Sverige stod i centrum för ett av de intensivaste cyberhoten i Nordens moderna historia under 2025. 34 629 DDoS-angrepp träffade svenska system under bara sex månader, den pro-ryska hacktivistgruppen NoName057(16) slog mot kommuner och statliga webbplatser, och ett kraftvärmeverk attackerades av aktörer med kopplingar till rysk militär underrättelsetjänst. Den 15 april 2026 bekräftade civilförsvarsminister Carl-Oskar Bohlin kraftverksattacken offentligt och utfärdade en varning som sätter en ny takt för hotlandskapet: angripare riktar sig inte längre bara mot IT-system, de går nu efter operativ teknik (OT) som styr kritisk infrastruktur. Konsekvenserna är potentiellt fysiska, inte bara digitala.
NoName057(16): Gruppen bakom DDoS-kampanjen mot Sverige och Danmark
I november 2025 drabbades svenska och danska kommuner av en koordinerad DDoS-kampanj som slog ut åtskilliga kommunala webbplatser och offentliga tjänster. Gruppen som tog på sig ansvaret är NoName057(16), ett pro-ryskt hacktivistgäng som av säkerhetsanalytiker bedöms vara sannolikt kontrollerat av rysk underrättelsetjänst, möjligen GRU. Attackerna var en direkt hämnd mot länder som deltog i Operation Eastwood, en internationell brottsbekämpande operation ledd av Europol och Eurojust i juli 2025 som slog ut stora delar av NoName057(16):s digitala infrastruktur och tvingade gruppen att tillfälligt stoppa sin verksamhet.
NoName057(16) fungerar delvis som en DDoS-as-a-service-plattform och rekryterar frivilliga bidragsgivare i attackkampanjer, både i Ryssland och utomlands, mot ekonomisk ersättning. Det ger gruppen en bred räckvidd utan att staten behöver ta direkt ansvar, ett mönster som kallas “hacktivist proxy”. Säkerhetsföretaget Truesec dokumenterade kampanjen ingående och konstaterade att gruppen valde att koordinera sina attacker mot danska kommuner med det danska kommunalvalet i november 2025. Truesecs analys beskriver operationen som “troligen ett försök att återupprätta gruppens prestige, både i motståndares och onlinefansens ögon” efter det framgångsrika polisiära tillslaget.
För svenska kommuner och myndigheter utan dedikerade DDoS-skyddstjänster kan relativt måttliga volymetriska attacker orsaka fullständig otillgänglighet av publika tjänster. Attackerna mot Sverige i november 2025 orsakade kortvariga störningar utan djupgående konsekvenser för samhällskritiska system, men representerar ändå en viktig eskalation av det geopolitiskt motiverade cyberhotet mot svenska intressen.
Kraftverksattacken: Ryssland eskalerar mot operativ teknik
Det som avslöjades den 15 april 2026 är av en helt annan dignitet. Sverige lyckades i mitten av 2025 avvärja en pro-rysk cyberattack mot ett kraftvärmeverk, en anläggning som levererar fjärrvärme till bostäder och fastigheter. Attacken kombinerade DDoS mot IT-system med direkt intrång i OT-system, de styrsystem som kontrollerar fysiska processer i anläggningen.
Civilförsvarsminister Carl-Oskar Bohlin bekräftade incidenten vid en presskonferens och var tydlig om vem som låg bakom: “Säkerhetspolisen hanterade ärendet och lyckades identifiera aktören bakom det, som har kopplingar till rysk underrättelsetjänst och säkerhetstjänster.” Om utgången tillägger Bohlin: “Attacken misslyckades för att de säkerhetssystem som finns på plats fungerade.”
