Sverige registrerade 60 cyberincidenter mot kritisk infrastruktur under 2025, mer än något annat nordiskt land, enligt DNV Cybers rapport How Cyber Resilient is Sweden? publicerad i februari 2026. Finland följde med 44 incidenter, Danmark med 41 och Norge med 21. Rapporten blottar en djupare strukturell sårbarhet: 54% av chefer inom kritisk infrastruktur betraktar nationell cyberresiliens som “någon annans ansvar”, och 1 av 5 svenska medborgare (21%) uppger att cyberincidenter påverkat deras vardagsliv under de senaste tolv månaderna.
Siffrorna sammanfaller med en ny rättslig verklighet. Den 15 januari 2026 trädde cybersäkerhetslagen i kraft, Sveriges implementation av EU:s NIS2-direktiv. Lagen ställer krav på riskbaserade säkerhetsåtgärder, kortare incidentrapporteringstider och omsättningsbaserade sanktionsavgifter för privata verksamhetsutövare. Trots det juridiska trycket visar DNV:s forskning att ansvarsfördelningen fortsatt är oklar, en kombination som gör Sverige till ett attraktivt mål för statsaktörer, cyberkriminella och hacktivister.
Sverige toppar Norden: 60 incidenter mot Finlands 44 och Danmarks 41
DNV Cyber Threat Intelligence spårar bekräftade, misstänkta och påstådda attacker och intrång mot nordiska organisationer. Under 2025 registrerade verktyget 166 incidenter totalt för Sverige, Norge, Finland och Danmark. Sverige stod ensamt för 36% av dem.
Att Sverige har flest incidenter förklaras delvis av landets storlek och ekonomiska profil: Sverige är Nordens folkrikaste land, har en exporttung industristruktur och en hög digitaliseringsgrad inom offentlig sektor. Energi, tillverkning, transport och telekommunikation utgör sektorer där driftstörningar snabbt sprider sig till samhällsfunktioner. Men volym är inte detsamma som sårbarhet. DNV:s forskning visar att problemet lika mycket handlar om bristande ledarskapsansvar som om teknisk exponering.
En tredjedel av chefer inom kritisk infrastruktur förväntar sig en omfattande störning av leveranskedjor och offentliga tjänster under 2026. Bland svenska medborgare uppger 60% att de räknar med en samhällsomstörtande cyberincident de kommande åren, ett tal som överstiger EU-genomsnittet med bred marginal. Den kombinationen av incidenthög frekvens, lågt ledarskapansvar och hög allmän oro skapar en farlig spänning i Sveriges cyberresiliensbild.
| Land | Cyberincidenter 2025 | Andel av nordisk total | Viktigaste hotsektor |
|---|---|---|---|
| Sverige | 60 | 36% | Energi, tillverkning, telekom |
| Finland | 44 | 27% | Hälso- och sjukvård, energi |
| Danmark | 41 | 25% | Sjöfart, finans, kritisk infrastruktur |
| Norge | 21 | 13% | Petroleumsektor, offshore |
| Norden totalt | 166 | 100% | Kritisk infrastruktur |
Källa: DNV Cyber Threat Intelligence, Nordic Cyber Resilience 2026
Ansvarsglapp: 54% av infrastrukturchefer ser bort från problemet
Det mest slående fyndet i DNV:s Sverige-rapport är inte antalet incidenter utan attityden bakom dem. Annika Nevaste, cyber specialist på DNV, formulerade det tydligt när rapporten publicerades: “Vår nya DNV Cyber-rapport sänder en tydlig signal: 54% av chefer inom kritisk infrastruktur ser fortfarande nationell cyberresiliens som ‘någon annans ansvar’. I ett land lika sammankopplat som Sverige är det en strategisk sårbarhet.”
I den norska delen av DNV:s nordiska studie framkommer ett nästan identiskt mönster. Bland norska chefer i EU-klassificerade kritiska sektorer uppger 52% att ledare i deras organisation ser resiliens för kritisk infrastruktur som någon annans ansvar. Mer alarmerande: 32% är inte ens säkra på om deras organisation ingår i kritisk infrastruktur överhuvudtaget.
