Vad Sveriges senaste cyberincidenter avslöjar om vår exponering

I rubrikerna har incidenterna olika namn, men det underliggande strukturella problemet är detsamma.

Kort sammanfattning: Sveriges senaste cyberincidenter, Miljödata i augusti 2025, Tietoevry i januari 2024 och Dorotea och Vilhelmina i april 2026, delar ett och samma mönster. Exponeringen var inte enbart teknisk, utan organisatorisk. Svenska verksamheter har byggt djupa operativa beroenden till leverantörer de inte kan övervaka, till utrustning de inte alltid hinner patcha i tid, och till kontinuitetsplaner som förutsätter att IT är tillgängligt på ett ögonblick. Om något av dessa antaganden brister är det ledningen som hålls ansvarig.

Den här texten tittar närmare på vad tre svenska incidenter avslöjar om var den verkliga exponeringen finns.

Vad hände hos Miljödata, och vad det avslöjar om leverantörskoncentration

Miljödata är en medelstor svensk SaaS-leverantör vars HR- och arbetsmiljösystem används av runt 80 procent av Sveriges kommuner, omkring 200 av landets 290 kommuner, samt 21 regioner. Den 23 augusti 2025 krypterade angripare Miljödatas miljö och krävde 1,5 BTC i lösen. Miljödata vägrade betala. I mitten av september hade personuppgifter för omkring 1,5 miljoner svenskar publicerats på forum på dark web, däribland läkarintyg, rehabiliteringsplaner och arbetsskadeanmälningar.

Grundproblemet var en medelstor leverantör som ansvarade för HR-systemen hos merparten av Sveriges kommuner. När leverantören föll, föll alla kunder samtidigt.

Integritetsskyddsmyndigheten (IMY) inledde en formell granskning i oktober 2025, inte bara av Miljödata som personuppgiftsbiträde, utan av de personuppgiftsansvariga, Region Västmanland, Älmhult och Göteborgs stad, för deras bristande efterlevnad av GDPR. Köparen är ansvarig för de leverantörer de väljer.

Att köpa samma system som andra förvaltningar kan ha setts som upphandlingseffektivitet, men i praktiken köpte 200 kommuner samma felkälla.

Vad Tietoevry visar om beroendet av perimeter och patchcykel

Natten mellan den 19 och 20 januari 2024 krypterade ransomware-gruppen Akira ett virtualiseringskluster i ett av Tietoevrys svenska datacenter. Den initiala åtkomstpunkten var en VPN-enhet av typen Cisco ASA / Firepower med en opatchad sårbarhet för autentiseringskringgående, CVE-2023-20269. Cisco hade publicerat patchen den 11 oktober 2023. CISA hade lagt till sårbarheten på sin lista över aktivt utnyttjade sårbarheter den 13 november 2023. Finlands nationella cybersäkerhetscenter hade varnat för problemet två gånger, senast fem dagar före intrånget.

Följdverkningarna pågick i veckor. Filmstadens onlinebokning av biobiljetter slogs ut. Omkring 100 butiker i kedjorna Rusta och Granngården stängde. Region Uppsala förlorade vård- och ekonomisystem. Fler än 30 myndigheter som körde HR- och lönesystemet Primula påverkades, däribland delvis Riksdagen. Munters, en börsnoterad Tietoevry-kund, tvingades tidigarelägga sin Q4-rapport för 2023 eftersom företaget inte längre kunde garantera konfidentialiteten i sitt finansiella konsolideringssystem.

Exponeringen här var att patchen fanns i tre månader före attacken. Glappet mellan ”åtgärden finns” och ”åtgärden är utrullad” är där angripare verkar. Många verksamheter mäter inte det tidsfönstret konsekvent, om de ens mäter det alls.