Men Bohlin nöjde sig inte med att rapportera om en avvärjd attack. Han använde tillfället för att varna om ett systemskifte i hur ryskstödda aktörer nu opererar: angriparna förlitar sig inte längre enbart på DDoS mot IT. De riktar sig mot den operativa tekniken som styr infrastrukturen. Det är ett skifte från störande till potentiellt destruktiva attacker, med konsekvenser som sträcker sig långt bortom tillfälliga avbrott i appar och webbplatser. Om ett kraftverk, ett reningsverk eller en fjärrvärmecentral förlorar kontrollen över sina styrsystem kan konsekvenserna vara direkta och fysiska och drabba tusentals medborgare.
The Record citerade i februari 2026 en senior svensk försvarsrepresentant med en bedömning som sätter händelsen i ett bredare perspektiv: “Cyber- och hybridhot är nu ett permanent inslag i Europas säkerhetsmiljö.” Den formuleringen signalerar att svenska myndigheter inte längre talar om enskilda incidenter utan om ett konstant tillstånd av cyberkonfrontation.
Siffrorna talar: 34 629 DDoS-angrepp på sex månader
Netscout, ett ledande företag inom nätverkssäkerhet och DDoS-hotunderrättelsetjänster, dokumenterade 34 629 DDoS-angrepp mot svenska mål under perioden juli till december 2025. Genomsnittlig attackduration var 42,86 minuter per angrepp. Dessa siffror representerar enbart de angrepp som synliggjordes i Netscouts globala sensornätverk och är sannolikt en underskattning av det faktiska hotlandskapet.
Globalt skalerade DDoS-hoten uppåt i en aldrig tidigare skådad takt under samma period. Det globala Aisuru-botnätet, aktivt under sommaren och hösten 2025, mobiliserade uppskattningsvis 1 till 4 miljoner infekterade enheter världen över och nådde toppvärden på 29,7 Tbps och 14,1 miljarder paket per sekund. Cloudflare blockerade ensamt 8,3 miljoner DDoS-attacker under Q3 2025 (15 procent ökning kvartal-över-kvartal och 40 procent jämfört med Q3 2024). DDoS-attacker mot AI-bolag sköt upp med 347 procent månads-över-månads i september 2025 i samband med ökad politisk oro kring AI-reglering.
Den kontext som dessa globala siffror ger är viktig: svenska myndigheter och företag möter inte en isolerad, lokalt koordinerad kampanj. De är del av en global eskalering av DDoS-kapacitet och intensitet, där statsanknutna grupper, kriminella aktörer och ideologiska hacktivister alla opererar i samma hotlandskap med ökande volymer och sofistikering.
Vilka sektorer drabbas hårdast i Sverige?
Netscouts data visar ett tydligt mönster i vilka branscher som attackeras mest frekvent i Sverige. Trådlösa teleoperatörer är det primära målet räknat i antal angrepp, men det är värt att notera att datacenter och webbhostingleverantörer, som utgör infrastrukturens ryggrad för både offentlig sektor och privata företag, utsätts för de näst längsta attackerna med 62 minuters genomsnittsduration. Fasta teleoperatörer som bär landets internetryggrad attackeras med hela 71 minuters genomsnittsduration.
| Rank | Sektor | Antal attacker (jul–dec 2025) | Genomsnittlig duration |
|---|---|---|---|
| 1 | Trådlösa teleoperatörer | 21 269 | 34 minuter |
| 2 | Datorinfrastruktur och webbhosting | 4 522 | 62 minuter |
| 3 | Fasta teleoperatörer | 2 830 | 71 minuter |
| 4 | Tillverkning av datorer | 809 | 12 minuter |
| 5 | Övriga telekomtjänster | 603 | 12 minuter |
| 6 | Telekomåterförsäljare | 77 | 42 minuter |
Längre attackduration mot infrastrukturleverantörer och fasta teleoperatörer antyder att angriparna inte enbart testar försvar, de väljer uthållighetstaktik mot mål som är kritiska och svårare att skydda med enkla filtreringslösningar. Att webbhosting och datacenter-segmentet attackeras i genomsnitt 62 minuter per angrepp, jämfört med 34 minuter för trådlösa teleoperatörer, tyder på att angriparna investerar mer kraft mot mål som fungerar som värd för andras infrastruktur och ger en potentiell kaskadeffekt.
