Cyberförsäkring för företag 2026

Vad är en cyberförsäkring?

En cyberförsäkring täcker företagets kostnader och förluster vid IT-relaterade händelser. Det handlar inte bara om dataintrång och ransomware, även om de är de mest kända. Försäkringen täcker också driftsstörningar orsakade av attacker, läckage av personuppgifter, bedrägeri via förfalskade fakturor (BEC-attacker) och de juridiska och tekniska kostnader som följer av en incident. För många svenska bolag är cyberförsäkringen den enda försäkring som faktiskt täcker de moderna risker som ekonomi- och kundhanteringen är exponerad mot.

Det är värt att skilja mellan tre kategorier av kostnader vid en incident. Egna kostnader: forensisk utredning, dataåterställning, kommunikation till kunder och tillsynsmyndigheter. Tredje parts skadestånd: skadeståndskrav från kunder vars personuppgifter läckt, eller från leverantörer som påverkats. Och avbrottet i verksamheten: förlorad omsättning under tiden systemen är nere. En komplett cyberförsäkring täcker alla tre delarna.

Vad cyberförsäkringen täcker

• Forensisk utredning — externa tekniker som tar reda på hur intrånget skedde och hur det stoppas.
• Dataåterställning — kostnader för att återställa krypterade eller raderade data från backup.
• Juridisk rådgivning — advokat för anmälningar till IMY, polisanmälan och kundkommunikation.
• Lösensumma vid ransomware — många försäkringar ersätter detta upp till en gräns, dock med villkor.
• Skadestånd till tredje part — kostnader om kunders personuppgifter eller affärsdata läckt.
• Avbrottsersättning — för förlorad omsättning medan systemen är nere.
• Krishantering — PR-konsult, kommunikationsrådgivning och support till påverkade kunder.
• Sanktionsavgifter — vissa försäkringar täcker GDPR-böter i de fall lag och avtal tillåter.

En cyberförsäkring fungerar oftast på två sätt parallellt. Premien betalar för själva försäkringsskyddet, men många bolag lägger även till ett tjänstepaket — proaktiv riskbedömning, kontinuitetsplanering och incidentstöd via en dedikerad larmtelefon. Det är ofta det proaktiva stödet som upptäckts vara mest värdefullt: en jourgrupp som kan kontaktas dygnet runt och som direkt påbörjar incidenthanteringen.

Vad cyberförsäkringen inte täcker

Det är några vanliga undantag som är värda att känna till. Egna säkerhetsbrister som funnits länge gör att ersättningen kan sättas ned, om bolagets system varit oskyddade i månader eller år och du inte vidtagit grundläggande åtgärder. Krigsundantag är nästa: alltfler försäkringar undantar attacker från statliga aktörer ("act of war"), vilket blivit en het tvistefråga. Förlust orsakad av tidigare anställda inom ramen för normal anställning ligger också utanför, eftersom vissa försäkringar undantar uppsåtliga handlingar av insiders. Egendomsskador på fysiska tillgångar hör hemma i den vanliga företagsförsäkringen, inte här. Och påföljder som följer av medvetet lagbrott täcks inte heller, om incidenten beror på att bolaget brutit mot lag.

Det är också värt att läsa det finstilta om lösensummor. Vissa försäkringar har börjat begränsa eller helt utesluta lösenutbetalningar, dels för att försäkringsbranschen vill minska incitamentet att betala, dels för att internationella sanktioner kan göra det olagligt att betala till vissa aktörer. Om lösensumman är en viktig del av skyddet, fråga uttryckligen om villkoren.

Vad du ska göra som företagare

Innan du tecknar är det värt att göra en grundläggande riskanalys. Hur mycket av verksamheten är beroende av IT-system? Hur länge skulle ni klara er utan tillgång till mejl, ekonomisystem och kundregister? Vad innehåller era data, alltså personuppgifter, betalningsuppgifter eller affärshemligheter? Svaren styr vilken nivå försäkringen behöver och vilka tillägg som är aktuella. För en konsult med få system och liten exponering räcker ett baspaket. För en e-handel med betalningsuppgifter och tiotusentals kundkonton krävs ett brett skydd.

Komplettera försäkringen med grundläggande tekniska åtgärder. Tvåfaktorsautentisering, regelbunden backup som inte är ansluten till nätverket, programuppdateringar och utbildning av personalen mot phishing. Försäkringen är inget substitut för skydd, utan en uppbackning för det fall förebyggande åtgärder inte räcker. Vissa försäkringsbolag kräver att vissa minimikrav uppfylls för att skyddet ska gälla fullt ut.

Bolag att titta närmare på

Söderberg & Partners

Söderberg & Partners är en oberoende försäkringsrådgivare som hjälper företag att hitta rätt cyberförsäkring och paketerar den ofta tillsammans med D&O (VD- och styrelseansvarsförsäkring). De jämför villkor och premier från flera försäkringsgivare och skräddarsyr en lösning utifrån företagets storlek, bransch och riskprofil. Bra val för dig som har en mer komplex verksamhet och vill ha en personlig genomgång av riskerna.

Svedea

Svedea är ett svenskt försäkringsbolag som specialiserat sig på företagsförsäkring för små och medelstora företag. De har egna cyberprodukter och företagspaketeringar för entreprenör, konsult och butik. Bra val för dig som vill teckna direkt utan att gå via rådgivare och som har en relativt rak verksamhet.

Vad kostar en cyberförsäkring?

Priset varierar mycket beroende på företagets storlek, bransch, omsättning, antal kundkonton och vilka data som hanteras. För en mindre konsult kan baspaket ligga från cirka 5 000 till 15 000 kronor per år. För ett medelstort e-handelsbolag eller en konsult- eller IT-byrå med många kundkonton ligger nivån från 30 000 kronor och uppåt. Banker, vårdgivare och stora dataägare har egna prissättningsmodeller.

Många försäkringsbolag har börjat differentiera premien efter företagets säkerhetsnivå. Bolag som har tvåfaktorsautentisering, en backup-rutin och utbildat personal får oftast en betydligt lägre premie än de som inte har det. Det är värt att gå igenom säkerhetsåtgärderna innan offert hämtas, eftersom det kan halvera årspremien. Hämta egen offert hos rådgivare eller försäkringsgivare för att se nivån för just din verksamhet.

D&O och cyber i kombination

VD- och styrelseansvarsförsäkring (D&O) skyddar styrelse och VD personligt mot skadeståndskrav enligt aktiebolagslagen. Vid en cyberincident kan aktieägare eller styrelse hävda att VD eller styrelse försummat sitt tillsynsansvar, alltså att man inte sett till att grundläggande IT-skydd fanns på plats. Då aktiveras D&O, inte cyberförsäkringen. Många svenska bolag underskattar den här risken.

Söderberg & Partners är en av de aktörer som ofta paketerar D&O och cyber tillsammans, eftersom de täcker delvis överlappande och delvis kompletterande risker. För ett växande bolag med extern styrelse är kombinationen ofta en bra grundnivå. Fråga din rådgivare om hur de två produkterna samspelar — det finns försäkringsupplägg där bolagets cyberförsäkring exkluderar krav mot styrelse, och då måste D&O täcka det utrymmet.