Sverige är det mest cyberdrabbade landet i Norden. Under 2025 registrerade hotanalysföretaget DNV Cyber 60 bekräftade incidenter mot svenska organisationer, nästan tre gånger fler än i Norge. Statsminister Ulf Kristersson gick offentligt ut och bekräftade att angreppen träffar kritisk infrastruktur: SVT, bankerna och BankID. Den 18 juni 2026 fortsätter attackvågorna, och svenska myndigheter, finansinstitut och mediaföretag kämpar mot en hotbild som Check Point Software beskriver som 70 procent värre än året innan. Denna artikel sammanfattar vad vi vet, vad siffrorna berättar och vad som händer härnäst.
Statsminister Kristersson: “Enorma cyberattacker” slår mot Sverige
Ulf Kristersson blev en av de första europeiska statsministrarna att offentligt bekräfta pågående cyberattacker mot nationell infrastruktur. I ett uttalande som ekade i hela Norden sade han: “Vi är utsatta för enorma cyberattacker. De mot SVT har nu erkänts, men banker och BankID har också drabbats.” Uttalandet är anmärkningsvärt av flera skäl. Det signalerar att Sverige har passerat tröskeln från isolerade IT-incidenter till ett läge där landets statsminister tvingas kommunicera krisläge direkt till allmänheten.
Kristerssons uttalande understryker ett skifte i hur Sverige hanterar cyberincidenter politiskt. Tidigare behandlade svenska myndigheter attackinformation som sekretessbelagd. Nu väljer regeringen transparens, sannolikt för att motverka den desinformationsspridning som naturligt uppstår när storbolag och myndigheter tystnar under pågående kriser. Myndigheten för samhällsskydd och beredskap (MSB) och Nationellt cybersäkerhetscenter (NCSC-SE) arbetar parallellt med att koordinera krishantering och säkra beviskedjan för forensisk utredning.
Politiseringen av cyberattacker är i sig ett hot. När statsministrar bekräftar attackerna offentligt ökar risken att hotaktörerna tolkar det som en signal om störst möjlig mediaeffekt, vilket kan förstärka nästa attackvåg. Säkerhetsanalytiker vid The Record Media noterar att Europa måste anpassa sig till “permanenta” cyber- och hybridhot, och att Sverige nu befinner sig i frontlinjen av den geopolitiska cyberkonflikt som intensifierades i samband med NATO-ansökan 2022.
BankID och bankerna: kritisk finansiell infrastruktur i skottlinjen
BankID är ryggraden i den svenska digitala identiteten. Systemet används av 8,4 miljoner aktiva användare för allt från deklaration hos Skatteverket till autentisering mot banker, sjukvård och statliga tjänster. En lyckad attack mot BankID-infrastrukturen är i praktiken ett angrepp mot hela samhällsfunktionen. Kristerssons bekräftelse att BankID har drabbats skapade omedelbart oro på finansmarknader och hos privatpersoner.
Attackerna mot svenska banker sker primärt i form av distribuerade överbelastningsattacker (DDoS), credential stuffing och, i allvarligare fall, ransomware med trippelutpressning. Mordor Intelligence uppger att den svenska cybersäkerhetsmarknaden är värderad till 2,02 miljarder USD 2026, delvis driven av det akuta investeringsbehov som finanssektorn erkänner. Banker i Sverige lyder dessutom under EU:s Digital Operational Resilience Act (DORA), som kräver årliga motståndskraftstester mot tredjepartsleverantörer av IT-tjänster. DORA-kraven och den faktiska attacknivån skapar ett paradoxalt läge: aldrig har svenska banker testats hårdare, och aldrig har de attackerats mer.
Återhämtningstiden efter en allvarlig cyberattack mot finansiell infrastruktur uppgår enligt Mordor Intelligence till i genomsnitt 8,07 månader. Det är ett tal som bör skrämma varje CFO och säkerhetschef i sektorn. Åtta månaders störd drift kostar inte bara i direkt intäktsbortfall utan i kundförtroende, regulatoriska böter och systemåteruppbyggnad. För banker med BankID-beroende tjänster är toleransen för driftstopp nära noll.
