Läser in
Vid acceptans laddas Google Analytics 4. Inget körs om ni avböjer. Integritetspolicy ·
Läser in
79 000 kr exklusive moms. Stripe-faktura. Alla 10 audit-ready-kriterier gröna på dag 60 ger audit-ready-bevis. Något fattas: 30 dagars förlängning utan extra avgift som standard. Vill ni hellre avsluta refunderas hela avgiften automatiskt via Stripe.
Audit-ready betyder att de tio kriterierna är dokumenterade och spårbara mot append-only-audit-loggen och kan lämnas ut till tillsyn. Det är inte en certifiering, inget myndighetsgodkännande och ingen garanti mot sanktion.
Sprint-klockan börjar tickar i samma sekund som första fakturan går iväg. Hela perioden är observerbar i plattformen: ni ser vilka kriterier som är gröna, gula eller röda, och vad som krävs för att vrida om dem. Inga ändringar görs skarpt utan ert godkännande.
Sprint-avtalet signeras digitalt. Stripe-faktura går iväg på 79 000 kr exkl moms. Klockan startar samma dag, plattformen öppnas, kontaktperson utses.
Nattliga utvärderingen har körts varje natt. Ni ser realtidsbilden i plattformen: vilka kriterier är gröna, gula, röda. Inget skarpt utan ert godkännande.
Immutabel snapshot tas i assessment_runs. 10 av 10 = audit-ready-bevis och Always-On kan starta. Mindre än 10 = automatisk förlängning eller customer-driven refund.
30 dagars förlängning utan extra avgift kör samma kodväg mot kvarvarande kriterier. Ni kan när som helst välja Avsluta och få refund i dashboard.
Sprint-avtalet signeras digitalt. Stripe-faktura går iväg på 79 000 kr exkl moms. Klockan startar samma dag, plattformen öppnas, kontaktperson utses.
Nattliga utvärderingen har körts varje natt. Ni ser realtidsbilden i plattformen: vilka kriterier är gröna, gula, röda. Inget skarpt utan ert godkännande.
Immutabel snapshot tas i assessment_runs. 10 av 10 = audit-ready-bevis och Always-On kan starta. Mindre än 10 = automatisk förlängning eller customer-driven refund.
30 dagars förlängning utan extra avgift kör samma kodväg mot kvarvarande kriterier. Ni kan när som helst välja Avsluta och få refund i dashboard.
Vi tar in Sprint-kunder stegvis. Lämna e-post så hör vi av oss när nästa start öppnar. Audit-ready-garantin gäller från dag ett när Sprinten startar.
En verklig audit-ready-rapport i fullstor format. Se exakt vad Sprint levererar innan ni bokar.
Skriv kort om sektor, NIS2-status och tidsfönster. Vi svarar inom 24 h på vardagar, inget säljsamtal.
Varje kriterium är formulerat som en SQL-fråga mot plattformsdatabasen. Det finns ingen subjektiv bedömning. Antingen är raden grön eller så är den inte det. Definitionerna ligger i src/lib/billing/audit-criteria.ts och förändras inte under pågående Sprint.
Cybersäkerhetspolicy formellt antagen av styrelsen med dokumenterat beslutsdatum.
En policy med policy_type = "cybersecurity" har status = "adopted" och board_resolution_date är satt.
Policy-PDF, board_resolution_date och digital signatur sparas i policies-tabellen och hashas in i audit-loggen.
Alla risker med likelihood × impact ≥ 12 har dokumenterad mitigation.
Inga risks-rader med risk_score ≥ 12 saknar mitigation_plan.
Riskposter med score, mitigation_plan och ägare lagras i risks-tabellen. Score över 12 är spärrade tills mitigation finns.
Minst 95 procent av aktiva leverantörer är klassificerade (inte status "unqualified").
Andel aktiva suppliers med assessment_status ≠ "unqualified" är ≥ 95 procent.
Leverantörsregister med assessment_status per leverantör; export som CSV och PDF för tillsyn.
Minst ett dokumenterat test av incidentprocessen mot rapporteringstidsfristerna (24/72 timmar och en månad) finns inom senaste 12 månaderna.
incident_reports har minst en rad med is_test = TRUE inom senaste 12 månaderna.
