Norden gik ind i 2026 som en af verdens mest digitaliserede regioner, og det har en pris. Ifølge den nye rapportserie How cyber resilient are the Nordics? fra DNV Cyber registrerede analytikerne 166 cyberhændelser mod organisationer i Danmark, Sverige, Norge og Finland i 2025. Tallet fordeler sig skævt, og det fortæller en historie om en region, hvor angribere flytter sig hurtigere, end forsvaret kan følge med. Denne nyhedsanalyse samler de hårde tal bag cybersikkerhed Norden 2026, sætter dem i historisk kontekst og forklarer, hvad de betyder for danske virksomheder, myndigheder og borgere.
Billedet er ikke bare et spørgsmål om flere angreb. Det handler om kunstig intelligens, der industrialiserer kriminaliteten, om ransomware-grupper, der splitter sig op i mindre og mere specialiserede enheder, og om et nyt lovkrav (NIS2), der for første gang gør cybersikkerhed til et ledelsesansvar med personlig hæftelse. Vi gennemgår tallene fra Check Point, World Economic Forum, DNV Cyber og danske Styrelsen for Samfundssikkerhed, og vi lader tre navngivne eksperter forklare, hvad der reelt er på spil.
Norden under pres: 166 cyberhændelser ramte regionen i 2025
DNV Cybers trusselsefterretning observerede 21 cyberhændelser mod norske organisationer i 2025, mod 60 i Sverige, 44 i Finland og 41 i Danmark. Lægger man tallene sammen, ramte 166 dokumenterede hændelser de fire nordiske lande på et enkelt år. Sverige bærer den tungeste byrde, og Danmark ligger næsthøjest. For et land med kun 5,9 millioner indbyggere er 41 hændelser et markant tal, og det placerer Danmark centralt i diskussionen om cybersikkerhed Norden 2026.
Tallene dækker over hændelser, der er blevet opdaget og dokumenteret. Mørketallet er sandsynligvis langt højere, fordi mange angreb enten ikke opdages eller ikke rapporteres offentligt. DNV Cyber understreger selv, at en lav offentlig hændelsesrate ikke er det samme som høj modstandsdygtighed. Tværtimod kan få registrerede hændelser skabe en falsk tryghed, hvor ledelsen tror, at problemet hører til hos naboen.
| Land | Cyberhændelser 2025 | Indbyggertal (ca.) | Hændelser pr. mio. indbyggere |
|---|---|---|---|
| Sverige | 60 | 10,6 mio. | 5,7 |
| Finland | 44 | 5,6 mio. | 7,9 |
| Danmark | 41 | 5,9 mio. | 6,9 |
| Norge | 21 | 5,5 mio. | 3,8 |
| Norden i alt | 166 | 27,6 mio. | 6,0 |
Set pr. indbygger ligger Finland faktisk højest med 7,9 hændelser pr. million, fulgt af Danmark med 6,9. Norge skiller sig ud i bunden med 3,8, men netop den lave rate er ifølge DNV Cyber en advarsel snarere end en sejr. Vi vender tilbage til den pointe i afsnittet om ansvarskløften.
Check Point: AI ændrer angrebets mekanik, ikke kun mængden
Den vigtigste enkeltfaktor bag stigningen i cybertrusler 2026 er kunstig intelligens. Check Points Cyber Security Report 2026 dokumenterer, at en gennemsnitlig organisation oplevede 1.968 cyberangreb om ugen i 2025. Det er en stigning på 70 procent siden 2023. Tempoet fortsatte ind i 2026: i februar nåede gennemsnittet 2.086 ugentlige angreb pr. organisation, en stigning på 9,6 procent år til år.
»AI ændrer mekanikken bag cyberangreb, ikke kun deres omfang. Angriberne bevæger sig fra rent manuelle operationer til stadig højere grader af automatisering, og vi ser de første tegn på autonome teknikker.«
Lotem Finkelstein, forskningsdirektør (VP of Research), Check Point Software (oversat fra engelsk)
Pointen er central. Når angreb automatiseres, falder omkostningen ved at gennemføre dem, og dermed stiger antallet. Men automatisering ændrer også selve angrebets natur: rekognoscering, valg af mål og udnyttelse af sårbarheder kan ske i et tempo, intet menneskeligt forsvarshold kan matche manuelt. Det er baggrunden for, at Check Point taler om at revalidere sikkerhedsgrundlaget for AI-æraen frem for blot at tilføje flere værktøjer.
