I mitten av 2025 stoppade svenska myndigheter en cyberattack mot ett värmeverk i västra Sverige. Angreppet fick inga allvarliga följder, men slutsatsen som regeringen drog blev en vändpunkt. För första gången pekade Sverige offentligt ut en prorysk grupp med kopplingar till rysk underrättelse- och säkerhetstjänst som ansvarig för en cyberattack mot kritisk infrastruktur på svensk mark. Händelsen flyttade hotbilden från teori till verklighet och placerade Sverige mitt i en europeisk våg av angrepp mot energisystem.
Den här analysen går igenom vad som hände vid värmeverket, varför proryska grupper byter taktik från överbelastningsattacker till destruktiva angrepp, hur Norden drabbades under 2025 och vad Säkerhetspolisen, regeringen och europeiska analytiker säger om läget. Vi tittar också på marknadseffekter, historisk bakgrund och fem konkreta förutsägelser för resten av 2026 och in i 2027.
Ryskt sabotage mot svenskt värmeverk: vad hände
Angreppet ägde rum vid ett värmeverk i västra Sverige under mitten av 2025. Enligt regeringen lyckades angriparna aldrig orsaka någon verklig skada, och driften fortsatte utan allvarliga konsekvenser. Carl-Oskar Bohlin, minister för civilt försvar, sa att attacken misslyckades just därför att “de säkerhetssystem som fanns på plats fungerade”. Det var alltså försvaret som höll, inte angriparens brist på vilja.
Det allvarliga ligger i attributionen. Säkerhetspolisen knöt aktören till rysk underrättelse- och säkerhetstjänst, och Bohlin beskrev innebörden i tydliga ordalag. Incidenten “visar att vi har att göra med en antagonist som inte tvekar att skapa fysiska störningar som kan liknas vid sabotage mot vår fysiska infrastruktur”, sa han. Det är en formulering som förflyttar diskussionen från datastöld och driftstopp till fysiskt sabotage, en kategori som tidigare hörde hemma i diskussioner om krig och underrättelseoperationer.
Ett värmeverk är en symboltung måltavla. Fjärrvärme försörjer hundratusentals svenska hushåll, och ett angrepp som slår ut produktionen mitt i vintern får direkta konsekvenser för liv och hälsa. Att en prorysk grupp valde just denna typ av anläggning säger något om avsikten. Målet var inte ekonomisk vinning, som vid ransomware, utan förmågan att skapa störning och demonstrera räckvidd. En lyckad cyberattack mot kritisk infrastruktur av det här slaget skulle ha pressat ett helt samhälle, inte bara en enskild organisation.
Från överbelastningsattacker till destruktiva angrepp
Den största förändringen handlar inte om volym, utan om avsikt. Carl-Oskar Bohlin sammanfattade skiftet när han konstaterade att proryska grupper som tidigare ägnade sig åt överbelastningsattacker nu försöker genomföra destruktiva cyberattacker mot europeiska organisationer. Det är skillnaden mellan att tillfälligt göra en webbplats otillgänglig och att försöka förstöra eller manipulera de system som styr fysisk utrustning.
Överbelastningsattacker, så kallade DDoS-angrepp, har länge varit hacktivisternas signaturmetod. Grupper som NoName057(16) har återkommande riktat sådana attacker mot svenska myndigheter och företag, ofta som svar på politiska beslut. De är störande men sällan förödande, eftersom trafiken kan filtreras bort och tjänsterna återställas inom timmar. Säkerhetsanalytiker har dokumenterat hur samma typ av grupper i Norden nu kombinerar DDoS med försök att placera så kallad wiper-skadekod, alltså program byggda för att radera data och slå ut system permanent.
Den glidningen är farlig av två skäl. För det första höjer den insatserna. En destruktiv attack mot ett kraftverk eller ett vattenverk kan få fysiska följder som inte går att ångra med en omstart. För det andra suddar den ut gränsen mellan löst organiserad hacktivism och statligt styrda operationer. När en grupp som utger sig för att vara aktivister plötsligt har tillgång till verktyg och måldata som pekar mot kritisk infrastruktur, ligger misstanken nära att en stat står bakom. Det är precis det mönstret som värmeverksattacken bekräftade.
