Raka svar om GDPR, NIS2, IMY:s tillsyn och hur Vakteye fungerar.
Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 1 januari 2026. Den implementerar EU:s NIS2-direktiv (2022/2555) i svensk rätt. Verksamheter som omfattas skulle självregistrera sig hos Myndigheten för samhällsskydd och beredskap (MSB) senast den 16 februari 2026. Lagen ställer baskrav på cybersäkerhet, incidentrapportering och ledningsansvar för väsentliga och viktiga verksamheter som är verksamma i Sverige.
Tillsynen är fördelad på sektorsspecifika tillsynsmyndigheter och samordnas av MSB. MSB driver också CERT-SE, det nationella CSIRT som tar emot incidentrapporter. Post- och telestyrelsen (PTS) ansvarar för digital infrastruktur. Andra sektorer går till sina respektive sektorsmyndigheter — energi till Energimyndigheten, hälso- och sjukvård till IVO, finans till Finansinspektionen och så vidare.
NIS2 artikel 3 delar in verksamheter i två nivåer baserat på sektorskritikalitet och storlek. Väsentliga verksamheter är stora aktörer i högkritiska sektorer (energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, IKT-tjänsteförvaltning, offentlig förvaltning, rymd). Viktiga verksamheter är medelstora aktörer i samma sektorer samt aktörer i övriga kritiska sektorer (post, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning). Båda nivåerna har samma grundläggande säkerhetskrav enligt artikel 21; tillsynsintensiteten och bötestaket skiljer sig åt.
Artikel 23 kräver anmälan av varje incident med betydande påverkan på tjänstens kontinuitet eller mottagarna. Tidsramen är snäv: en tidig varning till CSIRT/behörig myndighet inom 24 timmar från kännedom, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. I Sverige går anmälningarna till CERT-SE (drivs av MSB) och relevant sektorsmyndighet. Vad som räknas som 'betydande påverkan' definieras i artikel 23(3) — driftstörning, ekonomisk förlust eller skada på andra.
NIS2 artikel 34 sätter två tak, båda införda i Cybersäkerhetslagen. Väsentliga verksamheter: upp till 10 miljoner euro eller 2 % av total global årsomsättning, det högsta beloppet gäller. Viktiga verksamheter: upp till 7 miljoner euro eller 1,4 % av total global årsomsättning, det högsta beloppet gäller. Ledningen kan hållas personligen ansvarig enligt artikel 20 om implementering inte övervakats.
Det största registrerade beloppet är 58 miljoner kronor mot Spotify AB, beslut DI-2021-2318 från den 13 juni 2023, för brister i hanteringen av rätten till tillgång enligt GDPR artikel 15 och informationskrav enligt artikel 12. Spotify har överklagat och beslutet är inte slutligt i skrivande stund.
IMY följer GDPR artikel 83(2), som listar de faktorer en tillsynsmyndighet ska beakta — överträdelsens art, allvar och varaktighet; uppsåtlighet eller oaktsamhet; berörda kategorier av personuppgifter; ansvarsgrad; samarbete med myndigheten; lindrande åtgärder; tidigare överträdelser; eventuell ekonomisk fördel. Taket är det högsta av 20 miljoner euro eller 4 % av global årsomsättning för de allvarligaste överträdelserna (artikel 83(5)) och 10 miljoner euro eller 2 % för den lägre nivån (artikel 83(4)).
Fem företag bötfälldes i IMY:s Meta Pixel-grupp, totalt 85 miljoner kronor: Apoteket AB 37 miljoner kr (DI-2023-13015), Avanza Bank AB 15 miljoner kr (DI-2022-2177), Bonnier News (Dagens Industri) 13 miljoner kr (DI-2022-2178), Tele2 Sverige AB 12 miljoner kr (DI-2022-2175) och Apohem AB 8 miljoner kr (DI-2023-13016). Besluten åberopar GDPR artikel 6(1)(a) — avsaknad av giltigt samtycke — med parallella brott mot LEK 9 kap. 28 § (Sveriges ePrivacy-implementering) för cookie-fallen och artikel 32 säkerhetsbrister för Avanza, Bonnier och Tele2.
