Frågor och svar om Cybersäkerhetskollen

Sverige behöver bli bättre på att följa upp sin cybersäkerhet. Mot bakgrund av detta fick MSB 2019 ett regeringsuppdrag om att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet.

MSB har därför tagit fram ett uppföljningsverktyg som ska ge verksamheterna bättre stöd och samtidigt möjliggöra överblick och utveckling på nationell nivå. Uppföljning upplevs ofta svårt. Med verktyget blir det konkret och du får återkoppling direkt.

Den 29 mars 2023 mottog MSB ett tilläggsuppdrag av regeringen att bredda Infosäkkollen till NIS-leverantörer, samt att ta fram en uppföljningsstruktur för it-säkerhetsåtgärder, It-säkkollen.

I samband med lansering 2024 fick Infosäkkollen och It-säkkollen ett nytt samlingsnamn, Cybersäkerhetskollen.

Inför 2025 har Cybersäkerhetskollen vidareutvecklats. It-säkkollen har vidareutvecklats och två nya mätningar i form av Ot-säkkollen och Leveranskedjekollen har tillkommit.

Den 27 februari 2025 mottog MSB ytterligare ett regeringsuppdrag om att genomföra en kartläggning av digitala leveranskedjor och att ta fram en modell för uppföljning av digitala leveranskedjor. Utifrån detta uppdrag har MSB tagit fram Leveranskedjekollen.

Med Cybersäkerhetskollen får din organisation en bättre bild av ert cybersäkerhetsarbete och förslag på utvecklingsområden, samt underlag för planering och prioritering.

När ni rapporterar in ert resultat kan ni också jämföra nivån på ert arbete med andra liknande organisationer. Dessutom bidrar ni till förmågebedömningen av cybersäkerheten hos det civila försvaret.
Cybersäkerhetskollen är både ett verktyg för att stötta den egna organisationen i uppföljningen av cybersäkerhetsarbetet och ett bidrag för att skapa en lägesbild över Sveriges förmåga inom cybersäkerhet. Ett inrapporterat resultat bidrar till lägesbilden för sektorn.

Cybersäkerhetskollen grundar sig i ett flertal regeringsuppdrag som kommit sedan 2019, därav ger Cybersäkerhetskollen även MSB och regeringen information om vilket stöd som behövs för svenska organisationer.

Samtliga organisationer, både offentliga och privata, som omfattas av NIS-lagstiftningen.

Även organisationer som inte omfattas av NIS-lagstiftningen, men som bedriver ett systematiskt cybersäkerhetsarbete som de vill följa upp kan ha nytta av Cybersäkerhetskollen.

Varje organisation kan rapportera in sitt svar. En kommun och ett kommunalt bolag ska därför svara separat då det är två olika organisationer. Vid inrapportering av svar möjliggörs jämförande återkoppling.

Senaste mätningen av Cybersäkerhetskollen påbörjades 23 april 2025. Sista inrapporteringsdatum är satt till 12 september 2025.

De organisationer som rapporter in sina svar får återkoppling i form av jämförelser med andra organisationer. De bidrar också till den nationella lägesbilden av nivån på cybersäkerhetsarbetet hos samhällsviktiga verksamheter i Sverige. Utifrån det säkerhetspolitiska läget är det särskilt viktigt att MSB kan bedöma motståndskraften hos det civila försvaret.

Vi hoppas också att de organisationer som använder verktyget vill bidra till den samlade utvecklingen, men det finns inget obligatorium kring inrapporteringen.

Infosäkkollen var det första verktyget som MSB tog fram utifrån det första regeringsuppdraget MSB fick 2019. Infosäkkollen är en uppföljningsstruktur av en organisations systematiska informationssäkerhetsarbete. Infosäkkollen är en flik i Cybersäkerhetskollen.

Genom Infosäkkollen kan organisationen följa upp det systematiska informationssäkerhetsarbetet och se hur det bör vidareutvecklas. Att medverka i Infosäkkollen stöttar inte enbart den egna organisationen utan även Sveriges cybersäkerhet.

Den 29 mars 2023 mottog MSB en utvidgning av regeringsuppdraget gällande att ta fram en uppföljning av it-säkerhetsåtgärder, It-säkkollen (Fö2023/00697). It-säkkollen är en uppföljningsstruktur av en organisationers it-säkerhetsåtgärder och är en flik i Cybersäkerhetskollen.

Genom att besvara It-säkkollen får ni insikt i vad som krävs för att er organisation ska utveckla ert systematiska it-säkerhetsarbete. Er medverkan förbättrar Sveriges cybersäkerhet.

