 månaderna: att "vi ligger ju på AWS" var ett tillräckligt argument mot styrelsens säkerhetsfrågor. Det är det inte.

Ramverket — fyra nivåer som måste fungera

När vi gör en AWS-säkerhetsöversyn för en kund mappar vi alltid mot fyra nivåer. Alla måste fungera samtidigt — en svaghet i en nivå negerar styrkan i de övriga.

Nivå 1: Identitet och åtkomst (IAM)

Det här är 90 % av AWS-säkerheten. Konkret:

MFA på alla human-IAM-användare. Ingen undantag, ingen "vi sätter på det när vi hinner". Konton utan MFA är det första som komprometteras efter en credential-läcka.
Root-konto inlåst (hårdvarunyckel i kassaskåp), aldrig använt för dagliga uppgifter.
SSO via IAM Identity Center mot er identitetsleverantör (Azure AD / Entra, Okta). Inga lokala IAM-användare för människor.
Roller, inte långlivade access-keys. Långlivade nycklar är 2026 nästan alltid ett tecken på att någon byggde lösningen 2018 och aldrig moderniserade.
Least-privilege via Service Control Policies (SCP) på organisationsnivå, plus permission boundaries på kontonivå.

Nivå 2: Detektering och respons

Det här är vad NIS2 och våra MDR-tjänster handlar om. Minimum för en seriös AWS-miljö:

CloudTrail aktiverat i alla regioner, inklusive de ni inte använder. Bevisning av icke-aktivitet är värdefull.
GuardDuty på, med findings som strömmas till ett SIEM (Security Lake, eller export till tredjepart).
Config Rules som upptäcker drift från godkänd baseline.
Ett SOC som faktiskt övervakar — antingen eget eller managed. Att samla loggar utan att någon tittar på dem är säkerhetsteater.

Nivå 3: Nätverksisolering

VPC-design som inte exponerar mer än nödvändigt:

Privata subnät som default. Resurser i publika subnät är undantag som ska försvaras.
Security groups som tillåter det specifika, inte blockerar det generella.
VPC endpoints för AWS-tjänster så trafiken inte lämnar AWS-backbone.
WAF framför alla publika applikationsendpoints.

Nivå 4: Datasäkerhet

Kryptering, backups, dataresidens:

S3 Block Public Access på kontonivå. Bucket policies som default-deny. Server-side encryption med kundnycklar (KMS) för känsligt data.
EBS-kryptering aktiverad som standard i alla regioner.
RDS med kryptering, automated backups, cross-region replication för kritiska databaser.
Dataresidens kartlagd: vilka regioner används, för vilka datatyper, och under vilka villkor lämnar data EU.

Kostnadsfri experthjälp

Vill ni ha expertstöd med aws-säkerhet 2026?

Våra molnarkitekter hjälper er med aws-säkerhet 2026 — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör

50+ certifierade ingenjörerAWS Advanced Partner24/7 support

De fem misstagen vi nästan alltid hittar

1. Långlivade IAM access keys

Skapade en gång 2019 för en CI/CD-integration. Tjänsten finns inte längre. Nyckeln roterar inte. Den har full S3-access. Vi hittar den i 8 av 10 granskningar.

2. CloudTrail som inte loggas till ett separat konto

CloudTrail-loggarna ligger i samma konto som de bevakar. En komprometterad admin kan radera spåren av sin egen aktivitet. Best practice: ett dedikerat logging-konto med restrictive permissions, write-only access från övriga konton.

3. S3-buckets med "Authenticated Users" som tillåtna

De flesta tror "Authenticated Users" betyder "våra användare". Det betyder alla AWS-konton i världen. Den här konfigurationen finns oftare än man tror i äldre miljöer.

4. Saknad eller trasig multi-region disaster recovery

RDS-backups som inte replikeras cross-region. S3-buckets utan replication. En regional incident (sällan, men det händer) sätter hela organisationen på pause i timmar eller dagar. För NIS2-pliktig verksamhet är detta också ett compliance-problem.

5. SSO konfigurerat men förbigått

Identity Center är på, men det finns fortfarande IAM-användare med konsolåtkomst för "nödfall" eller "DevOps-team". Dessa konton används dagligen och kringgår hela MFA-policy. Konvertera till break-glass roller som logas till SIEM och larmar vid användning.

Vad NIS2 förändrar för svenska AWS-miljöer

NIS2 (EU 2022/2555) trädde i kraft 2024 och genomförs i Sverige via cybersäkerhetslagen. För AWS-kunder i NIS2-omfattning förändras tre saker konkret:

Incidentrapporteringsplikt på 24 / 72 timmar / 1 månad. Era CloudTrail-loggar och GuardDuty-findings måste vara strukturerade så att en incident kan rekonstrueras och rapporteras inom 24 timmars-fönstret. Det här är inte en teknisk fråga utan en processfråga — vem skriver rapporten, vem godkänner den, vem skickar in den till MSB?
Styrelseansvar. Styrelsen ska godkänna och övervaka cybersäkerhetsåtgärderna. För AWS-miljöer betyder det att styrelsen behöver en månadsrapport som de förstår — inte 47 GuardDuty-kategorier utan 3–5 tydliga KPI:er.
Leverantörskedjesäkerhet. AWS är en kritisk leverantör. Era avtalsmässiga åtaganden mot era kunder kan kräva att ni bevisar vilka AWS-tjänster ni använder, i vilka regioner, och hur ni hanterar incidenter i den kedjan.

Vad du faktiskt ska göra i veckan

Om du läser det här som AWS-ansvarig på en svensk organisation och inte vet var du står, gör dessa tre saker i veckan:

Kör aws iam list-users och rotera eller ta bort alla access keys äldre än 90 dagar.
Aktivera CloudTrail i alla regioner (kostar nästan inget om ni inte har mycket trafik i regioner ni inte använder).
Aktivera Block Public Access på kontonivå för S3. Detta enda steg eliminerar de mest pinsamma incidenttyperna.

Sen kontakta antingen oss eller någon annan partner och planera en full säkerhetsöversyn mot ramverket ovan. Det är 2–3 veckors arbete för en medelstor miljö och avkastningen — i form av minskad risk, NIS2-beredskap och styrelsesömn — är direkt.

Hur Opsio hjälper

Vi gör AWS-säkerhetsöversyner för svenska organisationer från första granskning till NIS2-beredskap. Läs mer om vår molnsäkerhetstjänst eller börja med en AWS managed services-leverans där säkerheten är en del av baseline, inte en eftertanke.

Om författaren

Fredrik Karlsson

Group COO & CISO at Opsio