Tallene svingede gennem foråret 2026. I marts faldt gennemsnittet til 1.995 ugentlige angreb pr. organisation, et fald på 4 procent fra måneden før, mens maj landede på 2.055 angreb om ugen, 2 procent højere end året før. Udsvingene viser, at angrebsvolumen er blevet en konstant baggrundsstøj på over 2.000 forsøg om ugen pr. organisation, ikke en lejlighedsvis spids.
Ransomware industrialiseres: 53 procent flere ofre presses
Ransomware forblev den mest synlige trussel i 2026. Check Point opgør, at antallet af ofre, der blev afpresset, steg 53 procent år til år, samtidig med at antallet af nye ransomware-as-a-service-grupper (RaaS) voksede 50 procent. I maj 2026 nåede ransomware-aktiviteten sin højeste vækstrate for året, med en stigning på 48 procent på verdensplan.
Det interessante er ikke kun stigningen, men strukturen bag den. Økosystemet er blevet decentraliseret. Hvor nogle få store grupper tidligere dominerede, er markedet i 2026 splittet op i mindre, specialiserede enheder. Det gør forsvar sværere, fordi der ikke længere er nogle få aktører at overvåge, men dusinvis af løst koblede grupper, der deler værktøjer og infrastruktur.
| Nøgletal for global cybersikkerhed | Værdi | Periode | Kilde |
|---|---|---|---|
| Ugentlige angreb pr. organisation | 1.968 | 2025 (gns.) | Check Point |
| Stigning i ugentlige angreb siden 2023 | +70 % | 2023 til 2025 | Check Point |
| Ugentlige angreb pr. organisation | 2.086 | Feb. 2026 | Check Point |
| Stigning i afpressede ofre | +53 % | År til år 2026 | Check Point |
| Vækst i nye RaaS-grupper | +50 % | År til år 2026 | Check Point |
| Global stigning i ransomware | +48 % | Maj 2026 | Check Point |
Qilin: året hvor én gruppe satte dagsordenen
Ingen enkelt aktør symboliserer udviklingen bedre end Qilin. Gruppen blev første gang observeret i juli 2022, men den voksede markant i 2025, hvor den stod bag omkring 700 angreb. Væksten faldt sammen med, at den konkurrerende platform RansomHub lukkede ned, og Qilin overtog en stor del af de ledige kriminelle ressourcer.
Qilin opererer med dobbelt afpresning: data krypteres, og samtidig kopieres følsomme oplysninger, som angriberne truer med at offentliggøre, hvis offeret ikke betaler. Modellen rammer offentlige institutioner, sundhedssektoren og advokatfirmaer hårdt, fordi netop disse organisationer ikke kan tåle hverken nedetid eller datalæk. Ind i 2026 forblev Qilin blandt de mest aktive grupper målt på antal offentliggjorte ofre, og gruppen er blevet et lærebogseksempel på, hvordan ransomware 2026 fungerer som en industri snarere end som enkeltstående angreb.
Bedrageri overhaler ransomware på direktionsgangen
Mens CISO’er stadig bekymrer sig mest om ransomware og forsyningskæder, har topledelsen skiftet fokus. World Economic Forums Global Cybersecurity Outlook 2026 viser, at administrerende direktører nu rangerer cyberbaseret bedrageri som deres største bekymring. 77 procent af respondenterne rapporterede en stigning i cyberbaseret bedrageri og phishing i løbet af 2025, og 73 procent sagde, at de selv eller nogen i deres netværk var blevet personligt ramt.
»Efterhånden som cyberrisici bliver mere sammenkoblede og alvorlige, er cyberbaseret bedrageri vokset til en af de mest forstyrrende kræfter i den digitale økonomi. Det underminerer tillid, forvrider markeder og rammer mennesker direkte.«
Jeremy Jurgens, administrerende direktør, World Economic Forum (oversat fra engelsk)
Skiftet er vigtigt for danske virksomheder, fordi det flytter cybersikkerhed fra serverrummet til bestyrelseslokalet. Bedrageri rammer ikke kun it-systemer, men direkte bundlinje, kundetillid og aktiekurs. Når en CEO frygter bedrageri mere end ransomware, betyder det, at investeringer i autentificering, transaktionskontrol og medarbejderuddannelse rykker op på prioriteringslisten.
