Vanliga frågor
Raka svar om GDPR, NIS2, IMY:s tillsyn och hur Vakteye fungerar.
NIS2 & Cybersäkerhetslagen
När trädde Cybersäkerhetslagen i kraft?
Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026 och genomför delvis EU:s NIS2-direktiv (2022/2555) i svensk rätt. MCF öppnade anmälningstjänsten den 2 februari 2026 och anger att verksamhetsutövare som omfattas ska anmäla sig så snart det kan ske; om anmälan inte kommer in inom 14 dagar kan tillsynsmyndigheterna vidta åtgärder. Lagen ställer baskrav på cybersäkerhet, incidentrapportering och ledningsansvar för verksamhetsutövare som omfattas i Sverige.
Vem utövar tillsyn över NIS2 i Sverige?
Tillsynen är fördelad på sektorsspecifika tillsynsmyndigheter och samordnas av MCF (Myndigheten för civilt försvar). MCF driver också CERT-SE, det nationella CSIRT som tar emot incidentrapporter. Post- och telestyrelsen (PTS) ansvarar för digital infrastruktur. Andra sektorer går till sina respektive sektorsmyndigheter — energi till Energimyndigheten, hälso- och sjukvård till IVO, finans till Finansinspektionen och så vidare.
Vad är skillnaden mellan väsentliga och viktiga verksamheter?
NIS2 artikel 3 delar in verksamheter i två nivåer baserat på sektorskritikalitet och storlek. Väsentliga verksamheter är stora aktörer i högkritiska sektorer (energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, IKT-tjänsteförvaltning, offentlig förvaltning, rymd). Viktiga verksamheter är medelstora aktörer i samma sektorer samt aktörer i övriga kritiska sektorer (post, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning). Båda nivåerna har samma grundläggande säkerhetskrav enligt artikel 21; tillsynsintensiteten och bötestaket skiljer sig åt.
Vilka incidenter ska rapporteras enligt NIS2 och till vem?
Artikel 23 kräver anmälan av varje incident med betydande påverkan på tjänstens kontinuitet eller mottagarna. Tidsramen är snäv: en tidig varning till CSIRT/behörig myndighet inom 24 timmar från kännedom, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. I Sverige går anmälningarna till CERT-SE (drivs av MCF) och relevant sektorsmyndighet. Vad som räknas som 'betydande påverkan' definieras i artikel 23(3) — driftstörning, ekonomisk förlust eller skada på andra.
Vad är de högsta NIS2-böterna i Sverige?
NIS2 artikel 34 sätter två tak, båda införda i Cybersäkerhetslagen. Väsentliga verksamheter: upp till 10 miljoner euro eller 2 % av total global årsomsättning, det högsta beloppet gäller. Viktiga verksamheter: upp till 7 miljoner euro eller 1,4 % av total global årsomsättning, det högsta beloppet gäller. Ledningen kan hållas ansvarig enligt artikel 20 om implementering inte övervakats, och artikel 32(5)(b) medger tillfälligt förbud att utöva ledningsfunktioner.
IMY:s tillsyn
Vilka är de största GDPR-böterna IMY har utfärdat?
Spotify AB bötfälldes 58 miljoner kronor — den största fastställda GDPR-avgiften från IMY (Google fick ursprungligen 75 miljoner kronor 2020, men beloppet sänktes till 50 miljoner vid överklagande). Beslutet (DI-2019-6696, 12 juni 2023) avsåg brister i hanteringen av rätten till tillgång enligt GDPR artikel 15 och informationskrav enligt artikel 12. Förvaltningsrätten satte först ned avgiften till 40 miljoner kronor, men Kammarrätten återställde hela 58 miljoner kronor den 3 juni 2025 i mål 4512-24.
Hur bestämmer IMY ett bötesbelopp?