Finanssektorn i skottgluggen: Swish och mobilbanker drabbade
Under hösten 2024 och våren 2025 drabbades svenska banker och finansiell infrastruktur av ett antal allvarliga DDoS-attacker med direkta konsekvenser för vanliga bankkunder. Det gick inte att komma åt banktjänster via mobilappar, och Swish-betalningar slutade fungera under perioder. Riksbanken analyserade attackerna och konstaterade att de kortvariga störningarna inte fick direkt påverkan på den finansiella stabiliteten som helhet, men rapporten noterar att 30 procent av de DDoS-angrepp som observerades i det svenska IP-utrymmet under september och oktober 2024 riktades mot kritisk infrastruktur, inklusive statliga myndigheter, akademiska institutioner samt telekom- och finanssektorn.
NCSC (Nationellt cybersäkerhetscenter) publicerade rapporten Överbelastningsangrepp mot kritisk infrastruktur i Norden och Baltikum hösten 2024 som dokumenterade attackmönstret. Rapporten konstaterar att DDoS-attackerna under 2024 sannolikt drevs av geopolitiska faktorer, en slutsats som bekräftas av NoName057(16):s identifierade inblandning. ENISA, EU:s cybersäkerhetsmyndighet, bekräftar på europeisk nivå att hacktivist-ledda DDoS-attacker nu dominerar hotlandskapet mot finansiella aktörer i hela Europa.
SOCRadar:s rapport om nordiska cyberhot 2025 framhåller dessutom att den mörka webben är aktivt riktad mot svenska finansinstitutioner: stulna inloggningsuppgifter och läckta databaser utgör nära 60 procent av de observerade cyberhoten, och nätfiskekampanjer riktas specifikt mot banker och informationstjänster i Sverige, Danmark och Island. DDoS-attacker fungerar ibland som distraktion medan bakomliggande intrångskampanjer pågår parallellt, ett mönster som kallas “rökskärms-DDoS”.
Operation Eastwood och Europols globala motoffensiv
EU-myndigheternas svar på DDoS-as-a-service-ekonomin eskalerade markant i april 2026. Den 13 april 2026 deltog 21 länder, däribland Sverige, Norge och Polen, i en samordnad aktionsvecka ledd av Europol mot användare av DDoS-for-hire-tjänster. Resultaten var konkreta: 53 domäner stängdes ner, 4 personer arresterades och 25 husrannsakningsorder utfärdades. Mer än 75 000 varningsbrev och e-postmeddelanden skickades till identifierade kriminella användare av dessa tjänster.
Operationen bygger på det momentum som skapades av Operation Eastwood i juli 2025, som lyckades slå ut NoName057(16):s digitala infrastruktur. Europols insatser visar att det finns en fungerande operativ verktygslåda mot DDoS-hot, men de avslöjar också gränserna: statsanknutna grupper med tillgång till statliga resurser återhämtar sig snabbt från polisiära tillslag. NoName057(16):s hämndkampanj mot Sverige och Danmark i november 2025 kom enbart fyra månader efter Operation Eastwood.
DDoS-as-a-service-marknaden, som Europols operation visar att minst 75 000 aktiva kriminella användare nyttjar, är ett växande ekosystem. Stater som Ryssland kan utnyttja denna marknad för att amplifieras ett angrepp utan att ta direkt ansvar. Det skapar ett tillskrivningsproblem som komplicerar diplomatiska och militära svar och urholkar det politiska trycket mot angriparen.
