Hopp til innhold
InfoDesk logo
Domener Hosting Løsninger Blogg Om oss Kontakt Logg inn
🇳🇴 Norsk 🇬🇧 English
Snakk med oss

Sikker hosting: SSL, backup og GDPR — sjekklisten for norske nettsteder

Hva kreves egentlig for sikker hosting i 2026? Vi går gjennom SSL/TLS og de nye kravene til sertifikatlevetid, backup som tåler løsepengevirus, GDPR og databehandleravtale, oppdateringer og overvåking — med en konkret sjekkliste for norske nettsteder.

H Håkon Berntsen 10 min lesetid
Sikker hosting: SSL, backup og GDPR — sjekklisten for norske nettsteder

Sikker hosting handler ikke om én enkelt teknologi, men om en kjede av tiltak som sammen beskytter nettstedet ditt, kundene dine og virksomheten din. Et gyldig SSL-sertifikat hjelper lite hvis backupen ikke lar seg gjenopprette, og en perfekt backup redder deg ikke fra et GDPR-avvik fordi databehandleravtalen mangler. I denne artikkelen går vi gjennom de fem områdene som faktisk avgjør om hostingen din er sikker – SSL/TLS, backup, GDPR, oppdateringer og overvåking – og avslutter med en konkret sjekkliste du kan bruke på ditt eget nettsted i dag.

Som driftspartner for norske nettsteder ser vi de samme svakhetene gå igjen: sertifikater som utløper ubemerket, backuper som aldri er testet, og hostingavtaler uten databehandleravtale. Det gode er at alt dette er løsbart med rutiner – ikke med dyre verktøy. Hvis du først vil ha det store bildet av hva som kjennetegner en god leverandør, har vi skrevet en egen guide om hva som er god hosting i 2026.

SSL/TLS riktig satt opp – mer enn bare hengelåsen

HTTPS er i dag standarden, ikke unntaket. Rundt 80 prosent av all trafikk i Firefox går nå over HTTPS, og Let's Encrypt – som feiret ti år i desember 2025 – utsteder gratis sertifikater til over 700 millioner nettsteder. Det finnes med andre ord ingen unnskyldning for å kjøre et nettsted uten kryptering. Men «har sertifikat» og «riktig satt opp» er to forskjellige ting.

Sjekk disse fire punktene

  • TLS 1.2 som minimum, TLS 1.3 aktivert. Eldre protokoller som TLS 1.0 og 1.1 skal være avskrudd på serveren. TLS 1.3 gir både bedre sikkerhet og raskere håndtrykk – noe som også hjelper på ytelsen vi går gjennom i artikkelen om Core Web Vitals.
  • Automatisk fornyelse. Manuell sertifikatfornyelse er en tikkende bombe. Sertifikatet skal fornyes automatisk via ACME (slik Let's Encrypt og de fleste kontrollpaneler gjør), med varsling hvis fornyelsen feiler.
  • HSTS aktivert. HTTP Strict Transport Security forteller nettleseren at den aldri skal forsøke ukryptert tilkobling til domenet ditt. Det stopper nedgraderingsangrep som en ren redirect ikke beskytter mot.
  • Hele kjeden på HTTPS. Blandet innhold – bilder, skript eller skjemaer som lastes over HTTP – undergraver krypteringen og gir advarsler i nettleseren.

Sertifikatlevetiden kortes kraftig ned

Dette er den viktigste endringen på SSL-fronten på mange år: CA/Browser Forum vedtok i april 2025 (ballot SC-081v3) at maksimal levetid for offentlige TLS-sertifikater reduseres trinnvis. Fra 15. mars 2026 er maksgrensen 200 dager, fra mars 2027 er den 100 dager, og fra 15. mars 2029 er den nede i 47 dager. I praksis betyr det at alle sertifikater snart må fornyes omtrent månedlig.