Det innebär att Sverige och Norge delar ett strukturellt problem. Ansvar diffunderas uppåt mot staten eller nedåt mot IT-avdelningar och förankras aldrig i strategiska ledningsgrupper. Det är exakt den luckan som statsfinansierade hotaktörer och sofistikerade ransomware-grupper utnyttjar. En attack mot ett energibolag behöver inte bryta ner hela nätverket för att vara effektiv. Det räcker med att skapa tvivel, förvirring om ansvar och försenad respons för att uppnå det strategiska målet.
DNV:s rapport slår fast att “vi alla måste ta större ansvar för att skydda Sveriges kritiska infrastruktur”, ett budskap som riktar sig lika mycket till styrelserum som till teknikavdelningar. Den nuvarande situationen, där säkerhet uppfattas som en IT-fråga snarare än en ledarskaps- och ägarfråga, är inte hållbar under det eskalerande hotlandskapet.
Kritisk infrastruktur i skottlinjen: energi, sjukvård och telekommunikation
Sopra Steria dokumenterar i sin State of Cyber Security 2026-rapport att nordiska hotaktörer koncentrerar sina attacker mot sektorer som underbygger samhällskritisk funktion. Sjukvården är det mest angripna segmentet i hela EU och stod för 38% av alla rapporterade incidenter under 2025. Energi och telekommunikation följer tätt efter, med petroleumsektorn i Norge som ett återkommande högt värderat mål.
Ransomware-attacker mot energisektorn leder regelbundet till driftstopp, produktionsstillestånd och återhämtningskostnader i miljonklassen. Datastölder riktas mot immateriella tillgångar och affärskritisk information. Spionageoperationer utförs ofta av statsfinansierade APT-grupper vars primära mål är långsiktig geopolitisk underrättelseinhämtning, inte omedelbar ekonomisk vinning.
Dragos har i sin Nordic cyber threat intelligence-rapport lyft fram snabb vapensättning av exploits mot VPN-lösningar, framför allt Cisco SSL VPN, som en omedelbar risk för ägare av förnybara energitillgångar i regionen. Angripare utnyttjar dessa ingångspunkter för att nå operativ teknik (OT) och industriella styrsystem (ICS), där konsekvenserna av en lyckad attack kan vara fysiska och svåra att reversera. När en angreppskod väl har etablerats i ett OT-system kan den ligga sovande i månader innan den aktiveras.
Om Sveriges energi, tillverkning, transport eller telekomsektorer drabbas av allvarlig störning, påverkas samhällets funktionalitet snabbt och brett. Det är vad som gör just dessa sektorer till prioriterade mål, och det är den riskbild som cybersäkerhetslagen nu försöker adressera med bindande krav.
Norsk dammhackning 2025: ett varningstecken för hela Norden
I april 2025 hackades ett norskt vattenkraftverk. Angriparna öppnade en dammport och frigav 500 liter vatten per sekund under fyra timmar, i vad norska myndigheter beskrev som ett medvetet sabotagebrott. Händelsen, dokumenterad i WEF:s Global Cybersecurity Outlook 2026, är ett av de tydligaste exemplen hittills på hur cyberattacker mot operativ teknik kan orsaka direkta fysiska konsekvenser.
Incidenten fick omedelbar resonans i Sverige. I februari 2026 uppmanade svenska myndigheter energisektorn att höja sina säkerhetsnivåer efter en cyberattack mot polsk infrastruktur, enligt Reuters. Beslutet illustrerar hur ett angrepp mot ett grannland direkt triggar beredskapsåtgärder i Sverige, ett tecken på att nordiska länder börjar behandla cybersäkerhet som en kollektiv geopolitisk fråga snarare än en intern IT-angelägenhet.
Norges Gassco, som förvaltar ett extensivt nät av rörledningar och terminaler för naturgasförsörjning till Europa, bekräftade vid tillfället att det inte förelåg ett omedelbart hot mot norsk gasinfrastruktur. Men varningstecknet är tydligt: angripare testar gränsen mellan cyberspionage och fysisk sabotage mot energiinfrastruktur, och Norden befinner sig i skottlinjen.
