Sverige registrerade 60 cyberincidenter under 2025, fler än något annat nordiskt land. Det visar DNV:s nordiska rapport om cyberresiliens för 2026, som rankar Sverige före Finland (44), Danmark (41) och Norge (21). Bakom siffrorna ligger en tydlig drivkraft: ransomware och datautpressning har blivit den dominerande affärsmodellen för organiserad cyberbrottslighet, och svenska organisationer är ett prioriterat mål.
Den 13 juni 2026 ser hotbilden annorlunda ut än för bara två år sedan. Ransomware handlar inte längre bara om kryptering av filer. Det handlar om stöld av data, dubbel utpressning, statligt kopplade aktörer mot kritisk infrastruktur och en ny lagstiftning som tvingar svenska styrelser att ta personligt ansvar. Den här analysen går igenom vad de färska siffrorna betyder, vilka grupper som driver utvecklingen och hur cybersäkerhetslagen förändrar spelplanen för 6 000 till 8 000 svenska verksamheter.
Sverige toppar Nordens incidentstatistik 2026
DNV:s rapport för 2026 placerar Sverige överst i Norden med 60 registrerade cyberincidenter under 2025. Det är nästan tre gånger fler än Norges 21 och betydligt fler än grannländerna Finland och Danmark. Att Sverige sticker ut beror inte enbart på att fler attacker sker här. En del av förklaringen är att svenska organisationer rapporterar mer, att landet har en stor och digitaliserad offentlig sektor och att Sverige som Natomedlem och stark stödaktör till Ukraina har hamnat högt på listan hos statligt kopplade hotaktörer.
Ransomware är den mest synliga delen av den här statistiken. När en kommun, ett sjukhus eller en industrikoncern drabbas av krypterade system och utpressning blir det nyheter, och incidenten rapporteras till tillsynsmyndigheterna. Mörkertalet är dock stort. Många mindre angrepp, dataläckor och försök som avvärjs syns aldrig i den officiella statistiken. Den verkliga volymen attacker mot svenska mål är därför sannolikt flera gånger högre än de 60 incidenter som DNV kunnat verifiera.
Det som gör 2026 års läge allvarligt är kombinationen av tre saker som inträffar samtidigt. Hotaktörerna har professionaliserats genom ransomware-as-a-service. Den geopolitiska spänningen i Östersjöregionen driver statligt kopplade attacker mot energi och samhällsfunktioner. Och en ny svensk lag, cybersäkerhetslagen, höjer både kraven och de ekonomiska riskerna för organisationer som inte har ordning på sitt skydd.
Vad DNV:s nordiska rapport faktiskt visar
Siffrorna i DNV:s rapport bör läsas med eftertanke. De mäter registrerade incidenter, inte den totala attackvolymen, och länderna har olika rapporteringskultur och olika storlek. Men mönstret är tydligt: hela Norden ligger i hotaktörernas siktlinje, och Sverige bär den största bördan i absoluta tal. Tillsammans registrerade de fyra länderna 166 cyberincidenter under 2025.
| Land | Cyberincidenter 2025 | Andel av Norden |
|---|---|---|
| Sverige | 60 | 36 % |
| Finland | 44 | 27 % |
| Danmark | 41 | 25 % |
| Norge | 21 | 13 % |
| Totalt Norden | 166 | 100 % |
DNV framhåller att cyberresiliens nu är en av de stora nordiska frågorna under 2026. Rapporten beskriver ett landskap där angreppen blir mer riktade och där energi, tillverkning och offentlig sektor utsätts för ett ihållande tryck. För svensk del bekräftar siffrorna det som Myndigheten för samhällsskydd och beredskap har varnat för under flera år: hotnivån är inte längre tillfällig utan en permanent del av verkligheten.
En hög svensk försvarsföreträdare sammanfattade läget vid en säkerhetskonferens med orden att “cyber- och hybridhot nu är ett permanent inslag i Europas säkerhetsmiljö”. Det är en formulering som speglar att gränsen mellan kriminell ransomware och statligt sanktionerad sabotageverksamhet har blivit allt suddigare. Samma verktyg, samma sårbarheter och ibland samma aktörer rör sig mellan ren utpressning och politiskt motiverade angrepp.
