Säkerhet i Eneo AI

Trygg AI för svensk offentlig sektor

Eneo är byggd från grunden för verksamheter med höga krav på dataskydd, spårbarhet och regelefterlevnad. Säkerhet är inte en separat funktion utan en bärande del av arkitekturen.

Identitet och åtkomst

Modern federation med flerskiktad åtkomstkontroll

Eneo integreras med organisationens befintliga identitetshantering och bygger på etablerade standarder som OpenID Connect (OIDC) och OAuth 2.0. Användare provisioneras automatiskt via SCIM, och åtkomst för automation styrs med granulär API-nyckelhantering.

Single Sign-On via OIDC

Federation mot Entra ID, Keycloak, Auth0 och andra OIDC-leverantörer. Användaridentiteten hanteras centralt och MFA tvingas via din befintliga IdP.

Rollbaserad åtkomstkontroll på flera nivåer

Globala roller (Admin/User) skiljs från samarbetsyte-roller (Owner/Editor/Viewer) och resursrättigheter. Stödjer separation av arbetsuppgifter mellan administratör och slutanvändare.

Granulär API-nyckelhantering

Server-nycklar (sk_) för automation med IP-allowlist, browser-nycklar (pk_) med origin-allowlist och scope-kontroll. Alla nycklar hashas med HMAC-SHA256 och lagras aldrig i klartext.

Automatisk användarprovisionering med SCIM

Provisionera användare via REST API eller JIT vid OIDC-inloggning. En inbyggd SCIM-server ger standardiserad automatisk provisionering och deprovisionering direkt från HR- och identitetssystem.

Klassningsstyrd AI-användning

Verksamhetens klassningsmodell styr vilken AI som får användas

En av Eneos mest särpräglade egenskaper: informationsklassning är inte en pappersrutin utan en operativ säkerhetsmekanism som påverkar plattformens beteende i realtid.

STEG 1 Verksamheten definierar klasser STEG 2 Projekt skapas och klassas STEG 3 Automatisk styrning av AI-modeller och tjänster Information med högre klassning kan inte oavsiktligt nå AI-modeller som saknar behörighet

Organisationsdefinierad modell

Ingen påtvingad standardmodell – din egen befintliga klassningsmodell (t.ex. publik, intern, konfidentiell, hemlig) implementeras direkt i plattformen.

Automatisk metadata-ärvning

När ett projekt klassas ärvs klassningen automatiskt till all information som skapas eller bearbetas inom projektet.

Förebyggande skydd

Skyddet är inbyggt i flödet – inte ett krav som dokumenteras i efterhand. Klassningen styr modellåtkomst i realtid.

ISO 27001 5.12 + 5.13

Realiserar standardens kärnsyfte: att märkning ska möjliggöra automatisering av informationsbehandling och hantering.

Strukturerade granskningsloggar

JSON-format med aktör, handling, utfall och tidpunkt. Persisterade i PostgreSQL för långsiktig spårbarhet.

Skyddad åtkomst med motivering

Att läsa granskningsloggen kräver att en motivering anges. Själva åtkomsten loggas i sin tur – du ser alltid vem som kollade vad och varför.

Verksamhetsstyrd detaljnivå

Detaljnivå konfigureras per kategori och händelsetyp. Du bestämmer vad som ska loggas och hur länge data sparas.

Gallring, export och loggström

Konfigurerbara retention-policyer med dagliga purge-jobb och export i CSV och JSON Lines via sync- och async-API. Loggar kan dessutom strömmas till extern logginfrastruktur med stöd för OpenTelemetry.

Spårbarhet och granskning

Allt loggas – inklusive vem som granskade loggarna

Granskningsloggen är inte bara ett spår av användarhandlingar. Den dokumenterar även administrativa åtgärder och själva loggåtkomsten – en cirkulär kontroll som gör att ingen kan undersöka data utan att lämna spår efter sig.

Granskningsloggen utgör grunden för efterlevnad enligt GDPR, NIS2/cybersäkerhetslagen och ISO 27001 (kontroll 8.15 Loggning och 8.16 Övervakning).