Säkerhetspolisen: “Ryssland är det största hotet”
Säkerhetspolisen var tydlig i sin lägesbedömning från mars 2026. Myndighetens slutsats var att “Ryssland är det största hotet mot Sverige” och att rysk säkerhetshotande verksamhet i Sveriges närområde kan komma att ske oftare. Säpo beskrev att Ryssland har blivit mer benäget att ta risker och att agerandet har blivit mer offensivt, med inslag av dold påverkan.
Myndigheten kopplade också ihop cyberhotet med fysiskt sabotage. Säpo konstaterade att Ryssland har genomfört hybridaktiviteter, inklusive sabotage, mot länder i Europa och att detta också kan ske i Sverige. Under det gångna året hanterade Säkerhetspolisen flera misstänkta sabotagefall som inte gick att binda till en främmande makt, vilket illustrerar hur svårt det är att fastställa ansvar i den gråzon där hybridhoten lever.
Bedömningen ska läsas mot en bredare bakgrund. Sveriges Nato-medlemskap, den höga digitaliseringsgraden och det geografiska läget i Östersjöregionen gör landet till ett naturligt mål för påtryckningar. När Säpo talar om att hoten blivit en permanent del av närmiljön, beskriver de inte en tillfällig topp utan ett nytt normalläge. För verksamhetsutövare inom energi, vatten, transport och hälso- och sjukvård innebär det att en cyberattack mot kritisk infrastruktur inte längre är ett osannolikt undantag utan en risk att planera för varje dag.
60 incidenter: så drabbades Norden 2025
DNV:s rapport om nordisk cyberresiliens för 2026 ger en sällsynt jämförbar bild av hur hårt regionen drabbades. Under 2025 observerades 60 cyberincidenter som påverkade svenska organisationer. Finland noterade 44, Danmark 41 och Norge 21. Sverige hade alltså nästan tre gånger så många incidenter som Norge, och alla fyra länderna träffades. Mönstret är regionalt, inte isolerat till ett enskilt land.
| Land | Observerade cyberincidenter 2025 | Relativt Norge | Källa |
|---|---|---|---|
| Sverige | 60 | 2,9x | DNV (2026) |
| Finland | 44 | 2,1x | DNV (2026) |
| Danmark | 41 | 2,0x | DNV (2026) |
| Norge | 21 | 1,0x | DNV (2026) |
| Norden totalt | 166 | – | Summa DNV-data |
Att Sverige toppar listan är ingen slump. Landet är ett av världens mest digitaliserade, med BankID, digital vård och e-förvaltning djupt inbäddade i vardagen. Den styrkan är samtidigt en sårbarhet, eftersom angripsytan växer med varje tjänst som flyttar online. Siffrorna mäter observerade incidenter, inte fullbordade intrång, men de visar tydligt att Norden som helhet har hamnat högre upp på angriparnas måltavla under 2025. Den som vill förstå skalan på antalet försök kan jämföra med vår genomgång av att svenska organisationer mötte tusentals attackförsök per vecka.
Polens elnät och mönstret över Europa
Den svenska värmeverksattacken stod inte ensam. Atlantic Council placerade den i ett bredare europeiskt mönster av angrepp mot energisystem, med liknande incidenter i Polen, Norge och Danmark. Det mest konkreta exemplet är angreppet mot det polska elnätet den 29 till 30 december 2025. Den operationen riktade sig mot vind- och solkraftsparker, kraftvärmeverk och industriella system, inklusive både IT och OT, alltså den driftsteknik som styr fysiska processer.
Polska myndigheter pekade officiellt ut grupper med direkta kopplingar till ryska tjänster, enligt Atlantic Councils sammanställning. Tillsammans med den svenska attributionen tecknar det en bild av samordnad press mot Europas energiinfrastruktur. Det handlar inte om enskilda tonårshackare utan om operationer med tydlig riktning mot de system som håller samhällen igång.