Sverige toppar Norden i antalet cyberincidenter
DNV:s rapport om nordisk cyberresiliens 2026 ger en tydlig bild av det regionala hotlandskapet. Sverige registrerade 60 cyberincidenter med påverkan på organisationer under 2025, det högsta antalet i Norden. Finland kom på andra plats med 44 incidenter, tätt följt av Danmark med 41. Norge hade det lägsta antalet med 21 incidenter, vilket delvis förklaras av landets starka energisektorspecifika säkerhetsinvesteringar och Gasscos robusta infrastrukturskydd.
| Land | Cyberincidenter 2025 | Cyberattacker/vecka (aug 2025) | Mest drabbad sektor |
|---|---|---|---|
| Sverige | 60 | 1 791 | Offentlig sektor, finans |
| Finland | 44 | Ej specificerat | Finans, industri |
| Danmark | 41 | Ej specificerat | Kommunal sektor |
| Norge | 21 | Ej specificerat | Energi, olja och gas |
Check Point Research sätter exponeringen i ett veckoperspektiv: svenska organisationer utsattes för i genomsnitt 1 791 cyberattacker per vecka under augusti 2025, en ökning med 3 procent jämfört med juli. Offentlig sektor var mest utsatt, följt av konsultbolag, energiproducenter, finansbolag och tillverkningsindustri. Ransomware-grupper som Akira, RansomHub och PLAY sätter dessutom ytterligare press på organisationer parallellt med DDoS-kampanjerna, och stulna inloggningsuppgifter utgör den primära ingångsvektorn i majoriteten av intrången.
Sveriges höga exponering förklaras av en kombination av faktorer. Landet är en av Europas mest digitaliserade ekonomier med hög penetration av kritiska digitala tjänster, inklusive BankID och Swish som hanterar miljarder transaktioner. NATO-anslutningen 2024 har dessutom gjort Sverige till ett politiskt prioriterat mål för statsanknutna hacktivister som söker symboliskt laddade mål i Väst.
Från IT-DDoS till OT-intrång: En farligare fas börjar
Civilförsvarsminister Bohlins varning i april 2026 om övergången från IT- till OT-hot är den viktigaste strategiska signalen i det svenska cybersäkerhetslandskapet. OT-system, industriella styrsystem (ICS), SCADA-plattformar och PLC-enheter, designades ursprungligen för isolerade miljöer utan cybersäkerhet i åtanke. De integreras nu alltmer med IT-nätverk och molntjänster för effektivitetsvinster, vilket ökar attackytan dramatiskt mot miljöer som ofta saknar patchade och uppdaterade försvarsmekanismer.
Dragos, ett ledande OT-säkerhetsföretag, bekräftar trenden i sin rapport om hot mot nordisk kritisk infrastruktur: pågående DDoS-attacker med fokus på Sverige kombineras med driftsättning av wiper-malware med kaskadeffekter mot europeiska ägare av förnybara energianläggningar. Rapporten identifierar specifikt snabb vapensmedning av Cisco SSL VPN-exploits som en akut risk för energisektorns OT-ägare i Norden, ett hot som kräver omedelbara patchåtgärder.
OT-attacker är strukturellt svårare att försvara mot. Patching av industriella styrsystem kräver planerade driftstopp i produktionskritiska miljöer. I energisektorn planeras underhållsfönster månader i förväg, vilket innebär att en känd sårbarhet i ett SCADA-system kan förbli opatchad under lång tid. Angripare med underrättelseresurser vet det och planerar sina operationer för att sammanfalla med sårbarhetsfönster.
Ukrainas erfarenhet ger ett historiskt referensmönster som Sverige nu bör ta på allvar. Den ryska hackergruppen Sandworm orsakade strömavbrott för 230 000 ukrainska hushåll i december 2015 och ytterligare avbrott i december 2016 genom direkta OT-intrång. Attackerna möjliggjordes av att ukrainska elnätssystem delade IT- och OT-nätverk utan tillräcklig segmentering, exakt samma konfiguration som många svenska energibolag fortfarande opererar med.