SVT-attacken: public service riktad av hotaktörer
SVT, Sveriges Television, är public service-ryggraden i landets medielandskap och når dagligen miljontals svenska hushåll. En attack mot SVT är inte en attack mot ett kommersiellt bolag utan mot det fria informationsflödet i en demokrati. Det är precis denna symbolik som gör public service-organisationer till attraktiva mål för statsstödda hotaktörer med agendor bortom ekonomisk vinning.
Statsminister Kristersson bekräftade explicit att SVT-attackerna “nu erkänts”, ett ordval som antyder att myndigheterna under en period arbetat med incidenten utan offentlig kommunikation. Karaktären på attacken mot SVT är ännu inte fullständigt offentliggjord, men mönstret passar politiskt motiverade DDoS-kampanjer som sedan NATO-beslutet har nått en frekvens av 40 incidenter per år mot svenska mål, enligt Mordor Intelligence. Public service, banker och identitetsinfrastruktur är de tre sektorer med högst symboliskt värde för aktörer som vill destabilisera samhällsförtroendet.
Enligt säkerhetsanalysföretaget Falconer Security, som citerar DNV:s rapport, har de politiskt motiverade DDoS-kampanjerna mot Sverige i praktiken fördubblats i intensitet sedan landet lämnade in NATO-ansökan. Sverige rörde sig 2022 från en neutral säkerhetspolitisk zon till ett NATO-land i fiendens ögon, och det märks i hotstatistiken. Public service-medier som SVT är idealiska mål av tre skäl: hög synlighet, starkt samhällsförtroende och relativt lägre cybersäkerhetsbudget jämfört med banker och försvarsmyndigheter.
DNV Nordic Resilience Report 2026: Sverige värst drabbat i Norden
DNV Cyber Nordic Resilience Report 2026 är det mest auktoritativa dokumentet om cybersäkerhetsläget i Norden. Rapporten kartlägger bekräftade incidenter under 2025 och drar slutsatser om motståndskraft, investeringsbehov och sektoriella sårbarheter. Siffrorna är dystra för Sverige.
| Land | Bekräftade incidenter 2025 | Befolkning (milj.) | Incidenter per miljon inv. | NATO-medlem |
|---|---|---|---|---|
| Sverige | 60 | 10,6 | 5,7 | Ja (2024) |
| Finland | 44 | 5,6 | 7,9 | Ja (2023) |
| Danmark | 41 | 5,9 | 6,9 | Ja (grundmedlem) |
| Norge | 21 | 5,5 | 3,8 | Ja (grundmedlem) |
Tabellen visar att Sverige har flest absoluta incidenter. Finland har däremot fler incidenter per capita, vilket delvis förklaras av landets direkta gräns mot Ryssland och den historiska exponering mot ryska statsstödda hotaktörer som det medfört. Sveriges höga absoluta antal speglar landets roll som det ekonomiskt och infrastrukturellt mest komplexa nordiska landet, med fler exponerade system, fler digitalt beroende tjänster och fler attraktiva mål för angriparna.
DNV:s rapport understryker att cyberattacker nu har en mätbar samhällseffekt: var femte svensk medborgare uppger att deras vardag har påverkats av cyberincidenter. Det är ett anmärkningsvärt tal. Det betyder att cyberattacker inte längre är abstrakta IT-händelser som rör sig i bakgrunden av samhällslivet, utan att de syns i utebliven statlig service, i bankproblem och i nedstängda plattformar. Cyberattackerna mot Sverige är nu ett folkhälsoproblem lika mycket som ett tekniskt problem.
Check Point: 70 procent fler attacker mot Sverige under Q1 2025
Check Point Software Technologies publicerade en rapport som visar att cyberattackerna mot Sverige ökade med 70 procent under det första kvartalet 2025 jämfört med samma period 2024. Det är den högsta ökningstakten av alla nordiska länder, och Sverige placerar sig bland de mest hårt drabbade länderna i hela EU. Siffrorna är ett larm för CISO:er i hela landet.
