Kommundirektören Camilla Holmqvist är ytterst ansvarig för att organisationen fungerar vid kris och säkerhetschefen Anna Flink som är tjänsteperson i beredskap får ofta första krissamtalet. Foto: Helena Erngård
Det faller en skarp skugga över stadshuset. Bakom den pansartjocka glasväggen i entrén kommer en kvinna lätt joggande nerför stentrappan. Det är så tempot ser ut för kommundirektören Camilla Holmqvist. Hon är en av kommunens tjänstepersoner i beredskap och ytterst ansvarig.
Säkerhetschefen Anna Flink dyker upp, de jobbar tight tillsammans med beredskapsfrågor. Nästa kris är oförutsägbar. Vi vet inte var, när, hur omfattande den är eller hur länge den varar. Bara att den kommer.
Kalmar kommun fick en rejäl käftsmäll 6 februari 2024 när deras system utsattes för en cyberattack av den ryska hackergruppen Akira. Orsaken var en känd sårbarhet i en VPN-lösning för extern åtkomst som inte längre fanns support för.
Säkerhetschef Anna Flink minns samtalet:
– Kvart i fem på morgonen ringde det i telefonen. Det var räddningstjänsten som först noterat problem i IT-miljön. Vi samlade alla chefer, upprättade en stab och tog in extern hjälp.
Hon fortsätter:
– Vårt yttersta uppdrag är att upprätthålla samhällsviktig verksamhet som skola, vård och omsorg. Varje kris är unik—men vi behöver klara av dem oavsett.
En trasig pusselbit skadar hela pusslet
I kris är det viktigt att ta reda på hur många som är påverkade. 2024 blev konsekvenserna omfattade. Digitala tjänster för att boka idrottshallar, felanmäla, boka borgerlig vigsel och söka bygglov slogs ut, och skolsystemet låg nere. Kalmar stadsbibliotek fick stänga verksamheten och byta system.
Dessutom låstes kommunens handlingar för diarieföring, motsvarade tolv års arbete. Men det som drabbade hårdast var konsekvenserna för de anställda. 7 000 medarbetares användarnamn, lösenord, personuppgifter och e-post exponerades och löner till 10 000 kommunanställda kunde inte betalas ut korrekt. Den digitala krisen varade under lång tid och enligt SVT Småland landade notan på nio miljoner kronor.
Hur mycket har ni tagit höjd för framtida utgifter vid digitala kriser?
– Vi är mer säkerhetsmedvetna vid upphandlingar. Inköp kan kosta lite mer nu, säger Camilla Holmqvist.
Ökad välfärd ger nya utmaningar
Sedan krisen har Kalmar kommun lanserat en ambitiös digital omställningsplan som började gälla i december 2025. Hundratals e-tjänster och e-blanketter för kommunens medborgare ska fyllas på med nya smarta digitala tjänster. Medborgarnas krav på ökad välfärd ska tillgodoses.
När digitala tjänster blir ett förstahandsval måste allt funka.
– Lika snabbt som det kommer nya program och tekniker kommer det utmaningar som gör att vi kan utsättas för angrepp. Vi får aldrig koppla av! betonar Camilla Holmqvist.
Om invånare inte får tillgång till skola, omsorg eller vatten på grund av ett IT-haveri – vem bär ytterst ansvar?
– Kommunen har ansvaret för att säkerställa de samhällsviktiga funktionerna. Men invånare kan bli utan något under kort en period beroende på kris, säger Camilla Holmqvist.
Rustade för nästa kris
Med lärdomar från cyberkrisen 2024 har kommunen stärkt sin beredskap. I dag är planer, ökad medvetenhet och snabb hantering av avvikelser en del av vardagen. Kompetensutveckling, mikroövningar och stresstester av system genomförs löpande, och säkerhetsrutinerna anpassas kontinuerligt.
Kommunen har också tecknat avtal med ett incident response-team och infört förstärkt övervakning av datorer och servrar. Kostnaden uppgår till cirka åtta miljoner kronor per år.
– Kalmar idag är en krismedveten kommun. Vi fick träna och öva genom IT-krisen och efter det har vi förbättrat eller förfinat. Nu har vi plan, beredskap och en större trygghet, säger Camilla Holmqvist.
Samtidigt har en ny lag för extraordinära händelser och Nato påverkat hur krisledningen organiseras. Men någon fullskalig IT-krisövning för hela ledningsgruppen eller kommunkoncernen har inte genomförts sedan 2024. I dagsläget övar IT-avdelningen en gång om året. Helena Erngård