Den 15 april 2026 ställde sig Sveriges civilförsvarsminister Carl-Oskar Bohlin framför pressen i Stockholm och bekräftade det säkerhetstjänsterna länge antytt: en cyberattack mot ett svenskt värmeverk under 2025 utfördes av en proryskt grupp med kopplingar till Rysslands säkerhets- och underrättelsetjänster. Attacken orsakade ingen större driftstörning eftersom skyddssystemen höll, men signalen var entydig. En cyberattack mot Sverige riktad mot själva energiförsörjningen är inte längre ett hypotetiskt scenario. Den har redan inträffat.
Händelsen är ingen isolerad incident. Den hör ihop med ett mönster som svept över hela Norden och Östersjöregionen sedan slutet av 2025: en upptrappning från störande överbelastningsattacker till förstörande sabotage mot kritisk infrastruktur. För Sverige, Finland, Danmark och Norge handlar det inte längre om huruvida elnät och värmeverk ska angripas, utan om när och hur ofta. Den här analysen går igenom vad som faktiskt hände, vem som pekas ut, vad det kostar och vad de närmaste åren sannolikt för med sig.
Vad hände vid det svenska värmeverket
Angreppet ägde rum tidigt under 2025 men hölls under lock i drygt ett år medan FRA och Säkerhetspolisen utredde spår och attribution. Enligt den svenska redogörelsen försökte angriparna störa driften vid anläggningen, alltså inte stjäla data eller pressa fram en lösensumma, utan påverka en fysisk process som värmer hushåll. Det är den centrala skillnaden mot de ransomware-attacker som dominerat nyhetsflödet de senaste åren. Här var målet störning av samhällsviktig funktion, inte ekonomisk vinning.
Att skadan blev begränsad berodde på att operatörens skyddssystem upptäckte och avstyrde manipulationen innan den fick fysiska konsekvenser. Det är en viktig nyans. Anläggningen klarade sig, men inte för att angreppet var amatörmässigt utan för att försvarslagren fungerade. En cyberattack mot ett värmeverk i ett kallt land mitt i vintern hade kunnat få allvarliga följder för folkhälsan om skyddet brustit. Att det inte gjorde det denna gång säger ingenting om nästa.
Attributionen: så pekar Sverige ut Ryssland
Offentlig attribution, alltså att en stat formellt pekar ut vem som låg bakom ett angrepp, är ett tungt politiskt verktyg som Sverige använder sparsamt. När civilförsvarsministern gör det vid en presskonferens är det ett medvetet steg. Bohlin satte angreppet i ett bredare europeiskt sammanhang och beskrev en tydlig glidning i hotbilden.
“Proryska grupper som tidigare genomförde överbelastningsattacker försöker nu utföra förstörande cyberattacker mot organisationer i Europa.”
Carl-Oskar Bohlin, civilförsvarsminister
Formuleringen är väsentlig. Överbelastningsattacker, så kallade DDoS-angrepp, gör en tjänst otillgänglig en stund men lämnar inga bestående skador. Förstörande attacker syftar till att radera data permanent eller slå ut fysiska processer. Att Sverige offentligt placerar ett angrepp mot energiinfrastruktur i den senare kategorin, och kopplar det till en NATO-medlems territorium, är en markering riktad både inåt mot svensk beredskap och utåt mot Moskva. Säkerhetspolisen har i sin lägesbild för 2025 och 2026 slagit fast att Ryssland förblir det största hotet mot Sverige, främst genom underrättelseverksamhet, påverkansoperationer och teknikanskaffning.
Polen i december 2025: förvarningen ingen lyssnade på
Den svenska attributionen kan inte förstås utan det polska angreppet några månader tidigare. I slutet av december 2025 drabbades Polens energisektor av vad polska myndigheter beskrev som den allvarligaste cyberattacken mot landets infrastruktur hittills. Målen var omkring 30 anläggningar för förnybar energi samt ett kraftvärmeverk som försörjer nära 500 000 kunder. Den skadliga koden var konstruerad för att radera data oåterkalleligt, ett kännetecken för avsiktligt sabotage snarare än spionage.
Polens vice premiärminister Krzysztof Gawkowski uppgav att landet var “mycket nära” strömavbrott. FRA:s pressansvarige Ola Billger bekräftade kopplingen till den nordiska hotbilden.
