Tjänster · Specialist · E2
Custom Application Management — Er kod, vår drift
E2 omfattar drift och förvaltning av kundspecifika applikationer på Cyber Resilience Platform (CRP) — oavsett om applikationen byggts av DOTAB (typiskt via C1, C2, C3, C4 eller C6) eller av kunden själv. Applikationen ärver plattformens säkerhets- och efterlevnadsegenskaper — SBOM (CycloneDX/SPDX), kryptografisk signering, GitOps-pipeline (GitLab → Argo CD), KLASSA-klassning, observability och MTTR-garantier (4 / 24 / 72 timmar).
Custom Application Management är drift och förvaltning av era egna applikationer på Cyber Resilience Platform (CRP). CRP är en härdad, EU-baserad driftmiljö konstruerad för NIS2 och CRA (Cyber Resilience Act).
Applikationen ärver plattformens säkerhetsegenskaper. SBOM, signerade artefakter, GitOps-pipeline, observability och MTTR-garantier 4 / 24 / 72 timmar beroende på KLASSA-nivå.
Vad ingår
- Plattformsbedömning (1–2 v) — genomgång av applikationens teknikstack, beroenden och regulatoriska krav. KLASSA-klassning (SKR:s ramverk för säkerhetsklassning K/R/T)
- Härdning och pipeline-anpassning (2–6 v) — signering, SBOM (CycloneDX eller SPDX), GitOps via GitLab → Argo CD, observability-instrumentering
- Cutover och inkoppling — datamigration, DNS-växling, parallelldrift, formell handover
- Stabiliseringsperiod (4 v) — förhöjd övervakning, finjustering av larm och kapacitet
- Löpande drift — patchning, sårbarhetshantering, säkerhetsmonitorering, kapacitetsplanering, rullande uppgraderingar
- SLA-styrd uppe-tid — 99,5 % standard, 99,9 % förhöjd
- MTTR-garantier — 4 timmar kritisk, 24 timmar viktig, 72 timmar övrigt
- Patchningsledtid kritisk CVE — under 72 timmar från publicering
- SBOM levereras till er vid varje release
- EU-baserat datacenter, EU-ägt, EU-personal — inga amerikanska underleverantörer i driftkedjan
Vad det INTE är
- Paketerade open source-SaaS — se E1
- Modernisering av legacy- eller AI-genererad kod — se E3
- Förvaltning på er egen plattform eller andra moln — se D1
- Vidareutveckling som primär leverans — den sker via D1 eller via C-block
- Plattformsdrift som standalone-tjänst — CRP är fundament under hela Block E och säljs inte fristående
För vem
CISO, CIO och IT-chefer i myndigheter, regioner och privata aktörer med NIS2-pliktiga applikationer eller sektorsskydd. Också organisationer som tidigare drivit applikationer i amerikanska moln och vill flytta tillbaka till EU-kontrollerad infrastruktur. Och kunder som efter en C-block-leverans väljer CRP som driftmiljö.
Så går det till
- Plattformsbedömning — teknikstack, beroenden, KLASSA-klassning.
- Härdning och pipeline-anpassning — kod och pipeline anpassas till CRP:s krav på signering, SBOM och GitOps.
- Test och säkerhetsgranskning — säkerhetstest, lasttest, härdningskontroll, godkännande mot KLASSA-nivå.
- Cutover — datamigration, DNS-växling, parallelldrift, handover.
- Stabilisering — 4 veckors förhöjd övervakning. Larmtuning, kapacitetsjustering.
- Drift — löpande patchning, sårbarhetshantering, observability, incident response inom SLA. Kvartalsgenomgång med er.
Onboarding-tid: under 8 veckor från beslut till produktion.
Bevis
E2 levereras formellt av DOCAB (Digitalist Open Cloud AB) men säljs och paketeras under Digitalist-varumärket. Typiska kundprofiler är myndigheter och regioner med NIS2-pliktiga applikationer, verksamheter med sektorsskydd, eller organisationer som efter ett C-block-projekt väljer CRP som driftmiljö.
- Trafikförvaltningen Region Stockholm — behörighetssystem för spårområden levererat med SBOM, APM, sårbarhetsskanning och DR-plan. Se /kundcase/region-stockholm-trafikforvaltningen.
De vanligaste frågorna
Vad är SBOM och varför levereras den? Software Bill of Materials — en strukturerad lista av alla mjukvarukomponenter i en applikation. CRA (Cyber Resilience Act) kräver SBOM för programvara med digitala element från 11 december 2027 (förordningen trädde i kraft 12 november 2024). Vi levererar SBOM i CycloneDX- eller SPDX-format vid varje release så ni har full spårbarhet i leverantörskedjan. Läs /kunskap/sbom-vad-och-varfor.
Vad betyder Sovereign-by-Design i praktiken? EU-baserat datacenter, ägt av EU-företag, drivet av EU-personal. Inga amerikanska underleverantörer i driftkedjan. Inget proprietärt format — kod, data, SBOM och konfiguration kan exporteras. Migration tillbaka till annan plattform stöds som projekt. Läs /kunskap/sovereign-cloud-vad-betyder-det.
Hur fungerar gränssnittet mellan vår utveckling och er drift? Vid funktionell felsökning ansvarar utvecklingsteamet — typiskt DOTAB:s D1 eller ert eget team. CRP-driften (plattformsincidenter, patchning, sårbarhetshantering) ligger på DOCAB. Vid sårbarhetsärenden åtgärdar utvecklingsteamet i kod, DOCAB rullar ut. Gemensam playbook per KLASSA-nivå, gemensam ärenderoutning.
Hur snabbt patchas kritiska sårbarheter? Under 72 timmar från CVE-publicering. Kontinuerlig SBOM-skanning på alla deployade artefakter. Sigstore/Cosign-verifiering att rätt artefakt körs. För zero-day med pågående utnyttjande aktiveras incident response-process omedelbart.
Relaterat
- Erbjudande: Säkra molntjänster
- Erbjudande: Verksamhetskritiska system
- Tjänst: E1 Managed open source SaaS
- Tjänst: C7 Informationssäkerhet och säker utveckling
- Tjänst: D1 Förvaltning och vidareutveckling
- Kunskap: Sovereign cloud — vad betyder det
- Kunskap: NIS2 för svenska verksamheter