Veckans spaningar – vecka 21, 2026

Spännande vecka

Veckan bjöd på fyra tydliga spår för våra kunder. Boverket införde energiklass A0 och EPBD-deadline gick ut. ICS-patcharna från Patch Tuesday landar nu i Siemens- och Schneider-system i BMS-miljöer runt om i landet, samtidigt som Verizon DBIR 2026 ger en hård siffra på leverantörsrisken — 48 procent av alla bekräftade dataintrång involverar tredje part. Och elsystemet körs med tre samtidiga reaktorrevisioner och länkbegränsningar som påverkar effektstrategin direkt i större fastighetsbestånd.

1. EPBD-deadline 29 maj — energiklass A0 införd 25 maj, övriga föreskrifter försenade

EPBD ska enligt EU vara införlivat i svensk rätt senast 29 maj. Boverket införde 25 maj energiklass A0 för nollutsläppsbyggnader via BFS 2026:2, men föreskrifterna kring energideklarationer, hållbar mobilitet, livscykel-GWP och solenergi är försenade och kommer senare under året. Sverige får alltså ett delat genomförande. Den praktiska konsekvensen för en fastighetsägare är att kraven på driftdata, mätning och verifiering skärps trots att hela regelverket inte är på plats A0 förutsätter att man kan visa att byggnaden faktiskt presterar som klassen säger.

Källa: Boverket, "Direktiv för byggnaders energiprestanda, EPBD" (uppdaterad 25 maj 2026). https://www.boverket.se/sv/byggande/uppdrag/direktiv-for-byggnaders-energiprestanda/

Attivas reflektion
Hur stort gap är det mellan energideklarationens siffra och driftdata från BMS, energimätning och driftloggar? Vår erfarenhet är dessa siffror sällan överensstämmer av olika anledningar. Vi måste börja diskutera om datakvalitén bakom energiprestanda. Klassningen blir mer användbar när den ger samma bild som energideklarationerna. Den dagen någon ifrågasätter en AO-tilldelning är det driftdatans kvalité som avgör. Hur ska en fastighetsägare förhålla sig till ett delat genomförande invänta föreskrifterna eller börja integrera A0-spåret i projektplanerna nu? Sist men inte minst, vad betyder "nollutsläppsbyggnad" för en kund som där driftprofilen ser annorlunda ut än för kontor? 

2. Patch Tuesday-advisories landar i BMS-miljöerna — Siemens OZW och Schneider EcoStruxure HVAC bland de viktigaste

Vecka 21 är den första hela arbetsveckan efter Patch Tuesday den 13 maj. Siemens publicerade 18 nya ICS-advisories, varav fyra kritiska — den som sticker ut för byggnadsteknik är OZW web server (RCE som root) och Sentron 7KT PAC1261 Data Manager (komplett device takeover, energimätning). Schneider Electric publicerade fyra advisories: EcoStruxure Machine Expert HVAC (informationsexponering), EcoStruxure Panel Server, EasyLogic T150 och Saitel DP RTU, samt session hijacking i EasyLogic, PowerLogic, Easergy och EcoStruxure. För fastighetsbestånd där dessa produkter står i HVAC-, energi- och mätningsskedjor är detta direkt operativt.

Källa: SecurityWeek, "ICS Patch Tuesday: New Security Advisories From Siemens, Schneider, CISA" (13 maj 2026, uppdaterad). https://www.securityweek.com/ics-patch-tuesday-new-security-advisories-from-siemens-schneider-cisa/

Attivas reflektion
Den intressanta frågan är inte om patcharna ska rullas utan vem som äger besluten i fastigheternas BMS-skikt. Fastighetsägaren, fastighetstekniska driften eller integratören. När en HVAC-server får RCE-fix behöver det finnas en testmiljö, en återställningsväg och en överenskommelse om driftfönster innan patchen rör en levande anläggning. Likaså vem håller koll på att patchning behövs?

