Labs Support
SV EN

AI har gjort det billigare och enklare att hacka er

AI har gjort cyberattacker billigare och mer tillgängliga. Cybersäkerhetslagen kräver att ni bygger motståndskraft. Så hänger det ihop och så kommer ni igång.

Patrik Björklund
Medgrundare, AmpliFlow
Cybersäkerhetslagen NIS2 Sverige ISO 27001 Cyberattacker ISMS
AI har gjort det billigare och enklare att hacka er

AI-verktyg har förändrat vad som krävs för att genomföra en cyberattack. Det som tidigare krävde ett team med teknisk kompetens kan idag göras av en enskild aktör med tillgång till rätt verktyg.

Ett illustrativt exempel: under januari och februari 2026 kompromitterade en kriminell aktör över 600 brandväggar i 50+ länder, inklusive norra Europa1. Inte en statsmakt. Inte ett stort syndikat. En aktör med AI-verktyg och tid.

Siffrorna

Acronis Cyberthreats Report H2 2025 visar trenden tydligt: 80% av alla Ransomware-as-a-Service-leverantörer marknadsför nu AI- eller automationsfunktioner2. E-postattacker ökade med 36% under andra halvåret 20252. Ransomware-attacker ökade med 50% fram till oktober 2025 jämfört med året innan2. Över 1 200 drabbade genom leveranskedjeangrepp under januari till november 20252.

AI handlar inte så mycket om nya typer av attacker. Den gör befintliga attacker snabbare, billigare och möjliga för fler aktörer1. Personen som hackade 600 brandväggar hade inte behövt vara särskilt tekniskt kunnig. AI gjorde grovjobbet.

Det innebär att tröskeln för att genomföra en attack sjunker. Inte för att fler människor vill hacka organisationer, utan för att fler nu tekniskt sett kan.

Varför cybersäkerhetslagen finns

Den 15 januari 2026 trädde cybersäkerhetslagen (SFS 2025:1506) i kraft3. Den är Sveriges införande av EU:s NIS2-direktiv.

Lagen finns inte för att samla in böter. Den finns för att samhället inte fungerar om kritisk infrastruktur faller. Sjukhus behöver sina system. Vattenverket kan inte ha komprometterade styrsystem. Leveranskedjor kollapsar när en länk brister. Er organisation är en del av det ekosystemet, oavsett om ni själva räknas som kritisk infrastruktur eller inte.

Lagen skapar tydliga krav på att företag bygger motståndskraft innan de behöver den. 2 kap. 3 §3 listar tio kategorier av säkerhetsåtgärder. Bland de viktigaste:

  1. Riskanalys: identifiera vad som kan gå fel och hur sannolikt det är
  2. Incidenthantering: en plan för vad som händer när det går fel
  3. Kontinuitetsplanering: hur verksamheten fortsätter under och efter en incident
  4. Leveranskedjekontroll: säkerhetskrav på era leverantörer och underleverantörer
  5. Cyberhygienutbildning: alla anställda, inte bara IT
  6. Krypteringsrutiner: skydda data i vila och under överföring

Problemet är att många företag inte ens vet att de drabbats. Mandiant M-Trends 2025 visar att medianen för hur länge en angripare befinner sig i ett nätverk innan de upptäcks är 11 dagar, och hela 26 dagar när det är en extern part som slår larm4. Utan systematisk övervakning, loggning och rutiner för att upptäcka avvikelser finns det ingen som letar. Det är därför säkerheten behöver styras, inte bara installeras. Det behöver finnas processer, ansvar och uppföljning. Det behöver ledas.

Lagen kräver också att ni rapporterar incidenter: 24 timmar för en tidig varning3, 72 timmar för en fullständig incidentanmälan3, en månad för en slutrapport. Det kräver att ni först har förmågan att upptäcka att något hänt. Rapporteringskraven finns för att myndigheter ska kunna varna andra, samordna respons och förhindra att samma attack sprider sig. Det skyddar alla, inte bara er.

Ja, det finns sanktioner. Upp till 2% av global årsomsättning eller 10 miljoner euro för väsentliga verksamhetsutövare3. 1,4% eller 7 miljoner euro för viktiga verksamhetsutövare3. Ledningspersoner hos väsentliga verksamhetsutövare som genom uppsåt eller grov vårdslöshet orsakar upprepade allvarliga överträdelser kan förbjudas att sitta i ledningen i ett till tre år3. Men sanktionerna är sista utvägen, inte syftet. Syftet är att ni har fungerande skydd på plats den dag det behövs.

