Vad är SOC-överensstämmelse? SOC 1, SOC 2 och SOC 3 förklarade

SOC-överensstämmelse (även kallat SOC compliance eller SOC-efterlevnad) är ett ramverk utvecklat av American Institute of Certified Public Accountants (AICPA) för att verifiera att en tjänsteorganisation skyddar sin kunddata och driver sina system enligt definierade kontroller. Det är de facto den globala standarden för molntjänster, SaaS-leverantörer, managed service providers och andra organisationer som hanterar kunders data — och en allt vanligare upphandlingskrav i svenska B2B-affärer 2026.

Den här guiden förklarar vad SOC-överensstämmelse innebär, skillnaden mellan SOC 1, SOC 2 och SOC 3, vad Type I och Type II betyder, hur certifieringsprocessen ser ut i Sverige och vad det kostar att uppnå compliance.

Vad innebär SOC-överensstämmelse i praktiken?

SOC står för "Service Organization Control" och syftar på en uppsättning rapporter som en oberoende revisor (en auktoriserad revisionsbyrå med rätt SOC-certifiering) producerar efter att ha granskat tjänsteorganisationens kontroller. Resultatet — en SOC-rapport — kan delas med kunder, regulatorer och affärspartners som dokumentation av att organisationen tar sin säkerhets- och driftsansvar på allvar.

SOC-överensstämmelse är inte en formell certifiering på samma sätt som ISO 27001 eller PCI DSS — det är en attestering från en oberoende revisor. Men i praktiken används den och behandlas som en certifiering i den svenska B2B-marknaden, ofta som villkor för att få ingå avtal med svenska banker, försäkringsbolag, börsnoterade företag och offentlig sektor.

Skillnaden mellan SOC 1, SOC 2 och SOC 3

För de flesta svenska molntjänster och SaaS-företag är SOC 2 den enda relevanta rapportformen. SOC 1 är endast aktuell om tjänsten direkt påverkar kundens räkenskaper. SOC 3 är en marknadsföringsversion som man tar fram efter att SOC 2 redan är gjord.

Type I vs Type II — vad är skillnaden?

Inom varje SOC-rapport finns två varianter:

• Type I — Revisorn bedömer om kontrollerna är designade korrekt vid en specifik tidpunkt. Det är en ögonblicksbild som svarar på frågan: "Har ni de rätta kontrollerna på pappret?"
• Type II — Revisorn bedömer om kontrollerna fungerar effektivt över en längre tidsperiod (oftast 6-12 månader). Det svarar på den viktigare frågan: "Följer ni faktiskt de kontroller ni säger att ni har?"

I svensk B2B-upphandling 2026 är SOC 2 Type II de facto-kravet. En SOC 2 Type I-rapport accepteras ibland som ett första steg medan organisationen är på väg mot Type II, men sällan som slutbeslut. En seriös upphandling efterfrågar Type II med uppdaterat datum (rapporten ska inte vara äldre än 12 månader).

Trust Services Criteria — de fem områdena i SOC 2

En SOC 2-rapport granskar fem möjliga områden, varav säkerhet är obligatoriskt och de övriga fyra är valbara baserat på vad tjänsten faktiskt erbjuder:

• Säkerhet (obligatoriskt) — skydd mot obehörig åtkomst, både fysisk och logisk. Inkluderar nätverkssäkerhet, identitets- och åtkomsthantering, kryptering, säkerhetsövervakning.
• Tillgänglighet — att systemet är tillgängligt enligt avtalad SLA. Inkluderar redundans, kapacitetsplanering, incidenthantering, disaster recovery.
• Processintegritet — att systemet behandlar data fullständigt, korrekt och i rätt tid. Vanligt för transaktionstjänster och betalningsplattformar.
• Konfidentialitet — att konfidentiell information (företagshemligheter, källkod, finansiell data) skyddas. Vanligt för B2B-tjänster som hanterar kundens hemliga information.
• Integritetsskydd (Privacy) — att personuppgifter hanteras enligt principer som matchar GDPR och liknande regelverk. Inkluderar samtycke, åtkomsträtt, raderingsrätt.

De flesta svenska SaaS-företag certifierar sig på säkerhet + tillgänglighet + konfidentialitet. Företag som hanterar personuppgifter brett (HR-tjänster, marknadsföringsplattformar) lägger även till Privacy.

Hur uppnår man SOC 2-överensstämmelse i Sverige?

Processen från beslut till färdig SOC 2 Type II-rapport tar typiskt 9-18 månader för ett medelstort svenskt företag som börjar från grunden. En vanlig sekvens:

1. Gap-analys (4-8 veckor) — extern konsult granskar nuläget mot Trust Services Criteria. Resultat: en lista över saknade kontroller och förbättringsområden.
2. Åtgärdsplan och implementation (3-9 månader) — införande av saknade tekniska och organisatoriska kontroller. Inkluderar typiskt: formaliserad policy-stack, MFA-implementation, formaliserad logghantering, incidentresponsplan, leverantörsstyrning, säkerhetsutbildning för personal.
3. Type I-rapport (valfri, 2-4 veckor) — en första oberoende revisor verifierar att kontrollerna är på plats. Många svenska företag hoppar över detta steg och går direkt på Type II.
4. Observationsperiod (3-12 månader) — kontrollerna måste vara aktiva och dokumenterade under en sammanhängande period, oftast 6-12 månader, för att Type II ska kunna utfärdas.
5. Type II-revision (4-8 veckor) — den oberoende revisorn testar att kontrollerna faktiskt har fungerat under hela observationsperioden. Resulterar i den färdiga SOC 2 Type II-rapporten.
6. Årlig omcertifiering — Type II-rapporten är giltig i 12 månader. Sedan börjar processen om för att hålla certifieringen levande.