För Norden är det geografiska sammanhanget extra känsligt. Östersjöregionen har sett en rad incidenter mot undervattenskablar och annan infrastruktur, och energisystemen är alltmer sammankopplade över gränserna. En lyckad attack i ett land kan därför få spridningseffekter i grannländerna. Det gör att en cyberattack mot kritisk infrastruktur i Polen eller Tyskland är relevant även för svenska och nordiska driftansvariga, eftersom samma aktörer och metoder kan vändas norrut.
Vad är hybridhot mot kritisk infrastruktur?
Hybridhot är ett samlingsbegrepp för åtgärder som kombinerar olika verktyg för att pressa ett samhälle utan att korsa tröskeln till öppet krig. Det kan röra sig om cyberattacker, sabotage, desinformation, ekonomiska påtryckningar och påverkan på politiska processer, ofta i kombination. Poängen är att hålla sig under nivån för väpnat angrepp samtidigt som man skapar osäkerhet och splittring.
Kritisk infrastruktur är hybridhotens favoritmål av en enkel anledning. När el, värme, vatten, betalningar eller telekommunikation slås ut drabbas hela befolkningen samtidigt, och förtroendet för myndigheter och företag urholkas snabbt. En attack mot ett kraftverk är därför både ett tekniskt angrepp och ett psykologiskt budskap. Den som kan släcka ljuset kan också få medborgare att tvivla på att staten klarar att skydda dem.
Det som gör hybridhoten så svåra att möta är attributionsproblemet. Säkerhetspolisen beskrev själv hur flera misstänkta sabotagefall under det gångna året inte gick att binda till en främmande makt. När ansvaret är otydligt blir det svårare att svara med sanktioner eller diplomatiska åtgärder, och angriparen får handlingsutrymme. Försvaret mot hybridhot bygger därför lika mycket på motståndskraft och snabb återhämtning som på att peka ut en skyldig.
OT-säkerhet: varför industriella system är måltavlan
Skillnaden mellan IT och OT är central för att förstå dagens hotbild. IT, informationsteknik, handlar om data, e-post och affärssystem. OT, driftsteknik, styr fysiska processer som turbiner, ventiler, pumpar och pannor. När en angripare når in i OT-miljön kan följderna bli fysiska och farliga, inte bara digitala. Det var den gränsen som värmeverksattacken försökte korsa.
Gammal teknik möter ny hotbild
OT-system byggdes ofta för decennier av drift, inte för ständiga säkerhetsuppdateringar. Många styrsystem i svensk energi- och vattenförsörjning är äldre än de hot de möter idag. När dessa system kopplas ihop med internet för fjärrövervakning och effektivisering uppstår nya ingångar för angripare. En sårbarhet som aldrig var tänkt att exponeras blir plötsligt nåbar från andra sidan jorden.
Säkerhetsanalytiker som följer Norden har pekat på en kombination av ihållande DDoS-attacker från hacktivistgrupper och försök att placera wiper-skadekod i industriella miljöer. Det visar att angriparna inte nöjer sig med att störa ytan utan vill nå ned till de system som faktiskt kontrollerar produktionen. För driftansvariga innebär det att segmentering mellan IT och OT, kontinuerlig övervakning och planer för manuell drift inte längre är teoretiska rekommendationer utan praktiska överlevnadsfrågor.
Cybersäkerhetslagen och NIS2 förändrar spelplanen
Mitt i hotvågen trädde nya regler i kraft. Cybersäkerhetslagen (SFS 2025:1506) och den tillhörande cybersäkerhetsförordningen (2025:1507) började gälla den 15 januari 2026. Lagen är Sveriges genomförande av EU:s NIS2-direktiv och utökar kraftigt antalet sektorer och verksamhetsutövare som omfattas av skärpta säkerhetskrav. Regeringen lämnade lagrådsremissen i juni 2025, och lagen ingår i en bredare nationell cybersäkerhetsstrategi för 2025 till 2029.
