DNV’s nordiske cyberrobusthedssrapport for 2026 afdækker et mønster, der burde bekymre erhvervsledere i hele regionen: 166 sporede cyberangreb ramte norske, svenske, finske og danske organisationer i 2025, mens mere end halvdelen af ledere i kritisk infrastruktur stadig betragter national cyberrobusthed som “andres ansvar.” Rapporten tegner et billede af en region, der er digitalt avanceret, men sårbar som følge af uklart ejerskab og fragmenteret ledelseskultur.
166 Angreb på Fire Lande: Hvad Tallene Fortæller
DNV Cyber Threat Intelligence sporede i 2025 i alt 166 bekræftede, mistænkte og påståede cyberangreb mod organisationer i de fire nordiske lande. Sverige absorberede 60 hændelser, det klart højeste tal. Finland registrerede 44, Danmark 41, og Norge 21. Tallene stammer fra DNV’s rapport How Cyber Resilient Are the Nordics?, offentliggjort i 2026, og de repræsenterer kun de angreb, som trusselsefterretning aktivt har sporet. Det faktiske antal ikke-rapporterede hændelser antages at være langt højere.
Rapporten kombinerer svar fra 200 ledere i kritisk infrastruktur og 500 borgere i hvert land med interviews fra organisationer som Den Svenske Cyberkommando, Energi-CERT Sverige, Telia, Axfood og den svenske e-sundhedsagentur. For Danmarks vedkommende bygger analysen på 200 kritiske infrastrukturledere og offentlige undersøgelser kombineret med trusselsintelligens fra DNV Cyber.
| Land | Sporede angreb 2025 | Borgere: hverdagen berørt | Forventer samfundskrise | Ser sikkerhed som “andres ansvar” |
|---|---|---|---|---|
| Sverige | 60 | 1 ud af 5 (20%) | 60% | 54% |
| Finland | 44 | Ikke opgjort separat | Ikke opgjort separat | Ikke opgjort separat |
| Danmark | 41 | Ikke opgjort separat | Ikke opgjort separat | Uklart ejerskab som primær svaghed |
| Norge | 21 | Ikke opgjort separat | Ikke opgjort separat | 52% |
| I alt Norden | 166 | Stigende på tværs | Høj bekymring | Kritisk ledergab |
Forskellene i antal angreb afspejler ikke nødvendigvis, at Sverige er mere udsat end de andre lande. Eksperter peger på, at Sveriges størrelse og digitaliseringsgrad giver angribere en bredere angrebsflade. Herudover varierer rapporteringskulturen og tilsynsmyndighedernes kapacitet på tværs af landene, hvilket påvirker, hvad der faktisk registreres.
Sverige: Flest Angreb og Borgere Frygter Sammenbrud
Sverige er det land i Norden, der i 2025 registrerede flest cyberangreb. Med 60 sporede hændelser og en befolkning, der i stigende grad mærker konsekvenserne direkte, er billedet alvorligt. En ud af fem svenske borgere siger, at deres hverdag allerede er påvirket af cyberangreb. Og 60 procent forventer, at der i de kommende år kommer en cyberhændelse, der er så alvorlig, at den forstyrrer hele samfundets funktion.
En tredjedel af svenske ledere inden for kritisk infrastruktur forventer udbredt forstyrrelse af forsyningskæder og offentlige tjenester i løbet af 2026. Det er et konkret og tidsbundet signal, der burde udløse handling nu, ikke efter at krisen er en kendsgerning.
Annika Nevaste fra DNV Cyber beskrev situationen direkte: “54 procent af ledere inden for kritisk infrastruktur ser stadig national cyberrobusthed som andres ansvar. I et land som Sverige, der er tæt forbundet på tværs af sektorer, er det en strategisk sårbarhed.” DNV’s rapport tilbyder otte konkrete anbefalinger til svenske myndigheder og virksomheder, herunder stærkere integration af cybersikkerhed i nationale mål for teknologisk lederskab og integration med landets bredere nationale sikkerhedsstrategi.
De sektorer, der er mest udsatte i Sverige, er energi, produktion, transport og telekommunikation. Disse sektorer er stærkt indbyrdes afhængige: et angreb på ét led kan forplante sig til hele kæden. Det er præcis det scenarie, som DNV’s rapport identificerer som det mest sandsynlige udgangspunkt for en fremtidig samfundskrise i Norden.