Hotaktörerna: statsaktörer, cyberkriminella och hacktivister
Sopra Sterias State of Cyber Security 2026 identifierar tre primärkategorier av hotaktörer mot Norden: statsfinansierade APT-grupper, cyberkriminella organisationer och hacktivister. Kombinationen driver en alltmer komplex hotmiljö där gränsen mellan brottslighet och statssponserat spionage suddas ut och försvårar attribuering.
Statsfinansierade APT-grupper söker i första hand underrättelseinformation, industrihemligheter och möjligheter att etablera persistent access i kritiska nätverk. Deras verksamhet är ofta tålmodig: de infiltrerar, dokumenterar och inväntar rätt tillfälle utan att omedelbart orsaka störningar. Syftet är geopolitisk fördel, inte omedelbar ekonomisk vinning. Cyberkriminella grupper, inklusive ransomware-operatörer, arbetar däremot med kortare tidshorisonter och fokuserar på ekonomisk avkastning via utpressning och datastöld.
Hacktivister, ofta kopplade till pågående geopolitiska konflikter, riktar sig mot synlighet och störning. Deras attacker, som DDoS-angrepp och webbplatsdefaceringar, är sällan tekniskt sofistikerade men kan orsaka kommunikationsstörningar och förtroendeskada under kritiska perioder. Under 2024 och 2025 drabbade hacktivistkampanjer med kopplingar till pro-ryska grupper flertalet nordiska mål, inklusive svenska mediebolag och myndighetswebbplatser.
En senior svensk försvarschef uttryckte det kärnfullt i ett uttalande till The Record i februari 2026: “Cyber- och hybridhot är nu en permanent del av Europas säkerhetsmiljö.” Det markerar ett officiellt skifte i synsätt, från att behandla cyberangrepp som episodiska händelser till att betrakta dem som en konstant förutsättning för all samhälls- och säkerhetsplanering.
Cybersäkerhetslagen: NIS2 i kraft sedan 15 januari 2026
Den 15 januari 2026 trädde den svenska cybersäkerhetslagen i kraft, implementerande EU:s NIS2-direktiv (direktiv 2022/2555). Lagen upphäver den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster och utvidgar avsevärt antalet sektorer och verksamheter som berörs. Enligt Chambers cybersecurity guide för Sverige 2026 är lagen organiserad kring tre strategiska pelare:
- Systematiskt och effektivt cybersäkerhetsarbete
- Stärkt kunskaps- och kompetensutveckling
- Förbättrad förmåga att förebygga och hantera cybersäkerhetsincidenter
Jämfört med föregångaren ställer den nya lagen krav på riskanalys, affärskontinuitetsåtgärder, leveranskedjesäkerhet och personalsäkerhetsåtgärder. Incidentrapportering är strukturerad i obligatoriska steg med korta tidsfrister. För privata väsentliga och viktiga verksamhetsutövare gäller omsättningsbaserade maximiböter vid överträdelser, en väsentlig skärpning jämfört med tidigare regler.
Sveriges tillsynsmyndigheter, inklusive NCSC-SE och MSB, spelar centrala roller i att övervaka efterlevnaden och samordna nationella incidentsvar. Lagen ger dem utökade befogenheter att genomföra tillsyn och utfärda bindande korrigeringskrav. Implementationsarbetet innebär nu ett reellt juridiskt tryck på tusentals svenska verksamheter att prioritera cybersäkerhet på ett sätt som de inte gjort tidigare.
Utmaningen är att cybersäkerhetslagen träder i kraft samtidigt som hotlandskapet eskalerar och kompetensgapet vidgas. Organisationer som juridiskt tvingas uppfylla NIS2 behöver inte bara investera i teknik utan framför allt i kompetens och processer, precis de resurser som är svårast att anskaffa snabbt.