It-säkkollen genomförs för första gången i full skala under 2025 och är ett pilotprojekt som därefter kommer att utvärderas.

Ot-säkkollen är en ny mätning som tagits fram för 2025 som är en uppföljningsstruktur av organisationers arbete med ot-säkerhet. Uppföljningsmodellen för ot-säkerhet utgår från serien av standarder IEC 62443. Ot-säkkollen är en flik i Cybersäkerhetskollen.

Genom att besvara Ot-säkkollen får organisationen översikt över ot-säkerhetsarbetet och vad som bör följas upp och vidareutvecklas. En medverkan i Ot-säkkollen förbättrar Sveriges cybersäkerhet.

Ot-säkkollen riktar sig i huvudsak till de organisationer som innehar eller vars verksamhet är beroende av industriella informations- och styrsystem (ICS). Dessa organisationer finns ofta, men inte enbart, inom de samhällsviktiga sektorerna energiförsörjning, dricksvattenförsörjning samt transporter och kan vara såväl offentliga som privata verksamheter.

Ot-säkkollen genomförs under 2025 som ett pilotprojekt och kommer därefter att utvärderas.

Leveranskedjekollen är en ny mätning för 2025 som genomförs som ett pilotprojekt som därefter kommer att utvärderas. Mätningen är en uppföljningsstruktur för organisationers arbete med säkra leveranskedjor samt en kartläggning av system där incidenter kan orsaka stora konsekvenser.

Regeringsuppdraget som ligger till grund för Cybersäkerhetskollen säger att det är för en organisations eget uppföljnings- och förbättringsarbete. MSB idkar inte tillsyn på sakområdet, utan svaren redovisas endast på aggregerad nivå för att presentera en nationell lägesbild på cybersäkerhetsområdet.

I modellen kan fyra nivåer uppnås. Nivåerna baseras på hela organisationens samlade arbete inom samtliga de tio arbetsområden som behandlas i spindeldiagrammet. 0 står för nivån en organisation befinner sig på innan den har uppnått någon av nivåerna 1-4.

Nivå 5 står för att man har uppnått maxpoäng inom ett arbetsområde. Du kan läsa mer om nivåerna i fördjupningsinformationen.

MSB har fått i uppdrag av regeringen att skapa en nationell lägesbild av nivån på det systematiska cybersäkerhetsarbetet hos samhällsviktiga verksamheter, vilket i dagsläget saknas.

Utifrån lägesbilden får MSB en bättre bild av de utmaningar olika organisationer står inför. Baserat på resultatet kan MSB förbättra sitt stöd inom cybersäkerhet till samhällsviktiga verksamheter.

Alla svar rapporteras in via ett formulär på MSB:s e-tjänsteportal. 

MSB:s e-tjänster

Formuläret inleds med att ni får göra en informationsklassning av ert svar, och beroende på den får ni en inrapporteringsrutin. Flödet är dynamiskt. Det finns fyra sätt ni kan inrapportera på:

1. För svar som inte omfattas av sekretess bifogas svarsfilen i formuläret.
2. För svar som omfattas av sekretess bifogas svarsfilen i formuläret.
   
   Om ni anser att ert svar omfattas av säkerhetsskydd ska ni rapportera in med ett ändamålsenligt signalskydd eller använda Postnords tjänst för värdeförsändelse.
   
   
3. Om ni avser använda signalskydd ska PGBI-nyckel beställas genom cybersakerhetskollen@msb.se senast 15/5 2024.
4. Om ni avser använda värdeförsändelse ska ni lägga svarsfilen okrypterad på ett USB-minne i ett kuvert, märkt "Cybersäkerhetskollen". Lägg sedan kuvertet i en säkerhetspåse. Sedan skickar ni säkerhetspåsen som värdeförsändelse med Postnord. Ni måste spara säkerhetspåsens och värdeförsändelsens nummer så att det kan skrivas in i formuläret på e-tjänsteportalen, detta för att MSB ska kunna verifiera vid mottagandet. Adressen ni ska skicka till är:
   
   Myndigheten för samhällsskydd och beredskap
   651 81 Karlstad

De som skickar in sina svar till MSB kommer att få en särskild återkoppling tillbaka som kan användas för att på enkelt sätt jämföra de egna resultaten med liknande organisationer.

Myndigheten kommer inte att publicera något som avslöjar en enskild aktörs egna förhållanden.

En samlad rapport kommer att på ett övergripande plan redogöra för hur läget ser ut, men det kommer inte gå att utifrån rapporten sluta sig till specifika sårbarheter som kan utnyttjas i någon direkt bemärkelse.