Identitet är den nya attackytan
Det enskilt viktigaste fyndet i Palo Alto Networks Unit 42 Global Incident Response Report 2026 är att svaga identiteter spelade en avgörande roll i nästan 90 procent av de utredda fallen. Stulna lösenord, kapade konton, saknad flerfaktorsautentisering och felkonfigurerade åtkomsträttigheter är alltså den vanligaste vägen in. Ransomware börjar sällan med en avancerad nolldagssårbarhet. Det börjar med en inloggning.
Rapporten visar också att 35 procent av incidenterna involverade moln- eller SaaS-tillgångar. När svenska företag flyttar arbetslaster, e-post och samarbetsverktyg till molnet flyttar attackytan med. En kapad administratörsidentitet i en molnmiljö kan ge angriparen tillgång till hela organisationens data utan att en enda fil behöver krypteras lokalt. Det förändrar hur försvaret måste byggas.
Den tredje viktiga siffran: datastöld förekom i mer än hälften av utpressningsfallen. Det innebär att utpressningen inte längre handlar om att låsa filer, utan om att hota med att publicera känslig information. För en svensk organisation som lyder under GDPR blir detta dubbelt allvarligt, eftersom ett läckage av personuppgifter kan utlösa både utpressningskrav och separata sanktionsavgifter från Integritetsskyddsmyndigheten. Grunderna i identitetsskydd, som stark lösenordssäkerhet och flerfaktorsautentisering, är därför inte längre hygienfaktorer utan affärskritiska försvar.
Energisektorn i skottlinjen: den pro-ryska attacken
I juni 2026 bekräftade svenska myndigheter att en pro-rysk grupp med kopplingar till Rysslands säkerhets- och underrättelsetjänst låg bakom en cyberattack mot ett värmeverk året innan. Attribueringen är ovanlig. Sverige pekar sällan offentligt ut en specifik aktör bakom ett angrepp mot kritisk infrastruktur, och att man nu gör det signalerar hur allvarligt hotet mot energiförsörjningen bedöms vara.
Att just ett värmeverk drabbades är ingen slump. Fjärrvärme är samhällskritisk infrastruktur i ett land där vintern är lång och kall. Ett lyckat angrepp som slår ut värmeförsörjningen kan skapa direkt fara för liv och hälsa, samtidigt som det skickar en politisk signal. Den här typen av attacker passar inte in i den klassiska ransomware-mallen där målet är pengar. Här är målet störning, påverkan och avskräckning.
För energibolagen får detta konkreta följder. Under cybersäkerhetslagen är Energimyndigheten tillsynsmyndighet för energisektorn, som omfattar el, fjärrvärme och fjärrkyla, olja, gas och vätgas. Energimyndigheten kan ansöka om förbud för en person att inneha en ledningsposition och besluta om administrativa sanktionsavgifter. Kombinationen av ett konkret statligt hot och en ny tillsynsregim gör att svenska energibolag nu står under hårdare press än någonsin att stärka sitt cyberförsvar.
Ransomware-as-a-service och de aktiva grupperna
Modern ransomware drivs som en industri. I ransomware-as-a-service-modellen (RaaS) bygger en kärngrupp själva skadekoden och infrastrukturen, medan så kallade affiliates utför de faktiska intrången mot en andel av bytet. Det sänker tröskeln dramatiskt. En angripare behöver inte längre kunna programmera, bara köpa åtkomst och följa en manual. Resultatet är fler attacker, utförda av fler aktörer, mot fler mål.
Under 2026 har datautpressningsgruppen ShinyHunters kopplats till flera av de största internationella incidenterna. Gruppen har bland annat knutits till ett intrång mot Crunchbase med fler än 2 miljoner exponerade poster och till påståenden om minst 700 terabyte stulen data hos telekombolaget Telus. Det är inte nordiska offer, men de illustrerar skalan: när en enda grupp kan exfiltrera hundratals terabyte data står inget bolag med svag identitetshantering säkert, oavsett land.