DNV:s 8 rekommendationer för att stärka Sverige
DNV:s Sverige-rapport avslutas med åtta konkreta åtgärder för att stärka landets cyberresiliens. Listan riktar sig lika mycket till staten som till enskilda företag och betonar att tekniska lösningar ensamma inte räcker. Ledarskap, offentlig-privat samverkan och folkbildning är lika viktiga komponenter:
- Samverka och förstå sårbarheter i leveranskedjor bättre
- Flytta fokus mot respons och återhämtning, inte enbart förebyggande
- Stärk regleringen och skapa ekonomiska incitament för säkerhetsinvesteringar
- Bygg förståelse för vad kritisk infrastruktur faktiskt innefattar
- Klargör ansvaret inom nationell cyberresiliens
- Bygg cyber- och AI-kompetens brett i arbetslivet
- Engagera allmänheten i cybersäkerhetsfrågor aktivt
- Förbered allmänheten för cyberstörningar som påverkar vardagslivet
Rekommendation 5, att klargöra ansvaret, är direkt kopplad till rapportens centrala fynd: mer än hälften av infrastrukturchefer känner sig inte ansvariga för nationell resiliens. Tekniska lösningar kan inte kompensera för en organisation där ingen i ledningsgruppen äger cybersäkerhetsfrågan som strategisk prioritet.
Exploateringstid och CISO-utmaningar: vad nordiska säkerhetsledare ser
Truesecs Nordic CISO Report 2026, baserad på exklusiva intervjuer med säkerhetsledare i Norden, visar att angripare rör sig snabbare från initial access till full kompromiss. Exploateringstiden för kända sårbarheter har minskat dramatiskt, vilket sätter försvarares detektions- och responshastighet under extremt tryck. Truesecs analys visar att exploateringstiden rasat med 95%, en förändring som tvingar organisationer att omprioritera från reaktiv incident response till proaktiv hotjakt.
Nordiska CISO:er identifierar tre huvudsakliga hinder för stärkt cyberresiliens enligt WEF:s Global Cybersecurity Outlook 2026: det snabbt föränderliga hotlandskapet och framväxande teknologier (61%), tredjepartsrisker och sårbarheter i leveranskedjor (46%) och brist på cyber- och AI-kompetens (45%). Siffrorna bekräftar att resursbrist är ett lika stort hinder som teknisk exponering.
En organisation som räknar med dagar för att reagera på en initial indikation befinner sig redan bakom angriparen i ett modernt hotscenario. Det kräver investeringar i continuous monitoring, automatiserad detektion och välövade incidentresponsplaner, inte bara brandväggar och antivirusprogram.
Jämförelse: nordiska länders cyberresiliensstatus 2026
DNV:s serie av landsspecifika rapporter ger en unik möjlighet att jämföra nordiska länders cyberresiliensstatus. Varje rapport bedömer hotlandskapet, nationell beredskap och identifierar landsspecifika utmaningar. Resultaten visar stora likheter i sårbarhetsmönster men också viktiga skillnader i ansvarssyn och regleringsdjup.
| Indikator | Sverige | Norge | Finland | Danmark |
|---|---|---|---|---|
| Incidenter 2025 | 60 | 21 | 44 | 41 |
| Medborgare vars vardag påverkats | 21% | Ej publicerat | Ej publicerat | Ej publicerat |
| Chefer: resiliens är andras ansvar | 54% | 52% | Ej publicerat | Ej publicerat |
| Förväntar sig samhällsstörning | 60% | Ej publicerat | Ej publicerat | Ej publicerat |
| NIS2-implementation | 15 jan 2026 | Ej EU-medlem | Implementerad | Implementerad |
| Nationell CSIRT/CERT | NCSC-SE, MSB | NSM NorCERT | NCSC-FI | CFCS |
| DNV-rapport publicerad | Feb 2026 | Feb 2026 | Mar 2026 | Apr 2026 |
Källa: DNV Nordic Cyber Resilience 2026, sammanställning av landsrapporter
Marknadsimpakt: hur hotbilden förändrar nordiska säkerhetsinvesteringar
Det ökade antalet incidenter och cybersäkerhetslagens ikraftträdande driver märkbara beteendeförändringar på marknaden. Organisationer som berörs av den nya lagen tvingas investera i riskanalyser, kontinuitetsplaner och leveranskedjesäkerhet inom strikta tidsramar. Det skapar en strukturell efterfrågeökning på cybersäkerhetstjänster under det inledande implementationsåret.
Cyberattackerna i Sverige ökade med 70% och driver marknaden mot 2 miljarder dollar, en tillväxttakt som speglas i det bredare nordiska investeringsmönstret. Cyberförsäkringsbolag anpassar sina riskmodeller med ökade premier för verksamheter inom kritisk infrastruktur som saknar dokumenterade kontroller och incidentresponsplaner.