I den mån brister kommer att framgå, så kommer de bristerna behandla just de bakomliggande arbetssätten, snarare än brister i eller avsaknad av enskilda säkerhetsåtgärder.

Dock är det så att kombinationen av många enskilda organisationers information samlat kan resultera i en skyddsvärd mängd data. MSB har tagit detta i åtanke, och det är därför myndigheten lämnar särskilda instruktioner för säker hantering, så att hela kedjan av insamling och överföring av information skyddas

Du genomför uppföljningen genom att steg för steg gå igenom och besvara ett antal frågor i det Excel-baserade verktyget. Det finns olika typer av frågor i verktyget som ska undersöka olika aspekter på ert cybersäkerhetsarbete.

Exempel på frågor som ni kan hitta i verktyget är:

Har organisationen haft en informationssäkerhetspolicy de senaste två åren?

Om svaret är ja, ange vad policyn har innehållit (till exempel ledningens inriktning för informationssäkerhetsarbetet).

I vilken utsträckning har organisationen, de senaste två åren, klassat sin information enligt sitt arbetssätt för informationsklassning?

När ni svarat på alla frågor får ni ett resultat som visas på en särskild flik i verktyget (återkoppling). Där kan ni bland annat se utvecklingsområden samt tips och hänvisningar till stöd för ert utvecklingsarbete.
Vidare anvisningar om hur ni använder Cybersäkerhetskollen finns i verktyget och i Fördjupningsinformationen (se under Vidare läsning).

Verktyget är till för hela organisationens nytta, då cybersäkerhetsarbetet berör hela organisationen. Det är rekommenderat att den som driver genomförandet av Cybersäkerhetskollen i organisationen är CISO eller motsvarande. Om en sådan roll inte finns kan det vara någon i en stabsfunktion. CISO eller motsvarande bör i sin tur samarbeta med relevanta roller inom informationssäkerhet, it-säkerhet, ot-säkerhet samt inköp och upphandling under genomförandet av Cybersäkerhetskollen. Detta för att cybersäkerhetskollens resultat ska spegla organisationen så väl som möjligt och för att frågorna ska kunna besvaras fullt ut.

Cybersäkerhetskollen är också till för att ge ledningsgrupper ett bättre underlag för uppföljning av det systematiska cybersäkerhetsarbetet.
Ledningens engagemang underlättar för att uppföljningen ska kunna genomföras och resultaten omhändertas.

Hur lång tid det tar att svara på frågorna beror på många faktorer och är därför svårt att uppskatta. Effektiv tid bedöms vara ett par dagar, men ledtiden för att samla in informationen kan vara betydligt längre. Beroende på organisation och arbetssätt kan det i vissa fall röra sig om några veckor eller en ännu längre period.

Ja, något ska ha funnits på plats, eller utförts, med en viss regelbundenhet under den senaste tvåårsperioden (om inget annat uttrycks i den specifika frågan).

Anledningen till att mätperioden är över två år är att modellen undersöker etablerade arbetssätt och inte en ögonblicksbild av cybersäkerhetsarbetet. För modellen är det avgörande att alla organisationer mäts utifrån samma kriterier, det ger en samlad bild som är rättvisande och representativ för cybersäkerhetsarbetet.

Ja, alla delar av säkerhetsarbetet som bidrar till verksamhetens cybersäkerhet skall inkluderas i Cybersäkerhetskollen.
Tänk på att inkludera alla arbetssätt, krav och rutiner i avtalet för att kunna ställa krav på er upphandlade aktör att leva upp till gott systematiskt cybersäkerhetsarbete.

Information om säker upphandling på Informationssäkerhet.se

Alla organisationer kan använda verktyget som finns tillgängligt på hemsidan. Alla organisationer är också välkomna att skicka in sina resultat.

Det finns flera skäl till detta. De huvudsakliga är att det ska vara enkelt, säkert och samtidigt resurseffektivt. Ett verktyg för alla svenska samhällsviktiga verksamheter behöver vara något som alla kan öppna och arbeta i.

Samtidigt handlar det om information som kan vara mycket känslig, så det måste gå att hantera på ett säkert sätt. Många av er kommer att jobba med det i särskilda it-miljöer, som har olika begränsningar. Ni ska inte behöva introducera ny programvara eller oroa er för skadlig kod när ni gör Cybersäkerhetskollen.

Alla svar rapporteras in via ett formulär på MSB:s e-tjänsteportal. 

