VakteyeVakteye
VAKTEYE
LösningarPlanerOm ossKontaktInsikterKarriär
Logga in
FAQ

Vanliga frågor

Raka svar om GDPR, NIS2, IMY:s tillsyn och hur Vakteye fungerar.

22
Svar
5
Områden
EU
Omfattning

FAQ-sektioner

  • NIS2 & Cybersäkerhetslagen
  • IMY:s tillsyn
  • Cookie-samtycke
  • Vakteyes skanning
  • Pris & data

NIS2 & Cybersäkerhetslagen

När trädde Cybersäkerhetslagen i kraft?

Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026 och genomför delvis EU:s NIS2-direktiv (2022/2555) i svensk rätt. MCF öppnade anmälningstjänsten den 2 februari 2026 och anger att verksamhetsutövare som omfattas ska anmäla sig så snart det kan ske; om anmälan inte kommer in inom 14 dagar kan tillsynsmyndigheterna vidta åtgärder. Lagen ställer baskrav på cybersäkerhet, incidentrapportering och ledningsansvar för verksamhetsutövare som omfattas i Sverige.

Läs mer — NIS2 & Cybersäkerhetslagen — fördjupning →

Vem utövar tillsyn över NIS2 i Sverige?

Tillsynen är fördelad på sektorsspecifika tillsynsmyndigheter och samordnas av MCF (Myndigheten för civilt försvar). MCF driver också CERT-SE, det nationella CSIRT som tar emot incidentrapporter. Post- och telestyrelsen (PTS) ansvarar för digital infrastruktur. Andra sektorer går till sina respektive sektorsmyndigheter — energi till Energimyndigheten, hälso- och sjukvård till IVO, finans till Finansinspektionen och så vidare.

Vad är skillnaden mellan väsentliga och viktiga verksamheter?

NIS2 artikel 3 delar in verksamheter i två nivåer baserat på sektorskritikalitet och storlek. Väsentliga verksamheter är stora aktörer i högkritiska sektorer (energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, IKT-tjänsteförvaltning, offentlig förvaltning, rymd). Viktiga verksamheter är medelstora aktörer i samma sektorer samt aktörer i övriga kritiska sektorer (post, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning). Båda nivåerna har samma grundläggande säkerhetskrav enligt artikel 21; tillsynsintensiteten och bötestaket skiljer sig åt.

Vilka incidenter ska rapporteras enligt NIS2 och till vem?

Artikel 23 kräver anmälan av varje incident med betydande påverkan på tjänstens kontinuitet eller mottagarna. Tidsramen är snäv: en tidig varning till CSIRT/behörig myndighet inom 24 timmar från kännedom, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. I Sverige går anmälningarna till CERT-SE (drivs av MCF) och relevant sektorsmyndighet. Vad som räknas som 'betydande påverkan' definieras i artikel 23(3) — driftstörning, ekonomisk förlust eller skada på andra.

Vad är de högsta NIS2-böterna i Sverige?

NIS2 artikel 34 sätter två tak, båda införda i Cybersäkerhetslagen. Väsentliga verksamheter: upp till 10 miljoner euro eller 2 % av total global årsomsättning, det högsta beloppet gäller. Viktiga verksamheter: upp till 7 miljoner euro eller 1,4 % av total global årsomsättning, det högsta beloppet gäller. Ledningen kan hållas ansvarig enligt artikel 20 om implementering inte övervakats, och artikel 32(5)(b) medger tillfälligt förbud att utöva ledningsfunktioner.

IMY:s tillsyn

Vilka är de största GDPR-böterna IMY har utfärdat?

Spotify AB bötfälldes 58 miljoner kronor — den största fastställda GDPR-avgiften från IMY (Google fick ursprungligen 75 miljoner kronor 2020, men beloppet sänktes till 50 miljoner vid överklagande). Beslutet (DI-2019-6696, 12 juni 2023) avsåg brister i hanteringen av rätten till tillgång enligt GDPR artikel 15 och informationskrav enligt artikel 12. Förvaltningsrätten satte först ned avgiften till 40 miljoner kronor, men Kammarrätten återställde hela 58 miljoner kronor den 3 juni 2025 i mål 4512-24.

Hur bestämmer IMY ett bötesbelopp?