CyberSec Nordic 2026 i Stockholm, marknadsförd som årets största CISO-konferens med 500 deltagare och 25 talare, speglar hur aktivt säkerhetsledarskapet engagerar sig i dessa frågor. Att konferensen hålls i Sverige är inte en slump: landet är inte bara ett av de mest drabbade i Norden utan också ett center för nordisk cybersäkerhetsexpertis och policyutveckling.
ENISA:s europeiska hotanalys understryker att energisektorn är det mest angripna segmentet i hela EU, med 38% av alla rapporterade incidenter. Det innebär att nordiska energibolag navigerar i den hårdaste delen av det europeiska hotlandskapet, ett faktum som borde styra prioritering av säkerhetsinvesteringar mot OT-skydd och leveranskedjesäkerhet.
Sverige mot EU: position i det europeiska cyberresilienspanoramat
WEF Global Cybersecurity Outlook 2026 visar att 64% av organisationer globalt rapporterar att de uppfyller sin miniminivå för cyberresiliens, en siffra som döljer enorma skillnader mellan sektorer och länder. Sverige toppade Norden i WEF:s cyberresiliensmätning, men DNV:s incidentdata visar att en topplacering i resiliensmätningar inte är synonymt med immunitet mot attacker.
EU:s NIS2-direktiv skapar ett gemensamt golv för incidenthantering och säkerhetskrav i hela unionen. Men golvet är inte ett tak. Sverige, som implementerar NIS2 ambitiöst och kombinerar det med en nationell cybersäkerhetsstrategi kring tre pelare, har möjlighet att röra sig snabbare mot proaktiv resiliens snarare än reaktiv compliance. Den möjligheten kräver dock att ansvarsglappet på ledarskapsnivå adresseras aktivt, inte bara att lagstiftningens formella krav uppfylls.
Det är en viktig distinktion. Compliance är ett golv. Resiliens är ett tillstånd. En organisation kan vara fullt NIS2-compliant och ändå vara sårbar för en sofistikerad APT-attack som utnyttjar mänskliga faktorer, leveranskedjesvagheter eller sårbarheter i OT-systemen. DNV:s 8 rekommendationer syftar just till att adressera det bredare resiliensmålet, inte bara det juridiska minimikravet.
5 prediktioner: nordisk cyberresiliens 2026 och 2027
Baserat på DNV:s forskning, Sopra Sterias hotanalys och Truesecs Nordic CISO-rapport framträder fem sannolika utvecklingstrender:
- Sverige kommer att se fortsatt höga incidentvolymer 2026. Med 60 incidenter 2025 och ett oförändrat ansvarsglapp på ledarskapsnivå finns inga strukturella skäl att förvänta sig en minskning. NIS2-rapporteringskraven ökar sannolikt den registrerade volymen ytterligare, snarare än att antalet faktiska attacker minskar.
- OT/ICS-attacker mot energisektorn eskalerar. Den norska dammincidenten 2025 visar att angripare testar gränsen mellan cyberspionage och fysisk sabotage. Svenska energi- och vattenförsörjningsbolag bör räkna med att det hotmönstret sprider sig till Sverige.
- Supply chain-attacker ökar mot nordiska leverantörer. Sopra Sterias analys pekar mot att indirekt attack via underleverantörer är ett växande vektormönster. Många nordiska SMF saknar resurser för att matcha NIS2-kraven, vilket skapar svaga punkter i leveranskedjan för stora infrastrukturoperatörer.
- AI-driven phishing och automatiserade operationer ökar i effektivitet. Sopra Steria noterar en tydlig förskjutning mot AI-drivna nätfiskeattacker och automatiserade operationer som orsakar driftsstörningar under veckor. Nordiska organisationer som inte investerar i AI-assisterat försvar riskerar att systematiskt halka efter angriparna.
- Första NIS2-sanktionsärenden mot svenska företag avgörs senast kvartal 4, 2026. Med cybersäkerhetslagen i kraft sedan januari och MSB:s utökade tillsynsbefogenheter är det sannolikt att de första sanktionsärendena landar under 2026, vilket fungerar som en stark marknadssignal om allvaret i de nya reglerna.