MSB:s e-tjänster

Formuläret inleds med att ni får göra en informationsklassning av ert svar, och beroende på den får ni en inrapporteringsrutin. Flödet är dynamiskt. Det finns fyra sätt ni kan inrapportera på:

1. För svar som inte omfattas av sekretess bifogas svarsfilen i formuläret.
2. För svar som omfattas av sekretess bifogas svarsfilen i formuläret.
   
   Om ni anser att ert svar omfattas av säkerhetsskydd ska ni rapportera in med ett ändamålsenligt signalskydd eller använda PostNord:s tjänst för värdeförsändelse.
   
   
3. Om ni avser använda signalskydd ska PGBI-nyckel beställas genom cybersakerhetskollen@msb.se senast 15/5 2024.
4. Om ni avser använda värdeförsändelse ska ni lägga svarsfilen okrypterad på ett USB-minne i ett kuvert, märkt "Cybersäkerhetskollen". Lägg sedan kuvertet i en säkerhetspåse. Sedan skickar ni säkerhetspåsen som värdeförsändelse med PostNord. Ni måste spara säkerhetspåsens och värdeförsändelsens nummer så att det kan skrivas in i formuläret på e-tjänsteportalen, detta för att MSB ska kunna verifiera vid mottagandet. Adressen ni ska skicka till är:
   
   Myndigheten för samhällsskydd och beredskap
   651 81 Karlstad

Ja, i och med att innehållet utgör en genomgång av hur en organisations cybersäkerhetsarbete ser ut och vilka eventuella brister som finns i detta, kan enskilda svar vara skyddsvärda.

Se mer om detta under frågan: Hur skyddar MSB våra inrapporterade svar?

Din organisation ansvarar för sekretessbedömning och eventuell säkerhetsskyddsklassificering av era svar, samt för att ge uppgifterna det skydd som krävs vid hantering, lagring och överföring. Ett tips är att först gå igenom frågorna och resonera kring skyddsvärdet i de svar ni avser att ange.

Om ni bedömer att svaren inte innehåller säkerhetsskyddsklassificerade uppgifter kan ni hantera dem i era vanliga it-system. Om ni bedömer att svaren eller delar av svaren är säkerhetsskyddsklassificerade och ni inte har it-system godkända för detta kan ni använda penna och papper.
I Cybersäkerhetskollen redovisar ni svar som är öppna (ej sekretessbelagda) och de svar som är sekretessbelagda redovisas på papper. Pappret kan sedan läggas i samma säkerhetspåse som USB-minnet.

MSB:s preliminära bedömning är att en del av uppgifterna som lämnas in kan komma att omfattas av sekretess enligt följande paragrafer:

• 18:8 gällande säkerhets- och bevakningsåtgärder
• 18:13 gällande möjlighet att förebygga och hantera fredstida kriser
• 15:2 försvarssekretess.

Det går inte att svara generellt på vilka uppgifter som omfattas av vilken paragraf. Sekretessbedömning görs på specifika upplysningar för varje enskild begäran om utlämning.

MSB kommer, utöver att pröva sekretess vid utlämningsbegäran, att vidta ett antal olika tekniska och administrativa säkerhetsåtgärder för att skydda både de enskilda svaren och den samlade massan av svar som bildas över tid hos myndigheten. Ett viktigt steg i att skyddet kring uppgifterna som hanteras i verktyget ska kunna upprätthållas ”hela vägen” är de rutiner MSB har på plats kring säker hantering för inrapportering.

Mer om de sekretessregler som kan tillämpas

Uppgifter om säkerhets- eller bevakningsåtgärd – 18 kap. 8 § OSL

Enligt 18 kap. 8 § 3 OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bland annat telekommunikation eller system för automatiserad behandling av information.

Enligt fjärde punkten i samma bestämmelse gäller detta även uppgifter som avser behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling. Med uppgifter som lämnar upplysning om säkerhets- eller bevakningsåtgärd avses enligt denna punkt till exempel uppgifter om konfigurering av brandväggar. Uppgifter som kan bidra till upplysning om säkerhetsåtgärder kan också vara uppgifter om vilken typ och version av operativsystem eller annan programvara som används.

Risk- och sårbarhetsanalyser – 18 kap. 13 § OSL

Enligt 18 kap. 13 § OSL gäller sekretess för uppgifter som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana krissituationer om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs.

Med begreppet fredstida krissituationer avses mycket allvarliga kriser, alltså inte olyckor och andra händelser av mer vardaglig karaktär.

