VakteyeVakteye
VAKTEYE
LösningarPlanerOm ossKontaktInsikterKarriär
Logga inBoka demo
Tillbaka till insikter
FORSKNING

Sveriges största dataintrång 2025–2026: Vad vi kan lära oss

28 feb. 2026/7 min läsning
Av Vakteye Team

1,5 miljoner svenskars personuppgifter hamnade på darknet. Namn, personnummer, adresser och födelsedatum, allt exfiltrerat i en ransomware-attack mot en plattform som betjänade 80 % av Sveriges kommuner.

Sverige hade ett brutalt år för dataintrång. Mellan mitten av 2025 och början av 2026 exponerade fyra incidenter personuppgifter för miljontals människor, inklusive barn, statsanställda och idrottsföreningsmedlemmar. Varje intrång följde samma mönster: kända svagheter, långsam respons, undvikbar skada.

Driver du ett företag i Sverige är det här inte avlägsna rubriker. Det är en förhandsvisning av vad IMY, NIS2 och dina kunder kommer att hålla dig ansvarig för. Här är vad som hände och vad det lär oss om att förebygga dataintrång i Sverige.

Miljödata: Ransomware som drabbade 80 % av Sveriges kommuner

I augusti 2025 drabbades HR- och arbetsmiljöplattformen Miljödata av en ransomware-attack. Plattformens Adato-system betjänade cirka 80 % av Sveriges kommuner och hanterade sjukfrånvaro, rehabiliteringsärenden och arbetsskaderapporter.

Angriparna exfiltrerade uppgifter som berörde uppskattningsvis 1,5 miljoner personer innan de krypterade systemen. Personuppgifter (namn, personnummer, adresser och födelsedatum) dök upp på darknet-marknadsplatser inom några veckor.

  • Attackvektor: Brister i företagets molninfrastruktur utnyttjade av hotgruppen DataCarry
  • Exponerad data: Namn, personnummer, e-postadresser, telefonnummer, födelsedatum
  • Påverkan: 1,5 miljoner individer, cirka 164 kommuner och 4 regioner drabbade
  • Tidslinje: Attack i augusti 2025, data publicerad på darknet 13 september 2025

Miljödata var en delad tjänsteleverantör för den stora majoriteten av Sveriges kommuner. En enda komprometteringspunkt spred sig över hela den offentliga sektorn. Det är den leveranskedjerisk som NIS2 artikel 21(2)(d) adresserar.

Lärdomen är obekväm: en enda kompromettering hos en delad tjänsteleverantör kan sprida sig över hela den offentliga sektorn. Kommunerna hade ingen insyn i Miljödatas säkerhetsläge.

CGI/BankID: Skatteverkets källkod exponerad

I mars 2026 bekräftade IT-jätten CGI ett intrång som exponerade källkod tillhörande Skatteverkets BankID-integration. Intrånget härrörde från en kompromettering av intern infrastruktur, inklusive en Jenkins-byggserver, som angriparna använde för att pivotera genom Docker-containrar och SSH-nycklar till en intern GitLab-instans.

Den exponerade koden inkluderade autentiseringslogik för Sveriges mest kritiska digitala identitetssystem. CGI uppgav att incidenten berörde ett begränsat antal interna testservrar som inte var i produktion, men säkerhetsforskare varnade för att den läckta källkoden kunde användas för att identifiera sårbarheter i BankID-implementationer.

  • Attackvektor: Jenkins-serverkompromettering, Docker-flykt, SSH-nyckelpivot till intern GitLab
  • Exponerad data: Skatteverkets källkod, BankID-integrationslogik, e-förvaltningsplattformskod
  • Påverkan: Potentiell nedströmsrisk för alla BankID-beroende tjänster
  • Grundorsak: Otillräcklig nätverkssegmentering och interna åtkomstkontroller

Det här dataintrånget i Sverige 2025–2026 illustrerar en leveranskedjerisk som NIS2 är utformat för att hantera. Din säkerhet är bara lika stark som dina leverantörers.

Sportadmin: 2,1 miljoner poster inklusive barns uppgifter

Sportadmin, en plattform som används av tusentals svenska idrottsföreningar, exponerade 2,1 miljoner poster, inklusive namn, adresser och personuppgifter om barn. IMY utredde och utfärdade böter på 6 miljoner kronor den 26 januari 2026 (artikel 32 GDPR).

Enligt IMY:s officiella beslutssammanfattning hade Sportadmin under lång tid varit medvetna om svagheter i sina system och områden med förhöjd attackrisk, men företaget gjorde inte tillräckligt för att åtgärda dem. IMY konstaterade också att Sportadmin saknade rutiner för att upptäcka brister i befintliga säkerhetsåtgärder och inte hade något system för att upptäcka intrång eller intrångsförsök i realtid.

  • Attackvektor: cyberattack som utnyttjade opatchade, sedan länge kända säkerhetssvagheter (specifik vektor anges inte i IMY:s offentliggjorda beslut)
  • Exponerad data: 2,1 miljoner poster, främst barn och unga — namn, kontaktuppgifter, personnummer, idrott/föreningstillhörighet och känsliga hälsouppgifter
  • Böter: 6 miljoner kronor från IMY (artikel 32 GDPR)
  • Grundorsak enligt IMY: kända svagheter som inte åtgärdats, inga rutiner för att upptäcka säkerhetsbrister, ingen realtidsdetektering av intrång

Barns personuppgifter har särskilt skydd enligt GDPR artikel 8. Intrång som involverar minderåriga leder till högre böter och hårdare tillsyn.