Relaterat innehåll
- Sverige under cyberattack: BankID, SVT och banker drabbade [2026]
- WEF 2026: 19% klarar cyberresiliens, Sverige toppar Norden
- Cybersäkerhetslagen: 6 000 företag under NIS2 [2026]
- Nordic CISO-rapport: exploiteringstid rasar 95% [2026]
- Verizon DBIR 2026: 22 000 dataintrång, sårbarhet tar täten
- Deepfake-bedrägerier: 630 Mkr förlorade i Sverige [2026]
FAQ: Vanliga frågor om nordisk cyberresiliens 2026
Varför har Sverige flest cyberincidenter i Norden?
Sverige är Nordens folkrikaste land med den mest diversifierade och digitaliserade ekonomin. Det ger angripare fler potentiella ingångspunkter. DNV:s forskning pekar också på ett ansvarsglapp på ledarskapsnivå: 54% av infrastrukturchefer ser inte nationell cyberresiliens som sitt ansvar, vilket skapar organisatoriska luckor som kan exploateras.
Vad är den svenska cybersäkerhetslagen?
Cybersäkerhetslagen, som trädde i kraft den 15 januari 2026, implementerar EU:s NIS2-direktiv i Sverige. Den ställer krav på riskbaserade säkerhetsåtgärder, obligatorisk incidentrapportering inom korta tidsfrister och inför omsättningsbaserade sanktionsavgifter för privata väsentliga och viktiga verksamhetsutövare. Lagen täcker fler sektorer och verksamheter än sin föregångare.
Vilka sektorer är mest utsatta för cyberattacker i Sverige?
Energi, tillverkning, transport och telekommunikation pekas ut av DNV som de sektorer där en allvarlig störning snabbast påverkar samhällsfunktioner. Sjukvården är det globalt mest angripna segmentet och stod för 38% av EU:s rapporterade incidenter under 2025.
Vad visade incidenten med den norska vattenkraftsdammen?
I april 2025 hackades ett norskt vattenkraftverk och angriparna öppnade en dammport, vilket frigav 500 liter vatten per sekund under fyra timmar. Händelsen visar att cyberattacker mot operativ teknik kan resultera i direkta fysiska konsekvenser, och att energiinfrastruktur i Norden är ett aktivt angreppsmål.
Vad är DNV:s viktigaste rekommendation för Sverige?
Att klargöra ansvaret för nationell cyberresiliens på ledarskapsnivå är DNV:s mest akuta rekommendation. Tekniska lösningar kan inte kompensera för en organisation där ingen i ledningsgruppen äger cybersäkerhetsfrågan strategiskt. Övriga sju rekommendationer inkluderar leveranskedjesamverkan, kompetensutveckling och folkbildning.
Vilka hotaktörer riktar sig mot nordisk kritisk infrastruktur?
Sopra Steria identifierar tre primärkategorier: statsfinansierade APT-grupper (som söker underrättelseinformation och persistent access), cyberkriminella organisationer (som fokuserar på ekonomisk vinning via ransomware och utpressning) och hacktivister (som vill störa och synliggöra geopolitiska ståndpunkter). Alla tre opererar mot nordiska mål med ökande frekvens.
Hur mäter DNV cyberincidenter i Norden?
DNV Cyber Threat Intelligence spårar tre kategorier: bekräftade attacker och intrång, misstänkta incidenter och påstådda händelser. Det innebär att siffran 60 för Sverige 2025 inkluderar ett brett spektrum av allvarlighetsnivåer, från verifierade intrång till incidenter som fortfarande utreds vid rapporteringstillfället.
Vad är skillnaden mellan NIS2 och den tidigare svenska lagen?
Den nya cybersäkerhetslagen täcker fler sektorer och verksamheter, ställer hårdare krav på leveranskedjesäkerhet, ledningsansvar och operativ incidentberedskap. Incidentrapporteringen är mer strukturerad med kortare obligatoriska tidsfrister. Sanktionsramverket inkluderar omsättningsbaserade maximiböter för privata aktörer, ett väsentligt hårdare verktyg än föregångaren.
