Vad kostar ett dataintrång för ett litet företag i Sverige - och hur undviker du det?

Ett dataintrång kostar sällan bara i pengar. För svenska SME-företag blir den verkliga kostnaden ofta en kombination av incidenthantering, juridik, driftstopp, förlorad arbetstid och skadat kundförtroende.

Sportadmin-fallet 2026 visade att det kan kosta 6 miljoner kronor i böter när kända säkerhetsbrister inte åtgärdas. Men böter är bara en del av den verkliga kostnaden.

För mindre företag blir effekten ofta ännu mer kännbar eftersom samma personer som ska hantera incidenten också driver den dagliga verksamheten. När mejl, filer eller identiteter påverkas stannar försäljning, leverans och kundservice samtidigt som krisarbete pågår.

De verkliga kostnaderna - mer än bara böter

När ett dataintrång inträffar börjar kostnaderna nästan alltid med incidenthantering och forensik. Någon måste förstå vad som hänt, vilka konton eller system som påverkats, om data har lämnat miljön och hur angreppet stoppas. För ett SME innebär det ofta extern hjälp, avbrott i ordinarie arbete och höga kostnader redan första dygnet.

Sedan följer juridiska kostnader, eventuell GDPR-anmälan, kommunikation till kunder och partners, förlorad arbetstid under återställning och ibland rena affärsförluster. IMY:s beslut mot Sportadmin på 6 miljoner kronor visar dessutom att kända säkerhetsbrister kan få mycket konkreta ekonomiska konsekvenser när skyddet inte varit tillräckligt.

Hur börjar de flesta intrång?

De vanligaste ingångarna är fortfarande stulna lösenord och phishing. Ett enda klick på ett trovärdigt mejl kan räcka för att en angripare ska ta över ett konto, sprida sig vidare i miljön och komma åt information som egentligen skulle vara skyddad.

Till det kommer enheter utan rätt säkerhetskonfiguration, gamla konton som aldrig stängts av och administratörsrättigheter som är för generösa. För svenska SME-företag är det här ofta vardagliga brister snarare än avancerade attacker, vilket är precis varför identitet, enhetshantering och behörigheter behöver ses som en sammanhängande säkerhetsfråga.

Vad säger GDPR om dataintrång?

I Sverige är Integritetsskyddsmyndigheten, IMY, tillsynsmyndighet för GDPR. Om ett dataintrång innebär en personuppgiftsincident behöver ni snabbt bedöma omfattningen, dokumentera vad som hänt och avgöra om incidenten ska anmälas inom 72 timmar. För företag kan de högsta GDPR-böterna vid de allvarligaste överträdelserna nå upp till 20 miljoner euro eller 4 procent av global årsomsättning, beroende på vilket belopp som är högst. För många svenska SME-företag blir även betydligt lägre sanktionsnivåer mycket kännbara.

IMY beskriver också att myndigheten tar emot mellan 100 och 150 incidentanmälningar i veckan, och under 2024 kom cirka 6 500 anmälningar in. Det visar att personuppgiftsincidenter inte är ovanliga undantag, utan något företag behöver vara förberedda på att hantera professionellt.

Vad kostar förebyggande arbete jämfört med ett intrång?

Ett välkonfigurerat Microsoft 365-upplägg med MFA, Microsoft Defender och Intune kostar bara en bråkdel av ett intrång. För många SME-företag ligger ett säkerhetsprojekt på ungefär 30 000 till 150 000 SEK beroende på nuläge och omfattning, medan löpande managed security ofta hamnar på 300 till 800 SEK per användare och månad.

Många företag betalar dessutom redan för delar av skyddet via Microsoft 365 Business Premium men har inte aktiverat eller anpassat verktygen. Det gör förebyggande arbete till en av de tydligaste investeringarna man kan göra: relativt låg kostnad, omedelbar riskreduktion och bättre kontroll redan från start.

Fem åtgärder som ger störst effekt per krona

De mest kostnadseffektiva åtgärderna är sällan de mest avancerade. För mindre företag handlar det oftast om att få grunderna på plats konsekvent och utan undantag.

• Aktivera MFA för alla användare, särskilt för administratörer och externa åtkomster.
• Konfigurera Microsoft Defender ordentligt så att skydd, varningar och policyer faktiskt används.
• Aktivera Intune för enhetskontroll och se till att datorer och mobiler följer samma grundkrav.
• Rensa gamla konton, stäng av tidigare användare och begränsa administratörsrättigheter hårt.
• Ha en enkel incidentplan så att alla vet vem som gör vad om något händer.

Slutsats

För ett svenskt SME är den stora frågan inte om ett intrång i teorin kan bli dyrt, utan hur dyrt det blir när förberedelserna saknas. Med rätt grund i Microsoft 365, tydliga behörigheter och en enkel incidentplan går det att minska både sannolikheten för intrång och kostnaden om något ändå händer.