Endesa databruddt og kyberangrep: Hva skjedde og hva bør kunder vite?

Spanias største strømleverandør, Endesa, er i søkelyset angående kundedatasikkerhet etter en stor bot fra tilsynsmyndighetene og et nylig kyberangrep på kommersielle systemer.

Samlet har disse hendelsene reist spørsmål om hvor sikkert store energiselskaper beskytter den personlige og økonomiske informasjonen til millioner av kunder.

Selv om Endesa forblir en av de dominerende strømleverandørene i Spania, understreker disse hendelsene et stadig viktigere aspekt ved det moderne energimarkedet: datasikkerhet i forsyningssektoren.

GDPR-boten på 6,1 millioner euro

Sent i 2023 utstedte det spanske datatilsynet (AEPD) en betydelig sanksjon mot Endesa etter å ha funnet alvorlige mangler i selskapets databeskyttelsessystemer.

Etterforskningen avdekket at personopplysningene til ca. 6 millioner kunder hadde blitt eksponert på grunn av utilstrekkelige sikkerhetstiltak.

According to the regulator, the failures included:

•mangelfulle tekniske garantier for å beskytte kundedatabaser
•svakheter i interne systemer som håndterer kontraktsdata
•manglende evne til å sikre konfidensialiteten til personopplysninger tilstrekkelig

AEPD slo fast at Endesa ikke hadde implementert de riktige sikkerhetskontrollene som kreves under EUs generelle personvernforordning (GDPR).

Som et resultat ble selskapet bøtelagt med 6,1 millioner euro, en av de høyeste datasikkerhetssanksjonene som noensinne er gitt i den spanske energisektoren.

Den eksponerte informasjonen inkluderte angivelig personlig identifiseringsinformasjon og data knyttet til strøm- og gasskontrakter.

Kyberangrepet på kundesystemer in 2026

Mer nylig, in januar 2026, bekreftet Endesa at de har vært offer for et kyberangrep rettet mot systemer som brukes til å administrere kundekontrakter.

Ifølge rapporter ga bruddet uautorisert tilgang til en kommersiell plattform knyttet til kundekontodata.

Potential Data Exposure:

•kundenavn og kontaktinformasjon
•DNI eller identifikasjonsnummer
•kontraktsinformasjon
•bankkontodetaljer, inkludert IBAN-numre

Sikkerhetsforskere rapporterte senere at millioner av poster angivelig ble lagt ut for salg på dark web-fora, selv om det nøyaktige antallet berørte kunder ikke er offisielt bekreftet.

Endesa betjener for tiden rundt 10 millioner strømkunder i Spania, noe som betyr at hendelsen potensielt påvirker en betydelig del av kundebasen.

What Endesa Has Done

Following the cyberattack, the company stated it had taken immediate action to secure its systems.

blocking the compromised access points
launching an internal cybersecurity investigation
notifying Spain’s data protection authorities
informing customers potentially affected by the breach

Kundene ble også advart om å være ekstra på vakt mot phishing-e-poster eller mistenkelige telefonsamtaler fra personer som utgir seg for å være Endesa-ansatte.

Vil det komme flere bøter?

I skrivende stund er det ikke annonsert noen offisiell bot for kyberangrepet in 2026.

Hendelsen vil imidlertid sannsynligvis bli vurdert av AEPD in henhold til GDPR-reglene. Dersom tilsynsmyndighetene finner at sikkerhetstiltakene var utilstrekkelige, kan ytterligere sanksjoner følge.

I henhold til EUs personvernlover kan bøter nå opptil 20 millioner euro eller 4 % av et selskaps globale årlige omsetning, avhengig av hva som er høyest.

Hvorfor dette betyr noe for energikunder

Energileverandører har en betydelig mengde sensitive kundedata, inkludert ID-detaljer, adresser, faktureringshistorikk og bankinformasjon.

Etter hvert som sektoren digitaliseres ytterligere, har cybersikkerhet blitt like viktig som pris og leveringspålitelighet.

Hendelser som dette fremhever hvorfor kunder alltid bør være forsiktige når de mottar uventede e-poster eller anrop om strømregningen.

Råd til kunder

Hvis du er en Endesa-kunde, anbefaler eksperter følgende:

For mer informasjon om hvordan du beskytter energikontoen din og forstår hvordan uautoriserte bytter skjer, les vår omfattende guide om Sikkerhet for energikontoer i Spania.

overvåk bankkontoen din nøye for uvanlige transaksjoner
ignorer uventede e-poster som ber om personlige detaljer
bekreft kommunikasjon direkte via Endesas offisielle kanaler
endre passord knyttet til energikontoen din

Bransjeperspektiv

Selv om Endesa ikke er det eneste forsyningsselskapet som står overfor cybersikkerhetsutfordringer, viser denne saken omfanget av risikoen for firmaer som administrerer millioner av kundeposter.

For forbrukere blir åpenhet og sterke datapraksis en stadig større faktor når de velger en energileverandør.

Om Uswitch Energy

Uswitch Energy gir uavhengige analyser av strømpriser i Spania og hjelper husholdninger og bedrifter med å forstå energikostnadene sine.

Gratis analyse av strømregningen min

Ofte stilte spørsmål

Hvilke data ble lekket in Endesas databruddt?

Ifølge rapporter inkluderte de lekkede dataene navn, identifikasjonsnumre, kontaktinformasjon, kontraktsdetaljer og in noen tilfeller bankkontoinformasjon inkludert IBAN-numre.

Hvor mange Endesa-kunder ble berørt?

En tidligere GDPR-bot rammet rundt 6 millioner kunder. Kyberangrepet in 2026 skal angivelig ha involvert millioner av poster, men det nøyaktige antallet berørte personer er ikke offisielt bekreftet.

Har Endesa blitt bøtelagt for bruddet?

Ja, Endesa ble bøtelagt med 6,1 millioner euro av AEPD for sikkerhetsfeil som berørte 6 millioner kunder. Regulatorer forventes også å undersøke det nyere kyberangrepet in 2026.

Hva bør Endesa-kunder gjøre nå?

Kunder bør overvåke bankkontoene sine for mistenkelig aktivitet, ignorere uventede forespørsler om personopplysninger og oppdatere passordene for energikontoene sine umiddelbart.

Related Guides

See all guides