För svenska företag som söker stöd genom hela SOC 2-resan erbjuder partners som Opsio integrerade säkerhets- och compliance-tjänster — från initial gap-analys via kontrollimplementation på AWS/Azure/Google Cloud till löpande SOC-managed-service och förberedelse för revisorerna.

Vad kostar SOC 2 i Sverige?

• Gap-analys och rådgivning: 150 000–500 000 kr beroende på företagets storlek och utgångsläge.
• Implementation av tekniska och organisatoriska kontroller: 500 000–4 miljoner kr, helt beroende på vad som behöver byggas.
• Type II-revision (årligen): 200 000–600 000 kr för ett medelstort svenskt företag (auktoriserade SOC-revisorer som Deloitte, EY, KPMG, PwC, BDO, Grant Thornton).
• Compliance-mjukvara (Vanta, Drata, Sprinto, Secureframe): 80 000–500 000 kr/år beroende på företagsstorlek. Inte obligatoriskt men accelererar processen kraftigt.

Totalkostnaden första året (gap-analys + implementation + första Type II): typiskt 1–6 miljoner kr för ett medelstort svenskt SaaS-företag. Återkommande årlig kostnad: 300 000–1,5 miljon kr.

Vanliga frågor

Vad är SOC-överensstämmelse?

SOC-överensstämmelse (SOC compliance) är ett ramverk utvecklat av AICPA för att verifiera att en tjänsteorganisation skyddar sin kunddata och driver sina system enligt definierade kontroller. En oberoende revisor granskar organisationen och producerar en SOC-rapport som kan delas med kunder och affärspartners som dokumentation. Det är inte en formell certifiering på samma sätt som ISO 27001, utan en attestering från en oberoende revisor — men behandlas i praktiken som en certifiering i svensk B2B-marknad.

Vad är SOC compliance?

SOC compliance är den engelska termen för SOC-överensstämmelse — ett ramverk där en oberoende revisor verifierar att en tjänsteorganisation har och följer kontroller som skyddar kunddata. De vanligaste rapporttyperna är SOC 1 (finansiell rapportering), SOC 2 (säkerhet och drift) och SOC 3 (publik förkortad version). I svenska SaaS- och molntjänster är SOC 2 Type II den de facto-standard som kunder begär.

Vad är skillnaden mellan SOC 1, SOC 2 och SOC 3?

SOC 1 fokuserar på finansiell rapportering — kontroller som påverkar kundens räkenskaper. Vanligt för lönehantering och finansiella back-office-tjänster. SOC 2 är den vanligaste typen och täcker säkerhet, tillgänglighet, integritet, konfidentialitet och personuppgiftsskydd — relevant för SaaS, molntjänster och MSP. SOC 3 är en förkortad publikt distribuerbar version av SOC 2 som används för marknadsföring (sigill på webbplats) men sällan ersätter den fullständiga SOC 2-rapporten i upphandlingar.

Vad är skillnaden mellan SOC 2 Type I och Type II?

Type I bedömer om kontrollerna är designade korrekt vid en specifik tidpunkt — en ögonblicksbild som svarar på "har ni de rätta kontrollerna på pappret?". Type II bedömer om kontrollerna fungerar effektivt över 6-12 månader — svarar på "följer ni faktiskt era kontroller?". I svensk B2B-upphandling 2026 är SOC 2 Type II de facto-kravet; Type I accepteras ibland som första steg men sällan som slutbeslut.

Hur lång tid tar det att uppnå SOC 2-överensstämmelse?

För ett medelstort svenskt företag som börjar från grunden tar processen till färdig SOC 2 Type II-rapport typiskt 9-18 månader. Sekvensen är: gap-analys (4-8 veckor), åtgärdsplan och kontrollimplementation (3-9 månader), valfritt Type I (2-4 veckor), observationsperiod på 6-12 månader, Type II-revision (4-8 veckor). Compliance-mjukvara som Vanta, Drata eller Sprinto kan accelerera processen kraftigt.

Vad kostar SOC 2-överensstämmelse i Sverige?

Totalkostnaden första året (gap-analys, implementation och första Type II-revision) är typiskt 1–6 miljoner kr för ett medelstort svenskt SaaS-företag. Återkommande årlig kostnad: 300 000–1,5 miljon kr. Komponenter: gap-analys 150 000–500 000 kr, implementation av kontroller 500 000–4 miljoner kr, årlig Type II-revision 200 000–600 000 kr (från auktoriserade revisorer som Deloitte, EY, KPMG, PwC), och compliance-mjukvara 80 000–500 000 kr/år.

Vilken är skillnaden mellan SOC 2 och ISO 27001?

Båda ramverken adresserar informationssäkerhet, men skiljer sig i fokus, mätbarhet och målgrupp. ISO 27001 är en formell certifiering med stark fokus på ett ledningssystem för informationssäkerhet (ISMS). SOC 2 är en attestering med starkare fokus på att kontroller faktiskt fungerar i drift, dokumenterat i en detaljerad rapport. ISO 27001 är vanligare i Europa, SOC 2 i USA och växande i Sverige tack vare amerikanska kundkrav. Många svenska företag certifierar sig på båda parallellt eftersom de delvis kompletterar varandra och tillsammans täcker bredast spektrum av kundkrav.