Kunstig intelligens er nu den dominerende risikofaktor
WEF-rapporten gør det tydeligt, at AI ikke længere er en fremtidstrussel, men en nutidig. 94 procent af respondenterne er enige om, at kunstig intelligens er den enkeltfaktor, der driver flest forandringer i cybersikkerhed i 2026. 87 procent udpegede AI-relaterede sårbarheder som den hurtigst voksende cyberrisiko i løbet af 2025.
Organisationerne reagerer, men langsomt. Andelen, der aktivt vurderer sikkerheden af deres AI-værktøjer, næsten fordobledes fra 37 procent i 2025 til 64 procent i 2026. Det er fremgang, men det betyder samtidig, at over en tredjedel af organisationerne fortsat ruller AI ud uden en formel sikkerhedsvurdering. I en tid med autonome angrebsteknikker er det et åbent vindue.
Danmark i tal: høj DDoS-trussel og OpDenmark
Det danske trusselsbillede har sin egen profil. Styrelsen for Samfundssikkerhed vurderede i marts 2026, at der er en høj trussel fra DDoS-angreb (overbelastningsangreb) mod danske organisationer. DDoS-angreb gør hjemmesider og tjenester utilgængelige ved at oversvømme dem med trafik, og de bruges ofte som politisk pressionsmiddel snarere end til økonomisk vinding.
Det mest synlige eksempel er den prorussiske kampagne mod Danmark, som ramte kommuner, regioner og offentlige tjenester gennem 2025 og ind i 2026. Kampagnen er drevet af hacktivistgrupper med tilknytning til russiske interesser, og den følger et mønster, hvor danske mål udpeges i takt med politiske beslutninger om Ukraine og forsvar. Vi har beskrevet forløbet i detaljer i vores artikel om cyberangreb mod Danmark og OpDenmark.
DDoS-angreb forårsager sjældent varig skade på data, men de har en politisk og psykologisk effekt. Når borgerne ikke kan tilgå offentlige selvbetjeningsløsninger, undergraves tilliden til den digitale infrastruktur, som det danske velfærdssamfund er bygget på.
Historisk kontekst: fra Sandworm i 2023 til i dag
For at forstå alvoren i 2026 må man se tilbage på maj 2023. SektorCERT dokumenterede i en rapport fra november 2023 det hidtil mest omfangsrige cyberangreb mod dansk kritisk infrastruktur. 22 virksomheder i energi- og varmesektoren blev ramt, og angrebet kunne potentielt have påvirket mere end 100.000 danskere.
Angrebet kom i to bølger. Den første startede 11. maj og udnyttede en sårbarhed i en Zyxel-firewall, der sad i kanten af virksomhedernes netværk. Den anden bølge begyndte 22. maj, og denne gang vidste angriberne på forhånd, præcis hvem de skulle ramme. Digitale spor pegede mod den russiske militære efterretningstjeneste GRU og dens enhed 74455, bedre kendt som Sandworm. SektorCERT konkluderede forsigtigt, at det eneste, der med sikkerhed kunne fastslås, var, at dansk kritisk infrastruktur er i søgelyset, og at der bruges cybervåben mod den.
Mønsteret fra 2023 går igen i 2026: perimeterudstyr som firewalls og VPN-gateways er stadig det foretrukne indgangspunkt, og statslige eller statsnære aktører står bag de mest avancerede angreb. Forskellen er, at AI nu accelererer både rekognoscering og udnyttelse.
NIS2 gør cybersikkerhed til et ledelsesansvar i Danmark
Den største regulatoriske ændring for danske virksomheder er NIS2-direktivet. Det blev implementeret i dansk ret i foråret 2025 under navnet Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau. Omfattede virksomheder skulle registrere sig senest 1. oktober 2025, og loven skelner mellem væsentlige og vigtige enheder.
Hvad kræver NIS2 konkret?
Omfattede enheder skal indføre en række foranstaltninger til styring af cybersikkerhedsrisici, indberette væsentlige hændelser til myndighederne og registrere sig som omfattet enhed. Væsentlige enheder underlægges desuden et løbende tilsyn, mens vigtige enheder primært kontrolleres efterfølgende. Et centralt nybrud er, at ansvaret placeres hos ledelsen, ikke kun hos it-afdelingen.
- Risikostyring: tekniske og organisatoriske foranstaltninger, der står i forhold til risikoen.
- Hændelsesindberetning: væsentlige hændelser skal meldes hurtigt til de relevante myndigheder.
- Registrering: virksomheder skal selv vurdere, om de er omfattet, og registrere sig.
- Ledelsesansvar: bestyrelse og direktion kan holdes ansvarlige for manglende efterlevelse.