Politisk respons: SEK 0,37 miljarder och NIS2-implementering
Sveriges försvarsbudget för 2026 innehåller SEK 0,37 miljarder specifikt avsatta för förstärkta cybersäkerhetsåtgärder. Det är ett konkret steg men ett otillräckligt svar givet hotlandskapet. NCSC och SÄPO får ökade resurser för att hantera statliga cyberhot, men kommuner och medelstora organisationer under kritiska sektorer lämnas fortfarande med begränsade stödresurser och kapaciteter.
Parallellt pågår implementeringen av EU:s NIS2-direktiv i svensk lag, som utvidgar cybersäkerhetskraven till att omfatta uppskattningsvis 6 000 svenska företag och organisationer. NIS2 ställer tvingande krav på riskhantering, incidentrapportering till NCSC inom 24 timmar och säkring av leveranskedjor. Böter vid bristande efterlevnad kan uppgå till 10 miljoner euro eller 2 procent av global omsättning för väsentliga entiteter. Energi, transport, hälso- och sjukvård, bank och digital infrastruktur är alla inkluderade i det utvidgade omfånget.
MSB (Myndigheten för samhällsskydd och beredskap) koordinerar den nationella cyberförsvarsstrategin och erbjuder vägledning, utbildning och stödresurser för organisationer under NIS2-omfånget. Kraftverksattacken 2025 hanterades av SÄPO snarare än MSB, vilket indikerar att incidenten klassificerades som ett statligt cyberhot och inte ett rent kriminellt angrepp. Den distinktionen styr hur resurser allokeras och hur snabbt motåtgärder kan sättas in.
Historisk kontext: Från Estland 2007 till Sverige 2025
Geopolitiskt motiverade cyberattacker mot europeiska länder är inget nytt fenomen, men Sverige 2025 representerar en kvalitativ eskalation i en trend med rötter i 2007. Estland utsattes det året för vad som betraktas som den första koordinerade statliga cyberattacken i modern historia: ryskstödda aktörer slog ut banker, medieredaktioner och statsförvaltningens webbplatser under tre veckor, i direkt samband med konflikten kring flytten av Brons Soldaten. Attackerna var primärt volymetriska DDoS utan OT-inslag.
Sedan dess har attackprofilen breddats och fördjupats. Ukraina drabbades av ryska OT-intrång mot elnätet 2015 och 2016 (Sandworm/Fancy Bear). Georgien 2008 var föremål för en mer allomfattande cyberoffensiv koordinerad med militär operation. Det mönster som framträder är en progressiv eskalation: från volymetrisk DDoS mot publika webbplatser till intrång i kritisk infrastruktur och OT-system, och från opportunistiska attacker till strategiskt koordinerade kampanjer som samverkar med geopolitiska händelser.
Sverige 2025 befinner sig vid ett historiskt vägskäl. Som NATO-member sedan 2024 och en av Europas mest digitaliserade nationer, med BankID som bär det civila samhällets digitala identitetsinfrastruktur, är Sverige ett attraktivt symboliskt och operativt mål. Kraftverksattacken visar att Ryssland är villigt att testa OT-intrång mot svenska mål, en eskalation jämfört med de DDoS-kampanjer som träffade Baltikum och Ukraina i ett tidigare historiskt skede.
Fem prognoser för det svenska cyberhotet 2026–2027
Baserat på rörelsemönster hos kända hotaktörer, investeringsnivåer i det svenska cyberförsvaret och globala trender pekar dessa scenarier ut sig för de kommande 18 månaderna:
- Fler OT-attacker mot nordisk energiinfrastruktur: Dragos rapport identifierar pågående aktivitet mot nordiska förnybar energianläggningar. Med Nordens satsningar på havsbaserad vindkraft och Sveriges kärnkraftsexpansion blir dessa anläggningar allt viktigare mål. En lyckad attack mot ett vindkraftparks styrsystem kan ha kaskadeffekter på hela elnätet.