Sveriges Cybersäkerhetslag, der implementerer NIS2, trådte i kraft den 15. januar 2026. I modsætning til Danmark tillader Sverige administrative bøder over for både private og offentlige enheder. Bestyrelsesmedlemmer i væsentlige enheder kan i visse tilfælde pålægges et tidsbegrænset forbud mod at bestride ledelsesfunktioner, et virkemiddel, der ikke findes i den danske NIS2-transposition.
Danmark: Uklart Ejerskab er den Største Svaghed
Med 41 sporede angreb i 2025 er Danmark ikke det hardest ramte land i Norden. Men DNV’s analyse af dansk cybersikkerhed rammer noget mere grundlæggende end antallet af hændelser: det er lederskab og ejerskab, der svigter.
Rapporten How Cyber Resilient Is Denmark?, der bygger på indsigt fra 200 kritiske infrastrukturledere i Danmark, konkluderer, at den største svaghed ikke er mangel på teknologi, men mangel på klart ansvar i topledelsen. Ledere i kritisk infrastruktur betragter typisk national cyberrobusthed som andres opgave. Borgerne forstår ikke deres rolle i at beskytte samfundet mod angreb. Det skaber et ansvarsunderskud, som angribere kan udnytte.
DNV fremhæver fire nøgleprioriteter for Danmark: ledelsesejerskab på topniveau, koordination på tværs af sektorer, fælles beredskabsmekanismer og forsyningskædesikkerhed. Ingen af disse er primært tekniske problemer. Alle handler om organisationskultur og beslutningsprocesser i direktionsgange og bestyrelseslokaler.
Konteksten er skarp: NIS2-loven trådte i kraft i Danmark den 1. juli 2025 og forpligter omkring 6.000 organisationer til at implementere konkrete cybersikkerhedskrav. Frister for selvanmeldelse via Virk.dk og de første audits er allerede passeret. Lovgivning skaber rammer, men ikke kultur. Og det er kulturen, DNV identificerer som det svage punkt i det danske forsvar.
Angrebet på Novo Nordisk i juni 2026, hvor 1,3 TB data blev stjålet, illustrerer, at selv Skandinaviens mest ressourcestærke virksomheder er sårbare. Ransomware-gruppen krævede 25 millioner dollars, som Novo Nordisk afviste at betale. Sagen er stadig under efterforskning, men den dokumenterer tydeligt, at danske virksomheder er reelle mål for avancerede angrebsgrupper.
Norge: 52 Procent Ser Robusthed som “Andres Ansvar”
Norge registrerede 21 sporede cyberangreb i 2025, lavest i Norden. Men tallene skjuler en alvorlig holdningsbaseret sårbarhed: over halvdelen, 52 procent, af norske ledere i EU-definerede kritiske sektorer siger, at lederne i deres organisation ser robusthed af kritisk infrastruktur som andres ansvar. Herudover er 32 procent slet ikke klar over, om deres organisation er en del af kritisk infrastruktur.
Det er et dobbelt problem. Uklart ansvar giver ingen reel ejer af sikkerhedsimplementeringen. Manglende selvidentifikation som kritisk infrastruktur betyder, at mange norske organisationer sandsynligvis ikke engang overvejer, at de kan være et primært mål for et koordineret angreb.
Norge er et land med tæt integration mellem energi, telekommunikation og maritime sektorer. Et angreb mod norsk offshore-infrastruktur vil potentielt have konsekvenser langt ud over landets grænser og vil ramme en europæisk energiforsyning, der i 2025 stadig er afhængig af norsk naturgas. Det er det scenarie, som den lave selvbevidsthed om kritisk infrastruktur gør farligt.
Finland: Pragmatisk Balance, men Ansvaret Mangler Klarhed
Finland registrerede 44 angreb i 2025 og er det land, som ifølge DNV’s analyse bedst illustrerer en “pragmatisk balance mellem konnektivitet og sikkerhed.” Mange finner er villige til at begrænse digital bekvemmelighed for at styrke robustheden. Det er en kulturel fordel i en tid, hvor de fleste angreb udnytter brugernes adfærd og negligerede softwarekonfigurationer.