3. Tre samtidiga reaktorrevisioner och flera länkbegränsningar i kraftsystemet

Under vecka 21 pågick revisioner av Oskarshamn 3, Forsmark 2 och Ringhals 3 parallellt. Återstart är planerad till 10 juni, 26 juni respektive 24 juli. Ringhals 4 körde på halv effekt efter ett generatorläckage. SwePol Link mot SE4 kördes med reducerad kapacitet om 490 MW i avvaktan på kabelundersökningar, Baltic Cable begränsades till 70 procent av tyska TenneT, och Sydvästlänken 1 var ur drift i väntan på reparation. Svenska kraftnät beskriver ändå marginalerna som goda och risken för effektbrist som låg.

Källa: Svenska kraftnät, Information från driften, granskad 25 maj 2026. https://www.svk.se/om-kraftsystemet/kraftsystemdata/information-fran-driften/

Attivas reflektion
Detta är inte en akut riskbild men påverkar rent operativt förutsättningar för effektstrategin i fastigheter. Frågan teamet här landar i är vilken styrning och lastbalansering i fastigheternas BMS som faktiskt är aktiv idag med komfortkyla, varmvattenladdning, batterier och hur snabbt en effektstrategi kan svänga när driftläget förändras under en arbetsvecka. Detta är i sådana här veckor som styr- och övervakningssystem med beprövad effektstrategi skapar verkligt värde. 

4. Verizon DBIR 2026 — leverantörskedjan är risken

Verizon publicerade 20 maj sin årliga Data Breach Investigations Report, baserad på över 31 000 säkerhetsincidenter och drygt 22 000 bekräftade intrång i 145 länder. Tre fynd sticker ut: sårbarhetsutnyttjande har gått om credential abuse som främsta initiala attackvektor (31 procent), tredjepartsintrång har stigit till 48 procent, och ransomware syns nu i en växande andel av intrången samtidigt som median-lösensumman faller — angriparna kompenserar med volym. AI-användning hos angripare beskrivs som utbredd och pressar tiden från upptäckt till exploatering nedåt.

Källa: SecurityWeek, "Verizon DBIR 2026: Vulnerability Exploitation Overtakes Credential Theft as Top Breach Vector" (28 maj 2026). https://www.securityweek.com/verizon-dbir-2026-vulnerability-exploitation-overtakes-credential-theft-as-top-breach-vector/

Attivas reflektion
Det här är veckans tyngsta spaning att stanna vid. De 48 procenten är en branschsiffra, inte en enskild incident men den belyser ett strukturellt problem som NIS2 nu också adresserar i lag: leverantörskedjan är en del av er egen riskhantering oavsett om ni vill det eller inte. Direktivet kräver att leverantörers säkerhetsläge bedöms och följs upp som en del av den egna styrningen.

För en fastighetsägare är leverantörskedjan ett konkret nätverk av aktörer som rör sig in och ut ur den egna tekniska miljön. SCADA-leverantören med "permanent fjärranslutning" till driftcentralen. BMS-integratören som installerar och uppdaterar styrsystem. Fjärrövervakningstjänsten som loggar och larmar. CCTV-integratören som administrerar inspelningsservern. Molnplattformen som tar emot drift och energidata. Datalager med flertalet integrationer. Dessa och många fler områden gör att attackvektorn ökat markant senaste åren i samband med digitaliseringgraden ökar men säkerheten följer inte med. Samtidigt ligger det oftast utanför fastighetsbolagets direkta säkerhetskontroll.

Två problem gör frågan svår, och båda är branschproblem snarare än enskilda beställares tillkortakommanden.
Det första är kravställning. Standardupphandlingens säkerhetsbilaga räcker sällan, eftersom den ofta är en checklista som leverantören signerar utan att den prövas mot konkret teknisk verklighet.
Det andra är uppföljning. En SBOM görs typiskt en gång vid upphandling om ens då. Sedan görs inget förrän kontraktet ska förnyas. Mellan de tillfällena förändras både hotbilden och leverantörens egen organisation, ofta utan att beställaren märker det.