Det är värt att notera att Telus-siffran är ett påstående från gruppen själv och inte en bekräftad volym. Hotaktörer överdriver ofta omfattningen för att öka pressen i förhandlingen. Den lärdomen är central för svenska organisationer: ett utpressningsmeddelande är ett förhandlingsverktyg, inte ett objektivt faktablad. Att verifiera vad som faktiskt läckt är en av de första uppgifterna i en seriös incidenthantering.
Dubbel utpressning: när kryptering blir stöld
Den modell som dominerar 2026 kallas dubbel utpressning. Angriparen krypterar inte bara systemen utan stjäl först ut data, och hotar sedan att publicera den om lösensumman inte betalas. Det neutraliserar den traditionella försvarslinjen, säkerhetskopior. Ett företag kan ha perfekta backuper och ändå tvingas till förhandling, eftersom problemet inte är att data är otillgänglig utan att den riskerar att hamna offentligt.
Att datastöld nu förekommer i mer än hälften av utpressningsfallen, enligt Unit 42, bekräftar att modellen har blivit standard. För svenska organisationer betyder det att skyddet måste flytta uppströms. Det räcker inte att kunna återställa system efter en attack. Man måste hindra att data lämnar organisationen över huvud taget, genom segmentering, övervakning av utgående trafik och strikt kontroll av vilka identiteter som får komma åt vad.
En del grupper har gått ett steg längre till trippel utpressning, där de dessutom pressar offrets kunder eller partners direkt, eller kombinerar utpressningen med överbelastningsattacker. För den som drabbas blir hanteringen en kris på flera fronter samtidigt: teknisk återställning, juridisk anmälningsplikt, kommunikation och i värsta fall direkt utpressning av tredje part. Att ha en inövad plan för dataintrång är därför avgörande för att begränsa skadan.
Cybersäkerhetslagen höjer insatserna
Den 15 januari 2026 trädde cybersäkerhetslagen i kraft i Sverige, som implementering av EU:s NIS2-direktiv. Lagen är den enskilt största förändringen av svensk cybersäkerhetsreglering på flera år. Den utvidgar skyddskraven från cirka 900 verksamheter under den gamla NIS-lagen till uppskattningsvis 6 000 till 8 000 verksamheter, en ökning med ungefär sju till nio gånger.
Lagen omfattar 18 sektorer och delar in verksamheter i väsentliga och viktiga entiteter. Tröskeln för privata aktörer ligger i regel vid 50 anställda eller 10 miljoner euro i omsättning. Tillsynen är sektorsbaserad, med MSB i en ledande roll och sex sektorsregulatorer för det operativa ansvaret. Enligt advokatfirman Lindahl är en central nyhet att “hela verksamheten omfattas”, alltså att kraven gäller hela organisationen och inte bara de delar som anses samhällsviktiga.
De nya rapporteringskraven är strikta. En betydande incident ska anmälas så snart som möjligt, dock senast inom 24 timmar för den första underrättelsen. För de flesta verksamheter gäller sedan 72 timmar för den formella incidentrapporten, medan en slutrapport, eller en lägesrapport om incidenten pågår, ska lämnas inom en månad. Tabellen nedan sammanfattar de viktigaste tidsfristerna och sanktionsnivåerna.
| Krav eller sanktion | Nivå |
|---|---|
| Minsta administrativa sanktionsavgift | 5 000 SEK |
| Maxavgift, väsentlig entitet | 10 milj. EUR eller 2 % av global omsättning |
| Maxavgift, viktig entitet | 7 milj. EUR eller 1,4 % av global omsättning |
| Första underrättelse vid incident | Senast 24 timmar |
| Formell incidentrapport | Senast 72 timmar |
| Slutrapport eller lägesrapport | Inom 1 månad |
Vad de nya böterna betyder för svenska bolag
För väsentliga entiteter kan den högsta administrativa sanktionsavgiften uppgå till det högre av 10 miljoner euro eller 2 procent av den globala årsomsättningen föregående räkenskapsår. För viktiga entiteter är taket det högre av 7 miljoner euro eller 1,4 procent av omsättningen. Konstruktionen är medveten. Genom att knyta avgiften till omsättning träffar den stora koncerner hårt och gör det omöjligt att se böterna som en hanterbar driftskostnad.