För kritisk infrastruktur är det här avgörande. NIS2-direktivet och den svenska cybersäkerhetslagen tvingar fram riskhantering, incidentrapportering och ansvar på ledningsnivå inom bland annat energi, vatten, transport, hälso- och sjukvård och digital infrastruktur. Att kraven kom samma år som värmeverksattacken är ingen slump, utan en del av samma europeiska reaktion på den eskalerande hotbilden. Vi har gått igenom de praktiska konsekvenserna i vår genomgång av cybersäkerhetslagen, där reglerna och bötesnivåerna beskrivs i detalj.
Lagstiftningen löser dock inte problemet av sig själv. Regler skapar en miniminivå, men det är investeringar, kompetens och övning som avgör om en organisation faktiskt klarar ett angrepp. Det gäller särskilt i OT-miljöer, där efterlevnad av pappersregler inte automatiskt översätts till ett härdat styrsystem. Den verkliga prövningen kommer när nästa cyberattack mot kritisk infrastruktur testar om kraven har omsatts i praktik.
Marknadseffekter: budgetar, försäkring och leverantörer
Hotbilden syns redan i plånböckerna. I det föreslagna försvarsbudgetunderlaget för 2026 avsattes omkring 0,37 miljarder kronor för förstärkt cybersäkerhet, en signal om att staten ser området som en del av totalförsvaret snarare än som en ren IT-fråga. Den offentliga satsningen drar med sig privata investeringar, eftersom verksamhetsutövare i den utökade NIS2-kretsen måste höja sin nivå för att uppfylla kraven.
För leverantörsmarknaden innebär det medvind. Efterfrågan på OT-säkerhet, nätverkssegmentering, incidentberedskap och hanterad övervakning ökar i takt med att energibolag, kommuner och industriföretag inser att de står i frontlinjen. Samtidigt pressas cyberförsäkringsmarknaden. När destruktiva attacker mot fysisk infrastruktur blir mer sannolika stiger premierna och villkoren skärps, särskilt för aktörer som inte kan visa upp grundläggande skydd i sina OT-miljöer.
Det finns också en geopolitisk dimension i inköpen. Världsekonomiskt forum konstaterade i sin Global Cybersecurity Outlook 2026 att geopolitik är den enskilt viktigaste faktorn som påverkar arbetet med att minska cyberrisker under 2026. Företagsledare oroar sig i växande grad för dataläckage kopplade till generativ AI, omkring 30 procent, och för att motståndarnas förmågor förstärks, omkring 28 procent. Resultatet är att val av leverantörer och molntjänster i allt högre grad vägs mot var data hamnar och vem som ytterst kontrollerar tekniken.
Historisk bakgrund: från Estland 2007 till Sverige 2025
Dagens angrepp har en tydlig förhistoria. När Estland 2007 utsattes för storskaliga överbelastningsattacker mot banker, medier och myndigheter blev det ett tidigt bevis på att cyberangrepp kunde användas som politiskt påtryckningsmedel mot ett helt land. Sedan dess har metoderna förfinats, men logiken är densamma: pressa motståndaren under tröskeln för väpnat angrepp.
Attacken mot Ukrainas elnät i december 2015 markerade nästa steg. Då lyckades angripare för första gången släcka strömmen för hundratusentals människor genom en cyberattack mot OT-system, ett scenario som länge betraktats som hypotetiskt. Sedan dess har Ukraina varit en testbädd för destruktiv skadekod, och erfarenheterna därifrån har spridit sig till resten av Europa i takt med kriget.
Den svenska värmeverksattacken 2025 ska ses i ljuset av den utvecklingen. Det Sverige nu möter är inte ett nytt fenomen utan en mogen och beprövad taktik som vänts mot Norden. Regeringen har svarat med att fördjupa samarbetet med Ukraina om cybersäkerhet, eftersom Ukraina både har mest erfarenhet av ryska angrepp och mest att lära ut. Den som vill förstå hur intrång generellt börjar och utvecklas kan läsa vår genomgång av hur dataintrång sker.