Check Point identifierar tre dominanta attacktyper i Sverige under perioden:
- Ransomware med trippelutpressning: Angripare krypterar data, hotar att publicera den och attackerar offer sekundärt via DDoS om lösen uteblir. Tre separata utpressningsvektorer mot ett enda offer.
- AI-driven phishing med deepfakes: Avancerade phishingkampanjer använder AI-genererade röst- och videodeepfakes för att lura anställda att godkänna betalningar eller dela inloggningsuppgifter med angripare som låtsas vara chefer eller IT-support.
- Living off the Land (LOTL): Angripare använder legitima systemverktyg redan installerade i offerorganisationens miljö, vilket gör attackerna extremt svåra att detektera med traditionell antivirusprogramvara.
LOTL-attacker är synnerligen oroande eftersom de trotsar standardförsvar. En angripare som utnyttjar PowerShell, Windows Management Instrumentation (WMI) eller certifierade administrativa verktyg syns inte i signatursbaserade säkerhetssystem. Det krävs beteendebaserad detektion och avancerade SIEM-lösningar för att fånga upp aktiviteten, och svenska organisationer, i synnerhet i offentlig sektor, saknar ofta dessa resurser och den kompetens som krävs för att driva dem.
DDoS-kampanjer sedan NATO-anslutningen: 40 incidenter per år
NATO-anslutningen som Sverige officiellt slutförde i mars 2024 omritade landets hotbild fundamentalt. Enligt Mordor Intelligence har politiskt motiverade DDoS-kampanjer mot svenska mål nått en frekvens av 40 incidenter per år sedan NATO-beslutet, en ökning som direkt korrelerar med det geopolitiska klimatskiftet. Sverige gick från neutralt land till NATO-medlem i en period av intensifierad geopolitisk konflikt, och hotaktörer reagerade omedelbart på förändringen.
DDoS-attacker i denna kontext är sällan ekonomiskt motiverade. De är signalattacker: de visar att angriparen kan nå offret, de skapar störningar och mediauppmärksamhet, och de testar försvarsförmågan under kontrollerade former. I NATO-kontexten är de också psykologiska operationer som syftar till att skapa tvivel hos den svenska befolkningen om fördelarna med alliansmedlemskapet. Återhämtningstiden på 8,07 månader är ett problem av strategisk dimension som borde lyftas på försvarsministernivå, inte bara IT-säkerhetsnivå.
En senior svensk försvarsanalytiker citerad av The Record Media sammanfattade läget: Europa måste anpassa sig till “permanenta” cyber- och hybridhot. Permanent är nyckelordet. Det innebär att svenska organisationer inte kan leva i en cykelmodell av kris och återhämtning utan måste bygga kontinuerlig motståndskraft som en del av normalläget. MSB:s ramverk för samhällssäkerhet revideras löpande för att reflektera den nya hotbilden, men takten i revideringen är inte tillräckligt snabb givet attackfrekvensen.
Credential-stöld: Nordisk rekordökning av läckta uppgifter
NetNordic, en av Nordens ledande säkerhetsleverantörer, rapporterar att 2025 såg en aldrig tidigare skådad ökning av läckta uppgifter och känslig företagsinformation som dök upp på dark web-marknadsplatser. Trenden är inte isolerad till Sverige utan gäller hela Norden, men Sverige exponeras i absoluta tal mest på grund av landets storlek och digitala densitet.
Credential-stöld fungerar som den första länken i attackkedjan för en majoritet av allvarliga intrång. Angripare köper stulna inloggningsuppgifter på dark web för summor mellan 1 och 50 USD per uppsättning, testar dem systematiskt mot organisationers inloggningsportaler (credential stuffing), och tar sig sedan in i system med giltiga autentiseringsuppgifter. Inga alarm utlöses initialt eftersom inloggningen ser fullständigt legitim ut för säkerhetssystemen.