Ericsson USA: 15 000+ anställdas uppgifter

Ericsson offentliggjorde ett intrång som drabbade över 15 000 individer (anställda och kunder) vid dess amerikanska verksamhet. Incidenten härrörde från en röstfiskeattack (vishing) mot en tredjepartsleverantör, som ledde till obehörig åtkomst till system med personnummer, finansiell information och födelsedatum.

Även om intrånget skedde i USA utlöste det GDPR-skyldigheter eftersom vissa drabbade anställda var EU-medborgare på uppdrag. Gränsöverskridande incidentrapportering lade till veckor av komplexitet.

  • Exponerad data: Personnummer, finansiell information, födelsedatum för 15 000+ individer
  • Attackvektor: Röstfiske (vishing) riktat mot en tredjepartsleverantör
  • Komplikation: Gränsöverskridande GDPR-rapporteringskrav för EU-medborgare på uppdrag i USA

Gemensamma mönster i alla fyra intrången

Det här är inte slumpmässiga händelser. De delar ett mönster som upprepas i nästan varje stort dataintrång i Sverige.

  1. Kända sårbarheter som lämnats opatchade i månader
  2. Saknad eller bristfälligt tillämpad multifaktorautentisering
  3. För höga behörigheter: utvecklare och administratörer med mer åtkomst än nödvändigt
  4. Inga regelbundna penetrationstester eller automatiserad säkerhetsskanning
  5. Långsam detektering: intrång upptäckta veckor eller månader efter första komprometteringen
  6. Tredjepartsrisker och leveranskedjerisker underskattade

Vad proaktiv säkerhetsskanning upptäcker

Automatiserad skanning förhindrar inte alla intrång. Men den fångar de lågt hängande frukterna som angripare utnyttjar först.

  • Saknade säkerhetsheaders (CSP, HSTS, X-Frame-Options)
  • Exponerade adminpaneler och oautentiserade API-endpoints
  • Föråldrade TLS-konfigurationer och utgångna certifikat
  • Kända CVE:er i webbinfrastruktur
  • DNS-felkonfigurationer som möjliggör domänspoofing
  • Saknade säkerhetsflaggor på sessionscookies

Flera av intrången ovan involverade svagheter som externa säkerhetsbedömningar kunde ha identifierat. Otillräckliga åtkomstkontroller, bristande nätverkssegmentering och bristfälliga leverantörssäkerhetsåtgärder har alla observerbara indikatorer.

Hur exponerad är din webbplats?

Vakteye skannar efter samma sårbarheter som ledde till Sveriges största intrång. Få en compliancerapport på minuter, inte månader.

Starta en gratis skanning

NIS2 höjer insatserna

Sveriges implementering av NIS2-direktivet (Cybersäkerhetslagen) höjer ribban. Väsentliga verksamhetsutövare riskerar böter upp till 10 miljoner EUR eller 2 % av global omsättning. Viktiga verksamhetsutövare riskerar 7 miljoner EUR eller 1,4 %.

NIS2 artikel 21 kräver riskbaserade säkerhetsåtgärder inklusive sårbarhetshantering, leveranskedjesäkerhet och incidenthantering. Artikel 23 kräver rapportering av betydande incidenter till CERT-SE inom 24 timmar.

Under NIS2 artikel 20 kan ledningsorgan hållas ansvariga för att inte övervaka cybersäkerhetsåtgärder. Artikel 32(5)(b) medger tillfälligt förbud att utöva ledningsfunktioner. Det här är inte längre bara en IT-fråga.

Alla fyra intrång ovan hade utlöst NIS2-rapporteringsskyldigheter. Två av dem (Miljödata och CGI) involverade verksamheter som sannolikt faller under NIS2:s kategorier för väsentliga eller viktiga verksamhetsutövare.

Vänta inte på din egen rubrik

Mönstret är tydligt: angripare riktar in sig på kända svagheter, tillsynsmyndigheter bötfäller organisationer som borde ha vetat bättre, och kunder lämnar när förtroendet är brutet.

Lär av andras misstag

Vakteye kombinerar automatiserad sårbarhetsskanning med GDPR- och NIS2-compliancekontroller. Kontinuerlig övervakning fångar nya risker innan de blir intrång.

Se vad Vakteye hittar

Är ni i riskzonen?

Boka en efterlevnadsdemo

Vi skannar er sajt live under mötet och visar exakt vilka risker som behöver åtgärdas först.

Boka demo
Föregående

Så fungerar Vakteyes compliance-scanner

Nästa

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

Relaterade artiklar

FORSKNING5 min läsning

Meta Pixel-böter mot apotek: 45 MSEK och vad det innebär för din webbplats

Apoteket AB och Apohem AB överförde läkemedelsköpdata till Meta via Facebook-pixeln. IMY bötfällde dem med sammanlagt 45 miljoner kronor. Här är vad som hände och vad det innebär för alla sajter med tredjepartsspårare.

VakteyeVakteye
VAKTEYE

Webbplatskontroll för samtycke, policy, spårning och säkerhet. Vakteye visar vad som hänt, vad som behöver åtgärdas och bevisen bakom.

Boka demo
VakteyeVakteye
Integritet övervakadKontinuerligt övervakad av Vakteye

PRODUKT

  • Planer
  • Trust center
  • Skanner-information
  • Säkerhetspolicy

FÖRETAG

  • Om oss
  • Kontakt
  • Insikter
  • FAQ

JURIDISKT

  • Integritetspolicy
  • Användarvillkor
  • Cookie-policy
  • Underbiträden
  • Datarättigheter (GDPR)
  • För besökare

Kontakt

  • info@vakteye.com
  • LinkedIn

© 2026 Vakteye. Alla rättigheter förbehållna.