Virksomheder kan bruge værktøjet NIS2-tjek på sikkerdigital.dk til at vurdere, om de er omfattet. Usikkerheden om afgrænsning er stor, og mange mellemstore danske virksomheder er først nu ved at finde ud af, at de falder ind under reglerne.
Ansvarskløften: hvem ejer modstandsdygtigheden?
DNV Cyber afdækkede et bekymrende mønster i Norden. Blandt norske ledere i sektorer, som EU betragter som kritiske, mener over halvdelen (52 procent), at modstandsdygtighed i kritisk infrastruktur er en andens ansvar. Det er ansvarskløften, og den er måske den farligste sårbarhed af alle, fordi den ikke kan patches.
»Vi har måske ikke oplevet lige så mange vellykkede angreb på vores kritiske infrastruktur som vores nordiske naboer, men tidligere held garanterer ikke fremtidig modstandsdygtighed. Myndighederne kan ikke direkte sikre infrastruktur, de ikke ejer. Modstandsdygtighed afhænger af, hvor godt virksomheder, offentligheden og myndigheder hver især forstår og udfylder deres rolle.«
Arve Johan Kalleklev, operationsdirektør, DNV Cyber (oversat fra engelsk)
Pointen rammer Danmark lige så hårdt som Norge. Når 41 hændelser fordeler sig på tværs af energi, transport, sundhed og finans, er der ingen enkelt myndighed, der kan løse problemet. NIS2 forsøger netop at lukke ansvarskløften ved at gøre den enkelte virksomheds ledelse ansvarlig, men kulturændringen tager tid.
Markedseffekt: kompetencemangel bremser forsvaret
Den største flaskehals er mennesker, ikke teknologi. WEF-rapporten peger på kompetencemangel som den primære barriere for at indføre bedre cybersikkerhed, nævnt af 54 procent af respondenterne. Mangel på kvalificerede medarbejdere betyder, at selv organisationer med budget til værktøjer ikke har hænder til at drive dem.
For det nordiske marked har det flere konsekvenser. Lønningerne for erfarne sikkerhedsfolk stiger, hvilket presser mindre virksomheder ud af konkurrencen om talent. Efterspørgslen efter administrerede sikkerhedstjenester (MSSP) vokser, fordi virksomhederne outsourcer det, de ikke selv kan bemande. Og cyberforsikring bliver dyrere og mere kravstung, fordi forsikringsselskaberne nu forlanger dokumenteret risikostyring, før de tegner en police.
Samtidig stiger investeringerne i AI-baseret forsvar. Når angriberne automatiserer, må forsvaret gøre det samme. Det skaber et marked, hvor leverandører af automatiseret detektion og respons konkurrerer hårdt om de nordiske kunder, og hvor evnen til at vurdere AI-værktøjernes egen sikkerhed (op fra 37 til 64 procent på et år) bliver en konkurrenceparameter.
Konkurrencebillede: Norden mod sig selv og verden
Sammenligner man de nordiske lande, tegner der sig et nuanceret billede. Sverige har flest registrerede hændelser i absolutte tal, men også den største økonomi og flest digitale mål. Finland har den højeste rate pr. indbygger, hvilket afspejler landets lange grænse mod Rusland og dermed en forhøjet geopolitisk eksponering. Danmark ligger i midten, men med en udtalt sårbarhed i form af DDoS-kampagner mod den offentlige sektor.
Set i et globalt perspektiv er Norden hverken en frizone eller et særligt udsat hjørne. Med et gennemsnit på over 2.000 ugentlige angreb pr. organisation følger regionen den globale kurve, som Check Point beskriver. Forskellen ligger i modstandsdygtigheden: høj digital modenhed, stærke offentlige institutioner og samarbejdsorganer som SektorCERT giver Norden en fordel, men den fordel udhules, hvis ansvarskløften får lov at bestå.
Fem forudsigelser for resten af 2026
På baggrund af de offentliggjorte tal og eksperternes vurderinger tegner der sig fem sandsynlige udviklinger for resten af året:
- AI-drevne angreb passerer 2.200 ugentligt: hvis kurven fra februar til maj 2026 fortsætter, vil gennemsnittet af ugentlige angreb pr. organisation sandsynligvis krydse 2.200 inden årsskiftet.
- Den første store NIS2-bøde i Danmark: med registreringsfristen overskredet 1. oktober 2025 er det sandsynligt, at en dansk virksomhed bliver et offentligt eksempel på manglende efterlevelse i løbet af 2026.