Thales Data Threat Report 2026 för Sverige visar att molnlagring är det primära attackmålet för svenska organisationer, tätt följt av SaaS-plattformar och lokala databaser. 66 procent av svenska organisationer har upplevt deepfake-attacker, och dessa används allt oftare i kombinationsattacker med credential stuffing: en deepfake-röst instruerar IT-supporten att återställa ett lösenord, supporten följer ordern, och angriparen har nu en färsk och giltig inloggning utan att ha behövt bryta sig in tekniskt.
AI-driven phishing och deepfake-attacker: 66 procent av organisationerna drabbade
Thales rapport för Sverige 2026 pekar ut deepfakes som det område med näst högsta attackökning bland alla hottyper. 66 procent av svenska organisationer rapporterar att de har utsatts för deepfake-attacker, en siffra som är dramatiskt högre än det globala genomsnittet. Det finns flera förklaringar till varför Sverige är extra exponerat: hög digital mognad, stor andel distansarbete och utbredd användning av videokommunikation i arbetslivet ger fler ytor för deepfake-baserade attacker.
AI-genererade phishingmejl är ett tillhörande problem av växande allvar. Traditionell phishingdetektion bygger på att mejl innehåller grammatiska fel, onaturliga formuleringar och avslöjande avsändaradresser. Moderna AI-modeller producerar perfekt formulerade mejl på valfritt språk, inklusive svenska, vilket eliminerar de flesta manuella kontrolltecken. NCSC-SE noterar att phishingkvaliteten ökat markant under 2025-2026 och att medarbetarträning baserad på äldre phishingexempel har blivit missvisande och ger falsk trygghet.
Den kombinerade effekten av AI-phishing och deepfake-attacker ställer nya krav på identitetsverifiering i svenska organisationer. Traditionell “ring tillbaka och bekräfta”-policy fungerar inte längre när angriparens röst är identisk med chefens. Multi-faktorautentisering (MFA) via hårdvarunycklar och kodbaserade appar är den effektivaste motåtgärden, men implementeringstakten i svenska organisationer är fortfarande otillräcklig.
Cybersäkerhetsmarknaden: 2,02 miljarder dollar och stark tillväxt
Den svenska cybersäkerhetsmarknaden är värderad till 2,02 miljarder USD 2026 och växer med en sammansatt årlig tillväxttakt (CAGR) på 8,87 procent, vilket placerar den på en prognosticerad storlek av 3,09 miljarder USD 2031, enligt Mordor Intelligence. Det är en marknad driven av tvång snarare än val: organisationer spenderar mer för att de måste, inte för att de frivilligt prioriterar säkerhetsinvesteringar framför andra affärsbehov.
Molnlevererade säkerhetstjänster dominerar tillväxten med en CAGR på 9,02 procent och innehar 63,23 procent av den totala marknadsandelen. Det speglar den bredare infrastrukturmigration till molnmiljöer som svenska organisationer genomgår, och det faktum att säkerhetsleverantörerna anpassat sina affärsmodeller till molnet. Den traditionella perimeterbaserade säkerhetsmodellen, där man skyddar en tydlig nätverksgräns, är i praktiken obsolet i en hybridarbetskultur med distribuerade team och molntjänster som sträcker sig bortom organisationens kontroll.
| Attacktyp | Utbredning i Sverige 2025 | Primärt mål | Karakteristik |
|---|---|---|---|
| DDoS (politiskt motiverad) | 40 incidenter/år | Offentlig sektor, media, BankID | Signal- och psykologisk operation |
| Ransomware (trippelutpressning) | Del av 60 bekräftade incidenter | Finansiell sektor, vård, industri | Kryptering + datapublicering + DDoS |
| Deepfake-attacker | 66% av organisationer drabbade | HR, finans, IT-support | AI-röst/video som efterliknar chefer |
| Credential stuffing | Kopplat till dark web-läckor | Alla sektorer med webbtjänster | Stulna uppgifter testade automatiskt |
| LOTL-attacker | Ökande trend | Kritisk infrastruktur, industri | Legitima verktyg, svår detektion |
| AI-phishing | Signifikant ökning Q1 2025 | Alla med e-post | Perfekt svenska, inga grammatikfel |
Cybersäkerhetslagen och NIS2: 3 000 operatörer under 24-timmarsrapportering
Den 15 januari 2026 trädde den svenska cybersäkerhetslagen i kraft, ett direkt resultat av EU:s NIS2-direktiv. Lagen utvidgar incidentrapporteringsskyldigheten till 3 000 operatörer inom 14 sektorer och komprimerar rapporteringsfönstret till 24 timmar från incidentidentifiering. Styrelsenivåansvaret kodifieras: styrelsen kan nu hållas personligt ansvarig för brister i cybersäkerhetsarbetet.