Finlands NIS2-implementering krævede, at risikoledelsesmetoder var på plads senest den 8. juli 2025. Landet har syv sektorspecifikke tilsynsmyndigheder, som kan udstede tekniske ordrer om risikoledelse og hændelsesrapportering inden for deres kompetenceområde. Det er en tættere reguleringsstruktur end den, Danmark har valgt.
Alligevel peger DNV’s analyse på, at kerneproblemet i Finland ligner de andre lande: digitaliseringen i sig selv er ikke problemet. Det er forståelsen af de risici, den introducerer, og ansvaret for at håndtere dem, der mangler klarhed. Teknologi er ikke løsningen, når ansvarsstrukturen er uklar i de organisationer, der driver den.
OpDenmark: Russisk Trusselsmiljø Retter Sig Mod Danmark
DNV’s rapport er ikke den eneste alarmklokke i 2026. I begyndelsen af februar rapporterede det svenske cybersikkerhedsfirma Truesec, at en nyetableret russisk hackerallianse, der kalder sig Russian Legion, havde udsendt en advarsel om et storstilet cyberangreb mod Danmark, med kodenavnet “OpDenmark.”
Alliancen, der angiveligt ledes af hackergruppen Cardinal, inkluderer grupperne The White Pulse, Russian Partizan og Inteid. Den blev offentligt annonceret i slutningen af januar 2026, og truslen er målrettet Danmark specifikt, ikke som en del af en bredere europæisk kampagne. Truesec rapporterede om truslen den 3. februar 2026 og beskrev den som koordineret og orienteret mod dansk kritisk infrastruktur.
OpDenmark er en del af et bredere geopolitisk mønster. Russiske angrebsgrupper har i 2025 og 2026 intensiveret aktiviteter mod NATO-lande, særligt dem der støtter Ukraine militært. Danmark er i det billede et naturligt mål. Koordinerede DDoS-angreb og destruktive indtrængen i forsyningssektorer er de hyppigste angrebstyper i dette mønster, og de er præcis de angrebstyper, som norske og danske organisationers holdningsunderskud gør dem mest sårbare over for.
WEF 2026: Globalt Perspektiv Bag de Nordiske Tal
World Economic Forums Global Cybersecurity Outlook 2026, offentliggjort i januar 2026, sætter de nordiske tal i et globalt perspektiv. 31 procent af respondenter globalt rapporterer lav tillid til deres nations evne til at reagere på store cyberangreb, op fra 26 procent det foregående år. Det er et klart tegn på, at robustheden ikke holder trit med trusselsbilledet.
For 2026 har trusselsprioriteterne skiftet markant. Cybersvindel og phishing er rykket til topprioritet, AI-sårbarheder er nummer to, og forsyningskædeangreb er nummer tre. Det er en bevægelse væk fra traditionel ransomware som primær bekymring og hen imod mere sofistikerede, AI-forstærkede angrebstyper.
For CEO’er er de to primære bekymringer relateret til generativ AI: datalækager (30 procent nævner dette) og fremrykning af modstandernes kapaciteter (28 procent). Cloud-teknologi er det næstmest indflydelsesrige teknologiområde for cybersikkerhed i 2026, kun overgået af AI. Det placerer nordiske organisationer med høj cloud-afhængighed direkte i centrum af de globale risikovurderinger.
| Trusselskategori | Global prioritet 2026 (WEF) | Nordisk relevans | Tendens |
|---|---|---|---|
| Cybersvindel og phishing | #1 (op fra #2) | Høj, særligt i finanssektoren | Stærkt stigende |
| AI-sårbarheder | #2 (ny kategori) | Høj, cloud-afhængige sektorer | Stærkt stigende |
| Forsyningskædeangreb | #3 (op fra #3) | Kritisk for energi og produktion | Stigende |
| Ransomware | #4 (faldet fra #1) | Stadig høj, men mere målrettet | Stabil |
| DDoS-angreb | ENISA Top-trussel | Høj, særligt telekommunikation | Stigende ved geopolitisk eskalering |
| Statssponsorerede angreb | Fremvoksende prioritet | Meget høj for Danmark og Norge | Stærkt stigende |
Kritisk Infrastruktur Under Pres: Sektorernes Indbyrdes Afhængighed
DNV’s rapport identificerer en grundlæggende strukturel sårbarhed i de nordiske lande: kritisk infrastruktur er stærkt indbyrdes afhængig, men ansvarskulturen er fragmenteret. Et angreb på et energiselskab kan ramme telekommunikation, transport og sundhedssektoren i en kaskadeeffekt, som ingen enkelt myndighed har mandat eller kapacitet til at håndtere alene.
