Utforska Eneos säkerhet
Sidan är indelad i sex avsnitt. Välj ett kort för att hoppa direkt till det område du vill läsa mer om.
Modern federation med flerskiktad åtkomstkontroll
Eneo integreras med organisationens befintliga identitetshantering och bygger på etablerade standarder som OpenID Connect (OIDC) och OAuth 2.0. Användare provisioneras automatiskt via SCIM, och åtkomst för automation styrs med granulär API-nyckelhantering.
Federation mot Entra ID, Keycloak, Auth0 och andra OIDC-leverantörer. Användaridentiteten hanteras centralt och MFA tvingas via din befintliga IdP.
Globala roller (Admin/User) skiljs från samarbetsyte-roller (Owner/Editor/Viewer) och resursrättigheter. Stödjer separation av arbetsuppgifter mellan administratör och slutanvändare.
Server-nycklar (sk_) för automation med IP-allowlist, browser-nycklar (pk_) med origin-allowlist och scope-kontroll. Alla nycklar hashas med HMAC-SHA256 och lagras aldrig i klartext.
Provisionera användare via REST API eller JIT vid OIDC-inloggning. En inbyggd SCIM-server ger standardiserad automatisk provisionering och deprovisionering direkt från HR- och identitetssystem.
Verksamhetens klassningsmodell styr vilken AI som får användas
En av Eneos mest särpräglade egenskaper: informationsklassning är inte en pappersrutin utan en operativ säkerhetsmekanism som påverkar plattformens beteende i realtid.
Organisationsdefinierad modell
Ingen påtvingad standardmodell – din egen befintliga klassningsmodell (t.ex. publik, intern, konfidentiell, hemlig) implementeras direkt i plattformen.
Automatisk metadata-ärvning
När ett projekt klassas ärvs klassningen automatiskt till all information som skapas eller bearbetas inom projektet.
Förebyggande skydd
Skyddet är inbyggt i flödet – inte ett krav som dokumenteras i efterhand. Klassningen styr modellåtkomst i realtid.
ISO 27001 5.12 + 5.13
Realiserar standardens kärnsyfte: att märkning ska möjliggöra automatisering av informationsbehandling och hantering.
JSON-format med aktör, handling, utfall och tidpunkt. Persisterade i PostgreSQL för långsiktig spårbarhet.
Att läsa granskningsloggen kräver att en motivering anges. Själva åtkomsten loggas i sin tur – du ser alltid vem som kollade vad och varför.
Detaljnivå konfigureras per kategori och händelsetyp. Du bestämmer vad som ska loggas och hur länge data sparas.
Konfigurerbara retention-policyer med dagliga purge-jobb och export i CSV och JSON Lines via sync- och async-API. Loggar kan dessutom strömmas till extern logginfrastruktur med stöd för OpenTelemetry.
Allt loggas – inklusive vem som granskade loggarna
Granskningsloggen är inte bara ett spår av användarhandlingar. Den dokumenterar även administrativa åtgärder och själva loggåtkomsten – en cirkulär kontroll som gör att ingen kan undersöka data utan att lämna spår efter sig.
Granskningsloggen utgör grunden för efterlevnad enligt GDPR, NIS2/cybersäkerhetslagen och ISO 27001 (kontroll 8.15 Loggning och 8.16 Övervakning).
En säker utveckling
Säkerheten börjar i hur Eneo byggs. Hela leveranskedjan är granskad, dokumenterad och spårbar – från enskilda beroenden till containerimagen som körs i produktion.
SBOM per release – krav i NIS2
Varje release levereras med en programvaruförteckning (SBOM) i formaten CycloneDX och SPDX. En SBOM är ett uttryckligt krav i NIS2/cybersäkerhetslagen och möjliggör snabb sårbarhetsbedömning av samtliga ingående komponenter.
Verifierade byggen
Container-images byggs via spårbara CI-pipelines med GHCR provenance attestations, så att det går att verifiera att det som körs i produktion verkligen motsvarar källkoden.
Låsta och granskade beroenden
Beroenden är låsta via lockfiles och granskas automatiskt. Dependency review blockerar PR:er som introducerar kända sårbarheter på HIGH-nivå eller högre.
Publicerad sårbarhetsprocess
Säkerhetspolicy med tydliga svarstider (SLA): Kritisk 1 arbetsdag, Hög 1–2 arbetsdagar, Medel 2–5 arbetsdagar – med en definierad väg för ansvarsfull rapportering.
Etablerade ramverk för säker utveckling
Utvecklingen förhåller sig till erkända ramverk som NIST SSDF och SLSA samt OWASP ASVS, SCVS och LLM Top 10.
Öppen källkod och insyn
Hela kodbasen är öppen under AGPL-3.0. Det gör att vem som helst kan granska, revidera och bidra till plattformens säkerhet – ingen säkerhet vilar på dolda antaganden.
Byggd för svensk offentlig sektor
Eneos arkitektur är anpassad till de europeiska och svenska regelverk som styr informationshantering i offentlig sektor.
GDPR
Datasuveränitet, åtkomstkontroll, retention och granskningslogg ger grund för att uppfylla dataskyddsförordningens krav på säkerhet och spårbarhet.
Cybersäkerhetslagen (NIS2)
Lagen som trädde i kraft 15 januari 2026 ställer krav på säkerhetsåtgärder och incidentrapportering – Eneo stödjer med loggning, RBAC och kryptering.
EU AI Act
Eneos klassningssystem, granskningsloggar och dokumentation underlättar att uppfylla högrisk-AI-systemens krav på riskhantering och loggspårning.
ISO/IEC 27001:2022
Eneo täcker ca 20 av kärnkontrollerna i ISO 27001:s tekniska och organisatoriska åtgärder – från identitetshantering till loggning och konfigurationshantering. Se detaljerad analys.
ISO/IEC 42001
Standarden för AI-managementsystem – Eneos klassningsstyrning, transparens och spårbarhet bidrar till en strukturerad AI-styrning.
Cyber Resilience Act (CRA)
Eneos SBOM, sårbarhetsprocess och säkra utvecklingscykel går i linje med CRA:s krav på säkerhet i digitala produkter.
Säkerheten utvecklas löpande
Säkerhet är inte ett avgränsat projekt utan en integrerad del av den ordinarie utvecklingen av plattformen. Funktioner, härdning och anpassningar till nya regelverk levereras kontinuerligt i Eneos vanliga versionsflöde.
Del av ordinarie utveckling
Säkerhet är inbyggt i hur plattformen byggs. Varje förändring tas fram med dataskydd, åtkomstkontroll och spårbarhet som utgångspunkt – inte som ett separat spår vid sidan av.
Löpande granskning och härdning
Kod, beroenden och konfiguration granskas kontinuerligt och sårbarheter åtgärdas enligt en publicerad säkerhetspolicy med tydliga svarstider. Den öppna källkoden gör att hela community kan granska och bidra.
Förbättringar i varje release
Nya säkerhetsfunktioner och förstärkningar rullas ut i plattformens ordinarie releaser. Utvecklingen följer omvärldens krav och de europeiska och svenska regelverk som styr offentlig sektor.