Implementeringen av lagen sker mitt i den värsta attackvågen Sverige har upplevt. Det skapar en komplex situation för organisationernas compliance-team: de ska simultant hantera pågående attacker och säkerställa att de nya rapporteringskraven uppfylls. 24-timmarsregeln är synnerligen utmanande vid ransomware-attacker, där forensisk analys och skadeidentifiering ofta tar dagar eller veckor. Organisationer som rapporterar för sent riskerar böter på upp till 2 procent av global omsättning.
Finanssektorn möter dessutom DORA-krav parallellt med NIS2-implementeringen. Digital Operational Resilience Act kräver att banker och finansiella institutioner genomför årliga motståndskraftstester mot sina ICT-leverantörer, inklusive penetrationstester och scenarioövningar. Det dubbla regulatoriska trycket driver upp cybersäkerhetsbudgetarna men skapar också resursbrist av kompetent personal med rätt certifieringar, en brist som riskerar att bromsa implementeringen av faktiskt skydd.
Vem angriper Sverige? Hotaktörernas profil 2025-2026
De hotaktörer som riktar in sig på Sverige 2025-2026 faller i tre breda kategorier. Statsstödda aktörer, typiskt kopplade till Ryssland och i viss utsträckning Kina och Nordkorea, är ansvariga för den politiskt motiverade attackvågen som intensifierades med NATO-processen. Ransomware-grupper, i regel cyberkriminella utan tydlig statlig koppling men med kommersiella motiv, driver den ekonomiskt motiverade attackvågen. Hacktivistgrupper, löst koordinerade nätverk med ideologiska agendor, genomför ofta DDoS-attacker som signalaktioner mot mål med hög mediaprofil.
Den ryska kopplingen är alltmer evident, om ändå svår att juridiskt bevisa. Sedan Sverige lämnade sin neutralitetspolitik och ansökte om NATO-medlemskap 2022 har attackfrekvensen mot svensk infrastruktur korrelerat starkt med geopolitiska händelser. Attacker intensifierades under NATO-rösterna i riksdagen, under försvarsövningar och i samband med svenska politikers uttalanden om stöd till Ukraina. Korrelationen är tydlig även om direkt attribution kräver en längre forensisk kedja som sällan kan redovisas offentligt.
Cyberkriminella ransomware-grupper opererar i en global marknad men väljer mål baserat på betalningsförmåga och svag säkerhetskultur. Scandinaviska organisationer uppfattas som attraktiva mål på grund av den starka ekonomin och tendensen att betala lösen för att undvika publicitet och driftstopp. Nordiska organisationers genomsnittliga lösenbetalning ligger enligt branschanalytiker i den övre kvartilen globalt, vilket gör regionen kommersiellt attraktiv för ransomware-operatörer som söker hög avkastning per attack.
Nordisk jämförelse: Varför Sverige leder i absoluta incidenttal
Sveriges dominans i det nordiska incidentregistret handlar om struktur snarare än kompetens. Med 10,6 miljoner invånare, en stor exportindustri, ett av Europas mest digitaliserade offentliga sektorer och en expansiv tech-sektor i Stockholm-regionen har Sverige proportionerligt fler exponerade mål än sina nordiska grannar. Storlek är en sårbarhet i sig.