“Polen utsattes för attacker mot sin energisektor i slutet av december.”
Ola Billger, FRA
Att det polska angreppet och det svenska värmeverket binds samman i samma narrativ är medvetet. Det handlar inte om två slumpvisa incidenter utan om ett regionalt tryck mot energiinfrastruktur i länder som stöttar Ukraina. När en angripare först testar förstörande metoder i Polen och sedan ett liknande grepp prövas i Sverige, talar mönstret för en samordnad förmåga snarare än spridda aktörer som agerar på egen hand.
Från DDoS till förstörande malware: ett trendbrott
Den enskilt viktigaste slutsatsen av vintern 2025 och 2026 är skiftet i metod. Under flera år bestod den proryska cyberaktiviteten mot Norden i hög grad av symbolisk hacktivism: nedsläckta myndighetssajter, läckta dokument och överbelastningsattacker som syftade till uppmärksamhet och oro snarare än fysisk skada. Det polska angreppet och det svenska värmeverket markerar ett kvalitativt nytt steg där förstörelse är själva målet.
Säkerhetsföretaget Dragos, som specialiserat sig på industriella styrsystem, har pekat ut wiper-malware, alltså skadlig kod vars enda funktion är att radera, som ett växande hot i Norden och jämför risken med de störningar som drabbat Ukraina. Wiper-attacker kräver djupare åtkomst och mer förberedelse än en DDoS-våg. Att den typen av kod nu riktas mot nordisk energiinfrastruktur visar att angriparna investerat i fotfäste, kartläggning och uthållighet långt innan en knapp trycks ned.
Cyberincidenter i Norden 2025: länderna jämförda
Klassningssällskapet DNV kartlade observerade cyberincidenter mot organisationer i Norden under 2025. Siffrorna visar att Sverige bär den tyngsta bördan, med nästan tre gånger så många incidenter som Norge. Skillnaderna förklaras delvis av ekonomins storlek och digitaliseringsgrad, men också av Sveriges NATO-medlemskap och tydliga stöd till Ukraina.
| Land | Observerade cyberincidenter 2025 | Relativ andel av Norden | Andel jämfört med Norge |
|---|---|---|---|
| Sverige | 60 | 36 % | 2,9x |
| Finland | 44 | 26 % | 2,1x |
| Danmark | 41 | 25 % | 2,0x |
| Norge | 21 | 13 % | 1,0x (referens) |
| Norden totalt | 166 | 100 % | – |
Att Sverige toppar listan ska inte tolkas som att svenskt försvar är sämre. Tvärtom konstaterar flera nordiska analyser att regionens säkerhetschefer hanterar det stigande trycket förvånansvärt väl. Det höga antalet incidenter speglar snarare att Sverige är ett prioriterat mål. Ju mer exponerad en nation är, desto fler försök riktas mot den, oavsett hur skickligt försvaret är.
Undervattenskablarna och den hybrida gråzonen
Cyberattacker mot energin sker inte i ett vakuum utan ingår i en bredare hybrid kampanj. Sedan 2023 har minst elva undervattenskablar i Östersjön skadats, och ryskkopplade fartyg har upprepade gånger varit inblandade. Münchens säkerhetsrapport 2026 dokumenterar en tydlig ökning av denna typ av hybridangrepp sedan september 2025. Datakablar, elkablar och gasledningar på havsbotten är svåra att bevaka och lätta att skada, vilket gör dem till en idealisk arena för aktörer som vill skapa osäkerhet utan att överskrida tröskeln för väpnad konflikt.
Kombinationen av digitala intrång och fysiskt sabotage är det som gör den nuvarande hotbilden så svårhanterad. Ett angrepp mot en kabel kan vara en olycka, en cyberincident kan vara hacktivism, men när mönstren staplas på varandra framträder en sammanhängande strategi. En senior svensk försvarstjänsteman har beskrivit cyber- och hybridhoten som ett “permanent” inslag i Europas säkerhetsmiljö, inte en tillfällig topp kopplad till ett enskilt skeende.
Vem ligger bakom: ryska hotgrupper och deras metoder
Sverige har valt att inte namnge en specifik grupp offentligt utan talar om en proryskt aktör med kopplingar till säkerhets- och underrättelsetjänster. Det är ett vanligt grepp eftersom attribution till en namngiven enhet kräver en högre bevisnivå och kan låsa diplomatiska reaktioner. Branschanalytiker pekar dock på flera kända kluster som arbetar mot industriella miljöer.