Dokumenterat test av incidentprocessen mot rapporteringstidsfristerna (24/72 timmar och en månad) sparas i incident_reports med is_test = TRUE. Diary-id från CERT-SE krävs inte, men kan registreras om utskicket även verifieras externt.
Senaste styrelserapporten är undertecknad inom innevarande kvartal.
board_reports har minst en rad med signed_at inom de senaste 90 dagarna.
Styrelseprotokoll med signed_at-tidsstämpel inom senaste 90 dagarna. Versionerat i board_reports-tabellen.
AI Literacy Statement (artikel 4) har genererats inom 90 dagar.
audit_log har minst en rad med action = "ai_literacy.statement_exported" inom 90 dagar.
Audit-loggen får entry ai_literacy.statement_exported med PDF-hash. Statementet undertecknas av styrelsen.
Minst ett AI-system inventerat och ≥ 80 procent av systemen är klassificerade.
ai_systems-tabellen har ≥ 1 rad och andelen rader med status ≠ "pending_classification" är ≥ 80 procent.
AI-systemregistret i ai_systems-tabellen. Klassificeringshistorik sparas; omklassificering bevarar tidigare beslut.
Minst 80 procent av aktiva leverantörer har vendor_assessment.status = "complete".
Andel suppliers med vendor_assessments.status = "complete" är ≥ 80 procent.
vendor_assessments-tabellen med status complete per leverantör. Bedömningsmall och svar sparas som JSON.
Affärskontinuitetsplan (BCP) är godkänd och har innehåll.
bcp_plans-tabellen har minst en rad med status = "approved" och content är inte tom.
BCP i bcp_plans-tabellen med status approved. Innehåll, krisroller, RTO och RPO lagras strukturerat.
Inga olösta kritiska incidenter äldre än 30 dagar; inga audit-luckor större än 24 timmar.
Ingen rad i incidents med severity = "critical" och status ≠ "resolved" är äldre än 30 dagar. audit_log har ingen lucka > 24h.
audit_log är append-only på databasnivå (trigger blockerar UPDATE och DELETE). Lucka över 24 timmar markeras som kritisk.
Lägg märke till kriterium 4: ett dokumenterat internt test av incidentprocessen mot tidsfristerna 24/72 timmar och en månad räcker, klockade mot detektion. Diary-id från CERT-SE är inte ett villkor men kan registreras i cert_se_diary_id om ni även verifierar utskicket externt. CERT-SE är CSIRT- funktionen vid MCF (Myndigheten för civilt försvar, hette MSB fram till 1 januari 2026); sektorvis tillsyn ligger på respektive sektorsmyndighet. Plattformen använder aldrig msb_diary_id.
Den nattliga agenten utvärderar kriterierna under hela Sprint så att ni har en realtidsbild i plattformen. Det avgörande utfallet sker på dag 60. Då skrivs en immutabel snapshot till tabellen assessment_runs. Snapshot-raden kan inte ändras, bara läsas och refereras.
Out-snapshoten tidsstämplas och förses med en kryptografisk hash av alla kriteriers status. Snapshot-raden är immutabel i append-only-loggen. Vid 10 av 10 får ni audit-ready-bevis som tidsstämplad PDF med spårbart underlag mot granskningsloggen. Vid mindre än 10 aktiveras automatiskt 30 dagars förlängning utan extra avgift, och ni får en lista över kvarvarande kriterier, eller, om ni hellre avslutar, en refund-bekräftelse via knappen Avsluta och få refund i dashboard.
Default-utfallet på dag 60 är 30 dagars förlängning utan extra avgift, körd av samma agent som utvärderar kriterierna nattligt. Refund är ett kund-drivet alternativ, knappen finns i dashboard, ingen mejlväxling, ingen säljreaktion. Logik ligger i src/lib/billing/refund.ts.
Om passedCount är mindre än 10 på dag 60 sätts assessment till status extended. En ny evaluation-cykel triggas i 30 dagar utan extra avgift; nattliga utvärderingar fortsätter på samma kodväg, plattformsåtkomsten är oförändrad. Loggas som audit_ready.extension_started med kvarvarande kriterier som metadata.