Finland placerar sig tvåa med 44 incidenter men har en direkt rysk gräns som ger en annan hotprofil: mer spionageorienterade attacker mot politiska system och försvarsrelaterad industri. Danmark, med 41 incidenter, är starkt exponerat via sin roll som europeisk transport- och energiknutpunkt. Danska kritiska infrastruktursektorer inom sjöfart och energi är attraktiva mål för aktörer som vill störa europeisk logistik. Norge, med lägst antal incidenter på 21, är ändå hårt drabbat relativt sin befolkningsstorlek, och landet har historiska erfarenheter av statsstödda attacker mot oljeindustrins OT-system.
En intressant observation från DNV:s rapport är att nordiska CISO:er relativt sett är nöjda med sin organisations hantering av hotet. En majoritet av nordeuropeiska säkerhetschefer uppger att de inte ser allvarligare attacker idag än för två år sedan, enligt Dark Reading. Det speglar sannolikt förbättrade försvarskapaciteter snarare än ett minskat hotläge, och understryker att investeringarna i cybersäkerhet ger effekt, även om de inte räcker för att stoppa alla attacker.
Konsekvenser för privatpersoner: Var femte svensk påverkad
DNV:s siffra att var femte svensk medborgare uppger att deras vardag har påverkats av cyberincidenter är det kanske mest talande måttet på attackvågornas verkliga konsekvenser. Det handlar om att e-tjänster hos myndigheter blivit otillgängliga, att BankID-autentisering fallerat vid kritiska ärenden, att bankernas mobilappar haft störningar och att information om personliga ärenden kan ha exponerats vid dataintrång.
För privatpersoner är den viktigaste skyddsåtgärden att aktivera tvåfaktorsautentisering på alla tjänster, använda unika lösenord via en lösenordshanterare och vara extra vaksam mot sofistikerade phishingförsök som nu inkluderar deepfake-element. NCSC-SE publicerar löpande råd och varningar via sin webbplats, och MSB:s informationskampanjer når regelbundet ut till svenska hushåll. Medvetenheten är hög men beteendeförändringen tar tid, och det är i glappet mellan kunskap och beteende som angriparna opererar.
Fem förutsägelser för cyberhoten mot Sverige 2026
Baserat på data från DNV, Check Point, Thales, NetNordic och Mordor Intelligence kan vi formulera fem välgrundade förutsägelser för cyberhotsbilden mot Sverige under resten av 2026:
- Antalet incidenter mot Sverige passerar 70 under 2026. Med en 70-procentig ökningstakt i Q1 2025 och ett geopolitiskt läge som inte förbättrats finns inga strukturella faktorer som tyder på en vändning. 2026 blir sannolikt ett nytt rekordår för cyberattacker mot Sverige.
- BankID-infrastrukturen genomgår säkerhetsuppgradering under H2 2026. Statsministerns offentliga erkännande av BankID-attacker skapar politiskt tryck för snabba åtgärder. En kombination av tekniska förbättringar och regulatoriska insatser är att vänta under hösten 2026.
- Deepfake-attackerna mot svenska organisationer når 80 procent penetration 2026. Med 66 procent 2025 och en accelererande teknologikurva för AI-genererat innehåll är uppgången oundviklig utan kraftfulla motåtgärder.
- NIS2-böter drabbar de första svenska organisationerna under 2026. Lagen trädde i kraft 15 januari 2026 och 24-timmarsrapporteringsplikten kommer att brytas av organisationer under pågående attackstress. De första bötesärendena är sannolikt redan initierade av NCSC-SE.
- Den svenska cybersäkerhetsmarknaden växer snabbare än projekterade 8,87 procent CAGR. Attackvågornas intensitet tvingar organisationer att accelerera investeringsplaner. Marknaden kan nå 3,5 miljarder USD till 2031 snarare än projekterade 3,09 miljarder.
