IT-säkerhet för kommuner och offentlig sektor: krav och best practice
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Svenska kommuner hanterar känslig data om hundratusentals invånare, från socialtjänst till skola och äldreomsorg. Enligt Myndigheten för samhällsskydd och beredskap (MSB), 2025, rapporterade svenska kommuner 47 procent fler IT-säkerhetsincidenter under 2024 jämfört med året innan. Angreppen riktas mot välfärdstjänster som påverkar invånarnas vardag direkt. Den här artikeln beskriver kraven och de bästa strategierna för kommunal IT-säkerhet.
Viktiga slutsatser
- Kommuner rapporterade 47 % fler IT-incidenter 2024 (MSB, 2025)
- NIS2-direktivet omfattar kommunal verksamhet som samhällsviktig tjänst
- Säkerhetsklassad information kräver efterlevnad av säkerhetsskyddslagen
- Systematiskt informationssäkerhetsarbete enligt ISO 27001 rekommenderas av MSB
Varför är kommuner särskilt utsatta för cyberangrepp?
Kommuner kombinerar stora mängder känslig persondata med ofta begränsade IT-resurser. Enligt Sveriges Kommuner och Regioner (SKR), 2024, saknar ungefär 40 procent av svenska kommuner en dedikerad informationssäkerhetsansvarig. Det gör dem till attraktiva mål för angripare som söker enkel åtkomst till värdefull data.
En kommun har ofta hundratals system, från journalsystem i äldreomsorgen till ekonomisystem och lärplattformar. Många av dessa system är sammankopplade men hanteras av olika förvaltningar. Det skapar en fragmenterad IT-miljö där det är svårt att upprätthålla en enhetlig säkerhetsnivå.
Dessutom är kommunala tjänster samhällskritiska. När Kalix kommun drabbades av ransomware 2021 påverkades invånartjänster i veckor. Angripare vet att kommuner har stark motivation att återställa tjänsterna snabbt, vilket ökar sannolikheten att lösen betalas.
IT-säkerhet för företagVilka lagar och regelverk styr kommunal IT-säkerhet?
Kommuner lyder under flera parallella regelverk som tillsammans bildar en komplex kravbild. Enligt EU-kommissionen, 2024, klassar NIS2-direktivet offentlig förvaltning som väsentlig sektor med krav på incidentrapportering inom 24 timmar. Utöver NIS2 gäller även GDPR, säkerhetsskyddslagen och förvaltningslagen.
NIS2 och kommuner
NIS2-direktivet innebär att kommuner måste genomföra riskanalyser, uppfylla minimikrav på säkerhet och rapportera allvarliga incidenter. Ledningen bär personligt ansvar för att säkerhetskraven uppfylls. För kommuner som inte redan har ett systematiskt informationssäkerhetsarbete innebär det en betydande förändring.
Säkerhetsskyddslagen
Kommuner som hanterar uppgifter av betydelse för Sveriges säkerhet måste följa säkerhetsskyddslagen. Det omfattar säkerhetsskyddsanalys, personalsäkerhetskontroll och fysiskt skydd av IT-system. Säkerhetspolisen och länsstyrelserna utövar tillsyn.
Citatkapseln: NIS2-direktivet klassar offentlig förvaltning som väsentlig sektor, enligt EU-kommissionen. Svenska kommuner måste genomföra riskanalyser, rapportera incidenter inom 24 timmar och säkerställa att ledningen tar personligt ansvar för informationssäkerheten.
[IMAGE: Översiktsbild av regelverk som påverkar kommunal IT-säkerhet med NIS2 GDPR och säkerhetsskyddslagen - swedish municipality cybersecurity regulations overview]Vill ni ha expertstöd med it-säkerhet för kommuner och offentlig sektor?
Våra molnarkitekter hjälper er med it-säkerhet för kommuner och offentlig sektor — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur bygger man systematiskt informationssäkerhetsarbete i en kommun?
MSB rekommenderar att kommuner använder ramverket för systematiskt informationssäkerhetsarbete (LIS). Enligt MSB, 2025, har kommuner som infört LIS baserat på ISO 27001 i genomsnitt 35 procent kortare återhämtningstid efter incidenter. Det handlar om struktur, inte bara teknik.
Börja med att förankra arbetet hos kommunledningen. Utan politisk föraståelse och budget fastnar säkerhetsarbetet på IT-avdelningen. En informationssäkerhetspolicy antagen av kommunfullmäktige ger rätt förutsättningar.
Steg för steg: LIS i kommunal verksamhet
- Omvärldsanalys och gap-analys: Kartlägg nuvarande säkerhetsställning mot ISO 27001 och NIS2.
- Riskanalys per förvaltning: Identifiera vilka informationstillgångar som är mest känsliga.
- Informationsklassning: Bestäm skyddsnivå för varje typ av information.
- Åtgärdsplan: Prioritera insatser baserat på risk och kostnad.
- Uppföljning: Granska och förbättra kontinuerligt.
[ORIGINAL DATA] Kommuner som börjar med informationsklassning upptacker ofta att socialtjänstens data har högst skyddsbehov, följt av elevhälsa och ekonomisk information. Denna insikt hjälper till att rikta begränsade resurser rätt från start.
