Artikel 21.2g är nu lag
SFS 2025:1506 trädde i kraft den 15 januari 2026. Säkerhetsmedvetenhet är ett av tio obligatoriska riskhanteringsåtgärder, inte ett frivilligt tillägg.
Awareness · Sverige
Säkerhetsmedvetenhet & phishing-simulering
Säkerhetsutbildning och phishing-simulering för svenska organisationer
Ungefär 60 % av dataintrången involverar fortfarande en människa, inte bara en maskin (Verizon DBIR 2025). eBuilder Securitys utbildning och phishing-simulering gör din personal till det lager som rapporterar angreppet, på svenska och med stöd av samma analytiker som driver vårt SOC.
Så här fungerar det
Skyddar svenska organisationer sedan 2002
40+ svenska kommuner, regioner &
40+ svenska kommuner, regioner &
EU-reglerade verksamheter
Ett program för säkerhetsmedvetenhet drivet av samma analytiker som bakom vårt SOC, i linje med aktuell vägledning från MCF (tidigare MSB).
NIS2 artikel 21.2g uppfyllt
Innehåll på svenska i grunden
100 % svensk datalagring
Helt hanterat av eBuilder Security
Betrodda av 30+ svenska kommuner, regioner och
EU-reglerade verksamheter sedan 2002
Varför nu
Därför utbildar svenska organisationer sin personal 2026
Ny lagstiftning, en rad färska svenska incidenter och AI-genererade bedrägerier har gjort säkerhetsutbildning till ett krav, inte ett alternativ.
Styrelsen bär personligt ansvar
NIS2 artikel 20 gör ledningsorganet personligt ansvarigt för säkerhetsåtgärder och kräver att styrelsen själv genomgår utbildning.
10 miljoner euro eller 2 % av omsättningen
Sanktionsavgifter når 10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter, och 7 miljoner euro eller 1,4 % för viktiga.
Ca 200 av 290 kommuner
En leverantörs ransomware-angrepp nådde runt 200 av Sveriges 290 kommuner och regioner. Data om mer än 1,5 miljoner personer publicerades. IMY öppnade en granskning.
Dagar av driftstopp, ca 10 miljoner euro
Ransomware slog ut lönesystem, journalsystem och butikssystem i Sverige under flera dagar. En nordisk leverantör blev kritisk infrastruktur över en natt.
Ca 200 GB under hot
Akira-gruppen hotade att publicera nästan 200 GB dokument och HR-filer efter att ha utnyttjat ett gammalt VPN.
Ca 60 % mänsklig faktor
Ungefär 60 % av dataintrången involverar fortfarande en person. Tekniken ensam täpper inte det gapet.
>80 % AI-stödd phishing
I början av 2025 utgjorde AI-stödd phishing mer än 80 % av observerat social engineering. Bedrägeriet blir allt svårare att skilja från äkta kommunikation.
Regelefterlevnad
Uppfyll dina efterlevnadskrav utan krångel
Säkerhetsutbildning är ett utpekat krav i flera regelverk som svenska organisationer lyder under. Complorer kartlägger ditt program och din rapportering mot vart och ett av dem.
NIS2 · Art. 21.2g
Säkerhetsmedvetenhetsutbildning
Väsentliga och viktiga entiteter inom lagens tillämpningsområde måste erbjuda grundläggande cyberhygien och säkerhetsutbildning till sin personal. Det är en av tio obligatoriska åtgärder under Cybersäkerhetslagen.
Complorer levererar: rollbaserad utbildning och revisionsklara underlag, där styrelsens eget tillsynsansvar under artikel 20 kan styrkas.
GDPR · Art. 32 / 39
Dataskyddsutbildning för personal
Organisationer ska säkerställa att personal som hanterar personuppgifter är utbildad i skydd av dessa och i intrångsmedvetenhet, ett krav som övervakas av IMY.
Complorer levererar: moduler om datahantering och phishing, med slutförandeloggar färdiga som underlag inför IMY.
