Anna LindgrenTelekommunikationsjätten Telia bekräftade i april 2026 ett dataintrång hos sin norska verksamhet, Telia Norge, som drabbade flera kunder inklusive Bergen kommuns system. Den norska regleringsmyndigheten Nkom inledde omedelbart en utredning. Samtidigt meddelade Telia Company den 8 april att man förvärvar svenska MVNO-aktören Telness — en expansion som lyfter fram en central fråga för svenska företag: hur skyddar du din organisations data när nätverksleverantören inte kan garantera säkerheten?
Vad som hände med Telia Norge
Intrånget hos Telia Norge exponerade kundkommunikationsdata för ett okänt antal användare. Bergen kommun, som är en av Norra Europas större kommunala organisationer, ingick bland de drabbade. Nkoms utredning gäller huruvida Telia uppfyllde sina skyldigheter under NIS2-direktivet, som sedan 2023 kräver att leverantörer av samhällsviktig infrastruktur rapporterar säkerhetsincidenter inom 24 timmar.
Telia Sverige, som är ett separat juridiskt bolag, har inte direkt drabbats — men händelsen understryker en systemisk sårbarhet som berör alla företag med molntjänster, telekommunikation och extern IT-leverantör: data är aldrig säkrare än den svagaste länken i leveranskedjan.
Varför NIS2 förändrar allt för svenska företag
Den 1 januari 2025 trädde det uppdaterade NIS2-direktivet i kraft i Sverige, implementerat via lagen (2022:482) om cybersäkerhet. Direktivet utvidgar kretsen av organisationer med höga säkerhetskrav avsevärt — från ett hundratal till tusentals verksamheter inom sektorer som energi, transport, hälsa och digital infrastruktur.
Konsekvenserna är konkreta:
Anmälningsskyldighet inom 24 timmar: Organisationer som drabbas av en säkerhetsincident med väsentlig påverkan måste anmäla detta till NCSC (Nationellt cybersäkerhetscenter) inom ett dygn. Missar man detta riskerar man böter upp till 10 miljoner euro eller 2 procent av global omsättning.
Krav på riskhantering: Ledningen måste aktivt godkänna och följa upp cybersäkerhetsåtgärder. Det räcker inte längre att delegera IT-säkerhet till IT-avdelningen — VD och styrelse har juridiskt ansvar.
Leverantörsgranskning: Organisationer måste dokumentera och riskbedöma sina IT-leverantörer. Om din nätverksleverantör drabbas av ett intrång — som i Telias fall — är du skyldig att ha utvärderat den risken i förväg.
En IT-säkerhetsexpert kan hjälpa dig att kartlägga om din organisation omfattas av NIS2, vilka tekniska skyddsåtgärder som krävs och hur du bygger ett ledningssystem för informationssäkerhet (LIS) som uppfyller kraven.
Telia-förvärvet av Telness: vad det betyder för B2B-kunder
Den 8 april 2026 bekräftade Telia Company förvärvet av Telness, en av Sveriges mest välkända virtuella mobiloperatörer (MVNO). Telness, som bygger på Seamless OS-plattformen, erbjuder flexibel B2B-mobilitet och används av många medelstora svenska företag.
För Telness befintliga kunder innebär förvärvet att de nu är kunder hos Telia — en av de fyra stora operatörerna på den svenska marknaden. Frågor om datahantering och lagring blir härigenom relevanta: var lagras samtalslogs och meddelandedata? Vilka länder berörs? Och vilka rättigheter har företagskunder vid ett eventuellt dataintrång hos leverantören?
Dessa frågor är inte hypotetiska. Händelsen med Telia Norge visar att även etablerade operatörer kan drabbas. Som företagskund bör du redan nu begära ett uppdaterat personuppgiftsbiträdesavtal (PUB-avtal) från din leverantör och kontrollera att det uppfyller GDPR-kraven.
Tre praktiska steg för att skydda ditt företag nu
Steg 1 — Gör en enkel leverantörsinventering: Lista dina tre till fem viktigaste IT-leverantörer. Vilken data hanterar de? Finns det giltiga PUB-avtal? Har de inträffat säkerhetsincidenter det senaste året? En IT-konsult kan hjälpa dig att strukturera denna inventering på ett halvt arbetsdygn.
Steg 2 — Aktivera multifaktorautentisering (MFA) på alla kritiska system: Det är den enskilda åtgärd som ger bäst skydd per spenderad krona. Sökmotorer, e-post, affärssystem och VPN-tjänster bör alla ha MFA aktiverat. Enligt MSB:s årsrapport om informationssäkerhet 2025 saknar fortfarande en tredjedel av svenska SME-företag MFA på sin e-post.
Steg 3 — Testa era incidentrutiner: Vet din organisation vem som ska kontaktas om ni drabbas av ett intrång klockan 23 på en fredagskväll? Har du ett krisprotokoll? Räcker det med ett Excel-dokument eller behöver du ett formaliserat ledningssystem? En IT-säkerhetsspecialist kan genomföra ett tabletop exercise — ett simulerat intrångsscenariot — och visa var luckorna finns.
Vad händer med Telia och vad ska du följa?
Telia Company håller sin bolagsstämma den 9 april 2026 och UBS nedgraderade aktien i april från Köp till Neutral, med ett höjt riktkurs på 41,60 kronor. Marknadens nervositet kring bolaget handlar inte bara om tillväxt — det handlar också om hur väl bolaget hanterar säkerhetsincidenter. Analytiker framhåller att ett bolags rykte vid ett dataintrång i stor utsträckning avgörs av hur snabbt och transparent man kommunicerar — inte bara om skadan var stor eller liten. För ditt företags leverantörsval bör samma kriterium gälla: välj partners som har tydliga incidentrutiner och kan dokumentera dem.
Den senaste Samsungs säkerhetsuppdatering i april 2026 är ett ytterligare exempel på att mobilsäkerhet och nätverkssäkerhet numera är tätt sammanflätade. För svenska företag handlar IT-säkerhet 2026 inte om en enstaka produkt — utan om ett ekosystem av leverantörer, enheter och processer.
Observera: Den här artikeln ger allmän information om IT-säkerhet och juridik. För rådgivning anpassad till din organisation bör du konsultera en certifierad IT-säkerhetsspecialist eller jurist.
