1,5 miljoner svenskars personuppgifter hamnade på darknet. Namn, personnummer, adresser och födelsedatum, allt exfiltrerat i en ransomware-attack mot en plattform som betjänade 80 % av Sveriges kommuner.
Sverige hade ett brutalt år för dataintrång. Mellan mitten av 2025 och början av 2026 exponerade fyra incidenter personuppgifter för miljontals människor, inklusive barn, statsanställda och idrottsföreningsmedlemmar. Varje intrång följde samma mönster: kända svagheter, långsam respons, undvikbar skada.
Driver du ett företag i Sverige är det här inte avlägsna rubriker. Det är en förhandsvisning av vad IMY, NIS2 och dina kunder kommer att hålla dig ansvarig för. Här är vad som hände och vad det lär oss om att förebygga dataintrång i Sverige.
Miljödata: Ransomware som drabbade 80 % av Sveriges kommuner
I augusti 2025 drabbades HR- och arbetsmiljöplattformen Miljödata av en ransomware-attack. Plattformens Adato-system betjänade cirka 80 % av Sveriges kommuner och hanterade sjukfrånvaro, rehabiliteringsärenden och arbetsskaderapporter.
Angriparna exfiltrerade uppgifter som berörde uppskattningsvis 1,5 miljoner personer innan de krypterade systemen. Personuppgifter (namn, personnummer, adresser och födelsedatum) dök upp på darknet-marknadsplatser inom några veckor.
- Attackvektor: Brister i företagets molninfrastruktur utnyttjade av hotgruppen DataCarry
- Exponerad data: Namn, personnummer, e-postadresser, telefonnummer, födelsedatum
- Påverkan: 1,5 miljoner individer, cirka 164 kommuner och 4 regioner drabbade
- Tidslinje: Attack i augusti 2025, data publicerad på darknet 13 september 2025
Miljödata var en delad tjänsteleverantör för den stora majoriteten av Sveriges kommuner. En enda komprometteringspunkt spred sig över hela den offentliga sektorn. Det är den leveranskedjerisk som NIS2 artikel 21(2)(d) adresserar.
Lärdomen är obekväm: en enda kompromettering hos en delad tjänsteleverantör kan sprida sig över hela den offentliga sektorn. Kommunerna hade ingen insyn i Miljödatas säkerhetsläge.
CGI/BankID: Skatteverkets källkod exponerad
I mars 2026 bekräftade IT-jätten CGI ett intrång som exponerade källkod tillhörande Skatteverkets BankID-integration. Intrånget härrörde från en kompromettering av intern infrastruktur, inklusive en Jenkins-byggserver, som angriparna använde för att pivotera genom Docker-containrar och SSH-nycklar till en intern GitLab-instans.
Den exponerade koden inkluderade autentiseringslogik för Sveriges mest kritiska digitala identitetssystem. CGI uppgav att incidenten berörde ett begränsat antal interna testservrar som inte var i produktion, men säkerhetsforskare varnade för att den läckta källkoden kunde användas för att identifiera sårbarheter i BankID-implementationer.
- Attackvektor: Jenkins-serverkompromettering, Docker-flykt, SSH-nyckelpivot till intern GitLab
- Exponerad data: Skatteverkets källkod, BankID-integrationslogik, e-förvaltningsplattformskod
- Påverkan: Potentiell nedströmsrisk för alla BankID-beroende tjänster
- Grundorsak: Otillräcklig nätverkssegmentering och interna åtkomstkontroller
Det här dataintrånget i Sverige 2025–2026 illustrerar en leveranskedjerisk som NIS2 är utformat för att hantera. Din säkerhet är bara lika stark som dina leverantörers.
Sportadmin: 2,1 miljoner poster inklusive barns uppgifter
Sportadmin, en plattform som används av tusentals svenska idrottsföreningar, exponerade 2,1 miljoner poster, inklusive namn, adresser och personuppgifter om barn. IMY utredde och utfärdade böter på 6 miljoner kronor.
Intrånget orsakades av SQL-injektionssårbarheter som IMY fann att Sportadmin hade känt till. IMY:s utredning konstaterade att Sportadmin hade otillräckligt skydd mot SQL-injektionsattacker trots kända långvariga risker, i kombination med för höga användarbehörigheter och bristfälliga kodgranskningsrutiner.
