Svenska organisationer möter just nu en av Europas hårdaste digitala belastningar. Enligt Check Points 2026-rapport, återgiven av branschtidningen ITBranschen, utsattes den svenska offentliga sektorn för i genomsnitt 3 215 cyberattacker per vecka och organisation den senaste månaden. Det är en siffra som ställer hela samhällets motståndskraft på prov, från kommuner och sjukhus till banker och statliga myndigheter. När statsminister Ulf Kristersson talar om “enorma cyberattacker” mot SVT, banker och BankID, beskriver han inte längre ett hypotetiskt scenario utan en daglig verklighet.
Den 15 januari 2026 trädde dessutom den nya cybersäkerhetslagen i kraft, Sveriges genomförande av EU:s NIS2-direktiv. Den utökar antalet reglerade sektorer från sju till arton och drar in tusentals nya verksamhetsutövare under skärpta krav. Den här analysen går igenom siffrorna bakom angreppsvågen, vad svenska myndigheter säger om hotet, hur lagstiftningen förändrar spelplanen och vad experter förutspår för resten av 2026.
Sverige bland EU:s mest attackerade länder
Cyberattacker mot Sverige har ökat kraftigt under det senaste året. Check Point konstaterade att antalet attacker mot svenska mål steg med 70 procent under första kvartalet 2025 jämfört med samma period 2024, en uppgift som lyfts fram i USA:s handelsdepartements landguide för svensk cybersäkerhet. I samma underlag beskrivs Sverige som “ett av de mest drabbade länderna i EU” under perioden.
Ökningen sker mot en redan ansträngd europeisk bakgrund. Enligt Check Points 2026-rapport ökade det genomsnittliga antalet attacker per organisation i Europa med 20 procent år över år under 2025. Sveriges 70-procentiga uppgång ligger alltså långt över det europeiska snittet, vilket signalerar att landet hamnat högre upp på angriparnas måltavla. Forskarna pekar på flera samverkande orsaker: Sveriges Nato-medlemskap, den höga digitaliseringsgraden i offentlig förvaltning och en geopolitisk situation där hybridhot blivit en permanent del av närmiljön.
Att Sverige sticker ut är ingen tillfällighet. Landet rankas internationellt som ett av de mest digitaliserade i världen, med BankID, digitala vårdtjänster och e-förvaltning djupt inbäddade i vardagen. Den styrkan är samtidigt en sårbarhet. Ju fler kritiska tjänster som körs digitalt, desto större blir ytan som angripare kan utnyttja och desto allvarligare blir konsekvenserna när något slås ut. Cyberattacker mot Sverige drabbar därför inte bara enskilda företag, utan riskerar att störa tjänster som miljontals medborgare är beroende av varje dag.
Offentlig sektor i frontlinjen
Ingen sektor är mer utsatt än den offentliga. Check Points 2026-siffror visar att svenska myndigheter, kommuner och regioner i snitt mötte 3 215 attacker per vecka och organisation den senaste månaden. Hälso- och sjukvården följde tätt efter med 2 789 attacker per vecka. Det är sektorer där driftstopp inte bara kostar pengar utan kan hota liv och samhällsfunktioner.
Mönstret är globalt men slår hårt i Sverige. Check Point identifierar utbildning, offentlig sektor och hälso- och sjukvård som de mest angripna branscherna i världen, vilket matchar den svenska bilden där just offentliga aktörer toppar listan. Tidigare under 2025 rapporterade Check Point Research att svenska organisationer i genomsnitt utsattes för 1 791 attacker per vecka i augusti 2025, en ökning med tre procent jämfört med juli. Att den offentliga sektorns siffra nu ligger nästan dubbelt så högt understryker hur snabbt trycket eskalerar mot just samhällsbärande verksamheter.
Varför just offentlig sektor? Svaret ligger i en kombination av faktorer. Myndigheter och kommuner förvaltar känsliga personuppgifter i stor skala, driver ofta äldre IT-system med teknisk skuld och har historiskt haft begränsade säkerhetsbudgetar jämfört med storbankerna. Samtidigt gör den offentliga sektorns synlighet den till ett attraktivt mål för statsunderstödda aktörer som vill skapa störning och demonstrera förmåga. En attack mot en kommun kan slå ut allt från skolscheman till hemtjänstens larmsystem.