Dragos följer flera OT-inriktade hotgrupper, däribland de man benämner Kostovite, Kamacite och Bentovite, som snabbt utnyttjar kända och aktivt exploaterade sårbarheter, så kallade KEV. Ett återkommande tema är att VPN- och fjärråtkomstutrustning är angriparnas förstahandsval för att ta sig in i industrinätverk. Dragos bedömer även, om än med låg tillförlitlighet, att nordisk kritisk infrastruktur kan komma att angripas med metoder som utnyttjar legitima systemverktyg, så kallad living-off-the-land-teknik, vilket gör intrången svåra att skilja från normal drift.
Varför fjärråtkomst är den svaga punkten
Den gemensamma nämnaren i flera angrepp är vägen in via fjärråtkomst. När energibolag och kommuner kopplar upp styrsystem för fjärrövervakning skapas en bro mellan kontorsnätet och de fysiska processerna. En komprometterad VPN-inloggning eller en oppatchad fjärrtjänst kan ge angriparen en rak väg från internet till en turbin eller en panna. Det är därför segmentering, multifaktorinloggning och snabb patchning av just dessa komponenter står högst på åtgärdslistorna hos både MSB och energibolagens egna säkerhetsteam.
Varför energisektorn är ett förstahandsmål
Energi är den infrastruktur all annan infrastruktur vilar på. Slås elen ut faller telekom, betalningar, vattenrening och sjukvård som dominobrickor. För en angripare som vill maximera psykologisk effekt med minsta möjliga insats finns få mål med bättre hävstång. Ett kort strömavbrott i en storstad mitt i vintern når varje hem och varje nyhetssändning på ett sätt som ett dataintrång hos en myndighet aldrig gör.
Till detta kommer att energisektorns styrsystem ofta bygger på äldre teknik som konstruerades innan internet var ett hot. Många anläggningar driftsattes på 1990- och 2000-talen med fokus på tillgänglighet och säker fysisk drift, inte på att stå emot statsunderstödda angripare. Att uppgradera dessa system är dyrt, tekniskt komplext och kan kräva driftstopp, vilket skapar en eftersläpning som angriparna känner till och utnyttjar. Energibolagens dilemma är att samma långa livscykler som gör infrastrukturen pålitlig också gör den långsam att härda.
Marknadspåverkan: vad attackerna kostar
Den direkta kostnaden för det svenska värmeverket blev begränsad eftersom skyddet höll, men den bredare marknadseffekten är betydande. Hotbilden driver upp investeringarna i OT-säkerhet, försäkringspremier för kritisk infrastruktur och efterfrågan på specialistkompetens som redan är en bristvara. Energibolag som tidigare behandlade cybersäkerhet som en IT-fråga tvingas nu lyfta den till styrelsenivå och budgetera för den som en operativ risk i nivå med väder och bränslepriser.
Den geopolitiska osäkerheten påverkar även infrastrukturbeslut i grunden. I maj 2026 beordrade energiminister Ebba Busch det statliga stamnätsbolaget Svenska kraftnät att pausa arbetet med förbindelsen Konti-Skan, ett beslut som understryker hur säkerhetsläget nu väger tungt även i rena energipolitiska frågor. När fysiska sammankopplingar mellan länder kan bli både styrka och sårbarhet blir varje större nätinvestering också en säkerhetsbedömning.
Attackvektorer och skydd för energiinfrastruktur
Tabellen nedan sammanfattar de vanligaste vägarna in mot nordisk energiinfrastruktur och de motåtgärder som branschorganisationer och myndigheter lyfter fram. Den bygger på mönster som observerats under 2025 och 2026, inte på enskilda hemliga utredningar.
| Attackvektor | Typiskt mål | Möjlig konsekvens | Primär motåtgärd |
|---|---|---|---|
| Komprometterad VPN/fjärråtkomst | Styrsystem (OT) | Direkt åtkomst till fysisk process | MFA, segmentering, snabb patchning |
| Wiper-malware | Servrar och datalager | Oåterkallelig dataförlust | Offline-backup, härdade endpoints |
| Living-off-the-land | Legitima systemverktyg | Svårupptäckt långvarigt intrång | Beteendeövervakning, loggning |
| DDoS / överbelastning | Publika tjänster | Tillfällig otillgänglighet | Skrubbning, redundans |
| Fysiskt sabotage av kablar | Under- och sjökablar | Avbruten överföring | Övervakning, redundanta rutter |
Det genomgående budskapet från experterna är att inget enskilt skydd räcker. Försvaret bygger på lager: hindra åtkomst, upptäck intrång tidigt och se till att verksamheten kan återställas även efter en lyckad attack. Den sista delen, återhämtningsförmågan, är ofta den mest förbisedda men kan vara avgörande den dag förebyggande åtgärder inte räcker.