ISO 27001 · Annex A 6.3
Löpande medvetenhet & utbildning
Certifiering kräver ett dokumenterat, löpande program för informationssäkerhetsmedvetenhet och utbildning för hela verksamheten.
Complorer levererar: det kontinuerliga programmet och exporterbara underlag som revisorer efterfrågar vid uppföljning och omcertifiering.
DORA · Art. 13
IKT-säkerhetsmedvetenhet
Finansiella entiteter ska bedriva program för IKT-säkerhetsmedvetenhet och utbildning, under tillsyn av Finansinspektionen.
Complorer levererar: sektorsanpassad utbildning och rapportering för finansiella aktörer inom lagens tillämpningsområde.
Kostnadsfri checklista · NIS2 artikel 21.2g
Beredskapschecklista för säkerhetsmedvetenhet & phishing-simulering
En checklista på en sida som kartlägger utbildningskraven i NIS2 artikel 21.2g, GDPR och ISO 27001 mot vad din organisation ska ha på plats. Använd den för att hitta luckorna innan revisorn gör det.
- Samlad skyldighetskarta: NIS2 artikel 21.2g, GDPR och ISO 27001 i en vy, så inget krav faller mellan stolarna.
- Frekvensgranskning: se var din nuvarande utbildnings- och simuleringsfrekvens inte räcker upp till artikel 21.2g.
- Revisionsklar bevislista: en checklista du kan lämna direkt till en revisor eller din styrelse, på tydlig svenska mappad mot Cybersäkerhetslagen.
Anpassad för den svenska regelomgivningen och gratis att ladda ner. Ett snabbt sätt att se exakt var ditt program står idag.
Hämta din kostnadsfria beredskapschecklista
Levereras direkt till din inkorg. Ingen spam. EU-datalagring. Avregistrera när du vill.
Ingen spam. EU-datalagring. Avregistrera när du vill.
~60%
Av dataintrången involverar den mänskliga faktorn · Verizon DBIR 2025
86%
Minskning av klickbenägenhet efter 12 månader · KnowBe4 2025
>80%
Av social engineering är AI-stödd phishing · ENISA 2025
€20M
Potentiella maximala böter under NIS2 & GDPR
Varför europeiska organisationer väljer Complorer
De flesta plattformar för säkerhetsmedvetenhet är amerikanska och kräver egen drift. Complorer är europeiskt, regelefterlevnadsnativt och driftas åt dig. KnowBe4 och Proofpoint är angivna för jämförelsens skull — verifiera varje uppgift mot aktuell dokumentation innan publicering.
| Rekommenderas Complorer by eBuilder Security | KnowBe4 | Proofpoint | |
|---|---|---|---|
| Europeiskt / GDPR-nativt, EU-datalagring | Amerikanskt; EU-hosting som tillval | Amerikanskt; EU-hosting som tillval | |
| NIS2 artikel 21.2g inbyggt | Generisk NIS2 | Generisk NIS2 | |
| Innehåll på svenska i grunden | Översatt, inte svensk-primärt | Begränsat | |
| Helt hanterat (eBuilder Security driver det) | Eget ansvar | Eget ansvar | |
| Driftsättning | Dagar, helt hanterat | Självbetjäning | Självbetjäning |
| Passar SMB till storföretag | SMB till storföretag | Storföretagsinriktat | |
| Prismodell | Prenumeration per anställd | Offertbaserat | Offertbaserat |
Har du redan tid och intern kompetens att bygga innehåll, driva kampanjer och ta fram revisionsunderlag på egen hand, kan en plattform du driver själv fungera. Har du inte det är en europeisk, helt hanterad tjänst nästan alltid snabbare och billigare än den interna tid den ersätter.
Så fungerar Complorer
Phishing-simulering, rollbaserad utbildning och revisionsklara rapporter, konfigurerat av eBuilder Security och klart på dagar, inte månader.