Statistiken vecka för vecka
För att förstå skalan på cyberattacker mot Sverige hjälper det att samla siffrorna. Tabellen nedan visar de centrala mätpunkterna från Check Points rapportering 2025 och 2026, tillsammans med det europeiska jämförelsetalet.
| Mätpunkt | Värde | Period | Källa |
|---|---|---|---|
| Attacker per vecka, svenska organisationer | 1 791 | Augusti 2025 | Check Point Research |
| Förändring mot föregående månad | +3 % | Juli till augusti 2025 | Check Point Research |
| Ökning av attacker mot Sverige | +70 % | Q1 2025 mot Q1 2024 | Check Point / US ITA |
| Attacker per vecka, offentlig sektor | 3 215 | Senaste månaden (2026) | Check Point / ITBranschen |
| Attacker per vecka, hälso- och sjukvård | 2 789 | Senaste månaden (2026) | Check Point / ITBranschen |
| Europeiskt snitt, ökning per organisation | +20 % | 2025 år över år | Check Point |
Siffrorna ska tolkas som genomsnittliga försök per organisation, inte lyckade intrång. De allra flesta attackerna stoppas av brandväggar, e-postfilter och övervakning. Men volymen säger ändå något viktigt: angriparna behöver bara lyckas en gång, medan försvararna måste lyckas varje gång. När 3 215 försök landar varje vecka räcker en enda missad sårbarhet för att utlösa ett kostsamt intrång.
Kristersson: “vi utsätts för enorma cyberattacker”
Den politiska ledningen har tagit hotet till högsta nivå. Statsminister Ulf Kristersson uttalade sig direkt om angreppen i en kommentar återgiven av Euractiv: “Vi utsätts för enorma cyberattacker. De mot SVT har nu uppmärksammats, men även banker och Bank-id har drabbats.” Citatet kopplar ihop tre av de mest centrala svenska sökorden kring cyberhot, public service-bolaget SVT, bankväsendet och den nationella e-legitimationen BankID.
Att en statsminister offentligt namnger BankID som måltavla är anmärkningsvärt. BankID används av nästan hela den vuxna befolkningen för att logga in på allt från Försäkringskassan till nätbanker och vårdcentraler. En framgångsrik störning mot den tjänsten skulle få kaskadeffekter genom hela det digitala Sverige. Att banker och betaltjänster pekas ut visar att angriparna riktar in sig på de funktioner där förtroende och tillgänglighet är som mest kritiska.
Uttalandet markerar också en förskjutning i den politiska retoriken. Där cyberhot tidigare hanterades som en teknisk fråga för IT-avdelningar, beskrivs det nu som en del av det nationella säkerhetsläget. Den förflyttningen återspeglas i regeringens lagstiftning och budget, som behandlas längre ned i analysen. Cyberattacker mot Sverige har blivit en fråga för statsministern, inte bara för säkerhetscheferna.
Säkerhetspolisen pekar ut Ryssland
Säkerhetspolisens chef Charlotte von Essen har varit tydlig med var det allvarligaste hotet kommer ifrån. I myndighetens lägesbedömning slår hon fast att “Ryssland fortsätter att utgöra det största hotet mot Sverige”. Hon konstaterar vidare att “vi har sett att Ryssland bedriver ett antal olika aktiviteter riktade mot Sverige” och beskriver hur landet under flera år genomfört säkerhetshotande verksamhet “mot Sverige och i Sverige”.
De uttalandena placerar cyberattacker i ett bredare sammanhang av hybridkrigföring. Statsunderstödda aktörer kombinerar digitala intrång med påverkanskampanjer, sabotage och underrättelseinhämtning. Cyberdomänen blir ett av flera verktyg i en samordnad strategi som syftar till att destabilisera och skapa osäkerhet, snarare än att enbart stjäla data eller utpressa pengar.
För svenska organisationer innebär det en förändrad hotbild. En statsunderstödd angripare har helt andra resurser, tålamod och mål än en vanlig kriminell ransomware-grupp. Medan kriminella söker snabb ekonomisk vinning, kan en statlig aktör lägga månader på att kartlägga kritisk infrastruktur och placera bakdörrar för framtida bruk. Det ställer krav på ett försvar som tänker långsiktigt och förbereder sig för det mest kvalificerade hotet, inte bara det vanligaste.