Lagstiftningen: NIS2 och svensk cybersäkerhetslag
Den rättsliga ramen runt kritisk infrastruktur skärps i takt med hotbilden. EU:s NIS2-direktiv höjer kraven på riskhantering, incidentrapportering och styrelseansvar för en lång rad samhällsviktiga sektorer, energi inkluderat. Sverige har arbetat med att föra in direktivet i nationell rätt genom en ny cybersäkerhetslag som omfattar tusentals svenska verksamheter och för med sig kännbara sanktionsmöjligheter vid bristande efterlevnad.
Kärnan i den nya regleringen är att flytta cybersäkerhet från frivillig god sed till lagstadgad skyldighet med personligt ansvar i ledningen. För energibolag innebär det att en attack som den mot värmeverket inte längre bara är en teknisk incident utan en händelse med rapporteringsplikt och potentiella böter om grundläggande skydd visat sig saknas. Lagstiftningen ändrar inte hotet, men den ändrar incitamenten kraftigt. Att skjuta upp investeringar i säkerhet blir nu en juridisk risk, inte bara en operativ.
Experterna: röster om hotbilden
Det samlade budskapet från svenska och nordiska myndigheter är ovanligt samstämmigt. Säkerhetspolisen slår i sin lägesbild fast att Ryssland är det främsta hotet mot Sverige och pekar på en kombination av underrättelseverksamhet, påverkan och teknisk anskaffning. FRA bekräftar den operativa kopplingen mellan angreppen i Polen och trycket mot Norden. Civilförsvarsministern beskriver upptrappningen från störning till förstörelse i klartext.
Samtidigt nyanserar nordiska säkerhetschefer bilden. Trots AI-driven automatisering och fler angreppsförsök uppger en majoritet av regionens CISO:er att de inte upplever att attackerna är allvarligare än för två år sedan, utan att de hanteras inom ramen för befintliga processer. Den dubbelheten är värd att hålla i minnet. Hotet är reellt och växande, men nordisk infrastruktur är inte försvarslös. Mellan rubrikernas larm och vardagens motståndskraft finns ett spann där beredskap, inte panik, är det rätta svaret.
Historisk kontext: från Estland 2007 till idag
Dagens angrepp har en lång förhistoria. När Estland 2007 drabbades av massiva överbelastningsattacker mot banker och myndigheter blev det en väckarklocka för hela Europa om att digitala angrepp kunde användas som politiskt påtryckningsmedel. Sedan dess har kurvan pekat brant uppåt i både ambition och förmåga. Ukraina blev under 2010-talet ett provfält där angrepp mot elnät visade att cyberattacker kan släcka ljuset på riktigt, inte bara på en skärm.
Det som gör 2025 och 2026 till en vändpunkt för Norden är att de förstörande metoderna nu prövas på nordisk mark, inte längre bara i konfliktzoner längre österut. Dragos noterade redan att svenska cyberincidenter ökade med omkring 30 procent under 2023 jämfört med året innan, en trend som bara fortsatt. Steget från spaning och hacktivism till sabotage mot fysisk infrastruktur är det avgörande historiska skiftet, och det skedde under loppet av ett enda år.
Fem prognoser för Nordens energisäkerhet
- Fler offentliga attributioner. Sverige och grannländerna kommer att namnge angripare oftare, eftersom tystnad inte längre uppfattas som avskräckande. Förvänta dig fler presskonferenser av samma typ som den 15 april 2026.
- Energibolagens säkerhetsbudgetar växer tvåsiffrigt. Drivet av NIS2, styrelseansvar och faktiska incidenter kommer investeringarna i OT-säkerhet att öka markant under 2026 och 2027.