IMY följer GDPR artikel 83(2), som listar elva faktorer (underpunkterna a–k) en tillsynsmyndighet ska beakta. Nyckelfaktorer inkluderar:
- överträdelsens art, allvar och varaktighet
- uppsåtlighet eller oaktsamhet
- berörda kategorier av personuppgifter
- ansvarsgrad
- samarbete med myndigheten
- lindrande åtgärder som vidtagits
- tidigare överträdelser
- eventuell ekonomisk fördel
- hur överträdelsen blev känd för myndigheten
- efterlevnad av tidigare ålagda åtgärder
- efterlevnad av godkända uppförandekoder eller certifieringsmekanismer
Taket är det högsta av 20 miljoner euro eller 4 % av global årsomsättning för de allvarligaste överträdelserna (artikel 83(5)) och 10 miljoner euro eller 2 % för den lägre nivån (artikel 83(4)).
Vilka svenska beslut om webbspårning bör team känna till?
För Meta Pixel har IMY publicerat flera GDPR-beslut: Avanza Bank AB fick en sanktionsavgift på 15 miljoner kronor i DI-2021-5544 (bedömt mot artikel 5(1)(f) och artikel 32), Apoteket AB 37 miljoner kronor i IMY-2022-3270, Apohem AB 8 miljoner kronor i IMY-2022-3272 och Apotea AB fick en reprimand i december 2024. Apoteksfallen bedömdes främst mot GDPR artikel 32 och närliggande regler om säkerhet och konfidentialitet. Besluten handlade om olämplig överföring eller exponering av personuppgifter via Meta Pixel. Andra svenska webbspårningsärenden, till exempel Tele2:s Google Analytics-beslut (12 miljoner kronor, fastställt av Kammarrätten oktober 2025), ligger i samma operativa riskområde men ska inte beskrivas som Meta Pixel-fall.
Kan IMY bötfälla ett utländskt företag som är verksamt i Sverige?
Ja, när svenska registrerade berörs. GDPR artikel 56 etablerar one-stop-shop med ledande tillsynsmyndighet i företagets huvudsakliga etableringsland, men IMY kan agera som berörd myndighet i gränsöverskridande ärenden och som ledande myndighet för varje personuppgiftsansvarig eller personuppgiftsbiträde med huvudsaklig etablering i Sverige. Tredjelandsföretag som erbjuder varor eller tjänster till personer i Sverige omfattas av GDPR artikel 3(2) och IMY:s territoriella räckvidd.
Hur lång tid tar en IMY-tillsyn?
Det finns ingen lagstadgad tidsgräns, men enligt förvaltningslagen (2017:900) 12 § kan en klagande begära beslut inom fyra veckor om ärendet pågått i mer än sex månader. Publicerade beslut visar stor variation: beslutet om Apoteket Meta Pixel (IMY-2022-3270) togs den 29 augusti 2024 efter en utredning som inleddes 2022. Spotify-ärendet om rätten till tillgång (DI-2019-6696) löpte från ett noyb-klagomål i januari 2019 till beslut den 12 juni 2023 — ungefär fyra år. Komplexitet, gränsöverskridande samordning genom EDPB:s konsistensmekanism och svarandens samarbetsvilja påverkar tidsramen.
Vakteyes skanning
Vad testar Vakteye egentligen?
Vakteye kör en svit av skannrar mot din webbplats för att hitta efterlevnads- och säkerhetsbrister. Efterlevnadsuppsättningen täcker cookie-samtycke (bannerdetektion, avvisningsknappens funktion, spårare-efter-avvisning, Google Consent Mode v2-signaler, TCF v2.2-avkodning, geobaserad jämförelse), tredjepartsdataflöden, hemvist för data, tillgänglighet (WCAG 2.1 AA), policy-närvaro och formulärsläckage. Säkerhetsuppsättningen täcker CVE- och felkonfigurationsmallar, passiva webbapplikationskontroller, detektion av hårdkodade hemligheter, sårbara biblioteksversioner berikade med publika CVE-databaser samt exponeringskontroller. Resultaten kopplas till artiklar i GDPR, ePrivacy, LEK, NIS2 och Cybersäkerhetslagen.
Är det lagligt att köra Vakteye på en webbplats jag inte äger?