Attacken som lamslog 120 myndighetskontor
För att förstå dagens larm hjälper det att blicka bakåt. I januari 2024 angreps Sveriges enda digitala tjänsteleverantör för statliga tjänster, enligt den amerikanska tankesmedjan CSIS. Attacken, som tillskrevs ryska hackare, påverkade verksamheten vid 120 myndighetskontor. Störningarna väntades pågå i flera veckor och inträffade samtidigt som Sverige förberedde sitt inträde i Nato.
Incidenten blev en väckarklocka. Den visade hur ett enda angrepp mot en central leverantör kan rippla ut genom hela förvaltningen. När många myndigheter förlitar sig på samma underleverantör blir den punkten en enskild felkälla, en sårbarhet som angripare aktivt letar efter. Leverantörskedjeattacker, där den svagaste länken utnyttjas för att nå större mål, har sedan dess hamnat högt på MSB:s och näringslivets riskkartor.
Tidpunkten var heller inte slumpmässig. Att angreppet sammanföll med Nato-processen passar in i mönstret som Säkerhetspolisen beskriver, där digitala störningar används för att signalera missnöje och skapa osäkerhet i samband med politiskt känsliga händelser. Lärdomen från 2024 har präglat både lagstiftning och beredskapsarbete under 2025 och 2026.
Hotbilden 2026: ransomware, AI och deepfakes
Angriparnas metoder har blivit mer sofistikerade. Enligt USA:s handelsdepartements landguide hörde ransomware med så kallad trippelutpressning, AI-driven nätfiske, deepfakes och “living off the land”-attacker till de vanligaste störningarna mot svenska aktörer under 2025. Var och en av dessa tekniker förtjänar en förklaring, eftersom de tillsammans ritar om hotbilden.
Trippelutpressning och ransomware
Klassisk ransomware krypterar offrets data och kräver lösen för nyckeln. Trippelutpressning lägger till två extra påtryckningar: hot om att läcka stulen data offentligt och hot om att attackera offrets kunder eller partners. Det gör att även organisationer med fungerande säkerhetskopior känner sig pressade att betala, för att skydda sitt rykte och sina relationer.
AI-driven nätfiske och deepfakes
Generativ AI har sänkt tröskeln för övertygande bedrägerier. Nätfiskemejl på felfri svenska, röstkloning av chefer och deepfake-video i videomöten gör det allt svårare för anställda att avgöra vad som är äkta. Där ett stavfelsfyllt bluffmejl tidigare avslöjade sig självt, kan en AI-genererad attack nu efterlikna en kollegas skrivstil perfekt. Det förskjuter försvaret från tekniska filter till utbildning och verifieringsrutiner.
“Living off the land”-attacker, slutligen, utnyttjar legitima systemverktyg som redan finns i nätverket istället för att smuggla in skadlig kod. Genom att använda inbyggda administrationsverktyg smälter angriparen in i den normala trafiken och blir svår att upptäcka. Tillsammans kräver dessa metoder ett försvar som ser bortom enskilda signaturer och istället övervakar beteenden och avvikelser.
Cybersäkerhetslagen träder i kraft
Mitt i angreppsvågen har Sverige fått ett nytt regelverk. Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och utgör Sveriges genomförande av EU:s NIS2-direktiv. Lagen ersätter den tidigare NIS-regleringen och innebär en betydande skärpning av kraven på samhällsviktiga verksamheter.
Den mest påtagliga förändringen är breddningen. Antalet sektorer som omfattas ökar från sju till arton, enligt Sveriges Kommuner och Regioner (SKR) och Myndigheten för psykologiskt försvar. Det innebär att tusentals nya verksamhetsutövare, inom allt från avloppshantering till digital infrastruktur och livsmedelsproduktion, nu omfattas av krav på riskhantering, incidentrapportering och tillsyn. Många av dem har aldrig tidigare behövt förhålla sig till statligt reglerad cybersäkerhet.