Nordisk jämförelse och internationellt samarbete
De nordiska länderna delar hotbild men skiljer sig i exponering. Sverige sticker ut med flest observerade incidenter, vilket både speglar landets digitaliseringsgrad och dess synlighet efter Nato-inträdet. Tabellen nedan sammanfattar de centrala händelserna och regulatoriska milstolparna som format läget under 2025 och 2026.
| Händelse | Tidpunkt | Aktör eller källa | Betydelse |
|---|---|---|---|
| Cyberattack mot värmeverk i västra Sverige | Mitten av 2025 | Prorysk grupp, attribuerad av Säpo | Första offentliga attributionen mot svensk kritisk infrastruktur |
| Lagrådsremiss för cybersäkerhetslagen | Juni 2025 | Regeringen | NIS2 på väg in i svensk rätt |
| Angrepp mot Polens elnät | 29–30 december 2025 | Grupper kopplade till ryska tjänster | Riktat mot vind, sol, kraftvärme och OT |
| Cybersäkerhetslagen i kraft | 15 januari 2026 | Cybersäkerhetslagen (2025:1506) | Skärpta krav på fler sektorer |
| Nationell cybersäkerhetsstrategi 2025–2029 | Februari 2026 | Regeringen | Långsiktig inriktning för totalförsvaret |
| Säkerhetspolisens lägesbedömning | 18 mars 2026 | Säkerhetspolisen | “Ryssland är det största hotet mot Sverige” |
Samarbetet mellan länderna fördjupas. Inom Norden och EU delas hotunderrättelser allt tätare, och europeiska organ som ENISA spelar en samordnande roll i arbetet med NIS2 och gemensam incidenthantering. För Sverige innebär Nato-medlemskapet dessutom nya kanaler för att dela information om angrepp mot kritisk infrastruktur. Den gemensamma slutsatsen är att inget nordiskt land kan försvara sig isolerat när angriparna arbetar regionalt.
Fem förutsägelser för cyberhotet 2026–2027
Baserat på den dokumenterade utvecklingen pekar flera tydliga riktningar ut sig för det kommande året.
- Fler destruktiva OT-angrepp. Glidningen från DDoS till destruktiva attacker fortsätter, och energi, vatten och fjärrvärme förblir prioriterade mål för proryska grupper i Norden.
- Hårdare NIS2-tillsyn. Under 2026 och 2027 går cybersäkerhetslagen från införande till efterlevnadskontroll, och de första sanktionsärendena mot bristande verksamhetsutövare prövar regelverket på riktigt.
- Ökad press på Östersjöns infrastruktur. Undervattenskablar, elförbindelser och hamnar förblir utsatta för sabotage i gråzonen, där attribution är svår och avskräckning begränsad.
- Generativ AI sänker tröskeln. Angripare använder AI för att skala upp spaning, social manipulation och kodutveckling, vilket gör även mindre resursstarka grupper farligare.
- Större budgetar och leverantörsskifte. Statliga och privata investeringar i OT-säkerhet växer, samtidigt som val av leverantörer styrs allt mer av var data lagras och vem som kontrollerar tekniken.
Så skyddar sig svenska verksamhetsutövare
För organisationer inom kritisk infrastruktur finns konkreta åtgärder som höjer motståndskraften påtagligt. Det viktigaste är att utgå från att ett intrång kommer att ske och bygga förmågan att upptäcka, begränsa och återhämta sig snabbt.
| Åtgärd | Vad den skyddar mot | Prioritet |
|---|---|---|
| Segmentering mellan IT och OT | Spridning från kontorsnät till styrsystem | Hög |
| Kontinuerlig övervakning av OT-trafik | Sen upptäckt av intrång och wiper-skadekod | Hög |
| Planer för manuell drift | Total utslagning av digitala styrsystem | Hög |
| Offline-säkerhetskopior | Destruktiva attacker och ransomware | Hög |
| Incidentövningar med ledningen | Långsam och oklar krishantering | Medel |
| DDoS-skydd och trafikfiltrering | Överbelastningsattacker mot publika tjänster | Medel |
Utöver tekniken handlar mycket om människor och rutiner. Ledningen måste äga risken, personalen måste övas och incidentrapportering måste vara inövad innan krisen kommer. För en bredare bild av hur angrepp ofta inleds är det värt att förstå nätfiske, eftersom stulna inloggningar fortfarande är en av de vanligaste vägarna in även mot industriella miljöer. Att kombinera grundläggande hygien med specifik OT-härdning är det mest effektiva försvaret mot en framtida cyberattack mot kritisk infrastruktur.