IMY följer GDPR artikel 83(2), som listar elva faktorer (underpunkterna a–k) en tillsynsmyndighet ska beakta. Nyckelfaktorer inkluderar:

  • överträdelsens art, allvar och varaktighet
  • uppsåtlighet eller oaktsamhet
  • berörda kategorier av personuppgifter
  • ansvarsgrad
  • samarbete med myndigheten
  • lindrande åtgärder som vidtagits
  • tidigare överträdelser
  • eventuell ekonomisk fördel
  • hur överträdelsen blev känd för myndigheten
  • efterlevnad av tidigare ålagda åtgärder
  • efterlevnad av godkända uppförandekoder eller certifieringsmekanismer

Taket är det högsta av 20 miljoner euro eller 4 % av global årsomsättning för de allvarligaste överträdelserna (artikel 83(5)) och 10 miljoner euro eller 2 % för den lägre nivån (artikel 83(4)).

Vilka svenska beslut om webbspårning bör team känna till?

För Meta Pixel har IMY publicerat flera GDPR-beslut: Avanza Bank AB fick en sanktionsavgift på 15 miljoner kronor i DI-2021-5544 (bedömt mot artikel 5(1)(f) och artikel 32), Apoteket AB 37 miljoner kronor i IMY-2022-3270, Apohem AB 8 miljoner kronor i IMY-2022-3272 och Apotea AB fick en reprimand i december 2024. Apoteksfallen bedömdes främst mot GDPR artikel 32 och närliggande regler om säkerhet och konfidentialitet. Besluten handlade om olämplig överföring eller exponering av personuppgifter via Meta Pixel. Andra svenska webbspårningsärenden, till exempel Tele2:s Google Analytics-beslut (12 miljoner kronor, fastställt av Kammarrätten oktober 2025), ligger i samma operativa riskområde men ska inte beskrivas som Meta Pixel-fall.

Läs mer — IMY-tillsyn — fördjupning →

Kan IMY bötfälla ett utländskt företag som är verksamt i Sverige?

Ja, när svenska registrerade berörs. GDPR artikel 56 etablerar one-stop-shop med ledande tillsynsmyndighet i företagets huvudsakliga etableringsland, men IMY kan agera som berörd myndighet i gränsöverskridande ärenden och som ledande myndighet för varje personuppgiftsansvarig eller personuppgiftsbiträde med huvudsaklig etablering i Sverige. Tredjelandsföretag som erbjuder varor eller tjänster till personer i Sverige omfattas av GDPR artikel 3(2) och IMY:s territoriella räckvidd.

Hur lång tid tar en IMY-tillsyn?

Det finns ingen lagstadgad tidsgräns, men enligt förvaltningslagen (2017:900) 12 § kan en klagande begära beslut inom fyra veckor om ärendet pågått i mer än sex månader. Publicerade beslut visar stor variation: beslutet om Apoteket Meta Pixel (IMY-2022-3270) togs den 29 augusti 2024 efter en utredning som inleddes 2022. Spotify-ärendet om rätten till tillgång (DI-2019-6696) löpte från ett noyb-klagomål i januari 2019 till beslut den 12 juni 2023 — ungefär fyra år. Komplexitet, gränsöverskridande samordning genom EDPB:s konsistensmekanism och svarandens samarbetsvilja påverkar tidsramen.

Cookie-samtycke

Räcker det med en cookie-banner för att uppfylla kraven?

Nej. Att visa en banner skapar inte i sig laglig behandling. Bannern måste inhämta frivilligt, specifikt, informerat och otvetydigt samtycke (GDPR artikel 4(11) och artikel 7) innan några icke-nödvändiga cookies eller spårare sätts. Förkryssade rutor, knappar som bara erbjuder Acceptera-alla, mörka mönster som gör avvisande svårare än acceptans och cookies som sätts innan användaren interagerat med bannern faller alla på testet. EDPB:s Cookie Banner Taskforce-rapport (januari 2023) anger specifika designbrister för cookie-banners, och EDPB:s riktlinjer 03/2022 om vilseledande designmönster ger bredare vägledning om manipulativa gränssnittsmetoder.

Läs mer — Cookie & samtycke — fördjupning →

Vad kräver LEK 9 kap. 28 §?