Regeringen hade i förväg gett PTS (Post- och telestyrelsen) och MSB i uppdrag att förbereda genomförandet och redovisa sina förslag senast i januari 2026. MSB ska enligt sammanställningar utfärda fyra uppsättningar föreskrifter inom ramen för lagen, som preciserar de mer övergripande kraven till konkreta skyldigheter för verksamhetsutövarna. Det praktiska arbetet med att tolka och tillämpa lagen pågår alltså parallellt med att hotet eskalerar.
Sektorer och tillsyn under nya lagen
Utvidgningen från sju till arton sektorer är kärnan i den nya lagen. Tabellen nedan jämför hur omfattningen förändras och vilka principer som styr tillämpningen, baserat på den vägledning som svenska myndigheter publicerat inför ikraftträdandet.
| Aspekt | Tidigare NIS-reglering | Cybersäkerhetslagen 2026 |
|---|---|---|
| Ikraftträdande | 2018 | 15 januari 2026 |
| Antal sektorer | 7 | 18 |
| Klassificering | Samhällsviktiga tjänster | Väsentliga och viktiga verksamhetsutövare |
| Incidentrapportering | Begränsad | Skärpt, med tidsfrister |
| Ledningens ansvar | Otydligt | Uttryckligt ansvar för styrelse och ledning |
| Föreskrifter från MSB | Färre | Fyra uppsättningar |
En central nyhet är att ledningens ansvar förtydligas. Under NIS2 kan styrelser och högsta ledning hållas direkt ansvariga för bristande cybersäkerhet, vilket lyfter frågan från serverrummet till styrelserummet. Det skapar ett ekonomiskt och juridiskt incitament som tidigare saknats, och tvingar organisationer att behandla cyberrisk som en strategisk fråga snarare än en teknisk detalj.
Vad lagen kräver av verksamhetsutövare
För de tusentals organisationer som nu omfattas innebär cybersäkerhetslagen konkreta skyldigheter. Riskhantering blir obligatorisk: verksamheterna ska identifiera, bedöma och åtgärda cyberrisker systematiskt. Incidenter ska rapporteras till behörig myndighet inom fastställda tidsfrister, vilket kräver att organisationerna har förmåga att upptäcka och kategorisera angrepp i realtid.
Kraven sträcker sig längre än till den egna organisationen. Leverantörskedjan måste säkras, en direkt lärdom från incidenter som den mot myndigheternas tjänsteleverantör 2024. Organisationer förväntas ställa säkerhetskrav på sina underleverantörer och bedöma riskerna i hela kedjan. För många mindre aktörer, som kommunala bolag och regionala leverantörer, innebär det en helt ny administrativ börda.
Sanktionerna förstärker allvaret. NIS2 ger tillsynsmyndigheterna befogenhet att utfärda kännbara administrativa sanktionsavgifter vid bristande efterlevnad, i nivå med GDPR:s straffskala. Kombinationen av personligt ledningsansvar och höga avgifter gör att efterlevnad inte längre är frivillig god sed, utan en juridisk nödvändighet. För svenska verksamhetsutövare blir 2026 året då cybersäkerhet flyttar från rekommendation till lagkrav.
Statens satsningar och budget
Lagstiftningen åtföljs av pengar. Enligt USA:s handelsdepartements landguide öronmärkte Sveriges budgetförslag medel för nationell cybersäkerhetsmedvetenhet och beredskap över tre år. Tabellen nedan visar fördelningen.
| År | Avsatt belopp (USD) | Ungefärligt i SEK | Ändamål |
|---|---|---|---|
| 2026 | 30 miljoner | cirka 300 miljoner | Cybersäkerhetsmedvetenhet och beredskap |
| 2027 | 35 miljoner | cirka 350 miljoner | Cybersäkerhetsmedvetenhet och beredskap |
| 2028 | 40 miljoner | cirka 400 miljoner | Cybersäkerhetsmedvetenhet och beredskap |
SEK-beloppen är ungefärliga omräkningar och ska ses som indikativa. Den stigande trenden, från 30 till 40 miljoner USD över tre år, signalerar en långsiktig politisk vilja att investera i motståndskraft snarare än att reagera ad hoc på enskilda incidenter. Pengarna ska enligt underlaget gå till medvetenhet och beredskap, alltså både utbildning av befolkningen och stärkt operativ förmåga.