Konsekvensen er enkel: virksomheter som fortsatt fornyer sertifikater manuelt, kommer til å oppleve nedetid. Automatisert sertifikathåndtering går fra å være «best practice» til å være eneste farbare vei. Spør hostingleverandøren din konkret: fornyes sertifikatene våre automatisk, og hva skjer hvis fornyelsen feiler?

Backup som faktisk redder deg

En backup er bare verdt noe den dagen du trenger den. Vi skiller mellom tre nivåer: backup som finnes, backup som er beskyttet, og backup som er testet. De fleste nettsteder stopper på nivå én – og det er der det går galt.

3-2-1-regelen

Den klassiske tommelfingerregelen står seg fortsatt: tre kopier av dataene, på to ulike lagringsmedier, hvorav én kopi utenfor huset (off-site). For et nettsted betyr det typisk produksjonsdataene på serveren, en lokal backup på samme infrastruktur for rask gjenoppretting, og en ekstern kopi i et annet datasenter eller hos en annen leverandør.

Uforanderlige backuper mot løsepengevirus

Trusselbildet gjør dette mer aktuelt enn noen gang. NSM peker i sin rapport Risiko 2025 på at angrepsmetodene i økende grad rettes mot små og mellomstore virksomheter – løsepengeangrep har blitt en enkel måte for kriminelle å tjene raske penger på, og mange mindre virksomheter undervurderer sitt eget ansvar. Moderne løsepengevirus går målrettet etter backupene først, nettopp for å fjerne muligheten din til å si nei.

Svaret er immutable backups – uforanderlige sikkerhetskopier som ikke kan slettes eller krypteres i en definert periode, selv av en administrator med fulle rettigheter. Kombinert med off-site-lagring betyr det at et kompromittert servermiljø ikke kan dra backupene med seg i fallet.

Test gjenopprettingen

Spør deg selv: når testet du sist at en backup faktisk lot seg gjenopprette? En gjenopprettingstest per kvartal er et godt minimum. Mål samtidig hvor lang tid det tar – det er forskjell på å vite at man «har backup» og å vite at nettbutikken er oppe igjen innen to timer. Avklar to tall med leverandøren: hvor mye data kan gå tapt (gjenopprettingspunkt) og hvor lang tid tar gjenoppretting (gjenopprettingstid).

GDPR-sikker hosting: databehandleravtalen er ikke valgfri

Behandler nettstedet ditt personopplysninger – kontaktskjemaer, kundekontoer, nyhetsbrevpåmeldinger, ordrehistorikk – så er hostingleverandøren din en databehandler, og du er behandlingsansvarlig. Da krever personvernforordningens artikkel 28 en skriftlig, bindende databehandleravtale (DPA) mellom dere. Dette er ikke en formalitet: uten avtale er behandlingen i seg selv et brudd på regelverket, uavhengig av hvor god sikkerheten ellers er.

Datatilsynet har en egen veileder for hvordan databehandleravtaler skal utformes, og understreker at jo mer omfattende eller risikofylt behandlingen er, desto mer spesifikk må avtalen være. Avtalen skal blant annet regulere:

  • Hva slags personopplysninger som behandles, formålet og varigheten
  • At leverandøren kun behandler data etter dokumenterte instrukser fra deg
  • Tekniske og organisatoriske sikkerhetstiltak (kryptering, tilgangsstyring, backup)
  • Bruk av underdatabehandlere – bruker hostingleverandøren igjen andre leverandører, skal det finnes avtaler i hele kjeden, og du skal kunne motsette deg endringer
  • Bistand ved avvik, innsynsbegjæringer og sletting
  • Hva som skjer med dataene når avtalen avsluttes

Hvor lagres dataene?