Allt ditt program behöver, helt hanterat
Phishing-simulering, utbildningsinnehåll och efterlevnadsrapportering i en svensk tjänst.
Hanterad phishing-simulering
Säkra, realistiska phishing-mejl på ett rollbaserat schema. eBuilder Security bygger, kör och justerar kampanjerna åt dig.
Driftas åt digRollbaserat mikrolärande
Korta moduler på 3–7 minuter anpassade för ekonomi, HR, utvecklare och ledning, klara på valfri enhet.
3–7 min modulerLär av misstaget
Ett klick utlöser ett kort lärotillfälle, aldrig en tillrättavisning. Varje misstag blir direkt lärande.
SkuldfrittInnehåll på svenska och engelska
Svensk-primärt innehåll, inte översättningar, uppdaterat mot de senaste AI-drivna bedrägerimetoderna.
Svensk-primärtUppföljning i realtid
Individers och gruppers slutförande följs live, så du alltid vet exakt var varje team befinner sig.
Live-dashboardEfterlevnadsexporter
Revisionsklara exportfiler mappade mot NIS2 art. 21.2g, GDPR och ISO 27001. Beviset är ett klick bort.
RevisionsklartStyrelsesammanfattningar
Automatiserade månadsrapporter till styrelsen som styrker ledningens tillsynsansvar under NIS2 artikel 20.
MånadsvisDriftsatt & hanterat av eBuilder Security
Inget IT-projekt. Vi konfigurerar användare, språk och dina första kampanjer, sedan driver vi programmet löpande.
Helt hanteratIgång på dagar, inte månader, helt hanterad onboarding
01
Steg 1
Boka en demo
Börja med en kort demo eller kostnadsfri behovsanalys. Vi tittar på er storlek, era sektorer och nuvarande skyldigheter, och enas om vad som är tillräckligt bra för er organisation.
02
Steg 2
Vi konfigurerar det
eBuilder Security sätter upp Complorer åt er, med användare, språk, rollbaserade lärstigar och era första kampanjer. Inget IT-projekt krävs och ingen plattform för ert team att lära sig.
03
Steg 3
Starta utbildning & simuleringar
Medarbetarna får sina första mikrolärningsmoduler och säkra phishing-tester. Det hanterade programmet körs sedan löpande med svårighetsgraden justerad över tid.
04
Löpande
Följ upp i dashboarden
Du granskar framsteg och får automatiserade månadsrapporter mappade mot NIS2 artikel 21.2g, GDPR och ISO 27001. Revisionsunderlag finns tillgängligt när en tillsynsmyndighet eller din styrelse frågar.
De flesta program mäter slutförande. Det mått som förutsäger motståndskraft är rapporteringsgrad, och eBuilder Security siktar på 30 %+ inom tolv månader.
Slutförande mäter närvaro, inte beteende. eBuilder Security följer de siffror som faktiskt minskar risken: rapporteringsgrad, tid till rapportering, klickfrekvens över tid och kvoten rapportörer mot klickare. En stabil, successivt svårare utbildningskadans bygger rapporteringsvanor som låter ett SOC begränsa ett verkligt angrepp tidigt.
eBuilder Securitys mål
30 %+ rapporterar
Globalt utgångsvärde
33,1 % klickbenägna
Efter 12 månader
4,1 % klickbenägna
Lär-av-misstaget-flödet
Vad som händer när ett simulerat phishing-mejl når en medarbetare.
Ankommer
Ett realistiskt phishing-mejl på svenska, falskt HR-, löne-, BankID- eller leveransmeddelande, landar i inkorgen.
Klick
Om en medarbetare klickar möts de av en kort, skuldfri lärosida, inte en tillrättavisning.
Rapportering
En utbildad kollega känner igen det och rapporterar via enklicksknappen i stället.
Triage
Det rapporterade mejlet flödar till teamet. Vem som rapporterade och hur snabbt registreras.
Lärande
Den som klickade tilldelas automatiskt en 3-minutersmodul om exakt den bedrägeritypen.