Frågan många experter ställer är om beloppen räcker. I förhållande till hotbilden, med tusentals attacker per vecka mot offentlig sektor och en statsunderstödd huvudmotståndare, framstår satsningen som blygsam jämfört med vad försvarsbudgeten i övrigt växer med. Samtidigt är pengar bara en del av lösningen. Kompetensförsörjning, samordning mellan myndigheter och privat-offentligt samarbete väger minst lika tungt som anslagens storlek.
Sverige i ett nordiskt perspektiv
Sverige står inte ensamt. Hela Norden möter en eskalerande hotbild, drivet av samma geopolitiska faktorer. Norge har rapporterat om en växande AI-driven hotbild och ett tjugotal kvalificerade angrepp, medan Danmark brottats med samordnade kampanjer riktade mot offentliga tjänster. Den gemensamma nämnaren är en statsunderstödd aktör i öster och en hög grad av digitalisering som ökar attackytan.
Det som skiljer länderna åt är främst tempot i lagstiftningen och var ansvaret placeras. Sverige har valt en modell där PTS och MSB delar på förberedelse och tillsyn, med MSB som central aktör för incidenthantering. Norden samarbetar samtidigt allt tätare, eftersom angripare sällan respekterar landsgränser och en attack mot en gemensam leverantör kan drabba flera länder samtidigt. Nato-medlemskapet har dessutom knutit de nordiska försvaren närmare varandra även i cyberdomänen.
Jämförelsen visar att Sverige varken är bäst eller sämst i klassen, utan representativt för en region som plötsligt befinner sig i frontlinjen. Det nordiska perspektivet understryker också att ingen enskild nation kan försvara sig isolerat. Informationsdelning, gemensamma övningar och harmoniserade regelverk under NIS2 blir avgörande för regionens samlade motståndskraft.
Marknadspåverkan och näringslivet
För det svenska näringslivet får utvecklingen konkreta affärsmässiga konsekvenser. Cybersäkerhetslagen skapar omedelbar efterfrågan på konsulttjänster, säkerhetslösningar och kompetens. Leverantörer av incidenthantering, säkerhetsövervakning och efterlevnadsrådgivning står inför en kraftig tillväxt när tusentals nya verksamhetsutövare ska uppfylla kraven inom kort tid.
Samtidigt växer kostnaderna för dem som omfattas. Att bygga upp en mogen säkerhetsorganisation, anställa specialister och investera i övervakningsverktyg kräver budget som många kommunala bolag och mindre företag inte planerat för. Check Point pekade i sin rapportering på konsultbolag, energiproducenter, finansbolag och tillverkningsindustri som tungt drabbade sektorer, vilket visar att kostnaden för cyberrisk sprider sig genom hela ekonomin.
Det uppstår också en kompetensbrist. Efterfrågan på cybersäkerhetsexperter överstiger redan tillgången, och den nya lagen förstärker glappet. Sökningar på “cybersäkerhet utbildning” och “cybersäkerhet lön” hör till de mest frekventa i Sverige inom området, ett tecken på att arbetsmarknaden reagerar på behovet. För arbetstagare med rätt kompetens innebär läget stigande löner och stark efterfrågan under flera år framåt.
Fem prognoser för 2026 och 2027
Utifrån de data och uttalanden som redovisats ovan framträder fem rimliga utvecklingslinjer för de kommande åren.
- Attackvolymen fortsätter uppåt. Med en 70-procentig ökning under Q1 2025 och ett europeiskt snitt som stiger 20 procent per år finns inget som tyder på en vändning. Offentlig sektor lär förbli den mest utsatta.
- AI blir standard på båda sidor. Generativ AI gör nätfiske och deepfakes vassare, samtidigt som försvarare i ökad grad använder AI för anomalidetektion. Kapprustningen accelererar.
- Första sanktionerna under cybersäkerhetslagen. Under 2026 eller 2027 väntas de första tillsynsärendena och sanktionsavgifterna, vilket sätter prejudikat och tvingar fram efterlevnad i bredare led.