Verksamhet i form av risk- och sårbarhetsanalyser syftar till att minska samhällets sårbarhet, bland annat genom att öka myndigheternas förmåga att förutse och hantera fredstida krissituationer. För att uppgifter i denna verksamhet inte ska kunna utnyttjas till angrepp mot myndigheter, enskilda eller samhället i stort är det i viss utsträckning nödvändigt att begränsa insynen i denna verksamhet.

Försvarssekretess – 15 kap. 2 § OSL

Enligt 15 kap. 2 § OSL gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.

Säker hantering av informationen består av flera saker. MSB rekommenderar samarbete med er organisations signalskyddschef (eller motsvarande), främst för att be denne vara er behjälplig i samband med inrapportering.
MSB vidtar också olika säkerhetsåtgärder för att skydda informationen som överförs från de svarande organisationerna. Är det någon särskild aspekt ni har frågor kring så kontakta oss gärna på: 

cybersakerhetskollen@msb.se

Det är genom inrapportering ni kan få jämförande återkoppling, tillexempel hur ni ligger till jämfört med liknande organisationer. Men det är också baserat på detta MSB kan vidareutveckla sitt stöd till er på området, samt ge regeringen den nationella lägesbild de efterfrågat.

För att Cybersäkerhetskollen ska kunna rapporteras in med ett ändamålsenligt signalskyddsystem måste kommunen ha sitt signalskyddssystem på plats, samt ha en färdigutbildad biträdande signalskyddschef.

Om organisationen inte har signalskyddssystem på plats, inrapporteras svaren på ett USB-minne i en säkerhetspåse som skickas som värdeförsändelse med PostNord.

Mer information finns ovan på ”Hur skickar jag in min organisations resultat från Cybersäkerhetskollen?”.

Om ni har möjlighet att lägga svaren på en CD/DVD, så fungerar det också.

Tänk på att stänga CD-skivan och sedan skicka den på motsvarande sätt som instruktionen för USB, det vill säga i säkerhetspåse och med värdeförsändelse.

Kanske kan ni ta tillfället i akt och se över möjligheten att etablera signalskyddsförmåga i organisationen?

Säkerhetspåsar används för hantering av värdefullt eller konfidentiellt material. Det är ett emballage som kan förseglas så att eventuellt försök till intrång i emballaget kan uppmärksammas.

Det finns flera leverantörer av säkerhetspåsar, vilket du snart hittar om du söker på nätet efter ”säkerhetspåse”. De flesta tar omkring 300 kr för 50 påsar. Gör ett inköp i enlighet med era regler.

Uppföljningsmodellen utgår från hur det beskrivs i MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000.

Modellen ger stöd till uppföljning på en strategisk nivå. Resultatet visar i vilken utsträckning organisationen bedriver ett systematiskt informations- och cybersäkerhetsarbete, det vill säga har förutsättningar att bygga ett gott skydd för sin information.

Modellen mäter inte om den enskilda organisationens skydd är tillräckligt.

It-säkkollen undersöker er organisations arbete med it-säkerhetsåtgärder på såväl översiktlig som mer detaljerad nivå. It-säkkollen utgår ifrån MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000.

Ot-säkkollen undersöker organisationens ot-säkerhetsarbete. Uppföljningsmodellen utgår från serien av standarder IEC 62443. Modellen ger stöd till uppföljning på en strategisk nivå. Resultatet visar i vilken utsträckning organisationen bedriver ett systematiskt arbete för ot-säkerhet, det vill säga har förutsättningar för att upprätta en god ot-säkerhet. Modellen mäter inte om den enskilda organisationens skydd är tillräckligt.

Uppföljningsmodellen Leveranskedjekollen är en enklare modell och kan ses som en fördjupning av Infosäkkollens arbetsområde om upphandling. Leveranskedjekollen utgår inte från en standard, utan frågorna baseras i stället på den strategiska analys inom området som MSB tar fram samt den inkomna incidentrapporteringen till myndigheten.

Det innebär att man arbetar medvetet och metodiskt för att skydda organisationens information. Det gäller skydd mot obehörig åtkomst, att informationen finns tillgänglig när den behövs, och att den går att lita på.
Olika organisationer har olika behov och olika risker, så skyddet behöver anpassas till organisationen för att vara ändamålsenligt.

En central del i det systematiska arbetet är att kontinuerligt följa upp och förbättra. Cybersäkerhetskollen utgör ett stöd för detta, och bidrar på så sätt till utvecklingen av hela cybersäkerhetsarbetet.

Många vanliga frågor finns besvarade här på vår webbplats eller i Fördjupningsinformationen (se under Vidare läsning).

Har du andra frågor kan du kontakta cybersakerhetskollen@msb.se.