Energisektoren er særligt eksponeret. I Danmark trådte energi-NIS2-lovgivningen i kraft den 7. marts 2025, og den implementerer både NIS2 og CER-direktivet (Critical Entities Resilience). Organisationer i energisektoren skal senest den 17. juli 2026 modtage formel notifikation om deres designation som kritisk infrastruktur, hvorefter de har 9-10 måneder til at opfylde alle relevante forpligtelser. Det er tidslinjer, der allerede kører.
Finanssektoren er reguleret via DORA-forordningen, som siden januar 2025 har fastsat dagbøder på op til 1 procent af global omsætning ved manglende overholdelse af krav til digital operationel robusthed. DORA er den skrappeste finansielle cybersikkerhedsregulering i EU og afspejler, at sektoren er et primært mål for statslige og kriminelle aktører.
Telecommunikationssektoren er udsat på en anden måde: den udgør rygraden i al digital kommunikation. Et vellykket angreb mod en teleudbyder kan lamme myndighedernes krisekommunikation på det tidspunkt, hvor den er allermest nødvendig. Det er den type scenarie, som exploiterede zero-day-sårbarheder som Ivanti CVSS 9,8 gør mulig med minimal teknisk barriere for angribere.
AI som Angrebsværktøj: Trusselsbilledet Ændrer Sig Grundlæggende
En af de mest markante ændringer i trusselsbilledet for 2026 er fremvæksten af AI som angrebsværktøj. WEF’s rapport dokumenterer, at virksomhedsledere nu primært frygter to ting: at generativ AI bruges til at stjæle proprietære data, og at angribere bruger AI til at fremskynde og forfine angreb.
Den 2. juni 2026 udsendte Det Hvide Hus en præsidentiel ordre, der specifikt instruerer det amerikanske justitsministerium om at prioritere retsforfølgelse af enhver, der bruger AI til ulovlig adgang til computersystemer, datalarcen eller andre forbrydelser. Selvom det er en amerikansk regulering, signalerer den globalt, at AI-assisterede angreb er gået fra et hypotetisk scenarie til operationel virkelighed.
For nordiske organisationer betyder det i praksis, at phishing-e-mails nu genereres af AI med en præcision og personalisering, der gør dem langt sværere at identificere. CEO-svindel, spearphishing mod bestyrelsesmedlemmer og AI-genereret voice-phishing (vishing) registreres med markant stigning i 2026. Vishing-angrebet mod Charter Communications, der kostede 40 millioner dollars, demonstrerer, hvor effektive disse metoder er mod selv store og ressourcestærke organisationer.
Forsyningskædesikkerhed: Det Oversete Risikofelt
DNV’s rapport fremhæver forsyningskædesikkerhed som en nøgleprioritering for dansk og nordisk kritisk infrastruktur. Forsyningskædeangreb er steget til nummer tre på WEF’s globale trusselsrangering for 2026. Det er ikke tilfældigt: angribere har opdaget, at kompromittering af én leverandør kan give adgang til dusinvis eller hundredvis af slutkunder med ét enkelt angreb.
Nordiske virksomheder er afhængige af komplekse globale forsyningskæder med mange leverandører i kritiske sektorer. NIS2-direktivet forsøger at adressere dette ved at kræve, at organisationer i scope aktivt vurderer cybersikkerheden i deres leverandørkæde. Men implementeringen er uensartet, og mange organisationer mangler den interne kapacitet til at udføre meningsfulde leverandørvurderinger.
En tredjedel af svenske infrastrukturledere forventer allerede i 2026 “udbredt forstyrrelse af forsyningskæder og offentlige tjenester.” Det er ikke pessimisme, men en kalibreret risikovurdering baseret på det aktuelle trusselsbillede. Virksomheder, der endnu ikke har kortlagt og testet deres forsyningskædes cyberprofil, er reelt blinde for en væsentlig del af deres angrebsoverflade.