Jämförelsen med GDPR är naturlig. Där ligger taket på 4 procent av omsättningen eller 20 miljoner euro. Cybersäkerhetslagens nivåer är lägre, men de kan staplas. En enda allvarlig ransomwareincident med dataläckage kan i teorin utlösa både en sanktionsavgift under cybersäkerhetslagen för bristande säkerhet och en separat GDPR-avgift för förlorade personuppgifter. För en svensk styrelse är detta en kalkyl som har förändrats i grunden under 2026.
Utöver pengar finns andra verktyg. Tillsynsmyndigheterna kan utfärda varningar, korrigerande förelägganden, kräva säkerhetsrevisioner och i allvarliga fall ansöka om ledningsförbud. Enligt en svensk rådgivande källa är sanktionerna “inte symboliska” och kan innefatta offentligt utpekande och diskvalificering av ansvariga chefer. Det offentliga utpekandet kan i praktiken vara mer kostsamt än avgiften, eftersom det drabbar varumärke och kundförtroende direkt.
Ledningens personliga ansvar
Den mest omvälvande förändringen för många organisationer är att ansvaret flyttas upp till ledningsnivå. Cybersäkerhetslagen ställer enligt Lindahl “ökade krav på ledningens medverkan” i cybersäkerhetsarbetet. Styrelse och vd kan inte längre delegera bort frågan till IT-avdelningen och betrakta den som löst. De förväntas förstå riskerna, godkänna åtgärderna och aktivt följa upp.
Allvaret understryks av att tillsynsmyndigheten kan vända sig till domstol för att förbjuda en person med ledningsansvar vid en väsentlig entitet att utöva ledningsfunktioner. Det gäller styrelseledamöter och verkställande direktörer. Medan de ekonomiska sanktionsavgifterna riktas mot den juridiska personen, riktas ledningsförbudet mot fysiska personer. För enskilda chefer innebär det en personlig risk som tidigare i praktiken saknades i svensk cybersäkerhetsreglering.
Effekten märks redan på styrelseborden. Cybersäkerhet har gått från en teknisk fotnot till en stående punkt i styrelsearbetet. Allt fler svenska bolag rekryterar styrelseledamöter med säkerhetskompetens, tecknar utökade ansvarsförsäkringar för ledningen och låter externa parter granska sitt skydd. Lagstiftaren har, kort sagt, lyckats med sitt syfte: att göra cybersäkerhet till en fråga som ingen ledning har råd att ignorera.
Norden i jämförelse: olika tempo, samma hot
Sverige är inte ensamt. Samtliga nordiska länder implementerar NIS2 och möter samma underliggande hotbild, men i något olika takt och med olika tillsynsmodeller. Att Sverige toppar incidentstatistiken med 60 fall mot Norges 21 säger lika mycket om rapporteringsgrad och digital exponering som om den faktiska hotnivån. Norge, med en stor energisektor och Natomedlemskap sedan länge, är knappast mindre utsatt i absoluta termer.
Finlands 44 och Danmarks 41 incidenter placerar länderna nära varandra i mitten. Finland har en lång tradition av totalförsvarstänkande och har integrerat cybersäkerhet tätt med sin krisberedskap, medan Danmark har byggt upp en stark central kapacitet via sin underrättelsetjänsts center för cybersäkerhet. Den gemensamma nämnaren är att alla fyra länderna nu rör sig mot samma regelverk under NIS2, vilket på sikt gör det enklare att jämföra och samordna försvaret över gränserna.
För nordiska koncerner som verkar i flera länder är harmoniseringen en lättnad. Tidigare innebar fragmenterad nationell reglering att samma incident kunde behöva hanteras olika i Stockholm, Helsingfors och Köpenhamn. Med NIS2 som gemensam grund närmar sig kraven på rapportering, riskhantering och ledningsansvar varandra, även om de nationella sanktionsnivåerna och tillsynsmyndigheterna fortfarande skiljer sig åt.
Historisk kontext: från WannaCry till idag
För att förstå 2026 års läge är det värt att blicka bakåt. WannaCry 2017 var vändpunkten som visade världen vad självspridande ransomware kunde åstadkomma när det drabbade sjukhus och företag globalt på några timmar. Sedan dess har utvecklingen gått från breda, urskillningslösa maskar till noggrant riktade, manuellt styrda kampanjer mot utvalda mål med hög betalningsförmåga.
Nästa stora skifte var introduktionen av dubbel utpressning runt 2019 och 2020, då grupperna började stjäla data innan de krypterade. Därefter kom RaaS-modellen som industrialiserade verksamheten, och under de senaste åren har gränsen mot statligt sanktionerad verksamhet luckrats upp. Den pro-ryska attacken mot det svenska värmeverket är ett exempel på den nya hybridzonen, där kriminell teknik och geopolitisk avsikt smälter samman.
Den svenska lagstiftningens utveckling speglar samma resa. Den ursprungliga NIS-lagen från 2018 var ett första försök att reglera samhällsviktiga tjänster. Cybersäkerhetslagen 2026 är svaret på insikten att det första försöket var för smalt och för tandlöst. Från cirka 900 till uppemot 8 000 omfattade verksamheter, och från svaga viten till omsättningsbaserade sanktionsavgifter och personligt ledningsansvar, är det en kvalitativ omställning, inte bara en justering.
Marknadseffekt: försäkring, priser och investeringar
Ransomwarevågen och den nya lagen omformar den svenska säkerhetsmarknaden. Efterfrågan på cyberförsäkringar har stigit kraftigt, men försäkringsbolagen har samtidigt skärpt villkoren. För att ens få teckna en försäkring krävs idag ofta dokumenterad flerfaktorsautentisering, segmenterade nätverk, testade säkerhetskopior och en incidenthanteringsplan. Försäkringen har därmed blivit en hävstång som tvingar fram bättre grundskydd.
På leverantörssidan ökar investeringarna i identitetshantering, eftersom Unit 42:s siffra om att nästan 90 procent av intrången utnyttjar identitetssvagheter pekar ut var pengarna gör mest nytta. Lösningar för privilegierad åtkomst, kontinuerlig verifiering enligt nollförtroendemodellen och övervakning av molnidentiteter är de snabbast växande segmenten. För svenska IT-budgetar innebär cybersäkerhetslagen att säkerhet flyttas från en kostnad som skjuts upp till en obligatorisk investering med deadline.
Det skapar också en kompetensbrist. Med 6 000 till 8 000 verksamheter som plötsligt måste leva upp till nya krav överstiger efterfrågan på säkerhetsexperter, revisorer och rådgivare det tillgängliga utbudet vida. Konsultpriserna stiger, och många organisationer väljer att bygga upp intern kompetens eller automatisera delar av efterlevnaden. För den som söker karriär är svensk cybersäkerhet en av de mest efterfrågade kompetenserna under 2026.
Fem prognoser för resten av 2026
Med utgångspunkt i de data som finns idag pekar utvecklingen åt ett tydligt håll. Här är fem rimliga prognoser för den svenska och nordiska hotbilden under resten av 2026.
- Fler attribueringar mot statligt kopplade aktörer. Efter den pro-ryska värmeverksattacken blir det politiskt lättare för svenska myndigheter att peka ut aktörer offentligt. Förvänta fler namngivna attribueringar mot energi och kommuner.
- Den första stora sanktionsavgiften under cybersäkerhetslagen. När lagen varit i kraft ett helt år ökar sannolikheten för att en tillsynsmyndighet statuerar exempel med en kännbar avgift, sannolikt i energi- eller hälsosektorn.
- Identitet blir slagfältet. Med nästan 90 procent av intrången kopplade till identitet accelererar övergången till nollförtroende och lösenordsfri inloggning bland svenska storbolag.
- Datastöld utan kryptering ökar. Allt fler grupper hoppar över krypteringssteget helt och nöjer sig med ren utpressning baserad på stulen data, eftersom det är snabbare och svårare att försvara sig mot.
- Nordisk samordning fördjupas. Gemensam NIS2-grund driver fram mer delning av hotunderrättelser och samordnade insatser mellan Sverige, Finland, Danmark och Norge.
Så skyddar sig svenska organisationer
Det mest verkningsfulla skyddet mot ransomware 2026 är inte en enskild produkt, utan en kombination av grundläggande åtgärder som tillsammans stänger de vanligaste vägarna in. Eftersom identitet är den dominerande attackytan börjar arbetet där: flerfaktorsautentisering på allt, minsta möjliga behörighet och kontinuerlig övervakning av inloggningar.
En praktisk prioriteringsordning som svenska organisationer kan utgå från ser ut så här:
Prioritering av skydd mot ransomware (2026)
1. Flerfaktorsautentisering (MFA) -> stoppar manga identitetsbaserade intrang
2. Offline-backup, testad -> aterstallning utan att betala losen
3. Segmentering av natverk -> begransar spridning vid intrang
4. Patchning av kanda sarbarheter -> stanger publika ingangar
5. Overvakning av utgaende trafik -> upptacker datastold i tid
6. Incidentplan + 24h-rapportering -> uppfyller cybersakerhetslagenLika viktigt är det organisatoriska. Incidenthanteringsplanen måste vara inövad, inte bara dokumenterad, och den måste ta hänsyn till lagens 24-timmarskrav på första underrättelse. Den som först vid en skarp attack börjar fundera på vem som ringer MSB, vem som talar med media och vem som fattar beslut om eventuell betalning har redan förlorat värdefull tid. Att kombinera teknisk härdning med inövade rutiner och säker krypterad kommunikation är det som skiljer en hanterad incident från en katastrof.
Vanliga frågor om ransomware och cybersäkerhetslagen
Hur många cyberincidenter drabbade Sverige 2025?
Enligt DNV:s nordiska rapport om cyberresiliens för 2026 registrerade Sverige 60 cyberincidenter under 2025, vilket var fler än Finland (44), Danmark (41) och Norge (21). Det verkliga antalet attacker är sannolikt högre eftersom många angrepp aldrig rapporteras.
Vad är dubbel utpressning vid ransomware?
Dubbel utpressning innebär att angriparen både krypterar offrets system och stjäl ut data, och sedan hotar att publicera informationen om lösensumman inte betalas. Modellen gör säkerhetskopior otillräckliga som enda skydd, eftersom hotet om publicering kvarstår även om systemen kan återställas.
När trädde cybersäkerhetslagen i kraft?
Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och implementerar EU:s NIS2-direktiv i svensk rätt. Den utvidgar antalet omfattade verksamheter från cirka 900 till mellan 6 000 och 8 000, och täcker 18 sektorer.
Hur stora böter kan ett företag få enligt cybersäkerhetslagen?
För väsentliga entiteter är taket det högre av 10 miljoner euro eller 2 procent av den globala årsomsättningen. För viktiga entiteter är taket 7 miljoner euro eller 1,4 procent av omsättningen. Den lägsta administrativa sanktionsavgiften är 5 000 SEK.
Kan styrelse och vd hållas personligt ansvariga?
Ja. Tillsynsmyndigheten kan ansöka i domstol om att en person med ledningsansvar vid en väsentlig entitet, exempelvis en styrelseledamot eller vd, förbjuds att utöva ledningsfunktioner. Lagen ställer också ökade krav på att ledningen aktivt deltar i cybersäkerhetsarbetet.
Hur snabbt måste en incident rapporteras?
En betydande incident ska anmälas så snart som möjligt, dock senast inom 24 timmar för den första underrättelsen. En formell incidentrapport ska lämnas senast inom 72 timmar, och en slutrapport eller lägesrapport inom en månad efter incidentrapporten.
Vilken är den vanligaste vägen in vid ransomware?
Enligt Palo Alto Networks Unit 42 Global Incident Response Report 2026 spelade svaga identiteter, som stulna lösenord och saknad flerfaktorsautentisering, en roll i nästan 90 procent av de utredda fallen. Identitetsskydd är därför den enskilt viktigaste åtgärden.
Relaterad läsning
- Cybersäkerhetslagen: 8 000 företag, 2 % böter
- Cyberattacker mot Sverige: 3 215 i veckan
- Dataintrång: hur de sker och hur du skyddar dig
- Lösenordssäkerhet: längd, hashning och lösenordshanterare
- Nätfiske: så känner du igen bedrägeriförsök
- WireGuard VPN: egen server i 12 steg
- Säkerhet online: dataintrång, lösenord och HTTPS