Paragraf 28 i 9 kapitlet i lagen om elektronisk kommunikation (lag 2022:482, LEK) genomför ePrivacy-direktivets artikel 5(3). Den kräver informerat samtycke innan information lagras på, eller hämtas från, en användares terminalutrustning. Detta omfattar cookies, localStorage, sessionStorage, IndexedDB och enhetsfingeravtryck. De enda undantagen är strikt nödvändigt för överföring av en kommunikation eller strikt nödvändigt för att leverera en tjänst som användaren uttryckligen begärt.

Läs mer — Cookie & samtycke — fördjupning →

Är analyscookies tillåtna utan samtycke?

Enligt svenska LEK 9 kap. 28 § kräver analyscookies normalt förhandssamtycke om de inte är strikt nödvändiga för att överföra ett meddelande eller tillhandahålla en tjänst som användaren uttryckligen begärt. Det finns inget generellt undantag för 'berättigat intresse' när man lagrar eller hämtar analyscookies på användarens enhet. Kopiera inte Frankrike rakt av till Sverige: CNIL tillåter ett smalt undantag för publikmätning under strikta villkor i Frankrike, medan PTS svensk kak-tillsyn har behandlat icke-nödvändiga statistikkakor som samtyckesbaserade.

Läs mer — Cookie & samtycke — fördjupning →

Vad är 'consent theater' och varför bryr sig IMY?

Consent theater är när en webbplats visar en samtyckesbanner, men det underliggande beteendet inte respekterar användarens val — exempelvis att spårningscookies sätts innan bannern interagerats med, att avvisa-knappen i praktiken inte stoppar spårningen eller att samtyckesstatusen inte propageras till inbäddade tredjeparter. I Sverige utövar PTS tillsyn över lagrings- och åtkomstregeln i LEK 9 kap. 28 §, medan IMY utövar tillsyn över den GDPR-behandling som kan följa. Den praktiska poängen är densamma: bannertext räcker inte om observerat beteende motsäger användarens val.

Läs mer — Policy mot verklighet — fördjupning →

Vakteyes skanning

Vad testar Vakteye egentligen?

Vakteye kör en svit av skannrar mot din webbplats för att hitta efterlevnads- och säkerhetsbrister. Efterlevnadsuppsättningen täcker cookie-samtycke (bannerdetektion, avvisningsknappens funktion, spårare-efter-avvisning, Google Consent Mode v2-signaler, TCF v2.2-avkodning, geobaserad jämförelse), tredjepartsdataflöden, hemvist för data, tillgänglighet (WCAG 2.1 AA), policy-närvaro och formulärsläckage. Säkerhetsuppsättningen täcker CVE- och felkonfigurationsmallar, passiva webbapplikationskontroller, detektion av hårdkodade hemligheter, sårbara biblioteksversioner berikade med publika CVE-databaser samt exponeringskontroller. Resultaten kopplas till artiklar i GDPR, ePrivacy, LEK, NIS2 och Cybersäkerhetslagen.

Är det lagligt att köra Vakteye på en webbplats jag inte äger?

Kör endast Vakteye mot webbplatser du äger eller har behörighet att testa. Vakteye driver en publik skannerinfo-sida på vakteye.com/audit som förklarar vilka vi är, vår User-Agent (Vakteye/1.0) och vilken egress-IP-pool vi använder (aktuell lista i vårt Personuppgiftsbiträdesavtal). Webbplatsoperatörer kan välja bort skanning på vakteye.com/audit/opt-out — ett e-postverifierat formulär med engångstoken som lägger till domänen i en serversidans uteslutningslista. Vi respekterar robots.txt vid skanningstillfället. Compliance-läget vilar på GDPR artikel 6(1)(f) berättigat intresse för utgående icke-inkräktande skanning av publikt nåbara URL:er; full-läge, EASM och pentest körs endast under undertecknat kundavtal.

Ersätter Vakteye min consent management-plattform?

Nej. Vakteye är en oberoende granskare, inte en CMP. Vi testar om CMP:n du har installerat (OneTrust, Cookiebot, TrustArc, Usercentrics, Iubenda eller egen lösning) faktiskt beter sig som den utger sig för när en riktig besökare klickar Avvisa. Vakteye och din CMP kompletterar varandra: CMP:n samlar in och signalerar samtycke; Vakteye verifierar att signalerna respekteras nedströms och att inga spårare avfyras före samtycke.

