Under torsdagskvällen den 12 mars 2026 rapporterade flera svenska medier om ett misstänkt dataintrång mot CGI Sverige – ett it-bolag som hanterar digitala tjänster åt svenska myndigheter. Källkod, lösenord och känsliga systemuppgifter ska enligt uppgift ha lagts ut på darknet. CGI uppger att händelsen rör testservrar och att produktionsmiljöer inte bedöms vara påverkade. Utredningar pågår.
Men händelsen är inte isolerad. Leveranskedjeattacker mot europeisk infrastruktur ökar stadigt, där CGI-incidenten bara är det senaste exemplet på ett mönster som drabbar it-leverantörer med tillgång till samhällskritiska system.
Bland annat Aftonbladet, Dagens Nyheter, SVT och Göteborgs-Posten rapporterar att hackergruppen ByteToBreach har publicerat data på darknet som påstås komma från CGI Sveriges infrastruktur – inklusive källkod till myndighetssystem, lösenord och krypteringsnycklar.
CGI uppger i ett pressuttalande att intrånget rör två interna testservrar och en äldre källkodsversion, och att produktionsmiljöer inte påverkats. It-säkerhetsexperten Anders Nilsson vid ESET bekräftar till SVT och GP att intrånget av allt att döma är äkta. Han varnar också för att källkoden redan analyseras aktivt – både manuellt och med AI – för att hitta ytterligare säkerhetshål i CGI:s tjänster.
Civilminister Carl-Oskar Bohlin har bekräftat dataintrånget och uppger att regeringen arbetar med CERT-SE och Nationellt cybersäkerhetscenter för att identifiera förövarna.
Draftits dataskyddsjurist Michaela Rydén har satt sig in i incidenten och identifierar tre juridiska och strategiska kärnfrågor.
Även om CGI som personuppgiftsbiträde bär det tekniska säkerhetsansvaret, vilar det yttersta ansvaret alltid hos den personuppgiftsansvariga organisationen – det vill säga CGI:s kunder. De är skyldiga att enbart anlita biträden som ger tillräckliga garantier för skyddsnivån. Frågan är: Hur ser myndigheternas faktiska kontroll och revision av sina it-leverantörer ut i praktiken?
Intrånget uppges ha skett i testmiljöer. Om verkliga personuppgifter används i testmiljö utan pseudonymisering eller andra skyddsåtgärder kan det strida mot GDPR:s principer om uppgiftsminimering och konfidentialitet. Om så har skett handlar det inte bara om en teknisk incident, utan om en strukturell brist i hur dataskydd efterlevs i utvecklingsprojekt.
IMY och MCF bör gå samman med sektorsansvariga myndigheter för att granska systemkritiska leverantörer, inte bara i tillsynssyfte, utan för att etablera harmoniserad vägledning som stärker svensk cyberresiliens.
Ansvaret för dataskydd försvinner inte för att du anlitar en extern leverantör. Som personuppgiftsansvarig är du skyldig att:
Cybersäkerhetslagen som trädde i kraft den 15 januari 2026 skärper dessutom kraven på leveranskedjesäkerhet. Det räcker inte att skriva under ett avtal – du måste aktivt följa upp att leverantören lever upp till kraven.
Inventera era it-leverantörer: vilka har tillgång till era system och data?
Kontrollera att personuppgiftsbiträdesavtal finns och är aktuella.
Se till att er incidenthanteringsplan är uppdaterad och känd av rätt personer.
Påminn ledningen: en leverantörsincident kan bli er incident, och ert ansvar.
Det kommer hända igen. Frågan är om ni är redo?
Leveranskedjeattacker ökar i hela Europa och det är inte en fråga om ifall din organisation berörs, utan när. Konsekvenserna avgörs av hur väl ni är förberedda.
Vet du om din organisation är redo? Om svaret är nej, eller om du inte vet, är det dags att ta tag i det nu.