Hoppa till innehåll
Security headers · SSL/TLS · DMARC · NIS2

Säkerhetskontroll
headers, DMARC, SSL och NIS2

Northverify skannar webbplatsens tekniska säkerhet i en enda rapport: security headers, SSL/TLS-konfiguration, DMARC/SPF/DKIM, kända sårbarheter (Nuclei) och NIS2-relevanta indikatorer.

Kör säkerhetskontroll gratisSSL-kollen — gratis verktyg

Gratis, inget kreditkort. Rapport klar oftast inom några minuter.

Vad kontrollerar en webbplats­säkerhets­granskning?

En teknisk säkerhetsgranskning kontrollerar: (1) Security headers — HSTS, CSP, X-Frame-Options och Referrer-Policy som skyddar mot XSS, clickjacking och dataläckage. (2) SSL/TLS — certifikatets giltighet, TLS-protokollversion och HTTPS-konfiguration. (3) E-postsäkerhet — DMARC, SPF och DKIM-records som förhindrar domain spoofing. (4) Kända sårbarheter — exponerade admin-gränssnitt, föråldrade komponenter och felaktiga konfigurationer. Northverify kör alla dessa kontroller automatiskt och levererar prioriterade åtgärdsförslag.

Security headers — HSTS, CSP, X-Frame-Options och fler

Northverify kontrollerar att din webbserver skickar de viktigaste säkerhets­headrarna: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy och Permissions-Policy. Felinställda headers är en av de vanligaste orsakerna till XSS och clickjacking.

DMARC, SPF och DKIM — e-postsäkerhet

Kontrollerar om din domän har ett giltigt DMARC-record med policy (none/quarantine/reject), korrekt SPF-record utan syntax­fel och DKIM-konfiguration. Utan DMARC kan angripare skicka e-post i ditt företags namn — en vanlig ingång för BEC-bedrägerier och nätfiske.

SSL/TLS-certifikat och HTTPS-konfiguration

Validerar att SSL-certifikatet är giltigt, inte snart ut­löpande och utfärdat av en betrodd CA. Northverify kontrollerar även TLS-protokollversion (TLS 1.2/1.3 krävs, SSL 3.0/TLS 1.0/1.1 ska inaktiveras), HTTP→HTTPS-omdirigering och HSTS-headern.

Blandat innehåll (Mixed Content)

Identifierar HTTP-resurser (bilder, skript, fonts) som laddas på en HTTPS-sida. Mixed content exponerar besökarna för man-in-the-middle-attacker och triggar säkerhets­varningar i moderna webbläsare — vilket skadar förtroende och SEO-ranking.

NIS2-indikatorer för webbplatsen

NIS2-direktivet (genomfört i Sverige juli 2025) kräver adekvata tekniska säkerhetsåtgärder. Northverify flaggar specifika webbplatssvagheter som är relevanta för NIS2-efterlevnad: saknade security headers, föråldrade TLS-versioner och identifierade kända sårbarheter via Nuclei-skanning.

GDPR Art. 32 — tekniska säkerhets­åtgärder

GDPR Art. 32 kräver att personuppgifts­behandlingen skyddas med lämpliga tekniska säkerhetsåtgärder. Northverify visar vilka tekniska brister — saknade headers, okrypterad trafik, svag TLS-konfiguration — som direkt påverkar GDPR-efterlevnaden.

Kända sårbarheter via Nuclei (CVE)

Northverify kör Nuclei-mallar mot din webbplats och identifierar kända sårbarheter: exponerade admin-gränssnitt, föråldrade CMS-versioner, felaktigt konfigurerade API-endpoints och mer. Nuclei används av säkerhets­team globalt för att snabbt identifiera attack­ytor.

Vad kontrolleras i säkerhetskontrollen?

  • HTTP Strict Transport Security (HSTS) — tvingad HTTPS
  • Content Security Policy (CSP) — skydd mot XSS-attacker
  • X-Frame-Options — skydd mot clickjacking
  • X-Content-Type-Options — MIME-sniffing prevention
  • DMARC, SPF, DKIM — e-postsäkerhet
  • SSL/TLS-certifikat — giltighet och protokollversion
  • Kända sårbarheter (Nuclei CVE-scan)
  • NIS2 tekniska indikatorer

Jämför compliance-verktyg? Se vår jämförelse av Northverify och OneTrust, eller läs om hur vi hanterar din data.

10-punkts säkerhetschecklist för svenska webbplatser

Northverify kontrollerar samtliga punkter automatiskt i varje skanning.

  • Strict-Transport-Security (HSTS) satt med min-age ≥ 31536000
  • Content-Security-Policy (CSP) header satt — inga wildcard-sources
  • X-Frame-Options: DENY eller SAMEORIGIN
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • TLS 1.2 och 1.3 aktiverat, TLS 1.0/1.1 inaktiverat
  • SSL-certifikat giltigt och > 30 dagar till ut­löpning
  • HTTP omdirigerar till HTTPS (301)
  • DMARC-record finns med policy ≥ quarantine
  • SPF-record finns utan syntax­fel
Kör fullständig säkerhets­granskningLäs NIS2-guiden för Sverige →

26 kategorier — ett resultat

Varje skanning täcker alla dessa kategorier utan att du behöver konfigurera något.