- NoName057(16) och liknande grupper återkommer vid politiska beslutstillfällen: Gruppen har demonstrerat att de koordinerar attacker med politiska händelser. Inför svenska beslut om Ukrainastöd, militär biståndspaket eller NATO-åtaganden bör myndigheter förvänta sig riktade DDoS-kampanjer mot publika webbplatser och finansiell infrastruktur.
- DDoS-as-a-service expanderar under statsparaplyer: Europols april 2026-operation visade att 75 000 individer nyttjar kommersiella DDoS-tjänster. Statsanknutna grupper utnyttjar denna marknad för att amplifieras utan direkt statlig exponering. Tillskrivning blir svårare, inte lättare, under de kommande åren.
- NIS2-kraven driver ojämna investeringar: Stora organisationer under NIS2-omfånget investerar i DDoS-skydd och OT-segmentering. Kommuner och SMB:er som saknar resurser förblir exponerade och fungerar som bakdörrar in i leveranskedjor för angripare som söker mer sofistikerade intrångspunkter med kaskadeffekter.
- Sverige höjer cybersäkerhetsbudgeten markant i försvarsplanering 2027–2030: De nuvarande SEK 0,37 miljarderna är otillräckliga givet NATO-åtaganden, NIS2-krav och det faktiska hotlandskapet. Med erfarenheterna från kraftverksattacken och de löpande DDoS-kampanjerna förväntas Sverige mer än fördubbla cybersäkerhetsanslaget i kommande försvarsplanering.
Vad bör svenska organisationer göra nu?
MSB och NCSC är tydliga med grundläggande åtgärder för organisationer i riskzonen. Prioriteringen skiljer sig beroende på sektor och om OT-system är inblandade, men några åtgärder är universella.
DDoS-skydd för IT-system: Implementera scrubbing-tjänster hos upstream ISP:er och CDN-leverantörer. Skydd som aktiveras nära nätverkskanten är avgörande för att hantera volymetriska attacker i Tbps-skalan. Kapacitetsplanering för ett worst-case-scenario på 100 Gbps inkommande trafik bör vara minimikrav för organisationer inom offentlig sektor och finansväsendet. Testa försvaret med regelbundna DDoS-simuleringar snarare än att anta att det fungerar.
OT-segmentering och nätverksisolering: Nätverkssegregering mellan IT och OT är det enskilt viktigaste steget för att minska attackytan mot kritisk infrastruktur. Air-gap-lösningar eller dedikerade DMZ-nätverk för industriella styrsystem eliminerar den angreppsvektor som utnyttjades mot det svenska kraftverket. Inventering av alla OT-enheter och deras patchstatus är nödvändig för att kunna prioritera åtgärder. Cisco SSL VPN och liknande exponerade nätverksenheter ska uppdateras akut baserat på Dragos-rapport om nordiska OT-hot.
Incidentrespons och NIS2-efterlevnad: NIS2 kräver rapportering till NCSC inom 24 timmar efter en allvarlig incident. Organisationer som saknar uppdaterade incidentresponsplaner exponerar sig för böter utöver de operativa konsekvenserna. MSB erbjuder övningar och mallar som kan användas som startpunkt. Rör det sig om statsanknutna cyberhot ska SÄPO kontaktas direkt, inte enbart MSB.
Relaterade artiklar
- Sverige under cyberattack: BankID, SVT och banker drabbade [2026]
- DNV Rapport: Sverige Toppar Norden med 60 Cyberincidenter [2026]
- Cybersäkerhetslagen: 6 000 företag under NIS2 [2026]
- Nordic CISO-rapport: Exploiteringstid rasar 95% [2026]
- Cyberattacker i Sverige +70%: Marknaden Når $2 Mdr [2026]
Externa källor: Euronews: Sverige avvärjde rysk cyberattack mot kraftverk | Truesec: DDoS mot kommuner i Danmark och Sverige | Europol: Operation mot 75 000 DDoS-användare april 2026 | Netscout: Sverige DDoS-hotstatistik | The Record: Sverige om permanenta cyberhot | Dragos: OT-cyberhot mot Norden
Vanliga frågor
Vad är NoName057(16) och varför attackerar de Sverige?
