En länk, ett klick – sedan slocknar systemen. Cyberattacker mot offentlig sektor ökar kraftigt, men många svenska kommuner saknar fortfarande förmåga att skydda sig. Samtidigt implementeras NIS2-direktivet – som ställer nya krav på både beredskap och ansvar.
När kommunens digitala system slås ut påverkas hela samhället. Hemtjänsten vet inte vilka brukare som ska få medicin och mat, avfallshanteringen stoppas när rutterna inte går att få fram, samtidigt som skolpersonal varken kommer åt scheman eller kontaktuppgifter till vårdnadshavare. Innan problemen är lösta får man försöka jobba med det man har – analogt, med papper och penna.
– Sedan blir det en otrolig börda att försöka komma i kapp, säger Johan Rosell, chef för Centrum för cybersäkerhet på RISE.
Sverige ett av de mest utsatta länderna i Europa
Cyberattackerna ökar kraftigt. Enligt en ny rapport från Check Point Research ökade attackerna i Sverige med 75 procent under det första kvartalet 2025, jämfört med samma period förra året. Det gör oss till ett av de mest utsatta länderna i Europa.
– Vi ligger långt fram när det gäller digitalisering, men inte lika långt fram inom cybersäkerhet. Där finns ett glapp som gör oss sårbara, säger Johan Rosell.
Vem som ligger bakom attackerna varierar – det är inte heller alltid tydligt.
– Förut var det vattentäta skott mellan statliga hotaktörer och cyberkriminella. Nu har man sett hur de ofta krokar arm. Det är svårare att se om det är ett kriminellt hackerkollektiv, som vill tjäna pengar, eller en statlig aktör, som är ute efter annat. Det blir en del av hybridverktygslådan, där man vill sänka tilliten till våra demokratiska institutioner, säger Johan Rosell.
Kommunerna är särskilt utsatta. I princip varje vecka blir en svensk kommun utlåst från något av sina system. Små kommuner drabbas hårdare och oftare – de har mindre resurser, vilket gör det svårare att upprätthålla redundans i form av backup-system och att rekrytera rätt kompetens inom cybersäkerhet.
Attackerna är ofta enkla i sin uppbyggnad. Det vanligaste är att någon klickar på en länk i ett phishingmejl. Därefter sprider sig ett virus vidare mellan datorer i nätverket, tills allt låser sig.
– Kommunerna får ett meddelande där det krävs betalning i kryptovaluta för att låsa upp systemen. Men att betala är inte ett alternativ, det skapar bara fler incitament för nya attacker. Det finns heller ingen garanti för att man får sin data upplåst eller återställd, säger Johan Rosell.
Det blir alltid dyrare att städa upp efteråt, när man måste ta in folk som ska jobba treskift för att få verksamheten på fötter igen, än att tänka efter före. Man måste ställa de kostnaderna mot varandra när man pratar om att investera i cybersäkerhet.
Allt dyrare att återställa hackade system
I stället måste system återställas från backuper – om de finns. Inte sällan måste it-konsulter kallas in för att få igång allt snabbt, vilket ofta blir dyrt. Efter de uppmärksammade cyberattackerna mot Kalix och Kalmar handlade det om miljonbelopp.
– Det blir alltid dyrare att städa upp efteråt, när man måste ta in folk som ska jobba treskift för att få verksamheten på fötter igen, än att tänka efter före. Man måste ställa de kostnaderna mot varandra när man pratar om att investera i cybersäkerhet, säger Karl Resare, affärsutvecklare på Cyber Range, RISE test- och demonstrationsmiljö för cybersäkerhet.
Precis som en privatperson besiktar bilen varje år borde en kommun besikta sin cybersäkerhet – genom kontinuerliga övningar, utbildningar och riskanalyser. Snart blir det också en skyldighet.
Med det nya EU-direktivet NIS2, som införs i svensk lag under 2025, blir cybersäkerhet ett formellt ansvar för kommunledningen. De nya reglerna ställer tvingande krav på säkerhetsnivå, incidentrapportering och kontinuerlig riskhantering – och gör det möjligt att utdöma sanktionsavgifter vid brister.
– För att möta det har vi tagit fram en ledningsutbildning, särskilt riktad till kommunledningar. De behöver veta vilka krav som ställs, säger Johan Rosell.
Avancerade övningar i digitala tvillingmiljöer
Utöver det har RISE utbildningar i allt från grundläggande ”cyberhygien” till specialiserade kurser för teknisk personal. Dessutom erbjuds bland annat certifiering, sårbarhetsanalyser och avancerade övningar i digitala tvillingmiljöer.
– Där kan man se vad som händer när ett system kraschar. Det påminner om ett dataspel – det är ofarligt att testa hos oss. Men när man väl blir påhoppad på riktigt, då har man större förutsättningar att klara sig, säger Karl Resare.
Som oberoende forskningsinstitut kan RISE agera som en neutral partner i arbetet med att stärka cybersäkerheten i offentlig sektor.
– Vi har inga andra intressen än att göra Sverige starkare, säger Karl Resare.
VAD ÄR NIS2?
NIS2 är ett EU-direktiv som ställer skärpta krav på cybersäkerhet inom samhällsviktig och kritisk verksamhet – både offentlig och privat. Syftet är att stärka motståndskraften mot cyberattacker i hela EU. Direktivet ska införas i svensk lag under 2025.
Organisationer som omfattas måste införa rutiner för cybersäkerhet, rapportera incidenter inom vissa tidsramar, hantera risker i leverantörskedjan – och ledningen blir juridiskt ansvarig för att kraven uppfylls.
Bristande efterlevnad kan leda till sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av årsomsättningen, beroende på typ av enhet.