Vad innehåller en Vakteye-rapport som bevis?

Varje skanning producerar en verifierad fynd-lista med konfidensnivå (Certain, Firm, Tentative), citat till relevant artikel i en kurerad legal korpus som täcker GDPR, ePrivacy, NIS2, svenska motsvarigheter (Cybersäkerhetslagen, LEK 9 kap.) och EDPB-riktlinjer, samt forensiska artefakter: en uppspelningsbar webbläsarsessions-trace (.zip), HAR 1.2-inspelningar fasmarkerade över samtyckesflödet, en smoking-gun-tidslinje rekonstruerad från HAR och en SHA-256-manifesterad forensisk paketnedladdning för godkända granskningstillstånd. Fynden kan laddas ner som PDF eller CSV.

Hur hanterar Vakteye falska positiva?

Tre lager. Först fångar ett mönsterförfilter CERTAIN-fynd (bekräftade av beteendetest eller tracker-databasträff) och autobekräftar dem utan ytterligare kostnad. Sedan kör mönsterbaserade verifieringssteg beteendetester mot tracker-databaser och DOM-kontroller. Slutligen hanterar en multimodal verifierare med skärmdumpsinmatning tvetydiga fall. En andra granskare med verktygsanvändning (DNS, HTTP HEAD, DOM-fråga, korsfynd-fråga med mera) återutreder de slutliga klustrade fynden. Granskarrättelser registreras, och fynd med tillräcklig färsk falsk-positiv-historik nedgraderas automatiskt vid kommande skanningar via ett tidsviktat poängsystem.

Pris & data

Var lagras Vakteyes skannerdata?

All skannerdata — fynd, bevis, HAR-inspelningar, traces — lagras inom EU. Skanner-workers och utgående trafik körs från datacenter inom EU. Den fullständiga underbiträdeslistan, platserna och överföringsmekanismerna specificeras i vårt Personuppgiftsbiträdesavtal.

Skickar Vakteye data utanför EU?

Kundens skannerdata — fynd, bevis, HAR-inspelningar, traces — behandlas och lagras inom EU av samtliga underbiträden. Den enda smala icke-EU-routingen är DNS-leverantörens globala anycast-nätverk för domännamnslookup och bot-challenge-tokens. Den fullständiga underbiträdeslistan, platserna och överföringsmekanismerna specificeras i Personuppgiftsbiträdesavtalet som är länkat från din dashboard.

Kan jag köra Vakteye på en stagingmiljö?

Ja. Peka Vakteye mot vilken HTTPS-URL du kontrollerar som helst. Stagingvärdar bakom basic-auth, IP-allowlistning eller privat nät är nåbara endast om du allowlistar våra EU-egress-IP:er (aktuell lista och rotationspolicy i vårt Personuppgiftsbiträdesavtal) och vår User-Agent (Vakteye/1.0). För webbplatser bakom en Web Application Firewall kör vår tvåfas-skanning först en oautentiserad pass för att fånga den externa efterlevnadsvyn, sedan en allowlistad pass med RFC 9421 ed25519-signering (Enterprise-tillvalet auktoriserat säkerhetstest lägger till en kundspecifik HMAC-token för förstärkt WAF-bypass). WAF-onboarding-instruktioner finns i din dashboard.

VakteyeVakteye
VAKTEYE

Webbplatskontroll för samtycke, policy, spårning och säkerhet. Vakteye visar vad som hänt, vad som behöver åtgärdas och bevisen bakom.

Boka demo
VakteyeVakteye
Integritet övervakadKontinuerligt övervakad av Vakteye

PRODUKT

  • Planer
  • Trust center
  • Skanner-information
  • Säkerhetspolicy

FÖRETAG

  • Om oss
  • Kontakt
  • Insikter
  • FAQ

JURIDISKT

  • Integritetspolicy
  • Användarvillkor
  • Cookie-policy
  • Underbiträden
  • Datarättigheter (GDPR)
  • För besökare

Kontakt

  • info@vakteye.com
  • LinkedIn

© 2026 Vakteye. Alla rättigheter förbehållna.