Relaterad bevakning
Läs mer om det bredare hotlandskapet mot Sverige och Norden:
- Cyberattacker mot Sverige: 3 215 i veckan
- Nordisk cybersäkerhet 2026: 54% av chefer skyller ifrån sig
- Ransomware 2026: Sverige värst i Norden, 60 incidenter
- Cyberkriget mot Nordens energi: 11 kablar skadade
- Ryskt sabotage mot kritisk infrastruktur: 60 fall
- Cybersäkerhetslagen: 8 000 företag, 2 % böter
- Miljödata-attacken: 200 kommuner, 870 000 drabbade
Externa källor och vidare läsning:
- U.S. Commercial Service: Sweden Cybersecurity Market Guide 2026
- NetNordic: Leaked Credentials Surge in the Nordics
- Mordor Intelligence: Sweden Cybersecurity Market Report 2026-2031
- The Record: Sweden on Europe’s Permanent Cyber Threat Environment
- Falconer Security: Geopolitical Cyber Threats to Nordic SMBs 2026
- NCSC-SE: Nationellt cybersäkerhetscenter
- MSB: Myndigheten för samhällsskydd och beredskap
Vanliga frågor om cyberattackerna mot Sverige
Hur många cyberattacker drabbade Sverige 2025?
DNV Cyber Nordic Resilience Report 2026 dokumenterar 60 bekräftade cyberincidenter mot svenska organisationer under 2025. Det är det högsta absoluta antalet bland de nordiska länderna. Check Point Software rapporterar dessutom att antalet attacker ökade med 70 procent under Q1 2025 jämfört med Q1 2024, den högsta ökningstakten i hela EU.
Har BankID verkligen blivit attackerat?
Statsminister Ulf Kristersson bekräftade i ett offentligt uttalande att “banker och BankID också har drabbats” av cyberattacker. Det exakta tekniska omfånget av attackerna mot BankID-infrastrukturen har ännu inte offentliggjorts fullt ut av säkerhetsskäl, men statsministerns bekräftelse är tydlig.
Vad hände med SVT i cyberattacken?
SVT drabbades av en cyberattack vars detaljer statsministern bekräftade offentligt. Attacken passar mönstret för politiskt motiverade DDoS-kampanjer som sedan NATO-beslutet drabbar Sverige med en frekvens av 40 incidenter per år. Fullständig teknisk information är inte offentliggjord av säkerhets- och forensiska skäl.
Vad kan jag som privatperson göra för att skydda mig?
Aktivera tvåfaktorsautentisering på alla konton, använd unika lösenord via en lösenordshanterare, var extra vaksam mot phishingförsök (inklusive deepfake-röstsamtal), och följ NCSC-SE:s och MSB:s varningar och råd. Använd aldrig samma lösenord på flera tjänster, och godkänn aldrig BankID-begäranden du inte själv initierat.
Vilka lagar gäller nu för svenska organisationer vid cyberattacker?
Sedan 15 januari 2026 gäller den svenska cybersäkerhetslagen, som implementerar EU:s NIS2-direktiv. Den kräver att 3 000 operatörer inom 14 sektorer rapporterar cyberincidenter inom 24 timmar. Finansiella institutioner lyder dessutom under DORA med krav på årliga motståndskraftstester. Styrelseledamöter kan nu hållas personligt ansvariga vid brister.
Varför är Sverige det mest drabbade nordiska landet?
Sverige är störst i Norden med 10,6 miljoner invånare, har Nordens mest komplexa digitala infrastruktur och är ett attraktivt mål för statsstödda aktörer efter NATO-anslutningen 2024. Den starka ekonomin gör svenska organisationer kommersiellt attraktiva för ransomware-grupper som söker höga lösenbetalningar.
Ökar cyberhoten mot Sverige även 2026?
Ja. Med 70 procents ökningstakt i Q1 2025, en otillförbättrad geopolitisk situation och snabbt växande AI-kapacitet hos hotaktörer pekar alla indikatorer på att 2026 blir ännu ett rekordår för cyberattacker mot Sverige. Den svenska cybersäkerhetsmarknaden förväntas växa med 8,87 procent CAGR fram till 2031, ett bevis på att hela marknaden räknar med fortsatt eskalerande hot.