- Leverantörskedjan i fokus. Efter 2024 års attack mot myndigheternas tjänsteleverantör riktas mer uppmärksamhet mot tredjepartsrisker. Krav på underleverantörer blir norm.
- Ökat nordiskt samarbete. Sverige, Norge, Danmark och Finland fördjupar informationsdelning och gemensamma övningar inom ramen för Nato och NIS2.
Prognoserna är inga garantier, men de pekar samstämmigt åt samma håll: cyberattacker mot Sverige blir fler, mer sofistikerade och mer reglerade. De organisationer som börjar bygga motståndskraft nu står betydligt bättre rustade än de som väntar på det första intrånget.
Relaterad läsning
- Cyberangrep mot Norge: AI-trussel och 21 angrepp [2026]
- Cyberangreb mot Danmark: OpDenmark kräver 1,5 miljarder [2026]
- Agentic AI Security: 4,7 miljoner USD i intrång [2026]
- Nätfiske: så känner du igen och undviker attacker
- Dataintrång: så går de till och så skyddar du dig
- Onlinesäkerhet förklarad: en praktisk guide
Vanliga frågor om cyberattacker mot Sverige
Hur många cyberattacker drabbar Sverige?
Enligt Check Points 2026-rapport utsattes svensk offentlig sektor för i genomsnitt 3 215 attacker per vecka och organisation den senaste månaden, och hälso- och sjukvården för 2 789. Tidigare under 2025 låg snittet för svenska organisationer på 1 791 attacker per vecka. Antalet attacker mot Sverige ökade med 70 procent under första kvartalet 2025 jämfört med 2024.
Vilken sektor drabbas hårdast i Sverige?
Den offentliga sektorn är mest utsatt, följd av hälso- och sjukvården. Check Point pekar globalt ut utbildning, offentlig sektor och hälso- och sjukvård som de mest angripna branscherna, ett mönster som bekräftas i Sverige där myndigheter, kommuner och regioner toppar listan.
Vad är cybersäkerhetslagen?
Cybersäkerhetslagen (2025:1506) är Sveriges genomförande av EU:s NIS2-direktiv. Den trädde i kraft den 15 januari 2026 och utökar antalet reglerade sektorer från sju till arton. Lagen ställer krav på riskhantering, incidentrapportering, säkrad leverantörskedja och uttryckligt ledningsansvar, med kännbara sanktionsavgifter vid bristande efterlevnad.
Vem ligger bakom cyberattackerna mot Sverige?
Säkerhetspolisens chef Charlotte von Essen pekar ut Ryssland som det största hotet mot Sverige. Hotet kommer från en blandning av statsunderstödda aktörer, som bedriver hybridkrigföring, och rent kriminella ransomware-grupper som söker ekonomisk vinning genom utpressning.
Är BankID säkert?
BankID pekades ut av statsminister Ulf Kristersson som ett av målen för cyberattacker, tillsammans med banker och SVT. Tjänsten i sig bygger på stark kryptering, men dess centrala roll i det digitala Sverige gör den till en attraktiv måltavla för störningsattacker. Användare bör vara extra vaksamma mot nätfiske som försöker lura till sig BankID-inloggningar.
Vilka myndigheter ansvarar för cybersäkerhet i Sverige?
MSB (Myndigheten för samhällsskydd och beredskap) och PTS (Post- och telestyrelsen) har centrala roller i genomförandet av cybersäkerhetslagen. Säkerhetspolisen ansvarar för att bedöma och motverka säkerhetshotande verksamhet, medan FRA arbetar med signalspaning. MSB ska utfärda fyra uppsättningar föreskrifter inom ramen för den nya lagen.
Hur kan organisationer skydda sig?
Grunderna är systematisk riskhantering, regelbundna säkerhetskopior som testas, flerfaktorsautentisering, kontinuerlig övervakning av nätverksbeteenden och utbildning av personalen mot nätfiske och deepfakes. Att säkra leverantörskedjan och ha en övad incidenthanteringsplan är avgörande, särskilt för de verksamhetsutövare som nu omfattas av cybersäkerhetslagen.
Externa källor: MSB, Säkerhetspolisen, Post- och telestyrelsen, ENISA, Regeringen. Publicerad 11 juni 2026.