NoName057(16) är ett pro-ryskt hacktivistgäng som bedöms vara kontrollerat av rysk underrättelsetjänst, möjligen GRU. Gruppen attackerar länder och organisationer som stödjer Ukraina eller som vidtar åtgärder mot ryska intressen. De riktade sig mot Sverige och Danmark i november 2025 som hämnd för deltagande i Operation Eastwood, den Europol-ledda operation som slog ut deras infrastruktur i juli 2025. Sveriges NATO-anslutning 2024 har dessutom gjort landet till ett prioriterat symboliskt mål.
Vad avslöjades om kraftverksattacken mot Sverige?
Den 15 april 2026 bekräftade civilförsvarsminister Carl-Oskar Bohlin att Sverige hade avvärjt en pro-rysk cyberattack mot ett kraftvärmeverk i mitten av 2025. Attacken kombinerade DDoS med intrång i OT-system. SÄPO identifierade aktören bakom attacken som kopplad till rysk underrättelsetjänst. Attacken misslyckades tack vare att befintliga säkerhetssystem fungerade. Inga allvarliga konsekvenser rapporterades.
Vad är skillnaden mellan en DDoS-attack mot IT och mot OT?
En DDoS-attack mot IT-system, som en webbserver eller bankapp, orsakar tillfällig otillgänglighet av digitala tjänster. En attack mot OT (operativ teknik), som styrsystem för kraftverk, reningsverk eller fjärrvärmecentraler, kan påverka fysiska processer och orsaka faktiska driftstopp i kritisk infrastruktur med direkta konsekvenser för samhälle och medborgare.
Hur många DDoS-attacker drabbade Sverige under 2025?
Netscout dokumenterade 34 629 DDoS-angrepp mot svenska mål under perioden juli till december 2025 ensamt, med en genomsnittlig attackduration på 42,86 minuter. Trådlösa teleoperatörer var det mest attackerade segmentet med 21 269 angrepp. Dessa siffror är sannolikt en underskattning av det totala hotlandskapet.
Vad är Operation Eastwood?
Operation Eastwood var en internationell brottsbekämpande operation ledd av Europol och Eurojust i juli 2025. Operationen slog ut stora delar av NoName057(16):s digitala infrastruktur och tvingade gruppen att tillfälligt stoppa sin verksamhet. Som hämnd utförde gruppen DDoS-attacker mot Sverige och Danmark i november 2025. I april 2026 genomförde Europol ytterligare en operation mot DDoS-for-hire-tjänster med 21 deltagande länder, inklusive Sverige.
Vad kräver NIS2-direktivet av svenska organisationer?
NIS2 kräver att organisationer inom kritiska sektorer implementerar riskhanteringsåtgärder, rapporterar allvarliga incidenter till NCSC inom 24 timmar och säkerställer leveranskedjesäkerhet. Böter vid bristande efterlevnad kan uppgå till 10 miljoner euro eller 2 procent av global omsättning. Energi, transport, bank, hälso- och sjukvård och digital infrastruktur är alla inkluderade i omfånget.
Varför har Sverige fler cyberincidenter än andra nordiska länder?
Sverige registrerade 60 cyberincidenter under 2025 jämfört med 44 i Finland, 41 i Danmark och 21 i Norge. Förklaringarna inkluderar Sveriges höga digitalisering och beroende av kritiska digitala tjänster som BankID och Swish, NATO-anslutningen 2024 som gör landet till ett politiskt symboliskt mål för ryskstödda grupper, samt historiskt lägre nationellt cybersäkerhetsanslag i relation till landets exponering.