Historisk Kontekst: Fra NIS1 til NIS2 og Det Udvidede Ansvar
Den nordiske cybersikkerhedssituation i 2026 er et produkt af årtiers digitaliseringsbeslutninger og de seneste års lovgivningsmæssige acceleration. NIS1-direktivet, der trådte i kraft i 2018, dækkede omtrent 1.000 organisationer i Danmark. NIS2 har udvidet det til 6.000. Det er en seksdobling af de regulerede virksomheder på otte år.
Men reguleringens hastighed overstiger implementeringens modenhed. Mange af de 6.000 danske organisationer under NIS2 er ikke vant til at tænke som sikkerhedsorganisationer. De registrerede sig inden fristen den 1. oktober 2025 via Virk.dk, men risikovurderinger, incident response-workflows og leverandørsikkerhedskrav er endnu ikke fuldt operationelle i alle sektorer.
Den første audit-runde startede i begyndelsen af 2026. CFCS, der fungerer som Danmarks nationale CSIRT under Forsvarets Efterretningstjeneste, og de sektorspecifikke myndigheder er i gang med at gennemgå compliance. Virksomheder, der ikke lever op til kravene, risikerer bøder. For væsentlige enheder er loftet 10 millioner euro eller 2 procent af global omsætning. For vigtige enheder er det 7 millioner euro eller 1,4 procent. Da Danmark ikke tillader administrative bøder, skal sanktioner gennemføres via det ordinære strafferetlige system.
Digital suverænitet er allerede et tema i den offentlige debat, hvor 52 procent af danskerne ønsker at reducere afhængighed af amerikansk teknologi. Men denne præference oversættes ikke automatisk til stærkere sikkerhedspraksis, og det er den kobling, DNV’s rapport viser mangler i den nordiske region.
5 Prognoser for Nordisk Cybersikkerhed 2026-2027
Baseret på DNV’s data, WEF’s trusselsanalyse og det aktuelle geopolitiske billede er her fem sandsynlige udviklinger for Norden i de kommende 12-18 måneder:
- De første store nordiske NIS2-bødesager offentliggøres i 2026-2027. Med auditaktivitet allerede i gang og frister passeret, er det sandsynligt, at tilsynsmyndigheder i mindst ét nordisk land offentliggør en sanktionssag mod en organisation i kritisk infrastruktur inden udgangen af 2027. Det vil sende et klart signal til markedet om, at compliance er et reelt krav, ikke et papirøvelse.
- AI-assisterede phishing-angreb mod nordiske virksomheder vil stige markant i 2026. De teknologiske tærskler for at producere overbevisende, personaliserede angreb er faldet drastisk. Organisationer, der endnu ikke har trænet medarbejdere i at genkende AI-genererede angreb, vil opleve stigende tab i 2026.
- Et koordineret angreb vil ramme nordisk energiinfrastruktur inden udgangen af 2027. Det geopolitiske pres og den eksplicitte trussel fra grupper som Russian Legion gør et statssponsoreret angreb mod nordisk energiinfrastruktur til et scenarie med høj sandsynlighed på en 18-24 måneders horisont. Norges offshore-infrastruktur og Sveriges elnet er de mest sandsynlige primære mål.
- Sverige vil accelerere NIS2-håndhævelse i andet halvår 2026. Cybersäkerhetslagen trådte i kraft den 15. januar 2026. Erfaringerne fra Danmark og Finland, kombineret med de 60 angreb i 2025, vil sandsynligvis udløse tidlige håndhævelsessager i Sverige hurtigere end i andre nordiske lande, netop fordi den svenske lov giver mulighed for bøder mod offentlige institutioner.
- Forsyningskædeangreb vil overhale ransomware som primær trussel i Norden inden 2027. Den stigende kompleksitet i digitale leverandørkæder og angribernes viden om, at ét kompromis kan give adgang til mange mål, gør forsyningskædeangreb til det mest effektive angrebsparadigme fremadrettet. Den nuværende mangelfulde leverandørsikring i nordiske organisationer gør regionen særligt sårbar.