Säker utveckling

En säker utveckling

Säkerheten börjar i hur Eneo byggs. Hela leveranskedjan är granskad, dokumenterad och spårbar – från enskilda beroenden till containerimagen som körs i produktion.

SBOM per release – krav i NIS2

Varje release levereras med en programvaruförteckning (SBOM) i formaten CycloneDX och SPDX. En SBOM är ett uttryckligt krav i NIS2/cybersäkerhetslagen och möjliggör snabb sårbarhetsbedömning av samtliga ingående komponenter.

Verifierade byggen

Container-images byggs via spårbara CI-pipelines med GHCR provenance attestations, så att det går att verifiera att det som körs i produktion verkligen motsvarar källkoden.

Låsta och granskade beroenden

Beroenden är låsta via lockfiles och granskas automatiskt. Dependency review blockerar PR:er som introducerar kända sårbarheter på HIGH-nivå eller högre.

Publicerad sårbarhetsprocess

Säkerhetspolicy med tydliga svarstider (SLA): Kritisk 1 arbetsdag, Hög 1–2 arbetsdagar, Medel 2–5 arbetsdagar – med en definierad väg för ansvarsfull rapportering.

Etablerade ramverk för säker utveckling

Utvecklingen förhåller sig till erkända ramverk som NIST SSDF och SLSA samt OWASP ASVS, SCVS och LLM Top 10.

Öppen källkod och insyn

Hela kodbasen är öppen under AGPL-3.0. Det gör att vem som helst kan granska, revidera och bidra till plattformens säkerhet – ingen säkerhet vilar på dolda antaganden.

Efterlevnad och regelverk

Byggd för svensk offentlig sektor

Eneos arkitektur är anpassad till de europeiska och svenska regelverk som styr informationshantering i offentlig sektor.

EU + Sverige

GDPR

Datasuveränitet, åtkomstkontroll, retention och granskningslogg ger grund för att uppfylla dataskyddsförordningens krav på säkerhet och spårbarhet.

Sverige

Cybersäkerhetslagen (NIS2)

Lagen som trädde i kraft 15 januari 2026 ställer krav på säkerhetsåtgärder och incidentrapportering – Eneo stödjer med loggning, RBAC och kryptering.

EU

EU AI Act

Eneos klassningssystem, granskningsloggar och dokumentation underlättar att uppfylla högrisk-AI-systemens krav på riskhantering och loggspårning.

Internationell

ISO/IEC 27001:2022

Eneo täcker ca 20 av kärnkontrollerna i ISO 27001:s tekniska och organisatoriska åtgärder – från identitetshantering till loggning och konfigurationshantering. Se detaljerad analys.

Internationell

ISO/IEC 42001

Standarden för AI-managementsystem – Eneos klassningsstyrning, transparens och spårbarhet bidrar till en strukturerad AI-styrning.

EU

Cyber Resilience Act (CRA)

Eneos SBOM, sårbarhetsprocess och säkra utvecklingscykel går i linje med CRA:s krav på säkerhet i digitala produkter.

OWASP ASVS OWASP SCVS OWASP LLM Top 10 CycloneDX SPDX NIST SSDF SLSA OIDC / OAuth 2.0
Kontinuerlig säkerhet

Säkerheten utvecklas löpande

Säkerhet är inte ett avgränsat projekt utan en integrerad del av den ordinarie utvecklingen av plattformen. Funktioner, härdning och anpassningar till nya regelverk levereras kontinuerligt i Eneos vanliga versionsflöde.

Del av ordinarie utveckling

Säkerhet är inbyggt i hur plattformen byggs. Varje förändring tas fram med dataskydd, åtkomstkontroll och spårbarhet som utgångspunkt – inte som ett separat spår vid sidan av.

Löpande granskning och härdning

Kod, beroenden och konfiguration granskas kontinuerligt och sårbarheter åtgärdas enligt en publicerad säkerhetspolicy med tydliga svarstider. Den öppna källkoden gör att hela community kan granska och bidra.

Förbättringar i varje release

Nya säkerhetsfunktioner och förstärkningar rullas ut i plattformens ordinarie releaser. Utvecklingen följer omvärldens krav och de europeiska och svenska regelverk som styr offentlig sektor.