- Ransomware fortsætter med at fragmentere: med 50 procent flere RaaS-grupper år til år vil markedet blive endnu mere opsplittet, hvilket gør attribuering sværere.
- DDoS mod dansk offentlig sektor fortsætter: den høje DDoS-trussel, Styrelsen for Samfundssikkerhed beskrev i marts 2026, vil følge det geopolitiske spændingsniveau og næppe falde på kort sigt.
- Bedrageri rykker øverst på flere bestyrelsers dagsorden: i takt med at 77 procent rapporterer stigende bedrageri, vil flere nordiske bestyrelser flytte budget fra rent perimeterforsvar til transaktions- og identitetskontrol.
Sådan beskytter danske organisationer sig i 2026
Tallene er dystre, men forsvaret er ikke håbløst. De fleste store hændelser, både i 2023 og 2026, udnyttede kendte sårbarheder i perimeterudstyr eller svag adgangsstyring. Grundlæggende hygiejne stopper langt de fleste angreb, før de når at sprede sig.
Prioritér patching af perimeterudstyr
SektorCERT-angrebet i 2023 startede med en sårbar Zyxel-firewall. Hold firewalls, VPN-gateways og andet internetvendt udstyr opdateret, og overvåg leverandørernes sikkerhedsbulletiner. En simpel rutine kan være at verificere, hvilke tjenester der er eksponeret, og sammenholde versionerne med den nyeste rettelse:
# Eksempel: tjek aabne, internetvendte tjenester og deres versioner
nmap -sV --open -p 80,443,500,4500 din-offentlige-ip
# Sammenhold med leverandoerens nyeste sikkerhedsrettelse,
# og luk eller opdater alt, der eksponerer en kendt saarbarhed (CVE).Indfør multifaktor og segmentering
Multifaktorgodkendelse (MFA) på alle eksterne adgange og netværkssegmentering, der adskiller kritiske systemer fra kontornetværket, begrænser skaden, selv hvis en angriber kommer ind. Læs mere om grundlaget i vores guide til kodeordssikkerhed og 2FA og om, hvordan datalæk opstår i artiklen om datalæk og beskyttelse.
Ofte stillede spørgsmål om cybersikkerhed i Norden 2026
Hvor mange cyberhændelser ramte Norden i 2025?
DNV Cyber registrerede 166 hændelser samlet: 60 i Sverige, 44 i Finland, 41 i Danmark og 21 i Norge. Tallene dækker dokumenterede hændelser, og mørketallet er sandsynligvis højere.
Hvad er den største trussel mod danske virksomheder lige nu?
Det afhænger af perspektivet. Styrelsen for Samfundssikkerhed vurderer DDoS-truslen som høj, ransomware fortsætter med at stige globalt (53 procent flere ofre), og topledelser udpeger i stigende grad cyberbaseret bedrageri som deres største bekymring.
Hvornår trådte NIS2 i kraft i Danmark?
NIS2 blev implementeret i dansk ret i foråret 2025 som Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau. Omfattede virksomheder skulle registrere sig senest 1. oktober 2025.
Hvilken rolle spiller kunstig intelligens i cybertrusler 2026?
En afgørende rolle. 94 procent af respondenterne i WEF’s undersøgelse kalder AI den vigtigste drivkraft bag forandringer i cybersikkerhed i 2026, og Check Point tilskriver en stor del af stigningen på 70 procent i angreb siden 2023 til automatisering og AI.
Hvad er Qilin?
Qilin er en ransomware-as-a-service-gruppe, der blev observeret første gang i juli 2022 og stod bag omkring 700 angreb i 2025. Den bruger dobbelt afpresning og var blandt de mest aktive grupper ind i 2026.
Hvor mange angreb oplever en organisation i gennemsnit?
Ifølge Check Point oplevede en gennemsnitlig organisation 1.968 cyberangreb om ugen i 2025, og tallet lå over 2.000 i flere måneder af 2026. Det svarer til en stigning på 70 procent siden 2023.
Relateret læsning
- Cyberangreb mod Danmark: OpDenmark og de prorussiske kampagner
- Datalæk: sådan opstår de, og sådan beskytter du dig
- Phishing og social engineering: kend forsøget, og undgå fælden
- Kodeordssikkerhed: længde, hashing, kodeordsmanagere og 2FA
- HTTPS og TLS: sådan beskyttes din forbindelse
- Onlinesikkerhed: beskyt dine data, konti og forbindelser