Security headers (HSTS, CSP, X-Frame, Referrer-Policy)
SSL/TLS-certifikat och protokoll
DMARC / SPF / DKIM e-postsäkerhet
Blandat innehåll (Mixed Content)
Kända sårbarheter (Nuclei CVE-scan)
NIS2-tekniska indikatorer
GDPR & personuppgifter (Art. 32)
Cookie-samtycke och ePrivacy
SEO & teknisk SEO
Tillgänglighet WCAG 2.1 AA / EAA

Säkerhetsgranskning i praktiken

Fyra scenarier där teknisk säkerhetskontroll ger konkret värde.

1

Byte av hosting eller CDN

Varje byte av hosting, CDN eller webbserver riskerar att nollställa security headers som tidigare konfigurerats på servern. Kör en Northverify-skanning direkt efter migrationen för att bekräfta att HSTS, CSP och övriga headers är korrekt konfigurerade i den nya miljön.

2

Ny e-postdomän eller subdomain

Varje ny domän eller subdomain behöver egna DMARC, SPF och DKIM-records. En ny marketingdomän utan DMARC är ett enkelt mål för domain spoofing. Northverify kontrollerar e-postsäkerhets­konfigurationen för den exakta URL du anger.

3

Inför kundpresentation eller säkerhets­granskning

Webbbyråer och IT-konsulter som levererar till kunder med NIS2- eller ISO 27001-krav behöver dokumentera att webbplatsen uppfyller grundläggande säkerhets­krav. Northverify ger en säkerhets­rapport du kan inkludera i leveransen som dokumentation av teknisk due diligence.

4

Löpande NIS2-uppföljning

NIS2 kräver kontinuerlig riskhantering, inte bara en engångsgranskning. Schemalägg veckovis eller månadsvis Northverify-skanning för att fånga konfigurationsändringar, nya CVE-fynd och plugin­uppdateringar som introducerar nya säkerhets­risker.

DMARC-kollen — gratis verktyg

Kontrollera DMARC, SPF och DKIM på 10 sekunder

DMARC-kontroll — djupguide

Allt om DMARC, e-postsäkerhet och spoofing

Trust Center — Northverifys säkerhet

Hur Northverify hanterar din data säkert

Vanliga frågor om webbplatssäkerhet

Vilka security headers är viktigast?

De fem viktigaste är: (1) Strict-Transport-Security (HSTS) — tvingar HTTPS-anslutning, (2) Content-Security-Policy (CSP) — förhindrar XSS, (3) X-Frame-Options — förhindrar clickjacking, (4) X-Content-Type-Options: nosniff — förhindrar MIME-sniffing, (5) Referrer-Policy — kontrollerar vilken information som skickas med externa länkar. Permissions-Policy (tidigare Feature-Policy) är dessutom viktig för att begränsa åtkomst till kamera, mikrofon och geolokalisering.

Måste vi efterleva NIS2 om vi bara har en informationswebbplats?

NIS2 gäller i första hand organisationer i kritiska sektorer (energi, transport, hälso- och sjukvård, digital infrastruktur m.fl.) och medelstora till stora företag (50+ anställda eller 10+ M€ omsättning). Många SMB-webbplatser faller inte direkt under NIS2, men god säkerhets­praxis — HSTS, CSP, DMARC, uppdaterade komponenter — minskar risken för intrång och uppfyller samtidigt GDPR Art. 32:s krav på tekniska säkerhets­åtgärder.

Vad är skillnaden mellan Northverify och ett penetrationstest?

Northverify är ett automatiserat konfigurationsgransknings­verktyg — inte ett intrångtest. Det kontrollerar konfigurationer, headers, certifikat och kända sårbarheter (via Nuclei) men utför inte aktiv exploitation. Ett penetrationstest görs av en säkerhetskonsult som aktivt försöker utnyttja sårbarheter. Northverify är ett snabbt, löpande kontrollverktyg — pentest rekommenderas för systems med höga säkerhets­krav som betalningslösningar och hälsodata.

Hur ofta bör jag köra en säkerhetsskanning?

Minst månadsvis — och direkt efter hosting-byten, CMS-uppdateringar och nya plugin­installationer. Med Northverify Pro (veckovis skanning) eller Business (daglig skanning) fångar du säkerhets­regression automatiskt utan att behöva komma ihåg att köra manuella skanningar.

Vad innebär HSTS och varför är det viktigt?

HTTP Strict Transport Security (HSTS) är en security header som instruerar webbläsaren att alltid ansluta till din webbplats via HTTPS — även om användaren skriver 'http://'. Det eliminerar möjligheten för SSL-stripping-attacker och skyddar mot man-in-the-middle. HSTS rekommenderas av OWASP och krävs för PCI DSS-efterlevnad. Max-age bör sättas till minst ett år (31536000 sekunder) och 'includeSubDomains' bör inkluderas om alla subdomäner kör HTTPS.

Ingår säkerhets­granskning i en vanlig webbplats­revision?

Sällan fullt ut. En traditionell webbgranskning fokuserar ofta på UX, design och SEO — säkerhets­headers, TLS-konfiguration och DMARC ingår vanligtvis inte. Northverify inkluderar automatiskt 10 kategoriier — inklusive säkerhet, GDPR, tillgänglighet och SEO — i varje skanning. Det gör det möjligt att identifiera säkerhets­brister parallellt med andra compliance-frågor i en enda rapport.

Gratis säkerhetsskanning — inget kreditkort

Säkerhetskontroll din webbplats nu

Northverify kontrollerar security headers, SSL/TLS, DMARC/SPF/DKIM och kända sårbarheter — oftast inom några minuter — och ger dig prioriterade åtgärdsförslag.

Kör säkerhetskontroll gratisSe priser

Frågor? Läs vanliga frågor eller kontakta oss via chatten.