Det blåser nya vindar kring Sveriges kommuner. Den nya cybersäkerhetslagen kan ge kommuner kännbara konsekvenser – och i värsta fall miljonböter.
En ny granskning visar nu att över hundra kommuner ligger i riskzonen.
125 kommuner berörs av nya cybersäkerhetslagen
Totalt är det 125 svenska kommuner och kommunala bolag som har gjort affärer med pumpföretaget Sulzer, det framgår av en granskning från Dagens Arbete.
Bolaget ägs till 48,8 procent av den ryske oligarken Viktor Vekselberg, som står nära Vladimir Putin och är sanktionerad i flera länder. Kommunerna har framför allt köpt pumpar och reservdelar, men i vissa fall även betalar för servicen på plats och tillgång till Seulzers webbaserade system för fjärrstyrning och övervakning.
Den 15 januari 2026 trädde en ny cybersäkerhetslag i kraft, baserad på ett uppdaterat EU-direktiv, något Nyheter24 tidigare skrivit om. Den innebär att verksamhetsutövaren själv måste identifiera och hantera risker i sina system. Misslyckas man kan det bli dyrt.
För offentlig verksamhet kan sanktionsavgifterna uppgå till 10 miljoner kronor. För privata företag gäller upp till två procent av den globala årsomsättningen eller 10 miljoner euro.

Myndigheten: Kommunerna bär ansvaret
Enligt Myndigheten för civilt försvar är det tydligt var ansvaret ligger. Jan-Olof Olsson, handläggare på myndigheten, menar att även ägarförhållanden kan utgöra en säkerhetsrisk
– Verksamhetsutövaren måste ställa krav på att leverantören inte kan gå in i deras system. De måste göra sitt jobb när de handlar upp helt enkelt, säger han till Dagens Arbete.
Han betonar att det inte spelar någon roll var risken ligger, i det egna systemet, hos leverantören eller i bolagets ägarstruktur. Det är kommunen eller det kommunala bolaget som är ansvarigt.

Använder fjärrstyrda system
Ett av bolagen som använder Sulzers system är Stockholm Vatten och Avfall. De ansvarar för dricksvatten till 1,6 miljoner människor och avloppsrening för 1,2 miljoner.
Pumparna är uppkopplade mot nätet och kan fjärrstyras via Sulzers system. Företaget skriver att de har "full teknisk tillgång till alla uppkopplade enheter världen över".
Men enligt bolagets inköpschef delas inte all information.
– Bolaget har vidtagit skyddsåtgärder som gör att all information inte delas med Sulzer, säger Anette Eriksson, inköpschef på Stockholm Vatten och Avfall.

EU-direktivet ligger bakom
Bakgrunden till den nya lagen är ett skärpt EU-direktiv som ska stärka cybersäkerheten i samhällskritiska verksamheter. Lagen omfattar 18 sektorer, däribland energiproduktion samt dricks- och avloppsvatten. Livsmedelsverket är tillsynsmyndighet för dricksvatten och avloppsvatten.
Myndigheten kan besluta om förelägganden med vite – och i vissa fall sanktionsavgifter.

Kan tvingas tänka om kring uppkoppling
Ett sätt att minska riskerna är enligt Olsson att välja ett lokalt nätverk i stället för internetuppkoppling. Granskningen visar att gruvföretaget Boliden har valt en sådan lösning.
– Om du kopplar upp dig via mobilnätet, fiber eller något annat öppnar du upp för hot som du måste ta ställning till. Skulle du dessutom koppla upp dina pumpar eller andra produkter mot leverantörens eget webbgränssnitt, har du ingen koll på vilka fler som har tillgång till dem, avslutar han.

Kan kommunerna leva upp till kraven?
Många av de verksamheter som nu omfattas av den nya cybersäkerhetslagen har tidigare omfattats av den så kallade NIS-lagen.
Enligt tillsynsmyndigheten har de aktörer som redan arbetar riskbaserat och systematiskt med informationssäkerhet goda förutsättningar att klara de nya kraven.
Men en sak är tydlig: Det är kommunerna själva som måste bevisa att deras lösningar är säkra. Och om de inte kan det – då kan notan landa på upp till 10 miljoner kronor.