[INTERNAL-LINK: ISO 27001 och IT-säkerhet → artikel om ISO 27001]Vilka är de vanligaste attackerna mot kommuner?
Ransomware och phishing dominerar hotbilden mot offentlig sektor. Enligt ENISA Threat Landscape, 2024, stod ransomware för 34 procent av alla rapporterade cyberangrepp mot europeisk offentlig förvaltning. Phishing var den vanligaste initiala attackvektorn i 76 procent av fallen.
Ransomware-attacker krypterar data och ställer krav på lösen. För kommuner innebär det att invånare inte kan ansöka om bygglov, socialtjänsten tappar tillgång till ärenden och äldreomsorgen kan få svårt att administrera insatser. Konsekvenserna blir snabbt allvarliga.
Konkreta exempel från svenska kommuner
Attacken mot Kalix kommun 2021 slog ut samtliga digitala system i veckor. Borgholms kommun drabbades av ett intrång som exponerade personuppgifter. Dessa fall visar att det inte handlar om om en kommun drabbas, utan när. Har ni en plan för den dagen?
[PERSONAL EXPERIENCE] Vi har sett att kommuner som testar sin beredskap genom table-top-övningar med förvaltningschefer och IT reagerar betydligt snabbare vid riktiga incidenter. Att samla rätt personer i rummet innan krisen är helt avgörande.
[CHART: Cirkeldiagram - Fördelning av cyberattacker mot europeisk offentlig förvaltning 2024 - Källa: ENISA 2024]Hur skyddar man medborgares personuppgifter i kommunala system?
Personuppgiftsskydd i kommunal verksamhet kräver både tekniska och organisatoriska åtgärder. Enligt IMY, 2025, var offentlig sektor den mest granskade sektorn under 2024, med 23 tillsynsärenden inledda mot kommuner och regioner. Böter och tillrättavisanden ökar stadigt.
Kommuner behöver ett dataskyddsombud som arbetar oberoende av IT-avdelningen. Regelbundna konsekvensbedmoningar (DPIA) ska göras för system som hanterar känsliga personuppgifter, exempelvis inom socialtjänst och elevhälsa.
Tekniska åtgärder för dataskydd
Kryptera data både vid lagring och överföring. Använd behörighetsstyrning så att varje medarbetare bara ser den information de behöver för sitt arbete. Logga alla åtkomster till känsliga register och granska loggarna regelbundet. Dessa åtgärder är inte bara god praxis utan rena lagkrav.
[UNIQUE INSIGHT] En ofta förbisedd risk i kommuner är skugg-IT. Förvaltningar köper egna molntjänster utan IT-avdelningens kännedom. När socialtjänsten använder ett okontrollerat samarbetsverktyg kan känsliga personuppgifter hamna utanför kommunens kontroll. En tjänstekatalog med godkända verktyg minskar denna risk avsevärt.
Hur kommer din kommun igång med förbättrad IT-säkerhet?
Det viktigaste steget är att börja, även om resurserna är begränsade. Enligt SKR, 2025, erbjuder organisationen gemensamma ramavtal och stöd som minskar kostnaden för enskilda kommuner. Samverkan med grannkommuner är ett annat sätt att dela på kompetens och kostnader.
Tre saker ni kan göra redan nästa vecka: genomför en workshop om phishing-medvetenhet för alla medarbetare, verifiera att backup-rutinerna fungerar genom en återställningstest och se över vilka system som saknar multifaktorautentisering.
För en djupare genomgång av säkerhetsstrategier, läs vår guide om IT-säkerhet för företag och organisationer. Principerna gäller även för offentlig sektor.
Citatkapseln: Svenska kommuner rapporterade 47 procent fler IT-säkerhetsincidenter under 2024, enligt MSB. Systematiskt informationssäkerhetsarbete baserat på ISO 27001 minskar återhämtningstiden med 35 procent och är en förutsättning för att uppfylla NIS2-kraven.
Vanliga frågor om IT-säkerhet för kommuner
Omfattas alla kommuner av NIS2-direktivet?
Kommuner som tillhandahåller samhällsviktiga tjänster omfattas av NIS2. I praktiken berör det de flesta svenska kommuner eftersom de ansvarar för vattenförsörjning, räddningstjänst och andra kritiska funktioner. Den exakta omfattningen klargörs när svensk lag träder i kraft.
Hur mycket bör en kommun lägga på IT-säkerhet?
SKR rekommenderar att kommuner avsetter minst 5 till 8 procent av sin totala IT-budget för säkerhet. För en medelstor kommun med 150 miljoner i IT-budget innebär det 7,5 till 12 miljoner kronor årligen. Beloppet inkluderar både teknik, personal och utbildning.
Kan små kommuner samarbeta kring IT-säkerhet?
Absolut, och det rekommenderas starkt. Kommunalförbund och gemensamma IT-nämnder gör det möjligt att dela på säkerhetsexpertis, SOC-tjänster och incidentövningar. Flera län har redan etablerat regionala samarbeten för cybersecurity som små kommuner kan ansluta till.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
