Kontakta oss
Kontakta oss

Våra kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige
Karriär hos Siteflow

Följ oss

Säker hemsida 2026: SSL, GDPR och backups

I januari 2026 trädde NIS2 — den nya cybersäkerhetslagen — i kraft i Sverige. Plötsligt har många småföretag som aldrig tidigare tänkt på sin hemsida som ett juridiskt ansvar fått en ny verklighet att förhålla sig till. Sanningen är att säkerhet på webben aldrig varit "extra" — men 2026 är det år då slarv kan kosta riktiga pengar och inte bara förlorad trovärdighet.

Det här är inte en teknisk djupdykning för utvecklare. Det här är en konkret genomgång av tre saker varje företagshemsida behöver ha på plats just nu: SSL, GDPR och backups.

Varför 2026 är annorlunda

Tre saker har förändrats samtidigt:

NIS2-direktivet är EU:s skärpta cybersäkerhetslag som från januari 2026 omfattar betydligt fler företag än tidigare. Även småföretag som levererar tjänster till större aktörer kan omfattas indirekt — och böterna för bristande säkerhet kan landa på upp till 10 miljoner euro eller 2 procent av årsomsättningen.

Google straffar osäkra sajter aktivt. En hemsida utan giltigt SSL-certifikat märks som "ej säker" i Chrome och tappar position i sökresultaten. Det är inte en teori — det är hur Chrome och Google Search fungerar i praktiken sedan flera år tillbaka, och kraven blir bara strängare.

Integritetsskyddsmyndigheten (IMY) har trappat upp tillsynen. GDPR är åtta år gammal nu, och myndigheten utfärdar fler och större sanktioner — även mot mindre företag. Okunskap är inte längre en giltig ursäkt.

Resultatet: tre områden som tidigare betraktades som "vi fixar det när vi hinner" är nu minimikrav som påverkar både sökresultat, kundförtroende och din juridiska exponering.

Pelare 1: SSL — utan hänglåset finns du knappt

SSL (egentligen TLS i dagens version) är det som ger din hemsida den lilla hänglåsikonen i webbläsaren och https:// istället för http://. Det krypterar all trafik mellan besökarens webbläsare och din server, så att lösenord, formulärdata och betalningsuppgifter inte kan avlyssnas.

Utan SSL händer tre saker:

  1. Chrome och Firefox visar varningstexten "Inte säker" till varje besökare. Konverteringen rasar.
  2. Google sänker din position i sökresultaten. Lokal SEO och organisk trafik försvinner gradvis.
  3. Om du samlar in personuppgifter via formulär utan kryptering bryter du mot GDPR:s krav på lämpliga tekniska säkerhetsåtgärder.

Det goda nyheten är att SSL idag är gratis och automatiskt om du har en modern hemsidesleverantör. Let's Encrypt utfärdar certifikat utan kostnad, och certifikaten förnyas automatiskt var 90:e dag.

Det som ofta saknas är att verifiera att certifikatet faktiskt täcker både www.dittforetag.se och dittforetag.se, samt att gamla http://-adresser automatiskt omdirigeras till https://. En halvfärdig installation är nästan lika illa som ingen alls — besökare som klickar på en gammal länk hamnar fortfarande på den osäkra versionen.

Kolla din sajt idag. Skriv in adressen utan https:// och se vad som händer. Om du inte automatiskt skickas till den krypterade versionen — agera.

Pelare 2: GDPR — vad du faktiskt måste göra

GDPR handlar inte om att skriva en lång policy och glömma den. Den ställer konkreta krav på vad din hemsida ska göra varje gång någon besöker den.

Cookie-samtycke. Innan du sätter analyscookies (Google Analytics, Meta Pixel, etc.) måste besökaren aktivt samtycka. Det räcker inte med en banner som säger "genom att fortsätta godkänner du" — det måste finnas ett tydligt val att tacka nej, och ett "neka allt"-alternativ måste vara lika lätt att klicka som "godkänn allt". Många banners gör fortfarande fel här, och IMY har sanktionerat företag för exakt det.

Integritetspolicy. Din integritetspolicy måste beskriva i klartext vilka uppgifter du samlar in, varför, hur länge du sparar dem och vem de delas med. Den måste vara lätt att hitta — typiskt en länk i footern på varje sida. Att kopiera någon annans policy är riskfyllt; den behöver beskriva verkligheten i din verksamhet.

Lagstöd för varje behandling. För varje sätt du använder personuppgifter — kontaktformulär, nyhetsbrev, kundregister, analys — måste det finnas ett tydligt lagstöd. För nyhetsbrev krävs nästan alltid uttryckligt samtycke (en kryssruta som inte är förikryssad). För kontaktformulär kan berättigat intresse räcka, men du måste fortfarande informera om det.