Overføring av personopplysninger ut av EØS krever et eget overføringsgrunnlag, og etter Schrems II-dommen er dette blitt et reelt vurderingspunkt – ikke bare et avkrysningsfelt. Hosting i Norge eller EØS fjerner hele problemstillingen for selve lagringen. Spør leverandøren hvor serverne fysisk står, hvor backupene lagres, og hvilke underleverandører som har tilgang. Husk også at e-posten din er en del av samme regnestykke – les mer i artikkelen vår om e-post på eget domene.

Programvareoppdateringer og tilgangskontroll

De fleste vellykkede angrep mot nettsteder utnytter ikke avanserte nulldagssårbarheter – de utnytter kjente hull som aldri ble tettet. Tallene fra WordPress-økosystemet illustrerer alvoret: ifølge sikkerhetsselskapet Patchstack ble det avdekket over 11 000 nye sårbarheter i WordPress-økosystemet i 2025, og 96 prosent av dem lå i utvidelser (plugins), ikke i WordPress-kjernen. Over 43 prosent kunne utnyttes uten innlogging, og median tid fra offentliggjøring til masseutnyttelse var bare fem timer.

Fem timer. Det betyr at «vi oppdaterer en gang i måneden» ikke lenger er en sikkerhetsstrategi.

Det som faktisk fungerer

  • Automatiske oppdateringer av CMS-kjerne og mindre plugin-oppdateringer, kombinert med rask manuell håndtering av store versjonshopp.
  • Færre utvidelser. Hver plugin er en angrepsflate. Slett det som ikke brukes – deaktivert er ikke det samme som borte.
  • Tofaktorautentisering (2FA) på alle administratorkontoer – både i CMS-et, kontrollpanelet og hos domeneregistraren. Passord alene stopper ikke phishing eller lekkede passordlister.
  • Minste privilegium. Redaktører trenger ikke administratortilgang. Eksterne byråer skal ha egne kontoer som kan stenges, ikke delte innlogginger.
  • Brannmur på applikasjonsnivå (WAF) som filtrerer kjente angrepsmønstre før de når CMS-et. En WAF kjøper deg tid i vinduet mellom at en sårbarhet blir kjent og at oppdateringen er installert – og med fem timers utnyttelsestid er det vinduet verdt mye.

Overvåking: oppdag problemet før kundene gjør det

Sikkerhet uten overvåking er gjetning. Et minimum for et seriøst driftet nettsted er:

  • Oppetidsovervåking med varsling – du skal få beskjed om nedetid før kunden ringer.
  • Sertifikatovervåking – varsel i god tid før utløp, og varsel hvis automatisk fornyelse feiler. Med stadig kortere sertifikatlevetid blir dette kritisk.
  • Overvåking av backupjobber – en backup som har feilet stille i tre måneder, er verre enn ingen backup, fordi den gir falsk trygghet.
  • Logger som tas vare på – ved et innbrudd er loggene det eneste som kan fortelle deg hva som skjedde, hva som ble berørt, og hva du må melde til Datatilsynet. Husk at avvik som medfører risiko for de registrerte skal meldes innen 72 timer.
  • Filendringsovervåking på CMS-nettsteder – uventede endringer i kjernefiler er ofte det første tegnet på kompromittering.

Sjekklisten: sikker hosting for norske nettsteder

Bruk denne listen som en revisjon av ditt eget nettsted – eller som kravliste neste gang du vurderer leverandør:

  • SSL-sertifikat med automatisk fornyelse og varsling ved feil
  • TLS 1.2 som minimum, TLS 1.3 aktivert, eldre protokoller avskrudd
  • HSTS aktivert og alt innhold servert over HTTPS
  • Daglig backup etter 3-2-1-prinsippet, med én uforanderlig kopi off-site
  • Gjenopprettingstest gjennomført siste kvartal, med målt gjenopprettingstid
  • Signert databehandleravtale med hostingleverandøren, inkludert oversikt over underdatabehandlere
  • Avklart hvor data og backup lagres (Norge/EØS, eller dokumentert overføringsgrunnlag)
  • Automatiske sikkerhetsoppdateringer av CMS og utvidelser
  • Tofaktorautentisering på alle admin-kontoer (CMS, kontrollpanel, domene)
  • WAF foran nettstedet
  • Oppetids-, sertifikat- og backupovervåking med varsling
  • Rutine for avvikshåndtering – hvem gjør hva, og hvordan overholdes 72-timersfristen

Ansvarsfordeling: hvem gjør hva?