Vill ni hellre avsluta finns knappen Avsluta och få refund i /installningar/abonnemang. Trigger anropar triggerSprintRefund() med anledning customer_opt_out. Default-flödet ovan (förlängning) avbryts. Ingen mejlväxling, ingen säljreaktion.
Idempotency-nyckeln är sprint_refund:{org_id}:{assessment_id} vilket gör att retries inte resulterar i dubbla refunds. Refunden kopplas till payment_intent eller charge på fakturan via stripe.invoicePayments.list.
Beloppet på Sprint-fakturan i sin helhet återbetalas till samma betalningsmetod. Stripe-tidsfönstret är 5 till 10 bankdagar beroende på utfärdande bank. Ni får bekräftelsemejl direkt med Stripe-referens och en lista över vilka kriterier som inte var gröna.
Båda mekanismer skriver entry i audit_log med organisations-id, assessment-id, anledning och tidsstämpel. Refund innehåller dessutom refund_id och belopp i öre. Tabellen är append-only på databasnivå (migration 021_audit_log_append_only): trigger blockerar både UPDATE och DELETE.
Två mekanismer skyddar både kund och leverantör från att automatiken springer ifrån verkligheten. Båda är dokumenterade i koden och loggas i audit_log.
Kolumnen organizations.refund_circuit_breaker_paused kan sättas till TRUE av admin via /agent-forslag. När den är aktiv blockeras automatisk refund och assessment går till status manual_review. Allt loggas som audit_ready.refund_blocked_breaker.
Refunds över 100 000 kr går till manuell granskning innan utbetalning. Det är en intern säkerhetsmekanism mot felutlöst refund vid datafel, inte ett kundvillkor. Sprint-avgiften 79 000 kr ligger under tröskeln, så en vanlig Sprint refundas automatiskt utan manuellt steg. Tröskeln kan endast aktualiseras om flera Sprintar körs samtidigt eller om särskilda paket köps. Loggas som audit_ready.refund_requires_approval. Full juridisk text: avsnitt 9 i villkorsbilagan.
Varje pausning eller manuell granskning skrivs som rad i audit_log med organisations-id, användar-id, anledning och tidsstämpel. Inga rader kan tas bort eller ändras i efterhand. Sektorsvis tillsynsmyndighet, PTS eller CERT-SE (vid incidentärenden) kan begära ut loggen som signerad CSV-fil.
Tre situationer kan motivera att Sprint-klockan pausas. Varje paus kräver dokumenterad anledning och admin-godkännande, och återupptas automatiskt när orsaken är åtgärdad. Alla pauser loggas i audit_log.
Om CERT-SE inte tar emot diary-anmälningar under en period kan kriterium 4 inte uppfyllas oavsett insats. Pausen pågår tills CERT-SE bekräftar att kanalen är öppen igen.
Längre IT-incident hos kunden som blockerar import av leverantörsdata, AI-systemkartläggning eller signering av styrelseprotokoll. Kräver incidentrapport från kunden som underlag för pausen.
Tillsynsmyndighet (PTS, IMY eller sektorvis myndighet) ger ut bindande klargörande som direkt påverkar något av kriterierna. Pausen pågår tills tolkningen är inarbetad i plattformen.
Garantin är ömsesidig. CyberKlar levererar plattform, och nattlig utvärdering. Kunden står för beslutsmandat och tillgång till underlag. Vid uteblivet kund-input räknas det som customer-side blocking och pausar klockan.
Inga refunds har triggats i pilot ännu. Mekaniken är dock testad i staging-miljö med syntetiska kunder och fungerar som beskrivet. Vi publicerar varje verkligt utfall här när det inträffar, anonymiserat per anledning.
Vill ni ha svaren skriftligt innan signing räcker det med ett mejl till support@cyberklar.se. Vi svarar på alla sex frågorna inom 24 timmar och bifogar svaret i Sprint-avtalet som bilaga.