Databehandlingsbiträden. Om du använder externa tjänster som behandlar dina kunders uppgifter — t.ex. ett mejlverktyg, ett bokningssystem, en CRM-lösning — behöver du ett biträdesavtal (DPA) med varje leverantör. Det är ett standardavtal som de flesta seriösa leverantörer tillhandahåller gratis, men du måste be om det och förvara det.

Rätten att bli glömd. En kund som ber dig radera sina uppgifter har rätt att få det gjort. Du behöver en intern rutin för det — vem tar emot förfrågan, vart i systemen finns uppgifterna, hur lång tid har du på dig (en månad enligt GDPR).

Det är inte raketteknik, men det kräver att någon faktiskt går igenom det. För många småföretag är just det den svåra biten.

Pelare 3: Backups — frågan är inte om utan när

Hemsidor går sönder. Servrar kraschar. Plugins skapar konflikter. Hackare tar sig in via gamla sårbarheter. Anställda gör misstag och raderar saker. En leverantör går i konkurs och stänger ner. Det är inte hypotetiskt — det händer varje vecka i Sverige.

Frågan är inte om du behöver backups. Frågan är om du har dem, och om du kan återställa dem inom rimlig tid.

En användbar backup-strategi har tre nivåer:

Frekvens. Hur ofta görs en backup? För en hemsida som inte ändras dagligen räcker ofta veckovis automatisk backup. För en hemsida med blogg, butik eller bokningssystem behöver det vara dagligt — gärna med flera versioner sparade så du kan rulla tillbaka flera dagar om något smyger sig in.

Plats. En backup som ligger på samma server som hemsidan är ingen backup. Om servern går ner försvinner båda. Backupen måste lagras på en annan fysisk plats, gärna i en annan tjänst. Det kallas 3-2-1-regeln: tre kopior, på två olika medier, varav en offsite.

Test. En backup du aldrig återställt är en obevisad backup. Många upptäcker först när katastrofen är ett faktum att backupen inte fungerade som tänkt. En seriös leverantör testar återställning regelbundet — minst kvartalsvis.

För GDPR-syften krävs också att backupen är skyddad. Det innebär kryptering vid lagring och åtkomstkontroll. En backup som ligger öppen på en Dropbox-länk är ett dataintrång som väntar på att hända.

NIS2 — vad det betyder i praktiken

För de allra flesta småföretag är NIS2 inte direkt tillämpligt — direktivet träffar främst medelstora och stora aktörer i kritiska sektorer (vård, energi, finans, digital infrastruktur, transport, livsmedel). Men den indirekta effekten är bredare än så.

Levererar du tjänster till någon som omfattas av NIS2 — och det är fler än man tror — kommer din kund att ställa nya krav på dig som leverantör. De vill se incidenthanteringsrutiner, dokumenterade säkerhetsåtgärder, kontaktvägar vid intrång. Ett dataintrång som drabbar din kund kan plötsligt bli ditt problem juridiskt och kommersiellt.

Praktiskt innebär det att även mindre företag bör ha:

  • En tydlig kontaktväg för säkerhetsincidenter (en e-postadress som faktiskt övervakas).
  • Dokumentation över vilka system som behandlar personuppgifter och var de finns.
  • Rutiner för att informera kunder vid en eventuell dataincident inom 72 timmar.

Det är inte komplicerat — men det är inte heller noll arbete.

Vad Siteflow gör åt det

Att hålla en hemsida juridiskt och tekniskt säker är inte en engångsinsats. SSL-certifikat förnyas. WordPress-uppdateringar släpps varje vecka. Säkerhetshål upptäcks i plugins. GDPR-tolkningar ändras genom domstolspraxis.

För Siteflows kunder ingår allt det här automatiskt. Vi sköter SSL-certifikat, applicerar uppdateringar löpande, övervakar säkerhet och tar automatiska dagliga backups offsite med kryptering — utan att du behöver tänka på det.

Se våra paket för vad som ingår på respektive nivå. Eller hör av dig så går vi igenom din nuvarande hemsida och visar var de största riskerna finns. Tio minuters genomgång räcker oftast för att identifiera de tre värsta hålen — och de är nästan alltid på de tre områden vi gått igenom här.

Det är 2026 nu. Säker hemsida är inte längre en lyx — det är grunden.

Fler artiklar

Hemsidepris 2026: vad kostar en hemsida i Sverige?

Allt från 100 kr i månaden till 80 000 kr som engångskostnad — så ser hemsidepriserna ut i Sverige 2026. Här är vad varje nivå faktiskt ger dig.

Read more

Lokala söktermer 2026: hitta orden du bör ranka på

Att gissa vilka ord kunderna googlar är dyrt. Här är metoden för att hitta de lokala söktermer ditt företag faktiskt har en chans att ranka på under 2026.

Read more

Berätta om ert projekt

Säg hej

Vårt kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige