Lördagen den 23 augusti 2025 upptäckte det svenska systemföretaget Miljödata att någon hade tagit kontroll över bolagets datamiljö. Inom några dygn stod det klart att attacken inte var ett lokalt driftstopp, utan ett av de största angreppen mot svensk offentlig sektor i modern tid. Runt 200 av landets 290 kommuner och 21 regioner påverkades, känsliga personuppgifter publicerades senare på darknet, och angriparna krävde 1,5 bitcoin i lösen. Tio månader senare, den 15 juni 2026, pågår fortfarande Integritetsskyddsmyndighetens granskning, och fallet har blivit en symbol för den svenska offentliga sektorns beroende av enskilda it-leverantörer.
Den här analysen går igenom vad som faktiskt hände, vilka uppgifter som läckte, hur lösensumman och utpressningen såg ut, och vad attacken betyder för svensk cybersäkerhet i en tid då den nya cybersäkerhetslagen precis har trätt i kraft. Vi tittar också på marknadspåverkan, hur Norden står sig mot varandra, och vad experter och ansvariga ministrar har sagt.
Miljödata-attacken i korthet: vad som hände i augusti 2025
Miljödata är en svensk systemleverantör som driftar HR-, rehabiliterings- och sjukfrånvarosystem åt arbetsgivare, framför allt kommuner och regioner. Bolagets mest använda system heter Adato och Novi och hanterar bland annat läkarintyg, rehabiliteringsärenden samt anmälan och uppföljning av arbetsskador. När angriparna tog sig in i miljön påverkades alltså inte bara ett enskilt it-system, utan ett nav som hundratals offentliga arbetsgivare är beroende av för att sköta sjukskrivningar och arbetsmiljöärenden.
Attacken upptäcktes den 23 augusti 2025 och blev offentligt känd den 27 augusti, när Miljödata bekräftade att bolaget arbetade med externa experter för att utreda omfattningen. Enligt svensk polis hade angriparna tagit över Miljödatas datamiljö och krävde 1,5 bitcoin för att inte publicera det stulna materialet. Det är ett klassiskt mönster av dubbel utpressning: data krypteras eller stjäls, drift slås ut, och offret pressas både på lösen för återställning och på tystnadspengar för att uppgifterna inte ska läcka.
Det som gör Miljödata-fallet ovanligt är inte den tekniska finessen, utan spridningseffekten. Genom att slå mot en enda underleverantör fick angriparna samtidig påverkan på en stor del av svensk kommunal verksamhet. Det är leverantörskedjans svaghet i renodlad form.
Tidslinje: från upptäckt till läckta personnummer
| Datum 2025 | Händelse |
|---|---|
| 23 augusti | Miljödata upptäcker att bolagets datamiljö har tagits över |
| 25 augusti | Omfattande driftstörningar slår mot kommunernas HR- och rehabsystem |
| 27 augusti | Attacken offentliggörs; Miljödata bekräftar utredning med externa experter |
| 28 augusti | Rapporter om att runt 200 kommuner och regioner är drabbade |
| Slutet av augusti | Polisen uppger att angriparna kräver 1,5 bitcoin i lösen |
| September | Stulna uppgifter börjar publiceras på darknet |
| Hösten | Integritetsskyddsmyndigheten (IMY) inleder formell granskning |
Tidslinjen visar hur snabbt ett angrepp mot en underleverantör kan eskalera från ett driftproblem till en nationell integritetskris. Mellan upptäckt och de första läckorna gick det bara några veckor. Det säger något om hur kort tid en organisation har på sig att agera när dubbel utpressning är i spel.
Varför nästan 80 procent av kommunerna var beroende av ett enda system
Enligt flera rapporter levererar Miljödata system till uppemot 80 procent av Sveriges kommuner. När en så stor andel av den offentliga sektorn använder samma leverantör för en kritisk funktion blir den leverantören en så kallad single point of failure. En sårbarhet hos ett bolag översätts då direkt till en sårbarhet hos hundratals myndigheter.
Den här koncentrationen är inte unik för Miljödata. Svensk offentlig sektor har under det senaste decenniet konsoliderat it-tjänster hos ett mindre antal specialiserade leverantörer för att spara pengar och förenkla upphandling. Resultatet är effektivt i vardagen men sårbart i kris. När en kommun köper ett rehabsystem köper den i praktiken också leverantörens säkerhetsnivå, dess incidentberedskap och dess förmåga att stå emot ett riktat angrepp.
Adato och Novi: systemen som hanterar Sveriges sjukfrånvaro
Adato och Novi är inte vilka system som helst. De hanterar uppgifter om människors hälsa: läkarintyg, rehabiliteringsplaner, sjukskrivningar och arbetsskador. Det innebär att den data som flödar genom Miljödatas miljö är bland de känsligaste en arbetsgivare behandlar. När sådan information hamnar i orätta händer handlar konsekvenserna inte bara om identitetsstöld, utan om att privata hälsouppgifter kan användas för utpressning eller diskriminering.
Vilka uppgifter läckte ut
Enligt tjänsten Have I Been Pwned, som registrerade intrånget, innehöll det publicerade materialet namn, telefonnummer, fysiska adresser, födelsedatum och svenska personnummer. Flera källor pekar dessutom på att de drabbade systemen rörde hälsorelaterad information som läkarintyg och rehabiliteringsdata, vilket höjer känslighetsnivån även när varje enskild post inte innehåller kliniska detaljer.
Kombinationen av personnummer, fullständigt namn, adress och kontaktuppgifter är precis den uppsättning som bedragare behöver för riktade bedrägerier och kontoövertaganden. Till skillnad från ett läckt lösenord, som går att byta, går ett personnummer inte att återkalla. Den som har fått sitt personnummer exponerat lever med risken under överskådlig tid. Det är därför läckor av den här typen väger tyngre än många rena lösenordsläckor.
| Uppgiftstyp | Exponerad i läckan | Går att återställa? |
|---|---|---|
| Namn | Ja | Nej |
| Personnummer | Ja | Nej |
| Adress och telefonnummer | Ja | Delvis |
| Födelsedatum | Ja | Nej |
| E-postadress | Ja (870 100 unika) | Delvis |
| Hälso- och sjukfrånvarodata | Indikerat i drabbade system | Nej |
870 000 e-postadresser och frågan om 1,5 miljoner drabbade
Hur många människor som faktiskt drabbades är fortfarande omtvistat. Det säkraste verifierade talet kommer från Have I Been Pwned, som anger 870 100 unika e-postadresser i det publicerade materialet. Flera senare analyser har angett en högre siffra, upp till cirka 1,5 miljoner personer, men den uppgiften är inte bekräftad av den primära intrångsregistreringen och bör behandlas som osäker.
Skillnaden mellan 870 000 och 1,5 miljoner är inte akademisk. Den avgör hur stor andel av Sveriges vuxna befolkning som potentiellt är berörd, och därmed hur allvarligt fallet ska bedömas av tillsynsmyndigheten. Oavsett vilken siffra som visar sig stämma rör det sig om en av de mest omfattande exponeringarna av svenska personuppgifter någonsin. Vi använder det verifierade talet 870 100 e-postadresser som golv, och flaggar 1,5 miljoner som ett tak som ännu inte är styrkt.
1,5 bitcoin: lösensumman och logiken bakom dubbel utpressning
Polisen uppgav att angriparna krävde 1,5 bitcoin. Vid tidpunkten motsvarade det grovt räknat omkring 1,5 miljoner kronor, eller ungefär 165 000 till 170 000 US-dollar. I sammanhanget är det en blygsam summa. Att kräva relativt lite av ett offer med stor spridningseffekt är en medveten strategi: lösen sätts ofta på en nivå där det framstår som billigare att betala än att hantera konsekvenserna, samtidigt som angriparen kan upprepa modellen mot många mål.
Dubbel utpressning innebär att betalning inte garanterar något. Även om ett offer betalar för att få tillbaka driften finns datan kvar hos angriparen, som kan välja att publicera den ändå eller sälja den vidare. I Miljödata-fallet publicerades uppgifter på darknet, vilket understryker varför svenska myndigheter och CERT-SE konsekvent avråder från att betala lösen. Betalning finansierar nästa attack och ger ingen verklig säkerhet.
Reaktioner: ministern, polisen och Miljödatas vd
Carl-Oskar Bohlin, minister för civilt försvar, sade enligt nyhetsrapporteringen att det var för tidigt att bedöma de faktiska konsekvenserna och att regeringen tog incidenten på största allvar. Han uppgav också att CERT-SE hade erbjudit råd och stöd och att det nationella cybersäkerhetscentret samordnade åtgärder. Att en minister gick ut offentligt visar hur snabbt fallet klassades som en fråga om nationell säkerhet och inte bara ett enskilt it-haveri.
Miljödatas vd Erik Hallén uppgav att bolaget arbetade intensivt med externa experter för att utreda vad som hänt, vilka som drabbats och att återställa funktionaliteten. Från polisens sida bekräftade talespersonen Helena Renberg att angriparna hade tagit över Miljödatas datamiljö och krävde 1,5 bitcoin. Säkerhetsanalytiker, däribland skribenter på Bitdefender, ramade in händelsen som ett typexempel på tredjepartsrisk och dubbel utpressning, snarare än ett tekniskt sofistikerat angrepp.
Den samlade bilden från de namngivna källorna är samstämmig på en punkt: ingen av dem ville i det tidiga skedet bekräfta en specifik hotaktör. Trots spekulationer fanns ingen offentlig, auktoritativ attribuering till en namngiven utpressargrupp, vilket är vanligt i den första fasen av den här typen av utredningar.
IMY:s granskning och vad böterna kan landa på
Under hösten 2025 inledde Integritetsskyddsmyndigheten (IMY) en formell granskning av Miljödatas hantering av personuppgifter och bolagets skyldigheter vid incidenten. Per den 15 juni 2026 finns inget bekräftat bötesbelopp eller slutgiltig sanktion offentliggjord. Granskningen pågår, och det är den som avgör om Miljödata, eller de personuppgiftsansvariga kommunerna, brustit i sina skyldigheter enligt dataskyddsförordningen.
Den centrala juridiska frågan är vem som bär ansvaret. Kommunerna är personuppgiftsansvariga, medan Miljödata är personuppgiftsbiträde. Ett biträde som hanterar känsliga uppgifter ska ha lämpliga tekniska och organisatoriska säkerhetsåtgärder. Brister där kan leda till sanktioner, men de personuppgiftsansvariga kommunerna har också ett eget ansvar att välja och granska sina biträden. Fallet kommer sannolikt att pröva exakt var den gränsen går.
Sanktionstaket beror på vilket regelverk som tillämpas. Tabellen nedan jämför de yttre ramarna under GDPR och den nya cybersäkerhetslagen, som genomför EU:s NIS2-direktiv i svensk rätt.
| Regelverk | Maxsanktion | Andel av omsättning | Tillsynsmyndighet |
|---|---|---|---|
| GDPR, allvarligast | 20 miljoner euro | 4 % av global årsomsättning | IMY |
| NIS2, väsentliga verksamheter | 10 miljoner euro | 2 % av global årsomsättning | MSB och sektorsmyndigheter |
| NIS2, viktiga verksamheter | 7 miljoner euro | 1,4 % av global årsomsättning | MSB och sektorsmyndigheter |
För ett bolag av Miljödatas storlek är det procenttaken, inte de absoluta beloppen, som blir relevanta. Poängen med jämförelsen är att visa att tillsynen numera har flera spår att gå: GDPR för själva personuppgiftsbehandlingen, och cybersäkerhetslagen för bristande säkerhetsåtgärder och rapportering. Läs mer om det nya regelverket i vår genomgång av cybersäkerhetslagen och NIS2.
Tredjepartsrisk: den verkliga lärdomen för offentlig sektor
Miljödata-attacken är i grunden en lektion i leverantörsrisk. De flesta kommuner gjorde ingenting fel i sina egna system. Ändå drabbades de, eftersom deras data låg hos en gemensam leverantör. Det är den obekväma sanningen med modern it: din säkerhet är bara så stark som den svagaste länken i din leverantörskedja, och den länken kontrollerar du sällan själv.
För en kommunal it-chef innebär det att riskhanteringen måste flytta ut från det egna nätverket. Det räcker inte att granska sina egna brandväggar och behörigheter. Man måste också ställa hårda krav på biträdesavtal, kräva insyn i leverantörens säkerhetsarbete, och ha en plan för vad som händer när, inte om, en kritisk leverantör drabbas. Den nya cybersäkerhetslagen pressar fram exakt den typen av leverantörsstyrning genom sina krav på riskhantering i hela kedjan.
Konkret checklista för leverantörsgranskning
- Kartlägg vilka leverantörer som behandlar känsliga personuppgifter och hur kritiska de är
- Kräv dokumenterade säkerhetsåtgärder, kryptering i vila och i transit, samt logghantering
- Avtala om incidentrapportering med tydliga tidsfrister som speglar 24- och 72-timmarskraven
- Testa återställning från backup för det fall en leverantör slås ut helt
- Begär bevis på oberoende säkerhetsrevision, inte bara leverantörens egna försäkringar
Marknadspåverkan: konsolidering, försäkring och upphandling
På marknadsnivå har Miljödata-fallet flera effekter. För det första sätter det press på den koncentration som byggts upp i kommunsektorn. När en leverantör betjänar fyra av fem kommuner blir frågan om diversifiering plötsligt en säkerhetsfråga och inte bara en upphandlingsfråga. Förvänta dig att kommande upphandlingar väger in leverantörens säkerhetsmognad tyngre, och att fler aktörer släpps in för att sprida risken.
För det andra påverkar det cyberförsäkringsmarknaden. Försäkringsgivare har de senaste åren skärpt kraven för att teckna cyberförsäkring, och ett uppmärksammat fall som detta används som argument för högre premier och strängare villkor. Organisationer som inte kan visa grundläggande hygien, som multifaktorautentisering och segmenterade nätverk, får svårare och dyrare att försäkra sig.
För det tredje förändrar det köpbeteendet. Säkerhet blir en konkurrensfördel som leverantörer kan ta betalt för, snarare än en kostnad som pressas bort i upphandling. Det är en hälsosam förskjutning, men den tar tid och kostar pengar som ytterst belastar skattebetalarna.
Historisk kontext: Sverige har varit här förut
Miljödata är inte det första storskaliga angreppet mot svensk samhällsviktig verksamhet. Sverige har under senare år sett upprepade störningar mot allt från handel och betalsystem till medier och offentliga tjänster. Det återkommande mönstret är att angriparna inte siktar på den bäst skyddade myndigheten, utan på den underleverantör eller den gemensamma tjänst som ger störst spridning för minsta möjliga ansträngning.
Det som skiljer Miljödata från tidigare fall är kombinationen av tre saker: bredden i antalet drabbade myndigheter, känsligheten i datan, och tajmingen. Attacken inträffade bara månader innan cybersäkerhetslagen trädde i kraft den 15 januari 2026, vilket gjorde fallet till ett oavsiktligt skyltfönster för precis de risker den nya lagen är tänkt att adressera. Den som vill förstå hotbilden mot Sverige bredare kan läsa vår analys av cyberattacker mot Sverige och ransomware i Norden 2026.
Konkurrensjämförelse: hur Norden står sig
Sverige sticker ut i Norden, och inte på ett positivt sätt. Enligt DNV:s rapport om nordisk cyberresiliens från 2026 observerades 60 cyberincidenter som påverkade svenska organisationer under 2025. Det är fler än i något annat nordiskt land. Finland noterade 44, Danmark 41 och Norge 21. Att Sverige toppar listan beror delvis på landets storlek och digitaliseringsgrad, men det understryker också att den svenska attackytan är stor och attraktiv.
| Land | Observerade cyberincidenter 2025 | Relativt Sverige |
|---|---|---|
| Sverige | 60 | Referens |
| Finland | 44 | 27 % färre |
| Danmark | 41 | 32 % färre |
| Norge | 21 | 65 % färre |
Siffrorna ska tolkas med försiktighet, eftersom rapportering och definitioner varierar mellan länderna. Men trenden är tydlig nog: Sverige är ett prioriterat mål, och Miljödata-attacken passar in i ett mönster där svenska organisationer drabbas oftare än grannländernas. Det gör den svenska implementeringen av NIS2 desto mer angelägen.
Fem förutsägelser för svensk cybersäkerhet efter Miljödata
Baserat på hur fallet utvecklats och hur regelverket nu ser ut är det rimligt att vänta sig följande under resten av 2026 och in i 2027.
- IMY landar i en sanktion. Granskningen pågår, men med den omfattning och känslighet som fallet har är det sannolikt att det leder till någon form av sanktion eller kraftfull tillsynsåtgärd innan året är slut.
- Leverantörskoncentrationen blir politisk. Att en leverantör betjänar uppemot 80 procent av kommunerna kommer att utlösa krav på diversifiering och beredskapskrav i offentlig upphandling.
- Cybersäkerhetslagen får sitt första prövningsfall. Miljödata-liknande incidenter blir testbänk för hur MSB och sektorsmyndigheterna tillämpar de nya rapporterings- och säkerhetskraven.
- Cyberförsäkring blir dyrare och mer selektiv. Premierna stiger och kraven på grundläggande säkerhetshygien hårdnar för offentlig sektor.
- Personnummer som identifierare ifrågasätts. Den upprepade exponeringen av personnummer driver debatten om svagheterna i att använda ett oföränderligt nummer som både identifierare och autentiserare.
Så skyddar din organisation sig mot leverantörsattacker
Den enskilda organisationen kan inte styra över sina leverantörers säkerhet, men den kan minska sin exponering. Grunden är fortfarande oförändrad: stark autentisering, segmenterade nätverk, krypterad lagring och testade backuper. Ovanpå det krävs aktiv leverantörsstyrning, där varje kritiskt biträde granskas och avtalas med tydliga säkerhets- och rapporteringskrav.
För individer som drabbats av läckan är råden enkla men viktiga: var extra vaksam mot riktade bedrägeriförsök som använder läckta personuppgifter, kontrollera om din e-postadress finns med i kända läckor, och överväg bedrägerispärr om du misstänker att ditt personnummer cirkulerar. Mer praktisk vägledning finns i vår guide om lösenordssäkerhet och vår förklaring av hur dataintrång fungerar.
Vad Miljödata-fallet betyder på längre sikt
Det verkligt allvarliga med Miljödata är inte de enskilda tekniska detaljerna, utan vad fallet avslöjar om strukturen. Svensk offentlig sektor har byggt en effektiv men sårbar digital infrastruktur där ett fåtal leverantörer bär oproportionerligt stor risk. En angripare behöver inte längre slå mot 200 kommuner. Den behöver bara slå mot den ena leverantör som alla 200 är beroende av.
Cybersäkerhetslagen är ett svar på precis det problemet, med krav på riskhantering i hela leverantörskedjan och skarpare rapporteringsskyldigheter. Men lag löser inte ensam strukturproblem. Det krävs också medvetna val i upphandling, vilja att betala för säkerhet, och en insikt om att digitalisering utan resiliens är en skuld som förr eller senare förfaller. Miljödata-attacken blev den räkning som tvingade Sverige att se den skulden i vitögat.
Vanliga frågor om Miljödata-attacken
När inträffade Miljödata-attacken?
Intrånget upptäcktes lördagen den 23 augusti 2025 och blev offentligt känt den 27 augusti 2025. Stulna uppgifter började publiceras på darknet under den efterföljande tiden.
Hur många drabbades av Miljödata-läckan?
Runt 200 av Sveriges kommuner och regioner påverkades av driftstörningarna. När det gäller personuppgifter är det säkraste verifierade talet 870 100 unika e-postadresser i det publicerade materialet. Vissa analyser anger upp till 1,5 miljoner drabbade personer, men den siffran är inte bekräftad.
Vilken lösensumma krävde angriparna?
Enligt svensk polis krävde angriparna 1,5 bitcoin, vilket vid tidpunkten motsvarade ungefär 1,5 miljoner kronor eller cirka 165 000 till 170 000 US-dollar.
Vilka uppgifter läckte ut?
Det publicerade materialet innehöll namn, telefonnummer, adresser, födelsedatum och svenska personnummer. De drabbade systemen Adato och Novi hanterar dessutom hälsorelaterad information som läkarintyg och rehabiliteringsdata.
Har Miljödata fått böter?
Per den 15 juni 2026 har Integritetsskyddsmyndigheten en pågående granskning, men inget bekräftat bötesbelopp eller slutgiltig sanktion har offentliggjorts.
Vad var Miljödatas roll i kommunernas it?
Miljödata är en systemleverantör som driftar HR-, rehabiliterings- och sjukfrånvarosystem, framför allt Adato och Novi, åt en stor del av Sveriges kommuner. Bolaget agerar personuppgiftsbiträde åt kommunerna, som är personuppgiftsansvariga.
Ska man betala lösen vid ransomware?
Svenska myndigheter och CERT-SE avråder från att betala. Vid dubbel utpressning garanterar betalning inget, eftersom angriparen behåller datan och kan publicera eller sälja den ändå. I Miljödata-fallet publicerades uppgifter på darknet.
Hur skyddar jag mig om mina uppgifter läckt?
Var vaksam mot riktade bedrägerier, kontrollera om din e-postadress finns i kända läckor via tjänster som Have I Been Pwned, och överväg bedrägerispärr om du misstänker att ditt personnummer missbrukas.
Relaterad bevakning
- Cybersäkerhetslagen: 8 000 företag och 2 % böter under NIS2
- Ransomware 2026: Sverige värst i Norden med 60 incidenter
- Cyberattacker mot Sverige: 3 215 i veckan
- Ryskt sabotage mot kritisk infrastruktur: 60 fall
- Dataintrång: hur de sker och hur du skyddar dig
- Cybersäkerhet: vår samlade bevakning
