Cyberhoten mot Europa blir mer ihållande, mer avancerade och mer konvergerade. Det är en av de centrala slutsatserna i ENISA Threat Landscape 2025, där det gångna årets cybersäkerhetsläge i EU analyseras med ett allt tydligare fokus på aktörsbeteende, sårbarhetsexploatering och geopolitiska drivkrafter.
Rapporten är fullmatad med statistik, exempel och analys. Men vad betyder den egentligen för svenska verksamheter, i praktiken? Här är fem observationer och reflektioner som bör stå högst upp på agendan just nu.
1. Ransomware och phishing – fortfarande största hoten, men i ny tappning
Ransomware är fortfarande kärnan i intrångsaktivitet, men ekosystemet har förändrats. Istället för stora, centralt organiserade grupper ser vi nu mer fragmenterade aktörer som använder ransomware-as-a-service, tillgångsmäklare och läckta byggen för att sänka tröskeln.
Lägg till detta att phishing står för hela 60 % av initiala intrång, ofta via avancerade kampanjer som nyttjar AI, QR-koder (quishing) och phishing-as-a-service. Det vi tidigare kallade ”enkla metoder” är nu industrialiserade och tillgängliga för alla nivåer av hotaktörer.
Insikt: Det är hög tid att sluta underskatta ”gamla” attacker. De har blivit både smartare och billigare.
2. Mobilen är det nya slagfältet
Mobilenheter, särskilt Android, har seglat upp som en av de mest attackerade plattformarna. ENISA rapporterar om ökande antal infektioner med banktrojaner, fjärrstyrda trojaner (RATs), och spionprogram som riktar sig mot både civila och diplomater.
Vi ser också statligt kopplade grupper som utnyttjar gamla mobilprotokoll (SS7 och Diameter) för tyst övervakning, utan att behöva kompromettera själva enheten.
Insikt: Mobilen är inte längre bara en endpoint. Den är ett direkt angreppsmål – tekniskt, taktiskt och politiskt.
3. AI både som vapen och mål
AI används numera i över 80 % av alla phishingkampanjer globalt. Djupt störande är också hur deepfakes används i bedrägerier: det räcker inte längre att höra eller se en person för att ”veta” att det är de du pratar med.
Samtidigt har hotaktörer börjat attackera själva AI-systemens försörjningskedja, med exempel som bakdörrar i kodassistenter och förgiftade ML-modeller. Det vi tidigare såg som skydd är nu en del av hotbilden.
Insikt: Om ni använder AI, vilket de flesta verksamheter gör idag, så måste den vara en del av säkerhetsarkitekturen. Det går inte längre att behandla AI som en separat funktion.
4. Leveranskedjor fortsatt ett svagt kort – och ett av angriparnas favoritmål
Supply chain-attacker fortsätter att öka. Det handlar inte bara om mjukvara och kodbibliotek, utan även om IT-tjänsteleverantörer, plattformsleverantörer och till och med webbläsartillägg.
Flera attacker under året visar att komprometterade tredjepartsleverantörer påverkat tusentals användare och brutit igenom säkerhetsbarriärer. Låter det bekant? Det är exakt det jag varnade för i min artikel om digitala leveranskedjor i maj förra året.
Insikt: Om du inte vet hur din leverantörs säkerhetslösningar påverkar din egen miljö – så är det inte du som har kontrollen.
5. Cyberkriminalitet, hacktivism och statliga aktörer – gränserna suddas ut
Under 2025 har gränserna mellan hotaktörer blivit allt suddigare. Hacktivister agerar som statliga bulvaner. Kriminella använder statsutvecklade verktyg. Och statliga aktörer döljer sina spår bakom DDoS och datastölder som ser ut som aktivism.
ENISA beskriver detta som en konvergerad hotbild: färre enstaka högprofilerade attacker – fler ihållande, diversifierade och parallella kampanjer som tillsammans gröper ur motståndskraften hos europeiska samhällen.
Insikt: Vi står inte längre inför separata hot – utan ett landskap där flera hot verkar samtidigt och förstärker varandra.
Slutsats: Från incidentrespons till kontinuerlig motståndskraft
Det viktigaste skiftet är kanske detta: tidigare fokuserade vi på att reagera på incidenter. Nu måste vi istället tänka i termer av resiliens – förmågan att stå emot och fortsätta fungera trots angrepp. Det kräver en förändrad inställning:
- Från punktlösningar till integrerade arkitekturer.
- Från tekniskt fokus till affärskritisk säkerhet.
- Från förväntad efterlevnad till proaktiv analys av hotbild.
Och framför allt: det kräver att vi ställer rätt frågor – till våra leverantörer, till våra partner, och till oss själva.