Vad Dorotea och Vilhelmina visar om operativ beredskap

Tidigt på morgonen den 9 april 2026 drabbades Vilhelmina och Dorotea kommun av ransomware. Åsele kommun påverkades i mer begränsad omfattning. Dorotea gick in i formellt krisläge. Båda kommunerna förlorade webbplatser, e-tjänster och sina interna IT-miljöer. Ransomware-gruppen lade upp Dorotea på sin läckagesajt med en nedräkningsklocka och ett ultimatum på 24 timmar. Enligt Doroteas kommundirektör skulle återställningen, baserat på erfarenhet från tidigare fall, ta flera veckor.

Notera skillnaderna i respons:

Dorotea höll hemtjänst och förskola igång med penna och papper. På så sätt kunde kommunen absorbera störningen. Eftersom någon, i god tid, hade beslutat att personalen som tog hand om äldre och barn behövde kunna fortsätta leverera tjänster utan nätverk.

Vilhelmina höll fortfarande på att kartlägga intrångets omfattning flera timmar in i responsen, och bedömde via länsstyrelsen om fler hade drabbats. Så här ser en incidenthantering ut under press, när extern samordning är avgörande och man ännu inte vet hur stort problemet är.

Den stora skillnaden här var förberedelse. I Dorotea var kontinuiteten övad, inte bara dokumenterad.

Vad är då Sveriges verkliga exponering?

De tre incidenterna som granskats här pekar på tre exponeringspunkter:

1. Leverantörskoncentration. För få köpare beaktar vilka beroenden populära leverantörer bär med sig. Det är därför NIS2 lägger sin tyngdpunkt på riskhantering i leverantörskedjan.
2. Beroende av perimeter och patchning. Många verksamheter följer inte upp utrullningen av patchar. Patch-SLA på internetexponerad utrustning är inte en detalj för IT-driften, utan en operativ risk som styrelsen behöver planera för.
3. Bristande operativ beredskap. För få kommuner har övat vad de ska göra när systemen är mörka. Den motståndskraften behöver byggas innan den behövs.

Inget av detta kräver ny hotunderrättelse. De svenska säkerhetsmyndigheterna och CERT-SE har varit tydliga om alla tre exponeringarna i flera år. Det som har förändrats under 2024 till 2026 är att kostnaden för att lämna dem oåtgärdade har blivit mycket synlig, och med långvariga effekter.

Vad detta betyder

Miljödata, Tietoevry och kommunerna i Västerbotten blottlägger var sitt lager av samma problem: strukturella beroenden som har tillåtits växa utan att kartläggas, ägas eller övas. Det är arbetet som återstår, och under NIS2 är det inte längre frivilligt.

Starta en kostnadsfri NIS2-bedömning nu

Vanliga frågor

Vad kräver NIS2 när det gäller leverantörs- och leverantörskedjerisk?

NIS2 kräver att reglerade verksamheter identifierar och hanterar cybersäkerhetsrisker i hela sin leverantörskedja, inklusive direkta leverantörer, underleverantörer och tredjepartsleverantörer av tjänster. IMY:s granskning av Miljödata signalerar hur detta kommer att tillämpas i praktiken: kundorganisationen, inte bara leverantören, är ansvarig för att förstå och hantera leverantörsberoenden. Koncentrationsrisk, att vara beroende av en enda leverantör som delas med likartade organisationer, behandlas som en hanterad risk, inte som en upphandlingsfråga.

Varför är svenska kommuner så frekventa mål för ransomware?

Svenska kommuner levererar kritiska välfärdstjänster (hemtjänst, förskola, äldreomsorg, skolor) på relativt begränsade IT-budgetar och delar ofta infrastruktur eller programvaruleverantörer mellan många kommuner. Den kombinationen, samhällsviktiga tjänster, tidspress på återställning och koncentrerade leverantörsberoenden, gör dem attraktiva för ransomware-grupper som söker mål med hög hävstång, och innebär att ett enda leverantörsintrång kan kaskada genom dussintals kommuner samtidigt.