Mye usikkerhet kommer av uklare forventninger til hvem som eier hvilken oppgave. Slik ser en typisk fordeling ut:

Område Hostingleverandør Du (nettstedseier)
SSL/TLS Utstede og fornye sertifikater automatisk, sikker serverkonfigurasjon Verifisere at hele nettstedet kjører HTTPS uten blandet innhold
Backup Kjøre, lagre og beskytte backuper, tilby gjenoppretting Avklare krav til hyppighet og oppbevaring, be om gjenopprettingstest
GDPR Tilby databehandleravtale, dokumentere sikkerhetstiltak og underleverandører Signere avtalen, ha behandlingsoversikt, informere brukerne
Oppdateringer Server, PHP og operativsystem CMS, plugins og temaer (eller avtale at leverandøren tar det)
Tilgang Sikre kontrollpanel og servertilgang 2FA, brukeropprydding og minste privilegium i eget CMS

Merk kolonnen til høyre: sikker hosting er et delt ansvar. En god leverandør tar gjerne flere av oppgavene dine gjennom en driftsavtale – men da skal det stå i avtalen, ikke antas.

Ofte stilte spørsmål

Er gratis SSL-sertifikat fra Let's Encrypt trygt nok?

Ja. Krypteringen i et gratis Let's Encrypt-sertifikat er teknisk likeverdig med betalte sertifikater, og Let's Encrypt er i dag verdens største sertifikatutsteder. Betalte sertifikater kan gi utvidet organisasjonsvalidering og garantier, men for de aller fleste norske nettsteder er et automatisk fornyet Let's Encrypt-sertifikat riktig valg. Det viktige er automatikken – ikke prislappen.

Trenger jeg databehandleravtale hvis nettstedet bare har et kontaktskjema?

Ja. Navn og e-postadresse i et kontaktskjema er personopplysninger, og lagres de hos hostingleverandøren, behandler leverandøren data på dine vegne. Da krever GDPR artikkel 28 en skriftlig databehandleravtale. De fleste seriøse norske leverandører har en standardavtale klar – be om den, les den, og sjekk spesielt punktene om underdatabehandlere og lagringssted.

Hvor ofte bør nettstedet mitt tas backup av?

Daglig er et fornuftig minimum for de fleste nettsteder. Driver du nettbutikk eller har skjemaer med løpende innsendinger, bør databasen sikres oftere – gjerne hver time – fordi gjenopprettingspunktet avgjør hvor mange ordre eller henvendelser du kan miste. Viktigere enn frekvensen alene er at én kopi ligger utenfor primærmiljøet, at den er uforanderlig, og at gjenoppretting faktisk er testet.

Hva betyr de nye reglene om 47 dagers sertifikatlevetid for meg?

CA/Browser Forum har vedtatt en nedtrapping av maksimal sertifikatlevetid: 200 dager fra mars 2026, 100 dager fra 2027 og 47 dager fra mars 2029. Har du automatisk fornyelse via hostingleverandøren, merker du i praksis ingenting. Fornyer du sertifikater manuelt – typisk ved betalte sertifikater som installeres for hånd – må du legge om til automatisert håndtering før 2027, ellers blir utløpte sertifikater og nedetid en månedlig risiko.

Lurer du på noe av dette for din organisasjon?

Vi hjelper ideelle organisasjoner og bedrifter med Microsoft 365, Copilot, AI-agenter og domener. Ta kontakt — første prat er alltid uforpliktende.

[email protected] +47 900 39 911

Flere artikler