Den verkliga utmaningen ligger på beställarsidans kompetens. Det är svårt att kravställa rätt nivå av informationssäkerhet på ett SCADA-system, en BMS-installation eller en datalagringstjänst om man inte själv vet vad som är realistiska skydd och vad som är teater på papper. Det är inte kritik mot enskilda beställare utan ett vanligt symptom i en bransch som har vuxit sig komplex snabbare än kompetensen runt den. Här behövs mer kunskapsöverföring än upphandlingsmallar. Framförallt ett inflöde från andra branscher som har ett mer moget förhållningssätt till frågorna.

Frågan teamet kan landa i är inte vilka kontrollmoment vi ska lägga till i nästa upphandling eller uppföljning utan vilka av våra kunders befintliga leverantörer som faktiskt skulle klara en seriös granskning bortom signerat papper och vilka delar av leverantörsbasen som är mest blottade idag.

5. GitHub via skadligt VS Code-tillägg - varningsflagg för proptech/egen utveckling

GitHub bekräftade 20 maj att en angripare exfiltrerat data från närmare
4 000 interna repositories. Grundorsaken: en GitHub-anställd hade installerat ett skadligt tillägg till VS Code. Kund- och publika repositories ska inte ha påverkats, men incidenten visar hur ett enskilt utvecklarverktyg blir inkörsporten till en hel organisations kodbas. Mönstret är detsamma som i Shai-Hulud-paketen tidigare i maj: angreppet riktas inte mot servern utan mot utvecklaren som har behörighet till servern.

Källa: Cyber Security News (via CERT-SE veckobrev v.21, 22 maj 2026). https://cybersecuritynews.com/github-data-breach/

Attivas reflektion
Fastighetsbranschen digitaliseras i hög takt både genom externa proptech bolag, interna utvecklingsavdelningar och även anställda som med hjälp av AI bygger prototyper och lösningar. Även leverantörer av styrlösningar skriver mer egen kod än de flesta tror, kundanpassningar i BMS, integrationer mot affärssystem, custom-dashboards. Den intressanta frågan är hur fastighetsägaren ställer krav på integratörens utvecklingsmiljö, inte bara på den färdiga lösningen. Likaså skapa rätt förutsättningar för den egna organisationen så att de är medvetna om vad riskerna finns. Det måste vara enkelt och göra rätt och svårt och göra fel.
Just nu märker vi av kraftigt att många organisationer börjar ta till sig AI-stöd på bred front och det är positivt i sak, men vi blir också lite oroade över hur det görs. Ibland känns det som alla lever i en bubbla om att AI är felfritt och saknar man då egen förmåga att bedöma exempelvis kod, integrationer eller rent av säkerhetsrelaterade konfigurationer så ökar givetvis risken att man skapar något som ser ut som en schweizisk hårdost med mycket hål för en angripare.

6. Storm-2949 mot Microsoft 365 — relevant för alla fastighetsbolag som kör M365

Microsoft Threat Intelligence publicerade 18 maj en analys av hotaktören Storm-2949 mot Microsoft 365 och Azure. Metoden är social manipulation mot privilegierade roller. Angriparen initierar en lösenordsåterställning via Self-Service Password Reset, ringer offret som "IT-support" och får offret att godkänna MFA-prompten. Därefter avregistreras MFA och angriparens Authenticator registreras på offrets konto.

Källa: Microsoft Security Blog, "Storm-2949 turned compromised identity into cloud-wide breach" (18 maj 2026). https://www.microsoft.com/en-us/security/blog/2026/05/18/storm-2949-turned-compromised-identity-into-cloud-wide-breach/

Attivas reflektion
I fastighetsbolag är det ofta samma M365-konton som administrerar fjärråtkomst till tekniska system, dokumentdelning med integratörer och affärsbeslut. Ett kapat administratörskonto kan därför gå rakt in i en NIS2-relevant incident. Internfråga: vilka roller i er organisation behöver verkligen SSPR, och vilka borde bara få återställning via verifierad supportprocess?