Vanliga frågor om cyberhot mot kritisk infrastruktur
Vad hände vid det svenska värmeverket 2025?
I mitten av 2025 stoppades en cyberattack mot ett värmeverk i västra Sverige. Attacken fick inga allvarliga följder eftersom säkerhetssystemen fungerade. Säkerhetspolisen knöt aktören till rysk underrättelse- och säkerhetstjänst, och regeringen pekade ut en prorysk grupp som ansvarig.
Varför är Sverige mer utsatt än övriga Norden?
Enligt DNV:s data observerades 60 cyberincidenter mot svenska organisationer 2025, mot 21 i Norge. Sveriges höga digitaliseringsgrad, Nato-medlemskapet och det geopolitiska läget i Östersjöregionen bidrar till att landet hamnar högre upp på angriparnas måltavla.
Vad är skillnaden mellan IT- och OT-säkerhet?
IT-säkerhet skyddar data och affärssystem, medan OT-säkerhet skyddar de driftstekniska system som styr fysisk utrustning som pannor, pumpar och turbiner. Ett angrepp mot OT kan få fysiska konsekvenser, vilket gör det särskilt allvarligt vid kritisk infrastruktur.
Vad innebär cybersäkerhetslagen för kritisk infrastruktur?
Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och genomför EU:s NIS2-direktiv i svensk rätt. Den utökar antalet reglerade sektorer och kräver riskhantering, incidentrapportering och ansvar på ledningsnivå inom bland annat energi, vatten, transport och hälso- och sjukvård.
Vilka grupper ligger bakom angreppen?
Proryska hacktivistgrupper som NoName057(16) har länge genomfört DDoS-attacker mot Sverige. Det allvarliga är att flera av dessa grupper, enligt svenska och polska myndigheter, har kopplingar till ryska tjänster och nu försöker genomföra destruktiva angrepp mot kritisk infrastruktur.
Hur kan företag skydda sin kritiska infrastruktur?
De viktigaste åtgärderna är segmentering mellan IT och OT, kontinuerlig övervakning, offline-säkerhetskopior, planer för manuell drift och regelbundna incidentövningar med ledningen. Grundläggande skydd mot nätfiske och stulna inloggningar är fortfarande avgörande, eftersom de är vanliga vägar in.
Är hotet permanent eller tillfälligt?
Säkerhetspolisen beskriver hoten som en permanent del av Sveriges närmiljö. Rysk säkerhetshotande verksamhet bedöms kunna ske oftare, vilket innebär att verksamhetsutövare bör planera för cyberattacker som ett nytt normalläge snarare än som enstaka undantag.
Relaterad läsning
- Cyberattacker mot Sverige: 3 215 i veckan
- Ransomware 2026: Sverige värst i Norden, 60 incidenter
- Cybersäkerhetslagen: 8 000 företag, 2 % böter
- Dataintrång: hur de sker och hur du skyddar dig
- Nätfiske: så känner du igen bedrägeriförsök
- Säkerhet online: vår samlade guide
Källor och vidare läsning
- Säkerhetspolisen: The threat against Sweden is constantly changing
- Atlantic Council: Dispatches from the front lines of Russia-linked cyberattacks on Europe
- Myndigheten för samhällsskydd och beredskap (MSB)
- Europeiska kommissionen: NIS2-direktivet
- ENISA: EU:s cybersäkerhetsbyrå
- Svenska kraftnät
Publicerad 14 juni 2026. Analysen bygger på offentliga uttalanden från svenska myndigheter och regeringen samt rapporter från DNV, Atlantic Council och World Economic Forum under 2025 och 2026.