Ja, när svenska registrerade berörs. GDPR artikel 56 etablerar one-stop-shop med ledande tillsynsmyndighet i företagets huvudsakliga etableringsland, men IMY kan agera som berörd myndighet i gränsöverskridande ärenden och som ledande myndighet för varje personuppgiftsansvarig eller personuppgiftsbiträde med huvudsaklig etablering i Sverige. Tredjelandsföretag som erbjuder varor eller tjänster till personer i Sverige omfattas av GDPR artikel 3(2) och IMY:s territoriella räckvidd.
Det finns ingen lagstadgad tidsgräns. Publicerade beslut visar att handläggningstiden från initiering till beslut typiskt är 12–36 månader. Beslutet om Apoteket Meta Pixel (DI-2023-13015) togs den 17 juni 2024 efter en utredning som påbörjades 2023. Spotify-ärendet om rätten till tillgång (DI-2021-2318) löpte från 2021 till beslut den 13 juni 2023. Komplexitet, gränsöverskridande samordning genom EDPB:s konsistensmekanism och svarandens samarbetsvilja förlänger alla tidsramen.
Nej. Att visa en banner skapar inte i sig laglig behandling. Bannern måste inhämta frivilligt, specifikt, informerat och otvetydigt samtycke (GDPR artikel 4(11) och artikel 7) innan några icke-nödvändiga cookies eller spårare sätts. Förkryssade rutor, knappar som bara erbjuder Acceptera-alla, mörka mönster som gör avvisande svårare än acceptans och cookies som sätts innan användaren interagerat med bannern faller alla på testet. EDPB:s riktlinjer 03/2022 om mörka designmönster anger specifika designbrister.
Paragraf 28 i 9 kapitlet i lagen om elektronisk kommunikation (lag 2022:482, LEK) genomför ePrivacy-direktivets artikel 5(3). Den kräver informerat samtycke innan information lagras på, eller hämtas från, en användares terminalutrustning. Detta omfattar cookies, localStorage, sessionStorage, IndexedDB och enhetsfingeravtryck. De enda undantagen är strikt nödvändigt för överföring av en kommunikation eller strikt nödvändigt för att leverera en tjänst som användaren uttryckligen begärt.
Nej, inte enligt svensk rätt. LEK 9 kap. 28 § innehåller inget undantag för 'berättigat intresse' för analys. Analyscookies är lagring på användarens terminalutrustning som inte är strikt nödvändig för att leverera den tjänst användaren begärt, och kräver därför förhandssamtycke. Både CNIL och IMY har avvisat argumentet att anonymiserad analys undgår samtyckeskravet; samtyckesplikten knyts till själva handlingen att lagra eller hämta data på enheten, inte till om data senare anonymiseras.
Consent theater är när en webbplats visar en samtyckesbanner, men det underliggande beteendet inte respekterar användarens val — exempelvis att spårningscookies sätts innan bannern interagerats med, att avvisa-knappen i praktiken inte stoppar spårningen eller att samtyckesstatusen inte propageras till inbäddade tredjeparter. IMY behandlar detta som artikel 6(1)(a) — uteblivet giltigt samtycke — inte som ett formfel. Alla fem Meta Pixel-böter under 2023 och 2024 åberopade någon variant av detta mönster: en banner fanns, men spårningen skedde ändå.
Vakteye kör en svit av skannrar mot din webbplats för att hitta efterlevnads- och säkerhetsbrister. Efterlevnadsuppsättningen täcker cookie-samtycke (bannerdetektion, avvisningsknappens funktion, spårare-efter-avvisning, Google Consent Mode v2-signaler, TCF v2.2-avkodning, geobaserad jämförelse), tredjepartsdataflöden, hemvist för data, tillgänglighet (axe-core WCAG 2.1 AA), policy-närvaro och formulärsläckage. Säkerhetsuppsättningen täcker Nuclei CVE/felkonfigurationsmallar, ZAP passiva kontroller, detektion av hårdkodade hemligheter (regex + gitleaks 8.30.1), Retire.js-biblioteksbrister med OSV-berikning samt exponeringskontroller. Resultaten kopplas till artiklar i GDPR, ePrivacy, LEK, NIS2 och Cybersäkerhetslagen.
