Skip to content
Svenska
Kontakta oss
KonsulteringsBilaga

Säkerhet, AI-styrning och efterlevnad av NIS2

Gäller från: 28 januari 2026
Tillämpning: Denna bilaga gäller för samtliga AI-baserade tjänster, programvaruautomation och konsulttjänster som tillhandahålls av Egoiste ("Konsulten") till företagskunder ("Kunden").

1. Regulatoriskt ramverk

Konsulten bedriver sin verksamhet i full överensstämmelse med den svenska Cybersäkerhetslagen (2025:1506), som införlivar EU:s NIS2-direktiv i svensk rätt. Som en digital tjänsteleverantör implementerar Konsulten ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att säkerställa motståndskraften i levererade automationer.

2. Datasuveränitet och jurisdiktion

För att minimera risker kopplade till internationella dataöverföringar och den amerikanska CLOUD Act tillämpar Konsulten strikta protokoll för datalokalisering:

  • Google Workspace-styrning: All primär lagring ("data at rest") och bearbetning är låst till regionen Europeiska unionen (EU).
  • Lokal svensk hosting: För tidskritisk eller känslig industriell data använder Konsulten lokaliserade svenska datacenter (t.ex. i Kramfors) för att garantera 100 % svensk datasuveränitet.
  • Tredjepartsverktyg: Affärskritisk CRM-data (HubSpot) hanteras under ett NIS2-kompatibelt personuppgiftsbiträdesavtal (DPA) med verifierad lagring inom EU/EES.

3. AI "Security by Design" och granskningsbarhet

All AI-automation utvecklas med säkerhet och transparens som grundkrav:

  • Spårbarhet: Varje automatiserat beslut fattat av en AI-agent loggas med manipuleringssäkra inställningar ("Object Lock") för att stödja juridisk revision och forensisk analys.
  • Programvaruinventering (SBOM): På begäran tillhandahåller Konsulten en fullständig förteckning (SBOM) över alla programvarubibliotek och AI-modeller som används, för att underlätta Kundens obligatoriska sårbarhetsbedömningar.
  • Säkerhetskontroller: Systemen inkluderar inbyggt skydd mot "prompt injection", modellmanipulering och obehörig dataexport.

4. Incidenthantering och rapportering

Konsulten upprätthåller robusta rutiner för incidenthantering för att stödja Kunden i att möta den lagstadgade 24-timmarsregeln för rapportering:

  • Tidig varning: Konsulten meddelar Kunden om alla "betydande incidenter" senast 12 timmar efter upptäckt.
  • Rapporteringsstöd: En teknisk rotorsaksanalys tillhandahålls inom 48 timmar som underlag för Kundens slutgiltiga anmälan till Myndigheten för civilt försvar (MCF).

5. Matris för delat ansvar

Säkerhet är ett gemensamt åtagande. Följande matris definierar ansvarsfördelningen:

Ansvarsområde

Konsult (Egoiste)

Kund (Verksamhetsutövare)

Identitet & Åtkomst

MFA-krav på utvecklingsmiljöer.

Slutanvändarnas behörigheter och lokal IAM-policy.

Incidentrapportering

Rotorsaksanalys och teknisk bevisning.

Formell anmälan till tillsynsmyndighet (t.ex. MCF/PTS).

AI-tillsyn

Övervakning av modellprestanda och precision.

Slutgiltigt godkännande av AI-beslut ("human-in-the-loop").

Lokal infrastruktur

Säkra API-integrationer och kryptering.

Fysisk och nätverksmässig säkerhet på fabriksgolvet.