Relateret Dækning
Læs Mere om Nordisk Cybersikkerhed
- NIS2 i Danmark: 6.000 Virksomheder, €10M Bøder [2026]
- Novo Nordisk: 1,3 TB Stjålet, $25M Løsesum Afvist [2026]
- DORA i kraft: 1% Dagbøde Rammer Finanssektoren [2026]
- Digital Suverænitet: 52% Vil Væk fra USA-tech [2026]
- Ivanti Zero-Day: 50.000 Ramt, CVSS 9,8 [2026]
- Asocks Botnet Nedlagt: 17 Mio. Enheder Ramt i 163 Lande [2026]
FAQ: Nordens Cybersikkerhed 2026
Hvad konkluderer DNV’s nordiske rapport om cybersikkerhed i 2026?
DNV’s rapport How Cyber Resilient Are the Nordics? konkluderer, at Norden er digitalt avanceret, men lider under et strukturelt problem: uklart ejerskab af cybersikkerhed i topledelsen. Over halvdelen af ledere i kritisk infrastruktur ser national cyberrobusthed som andres ansvar. Rapporten sporede i alt 166 cyberangreb mod norske, svenske, finske og danske organisationer i 2025.
Hvor mange cyberangreb ramte Norden i 2025?
DNV Cyber Threat Intelligence sporede 166 angreb i alt: 60 i Sverige, 44 i Finland, 41 i Danmark og 21 i Norge. Det er bekræftede, mistænkte og påståede hændelser. Mørketallet for ikke-rapporterede angreb antages at være væsentligt højere, da mange organisationer undlader at anmelde hændelser til myndighederne.
Hvad er OpDenmark?
OpDenmark er kodenavnet på en angrebsoperation, som den russiske hackerallianse Russian Legion offentliggjorde i slutningen af januar 2026. Alliancen, anført af gruppen Cardinal og bestående af The White Pulse, Russian Partizan og Inteid, advarede om et storstilet cyberangreb mod Danmark. Truslen blev rapporteret af Truesec den 3. februar 2026.
Hvad er de største cybertrusler for nordiske virksomheder i 2026?
Ifølge WEF’s Global Cybersecurity Outlook 2026 er de tre primære trusler: (1) cybersvindel og phishing, der er rykket til topprioritet, (2) AI-sårbarheder, og (3) forsyningskædeangreb. For nordiske virksomheder tilføjer den geopolitiske situation statssponsorerede angreb som en fjerde og særlig relevant trussel, da Danmark og Norge er direkte i søgelyset for russiske angrebsgrupper.
Hvad er bøderne for manglende NIS2-compliance i Danmark?
Væsentlige enheder risikerer bøder på op til 10 millioner euro eller 2 procent af global omsætning, alt efter hvad der er størst. Vigtige enheder risikerer op til 7 millioner euro eller 1,4 procent. Da Danmark ikke tillader administrative bøder, gennemføres sanktioner via det ordinære strafferetlige system. De første audits begyndte i begyndelsen af 2026.
Hvornår trådte NIS2 i kraft i Sverige, og hvad adskiller det fra den danske implementering?
Sveriges Cybersäkerhetslag trådte i kraft den 15. januar 2026. Den svenske implementering adskiller sig fra den danske på to vigtige punkter: Sverige kan pålægge administrative bøder mod både private og offentlige enheder, og bestyrelsesmedlemmer i væsentlige enheder kan i visse tilfælde pålægges et tidsbegrænset forbud mod at bestride ledelsesfunktioner. Ingen af disse virkemidler findes i den danske NIS2-transposition.
Hvad kan nordiske virksomheder gøre nu for at styrke deres cyberrobusthed?
DNV anbefaler seks prioriterede indsatser: (1) forankr cybersikkerhed direkte i bestyrelse og direktion, (2) etabler tværsektoriel koordination og delte beredskabsmekanismer, (3) kortlæg og test forsyningskædens cyberprofil systematisk, (4) gennemfør regelmæssige beredskabsøvelser med realistiske angrebsscenarier, (5) kommuniker risici klart til medarbejdere og borgere, og (6) sørg for, at incident response-planer er dokumenterede og regelmæssigt afprøvede i praksis.