Kör endast Vakteye mot webbplatser du äger eller har behörighet att testa. Vakteye driver en publik skannerinfo-sida på vakteye.com/audit som förklarar vilka vi är, vår User-Agent (Vakteye/1.0) och våra två egress-IP-adresser i Frankfurt, Tyskland. Webbplatsoperatörer kan välja bort skanning på vakteye.com/audit/opt-out — ett e-postverifierat formulär med engångstoken som lägger till domänen i en serversidans uteslutningslista. Vi respekterar robots.txt vid skanningstillfället. Compliance-läget vilar på GDPR artikel 6(1)(f) berättigat intresse för utgående icke-inkräktande skanning av publikt nåbara URL:er; full-läge, EASM och pentest körs endast under undertecknat kundavtal.
Nej. Vakteye är en oberoende granskare, inte en CMP. Vi testar om CMP:n du har installerat (OneTrust, Cookiebot, TrustArc, Usercentrics, Iubenda eller egen lösning) faktiskt beter sig som den utger sig för när en riktig besökare klickar Avvisa. Vakteye och din CMP kompletterar varandra: CMP:n samlar in och signalerar samtycke; Vakteye verifierar att signalerna respekteras nedströms och att inga spårare avfyras före samtycke.
Varje skanning producerar en verifierad fynd-lista med konfidensnivå (Certain, Firm, Tentative), citat till relevant artikel i den legala RAG-korpusen (1 662 chunks i 14 ramverk inklusive GDPR, ePrivacy, NIS2, Cybersäkerhetslagen, LEK, EDPB-riktlinjer, EU-domstolens praxis) samt forensiska artefakter: en Playwright-trace för uppspelning (.zip), HAR 1.2-inspelningar fasmarkerade över samtyckesflödet, en smoking-gun-tidslinje rekonstruerad från HAR och en SHA-256-manifesterad forensisk paketnedladdning för godkända granskningstillstånd. Fynden kan laddas ner som PDF eller CSV.
Tre lager. Först fångar ett mönsterförfilter CERTAIN-fynd (bekräftade av beteendetest eller tracker-DB-träff) och autobekräftar dem utan LLM-kostnad. Sedan kör mönsterbaserade verifieringssteg beteendetester mot tracker-databaser och DOM-kontroller. Slutligen hanterar en Claude-baserad verifierare med multimodal skärmdumpsinmatning tvetydiga fall. En andra granskare med verktygsanvändning (DNS, HTTP HEAD, DOM-fråga, korsfynd-fråga) återutreder de slutliga klustrade fynden. Granskarrättelser registreras i scanner_human_feedback, och fynd som flaggats som falska positiva två gånger nedgraderas automatiskt vid kommande skanningar.
All skannerdata — fynd, bevis, HAR-inspelningar, traces — lagras i Supabase Postgres i EU-regionen. Trigger.dev-skanneragerna körs i AWS-regionen Frankfurt (eu-central-1). Två NAT Gateway-elastiska IP-adresser i Frankfurt utgör utgående identitet. Vi överför inte skannerdata utanför EU/EES i normal drift. Anrop till Anthropic Claude (för verifiering och andra granskningssteget) går till en USA-endpoint enligt Anthropics publicerade GDPR-position.
Begränsat och med information. Verifierings- och andra-granskar-pipelines anropar Anthropics Claude-API. Anthropic behandlar API-trafik i USA; det som skickas är fyndets text, bevisutdrag och vid behov en skärmdump. Anthropic är ansluten till EU-USA Data Privacy Framework och erbjuder Standard Contractual Clauses; deras publicerade lagring är 30 dagar för API-loggar om missbruk inte upptäcks. Inga andra kunddata skickas till tredje land i normal drift.
Ja. Peka Vakteye mot vilken HTTPS-URL du kontrollerar som helst. Stagingvärdar bakom basic-auth, IP-allowlistning eller privat nät är nåbara endast om du allowlistar våra två Frankfurt-egress-IP:er och vår User-Agent (Vakteye/1.0). För webbplatser bakom en Web Application Firewall kör vår tvåfas-skanning först en naken pass för att fånga den externa angriparvyn, sedan en allowlistad pass med en kund-specifik HMAC-token plus RFC 9421 ed25519-signering. Onboarding-instruktioner ingår i varje kundkonto.