Bevis
Rapporteringsgrad, klickfrekvens och slutförande uppdateras live. Revisionsklara exporter är ett klick bort.
Betrodda av IT- och säkerhetschefer i Sverige och Europa
"
Genom deras breda tjänsteutbud och vårt beslut att välja deras MDR-lösning har eBuilder Security avsevärt höjt vår säkerhetsnivå. Under implementeringen var de snabba med att hjälpa och föreslå lösningar på de utmaningar vi stötte på. Övergången från projekt till produktion har gått smidigt, och deras team förstod snabbt våra affärsbehov. eBuilder Security är en värdefull partner för vårt fortsatta säkerhetsarbete.
Gerth Ericsson
IT-chef, Vandewiele, Sverige
"
eBuilder Security hjälper oss att möta våra behov inom IT- och informationssäkerhet. Vi är mycket nöjda med deras djupa kunskap, breda tjänsteutbud och engagemang för att stärka vår säkerhetsposition. Från endpoint-skydd och rådgivning till penetrationstestning har eBuilder Security varit en pålitlig partner i skyddet av vår organisation.
Christian Sørensen
Internal Operations Director, Médecins Sans Frontières, Norge
"
Produkten ökar kunskapen och säkerhetsmedvetenheten. Den hjälper organisationer att utveckla en god informationssäkerhetskultur. Jag är särskilt nöjd med att det är en helhetslösning där eBuilder Security tar hand om hela processen från kick-off till rapportering, med möjlighet till anpassning utifrån våra egna förutsättningar.
Per Eriksson
Informationssäkerhetsstrateg, Varbergs Kommun, Sverige
Anpassat för svensk kritisk infrastruktur
Enkelt och förutsägbart pris
Complorer är en hanterad prenumeration prissatt per anställd, fakturerad löpande och med driftsättning och löpande hantering inkluderat. Du köper ett resultat, färre lyckade angrepp och rena revisionsunderlag, inte ytterligare ett verktyg för ditt team att driva.
Att bygga samma kapabilitet internt innebär att licensiera en plattform, lära sig den, skriva innehåll, driva kampanjer och producera rapporter. För de flesta svenska SMB och medelstora organisationer är en hanterad tjänst snabbare och billigare än den interna tid den ersätter.
Få en skräddarsydd offertOffert levereras inom 48 timmar efter ett 30-minutersmöte.
Prenumeration per anställd
Ingår i varje plan
Driftsättning & konfiguration av eBuilder Security
Ingår
Hanterade phishing-kampanjer
Ingår
Rollbaserat utbildningsinnehåll
Ingår
Innehåll på svenska & engelska
Ingår
Realtidsuppföljning & månadsrapporter
Ingår
Efterlevnadsexporter (NIS2 / GDPR / ISO)
Ingår
Fakturering
Per anställd
Åtagande för behovsanalys
Inget
Slutpris anges i offert. Inledande behovsanalys är utan åtagande.
Frågor vi får i varje utvärdering
Om lagen, GDPR, frekvens och upphandling, besvarade rakt på sak.
Kräver NIS2 / Cybersäkerhetslagen säkerhetsmedvetenhetsutbildning?
Ja. Artikel 21.2g i NIS2, implementerad i Cybersäkerhetslagen (SFS 2025:1506), listar grundläggande cyberhygien och säkerhetsmedvetenhetsutbildning som en av tio obligatoriska riskhanteringsåtgärder. Artikel 20 tillför en separat skyldighet att utbilda ledningsorganet. Båda har gällt sedan lagen trädde i kraft den 15 januari 2026.
Är phishing-simulering laglig under GDPR?
Ja, om det görs rätt. Phishing-simulering är tillåten under berättigat intresse (artikel 6.1.f GDPR) om du publicerar en policy, informerar personalen om att simuleringar förekommer, begränsar lagringen av individuella resultat och aldrig låter ett enstaka klick ligga till grund för disciplinåtgärder. eBuilder Security bygger programmet för att uppfylla dessa villkor från start.
