RiskNote
Bransch: offentlig sektor

Riskhantering för kommun, region & myndighet

Säkerhetsskyddslagen, informationssäkerhet, NIS2, offentlighetsprincipen, dataskyddsförordning. Offentlig sektor har egna regulatoriska krav och egna risktyper. RiskNote ger kommunal, regional och statlig verksamhet ett verktyg som är svenskt, EU-hostat och anpassat efter budgetramar.

Riskbilden i offentlig sektor

Kommuner, regioner och myndigheter står inför en unik blandning av risker: medborgarservice som inte får gå ned, offentlighetsprincipen som kräver transparent hantering, säkerhetsskyddslagen för samhällsviktiga funktioner, NIS2 för större aktörer, och ständiga budgetbegränsningar.

Samtidigt är riskhanteringsarbetet i offentlig sektor ofta fragmenterat, en kommun kan ha separata riskregister på socialtjänst, IT-avdelning, skolförvaltning och krisberedskap, utan samsyn.

RiskNote samlar dem i en struktur utan att kräva centraliserad ledning. Varje verksamhetschef kan ha sitt eget register, och ledningen kan granska dem sammantaget.

Typiska risker AI:n föreslår för offentlig sektor

  • Nedtid i samhällsviktiga system

    E-tjänster, journalsystem, betalsystem för försörjningsstöd, trygghetslarm. Kan vara samhällsviktiga enligt NIS2.

  • Informationsläckage

    Obehörig åtkomst till diarium, sekretessbelagda uppgifter, personuppgifter i skolans eller socialtjänstens akter.

  • Cyberincidenter

    Ransomware har drabbat flera svenska kommuner. MSB:s CERT är resurs men återhämtning tar ofta veckor.

  • Leverantörsrisk i upphandling

    LOU-upphandlade leverantörer som får ekonomiska problem, inte uppfyller säkerhetskrav, eller brister i kompetens.

  • Personalrisk, nyckelkompetens

    Svårt att rekrytera specialister (IT-säkerhet, jurist, systemutvecklare) till offentlig sektor. Pensionsavgångar.

  • Krisberedskap

    Pandemi, extremväder, elavbrott, civilförsvar. Sedan 2023 skärpta krav på kontinuitetsplaner.

  • Samhällsviktig verksamhet enligt NIS2

    Större kommuner och regioner kan klassas som väsentliga entiteter. Aktualitet från 2026.

Regulatoriska ramverk för offentlig sektor

  • Säkerhetsskyddslagen (2018:585)

    För verksamhet som kan påverka rikets säkerhet. Säkerhetsskyddsanalys krävs.

  • NIS2 / Cybersäkerhetslagen

    Offentlig förvaltning är i scope. Större kommuner, regioner och myndigheter.

  • Dataskyddsförordningen (GDPR)

    Offentlig sektor har striktare krav på rättslig grund för behandling. DPO obligatoriskt för myndigheter.

  • Offentlighets- och sekretesslagen (2009:400)

    Balans mellan transparens och skydd av känsliga uppgifter.

  • Arkivlagen

    Bevarande av allmänna handlingar. Påverkar IT-systemens livscykel.

  • LOU, lag om offentlig upphandling

    Riskbedömning i upphandling. Leverantörers följsamhet till skall-krav.

Varför offentlig sektor passar RiskNote

  • Svenska och EU-hostat från dag 1

    All data i Stockholm (Elastx, ISO 27001). Passar LOU-krav på EU-etablering och GDPR-överföringar.

  • Prisvärt för budgetcykler

    Från 29 kr/månad per konto. Ingen stor investering eller implementationsprojekt som kräver beslutsfattande.

  • Riskregister per verksamhet

    En kommun kan ha separata register för socialtjänst, skola, IT, teknisk förvaltning. Pro-planen har obegränsat antal.

  • Lätt att förankra

    Begriplig för verksamhetschefer utan riskhanteringsbakgrund. Ingen IT-tung implementation krävs.

Vanliga frågor från offentlig sektor

Omfattas vi av NIS2?

Offentlig förvaltning är i scope för NIS2. Storlekströskel: över 50 anställda eller 10 miljoner euro i budget. De flesta kommuner och regioner kommer att omfattas. MSB är tillsynsmyndighet.

Hur hanterar vi säkerhetsskyddsanalys i RiskNote?

RiskNote kan användas som ett verktyg för att strukturera säkerhetsskyddsanalys enligt Säkerhetsskyddslagen (2018:585). Men formell säkerhetsskyddsanalys kräver ofta extern kompetens, använd RiskNote som arbetsbord, inte som ersättare för formell analys.

Kan vi upphandla RiskNote direkt, eller måste det gå via LOU?

Direktupphandling är möjlig upp till tröskelvärdet. För RiskNote, som kostar några tusen kronor per år, är direktupphandling nästan alltid tillämplig. Kontakta sales@risknote.io för ramavtalsfrågor.

Uppfyller RiskNote offentlighetsprincipen?

Data i RiskNote är intern verksamhetsinformation. Om en kommun/myndighet gör en riskbedömning som blir allmän handling kan den begäras ut, men det är en fråga för er diarie, inte för RiskNote. Er data är er data, vi ser den inte.

Kan vi dela med politisk ledning eller revisorn?

Business-planen ger obegränsad delning med rollbaserad åtkomst (redigerare/läsare). Passar för att dela med nämnd, kommunrevisor eller styrelse.

Strukturera ert riskarbete utan stor upphandling

Starta en 7-dagars gratis provperiod. Inget bindande beslut, ingen upphandling, bara prova.