- Wiper-malware blir det dominerande hotet mot OT. Förstörande kod ersätter alltmer ren spaning som det primära statsunderstödda verktyget mot nordisk infrastruktur.
- Fysiska och digitala angrepp smälter samman. Hybridkampanjer mot undervattenskablar och styrsystem kommer att planeras och utföras som en helhet, vilket suddar ut gränsen mellan cyberförsvar och fysiskt skydd.
- Nordiskt samarbete formaliseras. Gemensam incidentdelning och samordnad respons mellan Sverige, Finland, Norge och Danmark stärks, sannolikt med tätare koppling till NATO:s strukturer.
Så skyddar sig energibolagen just nu
För de bolag som driver kritisk infrastruktur är prioriteringarna konkreta. Först gäller det att stänga de vanligaste vägarna in: härda VPN och fjärråtkomst, kräva multifaktorinloggning och patcha kända sårbarheter i styrsystem snabbt. Därefter handlar det om att kunna upptäcka det som ändå tar sig förbi, genom beteendeövervakning och loggning som fångar living-off-the-land-tekniker. Slutligen krävs en återställningsplan som testats på riktigt, med offline-säkerhetskopior som wiper-malware inte kan nå.
För hushåll och mindre verksamheter är slutsatsen mer indirekt men ändå relevant. En cyberattack mot energin kan ge strömavbrott, betalningsstopp och avbrott i telekom samtidigt. Grundläggande hemberedskap, från reservljus till kontanter och dricksvatten, är inte längre en fråga om överlevnadsromantik utan en rationell respons på en dokumenterad hotbild. Den som vill förstå hur dessa angrepp hänger ihop med den bredare svenska hotutvecklingen hittar fördjupning i vår övriga bevakning nedan.
Relaterad bevakning
- Ryskt sabotage mot kritisk infrastruktur: 60 fall [2026]
- Cyberattacker mot Sverige: 3 215 i veckan [2026]
- Ransomware 2026: Sverige värst i Norden, 60 incidenter
- Cybersäkerhetslagen: 8 000 företag, 2 % böter [2026]
- Miljödata-attacken: 200 kommuner, 870 000 drabbade [2026]
- Säkerhet online: dataintrång, lösenord, HTTPS och nätfiske
Vanliga frågor om cyberattacken mot svensk energi
Vad hände vid det svenska värmeverket?
En proryskt grupp försökte under 2025 störa driften vid ett svenskt värmeverk. Attacken orsakade ingen större driftstörning eftersom anläggningens skyddssystem upptäckte och avstyrde manipulationen. Den 15 april 2026 pekade Sverige offentligt ut Ryssland som ansvarig.
Varför pekar Sverige ut Ryssland?
FRA och Säkerhetspolisen utredde tekniska spår och kopplingar i drygt ett år. Säkerhetspolisen beskriver Ryssland som det främsta hotet mot Sverige, och angreppet följer samma mönster som ett förstörande angrepp mot Polens energisektor i december 2025.
Är min elförsörjning i fara?
Risken för ett storskaligt strömavbrott till följd av en cyberattack bedöms som låg men inte obefintlig. Nordiska säkerhetschefer uppger att de hanterar hotet inom befintliga processer. Grundläggande hemberedskap rekommenderas ändå, eftersom ett avbrott kan slå mot el, betalningar och telekom samtidigt.
Vad är skillnaden mellan en DDoS-attack och en förstörande attack?
En DDoS-attack överbelastar en tjänst så att den blir otillgänglig en stund men lämnar inga bestående skador. En förstörande attack syftar till att radera data permanent eller slå ut fysiska processer. Skiftet från det förra till det senare är kärnan i den nya hotbilden.
Hur många cyberincidenter drabbade Norden 2025?
Enligt DNV observerades 60 incidenter i Sverige, 44 i Finland, 41 i Danmark och 21 i Norge under 2025. Sverige hade alltså nästan tre gånger så många som Norge, vilket speglar landets exponering snarare än svagt försvar.
Vad gör NIS2 och cybersäkerhetslagen åt saken?
NIS2 och den svenska cybersäkerhetslagen höjer kraven på riskhantering, incidentrapportering och styrelseansvar för samhällsviktiga sektorer som energi. Bristande efterlevnad kan leda till sanktioner, vilket gör att uppskjutna säkerhetsinvesteringar blir en juridisk risk och inte bara en operativ.