Hur ofta bör vi köra phishing-simuleringar?
Kör simuleringar minst kvartalsvis för all personal och månadsvis för högriskroller som ekonomi, IT-administration, ledning och HR, kombinerat med löpande mikrolärande. Frekvens väger tyngre än volym: en stabil, successivt svårare kadans bygger rapporteringsvanor, medan ett enda årstest i huvudsak mäter en enstaka dag.
Vad är en normal klickfrekvens vid phishing?
Det globala utgångsvärdet för klickbenägenhet är 33,1 %, och det faller till 4,1 % efter tolv månaders utbildning, en minskning med 86 % (KnowBe4 Phishing by Industry Benchmarking Report, 2025). Nya program startar ofta i intervallet 20–35 %. Använd ditt eget utgångsvärde som jämförelsegrund, inte ett enskilt branschsnitt.
Vad är en bra rapporteringsgrad?
Rapporteringsgraden är andelen anställda som aktivt rapporterar ett simulerat phishing-mejl, och det är det mått som förutsäger verklig motståndskraft. Proofpoints kunder ligger i genomsnitt på cirka 18,65 %, med finanssektorn nära 32 % och utbildningssektorn nära 8 %. eBuilder Security siktar på att din rapporteringsgrad överstiger 30 % inom tolv månader.
Behöver styrelsen separat utbildning?
Ja. NIS2 artikel 20, implementerad i Cybersäkerhetslagen, gör ledningsorganet personligt ansvarigt för säkerhetsåtgärder och kräver att det genomgår utbildning. eBuilder Security erbjuder en avgränsad styrelsesession mappad mot artikel 20, med ett utbildningsbevis du kan använda som bevis på tillsyn.
Vilken EDR använder eBuilder Security MDR?
eBuilder Securitys MDR är byggt på CrowdStrike Falcon eller Cybereason, driftsatt via den enhetshantering du redan kör. CrowdStrike threat intelligence följer mer än 230 namngivna angripargrupper globalt, och eBuilder Securitys SOC lägger svenska och nordiska hotmönster ovanpå, så detekteringen speglar de hot som faktiskt riktar sig mot svenska organisationer.
Vi kör redan CrowdStrike Falcon eller Microsoft Defender. Kan eBuilder Security använda det?
Ja. En befintlig CrowdStrike- eller Microsoft Defender-driftsättning snabbar upp onboardingen eftersom eBuilder Security ansluter till din befintliga telemetri i stället för att driftsätta nya sensorer. Integration med Microsoft Defender for Endpoint, Sentinel och Entra ID är standard, och driftsättning sker typiskt under 24 timmar i stället för de vanliga tre dagarna.
Vad är AIDR och hur samverkar det med det mänskliga SOC:et?
AIDR är eBuilder Securitys AI-baserade detekterings- och responslager som autonomt begränsar snabbrörliga hot på millisekunder och blockerar lateral förflyttning, credential stuffing och prompt injection innan de eskalerar. En mänsklig analytiker validerar och driver sedan responsen. AIDR hanterar maskinsnabba angrepp och den namngivne analytikern hanterar bedömningen, inget väntar i en kö.
Uppfyller eBuilder Security MDR Cybersäkerhetslagen / NIS2 övervakningskrav på egen hand?
eBuilder Securitys MDR uppfyller direkt de centrala NIS2 artikel 21-skyldigheterna: kontinuerlig övervakning, incidentdetektering och incidenthantering samt dokumentation kopplad till MCF-rapportering. Det täcker inte ensamt leverantörskedjesäkerhet, verksamhetskontinuitet eller säkerhetsutbildning. eBuilder Securitys rådgivning och Complorer-utbildningstjänsten kompletterar återstående artikel 21-omfång.
Hur integreras utbildningen med vårt MDR eller SOC?