ISO 27001 ger er strukturen

Alla krav som cybersäkerhetslagen ställer har redan en färdig struktur i ISO 270015. NIS2:s krav överlappar i hög grad med standarden.

Några konkreta kopplingar:

ISO 27001 kräver kontakt med relevanta myndigheter (Bilaga A 5.5)5, precis det ni behöver för att klara 24-timmarsrapporteringen. Standarden kräver insamling och analys av hotunderrättelser (Bilaga A 5.7)5, alltså det som hade fått er att uppdatera era brandväggar innan de 600 hackades. Leveranskedjekontroll finns i Bilaga A 5.19-5.225. Incidenthanteringsplanering i Bilaga A 5.245.

Ni behöver inte uppfinna hjulet. Strukturen finns redan.

AI är också en attackyta

AI-verktyg är inte bara något angripare använder. De är också en attackyta i sig.

Och risken växer med varje ny AI-funktion företag rullar ut. Microsofts Copilot har tillgång till er SharePoint, er mejl, era Teams-chattar. Anthropics Claude Cowork kan läsa och flytta filer på era datorer. Säkerhetsforskare visade i januari 2026 att Claude Cowork kunde luras att skicka alla filer i en mapp till en angripare utan att användaren märkte något6. Det här är inte teoretiska risker. Det är dokumenterade sårbarheter i verktyg som era anställda redan använder.

Utöver det: anställda som klistrar in konfidentiell information i externa AI-tjänster skapar dataläckor utan att en enda firewall-regel bryts. Shadow AI, där medarbetare använder AI-verktyg som IT aldrig godkänt, gör riskbilden omöjlig att överblicka. Vi skrev mer om detta i Varför betalar vi för mjukvara som AI kan bygga gratis?

Det räcker inte att säkra er mot AI-drivna attacker. Ni behöver också styra hur ni själva använder AI.

ISO 42001 ger er ramverket för det7. Standarden täcker riskbedömning av AI-system, datakvalitet, transparens och kontroll över tredjepartsleverantörer. Om ni redan har ISO 27001 som grund är steget till att lägga till AI-styrning hanterbart.

Gör det svårare för angriparna

Att ta cybersäkerhet på allvar är inte valfritt. Det är en skyldighet. Mot era anställda, era kunder, era leverantörer och alla andra som är beroende av att era system fungerar.

Varje företag som bygger ett fungerande ISMS gör det svårare för nästa angripare. Inte bara för er egen del. Ni blir en pålitligare länk i leveranskedjan, en organisation som inte sprider smittan vidare när den kommer. En som tar sitt ansvar.

Gör en gap-analys mot cybersäkerhetslagen. Kartlägg vilka av de tio säkerhetsområdena ni har på plats och vilka som saknas. Bygg upp ert ISMS med ISO 27001 och ISO 42001 som grund. Testa er incidentrapporteringskedja innan ni behöver använda den på riktigt.

AmpliFlow hjälper er att bygga och driva ert ISMS med stöd för ISO 27001, ISO 42001 och cybersäkerhetslagen. Boka ett samtal så visar vi hur.

Footnotes

  1. CERT-SE veckobrev v.9, 27 februari 2026. Sveriges nationella CSIRT:s sammanställning av aktuella cyberhot. 2

  2. Acronis Cyberthreats Report H2 2025, publicerad 20 februari 2026 av Lee Pender. 2 3 4

  3. Cybersäkerhetslagen, SFS 2025:1506. I kraft sedan 15 januari 2026. Sveriges införande av NIS2-direktivet. 2 3 4 5 6 7

  4. Mandiant M-Trends 2025, publicerad 23 april 2025 av Google Cloud. Global median dwell time 11 dagar, 26 dagar vid extern notifiering. https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025

  5. ISO 27001:2022. Internationell standard för ledningssystem för informationssäkerhet. 2 3 4 5

  6. Prompt Armor, “Claude Cowork Exfiltrates Files”, 14 januari 2026. Säkerhetsforskare visade att Cowork kunde luras att exfiltrera filer utan användarens vetskap.

  7. ISO/IEC 42001:2023. Internationell standard för ledningssystem för artificiell intelligens.

Relaterade artiklar

Varför betalar vi för mjukvara som AI kan bygga gratis?

Varför betalar vi för mjukvara som AI kan bygga gratis?

 De flesta företag har ett ledningssystem. Problemet är att det inte leder någonting.

De flesta företag har ett ledningssystem. Problemet är att det inte leder någonting.

 EU AI Act och ISO 42001: så hänger de ihop

EU AI Act och ISO 42001: så hänger de ihop