Sprint startar dagen avtalet är signerat. Demon är en 3-minuters gap-bedömning ni kör själva i webbläsaren, utan inloggning och utan möte. Inget av valen kostar mer än Sprint-avgiften 79 000 kr exklusive moms; demon är kostnadsfri. Hela prislistan ligger öppet, och villkoren refererar denna garantitext direkt.
Default-utfallet om något kriterium inte är grönt på dag 60 är 30 dagars förlängning utan extra avgift. Klockan börjar om mot kvarvarande kriterier; de nattliga utvärderingarna fortsätter på samma kodväg, och de flesta saknade kriterier går att stänga inom 1 till 4 veckor. Refund är ett kund-drivet alternativ: ni klickar Avsluta och få refund i /installningar/abonnemang och hela Sprint-avgiften 79 000 kr återbetalas automatiskt via Stripe inom 5 till 10 bankdagar. Förlängningen är default eftersom den faktiskt levererar audit-ready, inte bara pengar tillbaka, men ni har alltid rätten att välja refund i stället.
Avsiktligt utebliven respons inom 5 arbetsdagar på riskbedömnings- och leverantörsbedömnings-input, ej genomförda obligatoriska steg i plattformen (policy-antagande, riskbedömning, leverantörsregister, AI-systemregister, kontinuitetsplan och incidentprocesstest), eller vägran att utse en kontaktperson med beslutsmandat. Customer-side blocking pausar 60-dagars-klockan; den återupptas när hindret är åtgärdat. Pausmekaniken är inskriven i avtalet och loggas i audit_log.
Inga refunds har triggats i pilot ännu. Sprint är ny som outcome-produkt och pilotfönstret är aktivt. Vi publicerar utfallet löpande på sidan när data finns. Att inga refunds triggat hittills är inte ett löfte om att inga kommer triggas; mekaniken är konstruerad för att utfalla mot kund vid utebliven leverans, och 30-dagars-förlängningen är default för att maximera leverans, inte för att fördröja refund.
Nej. Sprint-avgiften 79 000 kr återbetalas i sin helhet. Always-On-prenumerationen startar inte automatiskt vid refund. Plattformsåtkomst stängs ned 14 dagar efter att refund-bekräftelsen är skickad, och all kunddata exporteras som strukturerad JSON plus PDF-protokoll innan dess. Ni kan när som helst köra en ny Sprint senare om förutsättningarna ändras. Vid förlängning behåller ni full plattformsåtkomst utan avbrott.
CyberKlar (tjänst från Mindverk AB, org.nr 559582-5570) använder sitt svenska Stripe-konto. Refund går tillbaka till samma betalningsmetod som Sprint-fakturan betalades med, oftast bankkort eller företagskonto via Stripe Invoice. Refund-id loggas i audit_log med entry audit_ready.refund_triggered, och ni får bekräftelsemejl med Stripe-referens samt vilka av de 10 kriterierna som inte var gröna på dag 60.
Ja. Garantin ingår i Sprint-avtalet som signeras innan första fakturan, och refund-villkoren refereras direkt i avtalstexten. Svensk konsument- och avtalslag tillämpas; tvist avgörs av allmän domstol med Stockholms tingsrätt som första instans. CyberKlar är en tjänst från Mindverk AB (org.nr 559582-5570), registrerat i Sverige och momsregistrerat. Hela avtalstexten finns i bilagan vid signering.
Ja. En ny Sprint kräver nytt avtal och ny faktura, men det finns ingen karenstid. Det vi rekommenderar är ett kort scoping-samtal innan ni signar igen, så att de hinder som triggade förra refunden är åtgärdade. Vanligast är intern kapacitet, brist på beslutsmandat eller en ofärdig leverantörsstruktur som inte gick att rekonstruera på 60 dagar.
De juridiskt bindande villkoren, de tio kriterierna i klartext, mätmetod, refund-fönster, kundens dataleveransansvar och eskaleringskanal, finns i bilagan Audit-ready-garantin: villkor i klartext. Den utgör en juridiskt bindande del av Sprint-avtalet och refereras i avsnitt 2.1 av användarvillkoren.
Mer kontext finns på startsidan, prislistan, NIS2-översikten, AI-förordningen (AI Act), DPA:n och säkerhetssidan.