Rapporterade mejl kan flöda in i eBuilder Securitys SOC där de triageras vid sidan av verkliga larm. En medarbetare som klickar kan auto-isoleras av eBuilder Securitys AI-detektering och -respons, och simuleringsdata berikar riskpoängsättningen som din incidenthantering redan använder. Utbildningen slutar vara en isolerad silo.
Kan vi använda verkliga varumärken som Microsoft eller Skatteverket i simuleringar?
Inte deras logotyper utan tillstånd, det väcker varumärkesfrågor. eBuilder Security använder generiska look-alikes och dina egna interna avsändare för att bygga realistiska svenska scenarier: falska HR-, löne-, BankID- och leveransmeddelanden, och håller simuleringarna juridiskt rena medan de ändå efterliknar det svenska anställda faktiskt tar emot.
Hur visar vi en tillsynsmyndighet att vi uppfyller artikel 21.2g?
Spara de underlag en tillsynsmyndighet kommer att fråga efter: kursmaterial, en daterad närvaro- eller slutförandelista, kampanjresultat, din simuleringspolicy, ledningsorganets utbildningspost och dina rollbaserade spår. eBuilder Security producerar dessa som standardleverans, så rapportering till MCF, PTS eller Finansinspektionen är en nedladdning, inte en brandkårsinsats.
Kan vi köpa detta via Adda eller Kammarkollegiet?
Indirekt. Vägarna för offentliga köpare är Adda IT-konsulttjänster 2021 och Kammarkollegiets IT-konsulttjänster för IT-säkerhet. eBuilder Security kan upphandlas via underleverantörsklausuler, eller för värden under direktupphandlingsgräns på 700 000 SEK exkl. moms, genom direktupphandling.
Hur snabbt ser vi resultat?
De flesta program ser märkbar förändring inom ett kvartal. KnowBe4-data visar 40 % minskning av klickbenägenhet efter tre månader och 86 % efter tolv. Den första signalen att följa är en stigande rapporteringsgrad. Det innebär att personalen inte bara undviker betet utan aktivt flaggar det för ditt team.
Är phishing-simulering effektivt mot AI-genererade angrepp?
Ja, om scenarierna uppdateras kontinuerligt. ENISA:s hotbild 2025 rapporterar att AI-stödd phishing utgjorde mer än 80 % av observerat social engineering i början av 2025. eBuilder Security uppdaterar svenska phishing-scenarier för att matcha aktuella AI-drivna tekniker, så personalen tränar mot de angrepp de faktiskt kommer att möta, inte förra årets mallar.
Gör din personal till det lager som rapporterar.
Boka en 30-minuters genomgång med en Sverige-baserad analytiker. Vi kartlägger din utbildnings- och simuleringskadans mot NIS2 artikel 21.2g och visar exakt var du står. Ingen säljpresentation. Inget åtagande.
Boka en genomgång
Inget åtagande
Sverige-baserad analytiker
Säkerhetsmedvetenhet är bara början
Utbildningen är ditt mänskliga lager. Dessa kompletterande eBuilder Security-tjänster täpper luckorna runt det, detektering, testning och strategi.
AI-säkerhet
Trygg AI-användning för verksamheter
Övervaka prompts, agenter, modeller och känsliga data i realtid för att minska AI-driven risk, förhindra dataläckage och blockera hot direkt.
Penetrationstestning
Offensiv säkerhet
Hitta sårbarheterna som angripare skulle hitta, innan de gör det. Expertstyrd testning av webb, cloud, API, nätverk och Active Directory med åtgärdbara rekommendationer.
Managed Detection & Response
24/7 SOC, Sverige
När utbildning inte räcker bevakar och besvarar eBuilder Securitys MDR hot dygnet runt, med en namngiven svensk analytiker, inte en ärendekö.
CISO som en tjänst
Strategisk rådgivning
Styrning på styrelsenivå, efterlevnadsledarskap och leverantörsriskhantering utan att anställa en heltids-CISO.