I en allt mer splittrad omvärld med nya konflikter som poppar upp, danska regeringen som menar att de är utsatta för hybridkrig, ett kraftvärmeverk i Karlskrona som nyligen blev hackat och fiberkablar samt mobilmaster runt E22 som saboterats, är cybersäkerhet ett hett och högaktuellt ämne. Inom IoT blir detta särskilt påtagligt: med fel data in, eller ingen data alls, blir processer ineffektiva och i vissa fall kan man inte köra på måfå utan rätt värden måste in.
IoT och cybersäkerhet i en osäker värld
Vid IoT-dagen i Jönköping deltog jag i ett seminarium om cybersäkerhet och lyssnade på en etisk hackare som delade verkliga case. Listan över vanliga fel var lång: system som inte var säkerhetskonfigurerade, uppdaterade, övervakade, avvecklade eller krypterade. Det låter som självklarheter, men när jag 2021 ledde ett seminarium om säkerhet och IoT, berättade en självsäker VA-aktör som hade någon lösning för att kartlägga aktivitet i rörsystem att han “gav sjutton i om data hamnade i fel händer”. “Om någon nu vill veta när det spolas i våra rör så får de väl veta det”. Det här resonemanget kan flyga om man bara pratar om just ett isolerat system, möjligen. Men om man tar vattenförbrukningsdata av varmvatten fastighet för fastighet, och lägger till annan data som elförbrukning, då har man ganska snabbt en tydlig bild av när varje hushåll är hemma och inte. Om vi sedan lägger till data från en dataläcka hos Naturvårdsverket i oktober 2022 som kan ha lett till att uppgifter om svenska jägare, inklusive potentiellt adresserna till runt 300 000 vapenägare kom på avvägar. Då har vi inte bara en risk för att personliga vapenuppgifter spritts till kriminella eller främmande makt, vi har också tider på dygnet när det är relativt säkert att tillgripa dessa vapen.
Det visar tydligt att cybersäkerhet i IoT inte är en abstrakt fråga, utan har direkta konsekvenser för både verksamheter och individer.
RED-direktivet
I augusti 2025 trädde RED2 i kraft, vad det innebär kan du läsa mer om på PTS hemsida. All radioutrustning som hanterar persondata eller är uppkopplad till nätverk måste skydda data och integritet samt ha robusta mekanismer mot cybersäkerhetshot. RED2 omfattar alla former av trådlösa system anslutna till internet, oavsett teknik. Produkterna ska hållas säkra och uppdaterade under hela livscykeln, via över-luft-uppdateringar eller fysiska besök. Billiga sensorer kan verka lockande initialt, men riskerar att ge en sur eftersmak om de inte kan uppdateras och underhållas enligt reglerna, då måste man resa till dem och uppdatera dem, eller pensionera dem i förtid.
NIS2
NIS2-direktivet (läs mer hos MSB) ställer krav på både cybersäkerhet och fysiskt skydd för kritisk infrastruktur, exempelvis vattenreservoarer och vattenförsörjningssystem. Vattensektorn klassificeras som en “väsentlig sektor”, vilket innebär att anläggningar måste ha säkerheten i ordning för att skydda mot både fysiska och cyberbaserade hot. Direktivet började gälla den 18 oktober 2024, och bristande åtgärder kan tolkas som underlåten efterlevnad.
Hårdvara
IoT-enheter ska vara secure by design. De bör kunna uppdateras över luften (som alternativ lokal uppdatering, vilket innebär en garanti för framtida resor och ökad tidsåtgång), Data förväntas skyddas av en tillräcklig kryptering, enheten får inte ha standardlösenord och den måste hålla en godtagbar nivå på fysiskt skydd så att inte programmeringsportar och likande kan nås från utsidan.
Uppkoppling
LPWA-teknologier som NB-IoT, LTE-M och LoRaWAN har alla sina platser på IoT-kartan, men med skärpta cybersäkerhetskrav räcker inte längre energieffektivitet och kostnad som enda beslutsfaktor. Val av trådlös teknik handlar idag om tillit, spårbarhet och regelverksefterlevnad. LoRaWAN passar för lokala installationer där ägaren kontrollerar nätverket. NB-IoT kan vara kostnadseffektivt, men variationer i operatörers implementationer och begränsningar i storskaliga uppdateringar gör det mindre förutsägbart. LTE-M erbjuder idag högre nivå av livscykelsäkerhet, spårbarhet och internationell interoperabilitet. Oavsett vägval, alla har för och nackdelar och du måste göra en noggrann utvärdering av tekniken utifrån cybersäkerhet och långsiktighet.
Plattformar
Det finns många plattformar på marknaden för hantering och lagring av IoT-data. Mitt råd är att i första hand välja en lösning där data lagras inom landet och ägs av din organisation, och i andra hand en europeisk molnlösning. Marknaden förändras snabbt, inte minst med hot om nya regler för amerikanska molntjänster, och i det ledarskapsklimat som präglat 2025 är det ofta tryggast att satsa på en plattform där data är säker, skyddad och gärna lokal. Leverantören ska självklart kunna erbjuda en säker, krypterad uppkoppling mellan enhet och plattform enligt gällande säkerhetskrav. Samtidigt bör äldre enheter som bara använder användarnamn och lösenord fasas ut för att minimera risk.
Resiliens och beredskap
Cybersäkerhet handlar lika mycket om resiliens och beredskap som om teknik. Systemen måste kunna hantera avbrott, sabotage eller intrång utan att hela processen stannar. Redundans, backup-lösningar och tydliga rutiner för incidenthantering är avgörande. Personal måste vara tränad, och roller och ansvar tydligt definierade. En sensor som går ner i ett kritiskt system ska inte leda till driftstopp – resiliens är både teknik och organisation.
Så var börjar man?
Cybersäkerhet i IoT är högaktuellt. RED2 och NIS2 ställer tydliga krav, och varje del i ekosystemet—hårdvara, uppkoppling, plattformar och drift—måste uppfylla dem. Att tänka på secure by design, kryptering, uppdateringar, lokal datahantering och resiliens handlar inte bara om regelverk, utan om att skapa robusta och pålitliga system som levererar verklig samhällsnytta.
Genom att kombinera teknik, organisation och rutiner kan IoT-lösningar effektivisera verksamheter, skydda kritisk infrastruktur och värna personuppgifter. Att vara proaktiv idag är att säkra funktioner och samhällsvärde imorgon.