- Attackvektor: SQL-injektion som utnyttjade kända sårbarheter i äldre kod
- Exponerad data: 2,1 miljoner poster inklusive namn, adresser och födelsedatum för barn och vuxna
- Böter: 6 miljoner kronor från IMY
- Grundorsak: Kända SQL-injektionsrisker som inte åtgärdats, för höga användarbehörigheter, bristfällig kodgranskning
Barns personuppgifter har särskilt skydd enligt GDPR artikel 8. Intrång som involverar minderåriga leder till högre böter och hårdare tillsyn.
Ericsson USA: 15 000+ anställdas uppgifter
Ericsson offentliggjorde ett intrång som drabbade över 15 000 individer (anställda och kunder) vid dess amerikanska verksamhet. Incidenten härrörde från en röstfiskeattack (vishing) mot en tredjepartsleverantör, som ledde till obehörig åtkomst till system med personnummer, finansiell information och födelsedatum.
Även om intrånget skedde i USA utlöste det GDPR-skyldigheter eftersom vissa drabbade anställda var EU-medborgare på uppdrag. Gränsöverskridande incidentrapportering lade till veckor av komplexitet.
- Exponerad data: Personnummer, finansiell information, födelsedatum för 15 000+ individer
- Attackvektor: Röstfiske (vishing) riktat mot en tredjepartsleverantör
- Komplikation: Gränsöverskridande GDPR-rapporteringskrav för EU-medborgare på uppdrag i USA
Gemensamma mönster i alla fyra intrången
Det här är inte slumpmässiga händelser. De delar ett mönster som upprepas i nästan varje stort dataintrång i Sverige.
- Kända sårbarheter som lämnats opatchade i månader
- Saknad eller bristfälligt tillämpad multifaktorautentisering
- För höga behörigheter: utvecklare och administratörer med mer åtkomst än nödvändigt
- Inga regelbundna penetrationstester eller automatiserad säkerhetsskanning
- Långsam detektering: intrång upptäckta veckor eller månader efter första komprometteringen
- Tredjepartsrisker och leveranskedjerisker underskattade
Vad proaktiv säkerhetsskanning upptäcker
Automatiserad skanning förhindrar inte alla intrång. Men den fångar de lågt hängande frukterna som angripare utnyttjar först.
- Saknade säkerhetsheaders (CSP, HSTS, X-Frame-Options)
- Exponerade adminpaneler och oautentiserade API-endpoints
- Föråldrade TLS-konfigurationer och utgångna certifikat
- Kända CVE:er i webbinfrastruktur
- DNS-felkonfigurationer som möjliggör domänspoofing
- Saknade säkerhetsflaggor på sessionscookies
Flera av intrången ovan involverade svagheter som externa säkerhetsbedömningar kunde ha identifierat. Otillräckliga åtkomstkontroller, bristande nätverkssegmentering och bristfälliga leverantörssäkerhetsåtgärder har alla observerbara indikatorer.
Hur exponerad är din webbplats?
Vakteye skannar efter samma sårbarheter som ledde till Sveriges största intrång. Få en compliancerapport på minuter, inte månader.
Starta en gratis skanningNIS2 höjer insatserna
Sveriges implementering av NIS2-direktivet (Cybersäkerhetslagen) höjer ribban. Väsentliga verksamhetsutövare riskerar böter upp till 10 miljoner EUR eller 2 % av global omsättning. Viktiga verksamhetsutövare riskerar 7 miljoner EUR eller 1,4 %.
NIS2 artikel 21 kräver riskbaserade säkerhetsåtgärder inklusive sårbarhetshantering, leveranskedjesäkerhet och incidenthantering. Artikel 23 kräver rapportering av betydande incidenter till CERT-SE inom 24 timmar.
Under NIS2 kan ledningen hållas personligt ansvarig för att inte implementera adekvata cybersäkerhetsåtgärder. Det här är inte längre bara en IT-fråga.
Alla fyra intrång ovan hade utlöst NIS2-rapporteringsskyldigheter. Två av dem (Miljödata och CGI) involverade verksamheter som sannolikt faller under NIS2:s kategorier för väsentliga eller viktiga verksamhetsutövare.
Vänta inte på din egen rubrik
Mönstret är tydligt: angripare riktar in sig på kända svagheter, tillsynsmyndigheter bötfäller organisationer som borde ha vetat bättre, och kunder lämnar när förtroendet är brutet.
Lär av andras misstag
Vakteye kombinerar automatiserad sårbarhetsskanning med GDPR- och NIS2-compliancekontroller. Kontinuerlig övervakning fångar nya risker innan de blir intrång.
Se vad Vakteye hittar