Kör endast Vakteye mot webbplatser du äger eller har behörighet att testa. Vakteye driver en publik skannerinfo-sida på vakteye.com/audit som förklarar vilka vi är, vår User-Agent (Vakteye/1.0) och vilken egress-IP-pool vi använder (aktuell lista i vårt Personuppgiftsbiträdesavtal). Webbplatsoperatörer kan välja bort skanning på vakteye.com/audit/opt-out — ett e-postverifierat formulär med engångstoken som lägger till domänen i en serversidans uteslutningslista. Vi respekterar robots.txt vid skanningstillfället. Compliance-läget vilar på GDPR artikel 6(1)(f) berättigat intresse för utgående icke-inkräktande skanning av publikt nåbara URL:er; full-läge, EASM och pentest körs endast under undertecknat kundavtal.
Ersätter Vakteye min consent management-plattform?
Nej. Vakteye är en oberoende granskare, inte en CMP. Vi testar om CMP:n du har installerat (OneTrust, Cookiebot, TrustArc, Usercentrics, Iubenda eller egen lösning) faktiskt beter sig som den utger sig för när en riktig besökare klickar Avvisa. Vakteye och din CMP kompletterar varandra: CMP:n samlar in och signalerar samtycke; Vakteye verifierar att signalerna respekteras nedströms och att inga spårare avfyras före samtycke.
Vad innehåller en Vakteye-rapport som bevis?
Varje skanning producerar en verifierad fynd-lista med konfidensnivå (Certain, Firm, Tentative), citat till relevant artikel i en kurerad legal korpus som täcker GDPR, ePrivacy, NIS2, svenska motsvarigheter (Cybersäkerhetslagen, LEK 9 kap.) och EDPB-riktlinjer, samt forensiska artefakter: en uppspelningsbar webbläsarsessions-trace (.zip), HAR 1.2-inspelningar fasmarkerade över samtyckesflödet, en smoking-gun-tidslinje rekonstruerad från HAR och en SHA-256-manifesterad forensisk paketnedladdning för godkända granskningstillstånd. Fynden kan laddas ner som PDF eller CSV.
Hur hanterar Vakteye falska positiva?
Tre lager. Först fångar ett mönsterförfilter CERTAIN-fynd (bekräftade av beteendetest eller tracker-databasträff) och autobekräftar dem utan ytterligare kostnad. Sedan kör mönsterbaserade verifieringssteg beteendetester mot tracker-databaser och DOM-kontroller. Slutligen hanterar en multimodal verifierare med skärmdumpsinmatning tvetydiga fall. En andra granskare med verktygsanvändning (DNS, HTTP HEAD, DOM-fråga, korsfynd-fråga med mera) återutreder de slutliga klustrade fynden. Granskarrättelser registreras, och fynd med tillräcklig färsk falsk-positiv-historik nedgraderas automatiskt vid kommande skanningar via ett tidsviktat poängsystem.
Pris & data
Var lagras Vakteyes skannerdata?
All skannerdata — fynd, bevis, HAR-inspelningar, traces — lagras inom EU. Skanner-workers och utgående trafik körs från datacenter inom EU. Den fullständiga underbiträdeslistan, platserna och överföringsmekanismerna specificeras i vårt Personuppgiftsbiträdesavtal.
Skickar Vakteye data utanför EU?
Kundens skannerdata — fynd, bevis, HAR-inspelningar, traces — behandlas och lagras inom EU av samtliga underbiträden. Den enda smala icke-EU-routingen är DNS-leverantörens globala anycast-nätverk för domännamnslookup och bot-challenge-tokens. Den fullständiga underbiträdeslistan, platserna och överföringsmekanismerna specificeras i Personuppgiftsbiträdesavtalet som är länkat från din dashboard.
Kan jag köra Vakteye på en stagingmiljö?
Ja. Peka Vakteye mot vilken HTTPS-URL du kontrollerar som helst. Stagingvärdar bakom basic-auth, IP-allowlistning eller privat nät är nåbara endast om du allowlistar våra EU-egress-IP:er (aktuell lista och rotationspolicy i vårt Personuppgiftsbiträdesavtal) och vår User-Agent (Vakteye/1.0). För webbplatser bakom en Web Application Firewall kör vår tvåfas-skanning först en oautentiserad pass för att fånga den externa efterlevnadsvyn, sedan en allowlistad pass med RFC 9421 ed25519-signering (Enterprise-tillvalet auktoriserat säkerhetstest lägger till en kundspecifik HMAC-token för förstärkt WAF-bypass). WAF-onboarding-instruktioner finns i din dashboard.