7. CVE-2026-41502 i BACnet Stack — DoS på open source-stacken som finns inbäddad i många BMS-produkter

En off-by-one out-of-bounds-läsning i ReadPropertyMultiple-tjänsten i open source-biblioteket BACnet Stack (Vi vet, en stökig inledning på en mening att läsa) tillåter en oautentiserad angripare att krascha BACnet-enheter via UDP-port 47808. Sårbarheten påverkar inbäddade BACnet-enheter där biblioteket används, vilket inkluderar HVAC-styrning, belysning, övervakning och andra typiska byggnadsapplikationer. Inga aktiva exploits är publika ännu, men sårbarheten är väl beskriven och triviala att utlösa när nätet är åtkomligt

Källa: SentinelOne Vulnerability Database, CVE-2026-41502 (analyserad i maj 2026). https://www.sentinelone.com/vulnerability-database/cve-2026-41502/

Attivas reflektion
Frågan är inte om biblioteket finns i ert fastighetsbestånd om ni kör BACnet, utan om BACnet-trafik (UDP/47808) är åtkomlig från fel håll. Här blir nätverkssegmentering mellan IT och OT, och mellan OT-zoner internt, den åtgärd som faktiskt minskar exponeringen. Eller för att uttrycka det på IEC 62443-språk: vilka zoner och kanaler har vi definierat, och stämmer de med hur trafiken faktiskt går?

8. ENISA mäter mognad i NIS2-sektorer

ENISA publicerade årets NIS360-rapport den 28 maj. Rapporten bedömer cybersäkerhetsmognad och kritikalitet i de sektorer som pekas ut i NIS2:s bilaga I. ENISA skriver att mognaden förbättras i EU:s kritiska sektorer, medan kritikaliteten ligger mer stabilt. För fastighetsägare med energisystem, datacenter, transportnära miljöer eller samhällsviktig drift blir rapporten ett bra stöd för att jämföra egen styrning mot sektorns utveckling.

Källa: ENISA, 28 maj 2026: https://www.enisa.europa.eu/enisa-nis360-2026

Attivas reflektion
NIS2 handlar ju främst inte om juridik eller tekniska säkerhetsåtgärder. Det är inget "complient ramverk med en checkbox" som många verkar tro. Man ser inte fördelarna utan bara måsten och frågar hur man runda dem. Enligt oss handlar NIS2 om att visa mognad och riskmedvetenhet som organisation. Man är medveten om vilken affärsrisk men är villig och ta kopplat till säkerheten. För det handlar om att ha ordning och reda så att man som organisation kan visa riskbild, ansvar, incidentflöde och tekniska beroenden i byggnadens driftmiljlö. Så även om du inte omfattas som kritisk sektor finns det mycket att lära från NIS2.

9. Digital suveränitet blir konkretare i EU:s molnstrategi

EU-kommissionens aktuella material om teknisk suveränitet betonar kontroll över teknik, data och digital infrastruktur samt minskat beroende av icke-europeiska leverantörer. Det knyter an till kommande diskussioner om moln, data och upphandling i reglerade sektorer. För fastighetsbolag är kopplingen tydlig: driftdata, passersystem, kameradata och energimätning hamnar ofta i plattformar där juridik, åtkomst och kontrollplan behöver granskas.

Källa: EU-kommissionen, Shaping Europe’s digital future: https://digital-strategy.ec.europa.eu/en/policies/eu-tech-sovereignty

Attivas reflektion
Vi själva reflekterade över skillnaden mellan datalagring i Europa och faktisk kontroll. Vem kan administrera, exportera, radera och lämna ut data från fastighetens plattformar?