Det finns fortfarande en utbredd uppfattning bland små företag att cyberattacker främst drabbar stora organisationer. Att man är för liten för att vara intressant, eller att riskerna är begränsade så länge verksamheten fungerar i vardagen.
Tillgängliga analyser visar dock att den bilden inte längre stämmer. Cyberhoten fortsatte att öka även under 2025, och när IT-incidenter väl inträffar slår konsekvenserna ofta hårdare mot mindre företag.
Detta gäller oavsett företagsstorlek. Skillnaden är att mindre organisationer oftare saknar buffertar, vilket gör effekterna mer omedelbara och kännbara.
Små företag – inte flest attacker, men störst påverkan
Flera aktuella rapporter pekar i samma riktning:
Cyberkriminella riktar sig i allt högre grad mot små företag, särskilt när det gäller ransomware och cyberutpressning. Förklaringen är sällan teknisk – utan organisatorisk. Små företag har begränsade IT-resurser, få specialister och låg tolerans för längre driftstopp. Det gör sammantaget mindre verksamheter mer sårbara.
I rapporten Security Navigator 2026 konstaterar Orange Cyberdefense att cyberutpressning mot små företag ökade kraftigt under 2025. Rapporten beskriver hur små organisationer ofta tvingas fatta snabba och ibland förhastade beslut när verksamheten drabbas av cyberintrång. Det kan kraftigt försämra förhandlingsläget vid pågående incidenter. Angreppen sker dessutom ofta genom relativt enkla metoder, till exempel phishing eller komprometterade användarkonton. Det är metoder det finns olika typer av skydd mot, vilket gör det till en onödig fallgrop att falla ner i.
Lösningar och motmedel finns, men ändå visar undersökningar på en fortsatt låg beredskapsnivå hos små företag:
- Fyra av tio små företag uppger att de är sårbara för cyberhot
- Hälften bedömer att de är dåligt förberedda för att hantera en IT-incident
- Endast drygt hälften använder tvåfaktorsautentisering i sina system
Detta enligt Stöldskyddsföreningens och Myndigheten för civilt försvars (MCF) gemensamma kartläggning från 2025.
De flesta IT-incidenter går i grunden att förebygga
En vanlig föreställning är att IT-incidenter främst orsakas av tekniskt avancerade intrång.
MCF:s samlade incidentrapportering ger delvis en annan bild.
I årsrapporten Cyberangreppens utveckling 2023–2025, baserad på cyberincidentrapportering för 2025, konstaterar Myndigheten för civilt försvar att en betydande andel av de rapporterade IT-incidenterna i Sverige fortsatt beror på systemfel och mänskliga misstag. Myndigheten bedömer dessutom att det finns ett stort mörkertal, särskilt utanför rapporteringspliktiga verksamheter.
MCF lyfter även att incidenter som initialt anges ha ”okänd orsak” ofta, vid fördjupad analys, kan härledas till brister i förändringshantering, konfiguration eller rutiner. Konsekvenserna för verksamheten – exempelvis driftstopp, informationsförlust eller försämrad tillgänglighet – är ofta jämförbara med effekten av ett riktat cyberangrepp.
Myndighetens slutsats är tydlig:
Ett mer systematiskt och långsiktigt säkerhetsarbete skulle kunna förebygga en stor andel av de incidenter som i dag inträffar.
När IT-incidenter inträffar – konsekvenser för mindre verksamheter
För ett mindre företag finns sällan samma ekonomiska eller organisatoriska marginaler som i större organisationer. Ett IT-relaterat driftstopp kan snabbt leda till uteblivna intäkter, stillastående produktion eller avbrutna leveranser. Förlorad eller otillgänglig information innebär ofta ett omfattande manuellt omarbete.
Samtidigt ökar kraven från omvärlden. Drygt 20 procent av små företag uppger att kundernas krav på digital säkerhet har blivit högre under det senaste året. IT-säkerhet har därmed blivit en allt tydligare del av affärsrelationen – inte enbart en intern IT-fråga.
Tre insikter små företag bör ta med sig
- Små företag är inte för små för att drabbas – och har ofta mindre möjlighet till återhämtning.
- De vanligaste incidenterna är sällan avancerade, utan orsakas av brister i vardagliga rutiner.
- Effekten avgörs av struktur och kontinuitet, snarare än enskilda säkerhetsåtgärder.
Varför IT-säkerhet ofta upplevs som mer komplext än vad det är
Vi på Midcon upplever att många små företag upplever att IT-säkerhet är svårt att ta tag i. Inte nödvändigtvis för att åtgärderna är tekniskt avancerade, utan för att ansvaret är otydligt och att man inte vet var man ska börja.
- Vad är en god säkerhetsnivå?
- Vem äger helheten?
- Vem följer upp när system förändras?
- Hur vet man att molntjänster och användarmiljöer fortfarande är korrekt konfigurerade över tid?
När ansvar och uppföljning saknas upplevs IT-säkerhet som komplext – även när grundproblemen är välkända. På huset hemma vet vi att det är en god idé att låsa alla dörrar och fönster. Kompletterar man med ett larm så kan man säga att man har en god säkerhetsnivå.
I IT-världen har små företag i regel inte samma omedelbart klara insikt om vad som krävs för att påstå god IT-säkerhet. Här har vi på Midcon och branschen i stort ett ansvar att förklara vad som krävs för att utifrån ett IT-perspektiv ha låst och larmat om sig.
Hur gör jag för att stärka mitt företags säkerhetsarbete?
För företag som vill arbeta mer strukturerat och långsiktigt med IT-säkerhet, utan att bygga egen specialistkompetens, finns i dag helhetsbaserade angreppssätt.
På Midcon har denna erfarenhet samlats i konceptet Modern IT med Midcon, som är utformat för att skapa struktur, tydligt ansvar och kontinuitet i små och medelstora företags IT-miljöer. Med tjänsten Modern IT från Midcon får du låst och larmat om din IT-miljö. Det tänker vi är en god säkerhetsnivå!
Andreas Paulsson, VD
Midcon AB
