Norden liker å se på seg selv som digitalt modent og godt rustet. Tallene for 2025 forteller en mer ujevn historie. DNV Cyber registrerte til sammen 166 cyberhendelser mot virksomheter i de fire nordiske landene gjennom året, og de ferske rapportene fra både DNV og Nasjonal sikkerhetsmyndighet (NSM) peker på det samme svake punktet: ikke teknologien, men uklart ansvar. I Norge svarte 52 prosent av lederne i samfunnskritiske sektorer at de ser resiliens i kritisk infrastruktur som noen andres ansvar. Det er kjernen i det som nå formes til en nordisk styringskrise i cybersikkerhet.
166 cyberhendelser i Norden i 2025: slik fordeler de seg
DNV Cyber sin trusseletterretning observerte 21 cyberhendelser som rammet norske virksomheter i 2025. Sverige toppet listen med 60 hendelser, Finland fulgte med 44 og Danmark med 41. Summert gir det 166 registrerte hendelser i et enkelt år, fordelt på fire land som deler kraftnett, betalingssystemer, telekominfrastruktur og leverandørkjeder på kryss og tvers.
Det lave norske tallet ser betryggende ut isolert sett, men det er villedende. Norge har færre store virksomheter enn Sverige, og DNV teller observerte hendelser mot organisasjoner i sin egen portefølje, ikke hele trusselbildet. NSM beskriver i sin egen rapport at cyberoperasjoner rammer bredt, og at både små og store virksomheter på tvers av sektorer må være forberedt på å håndtere hendelser. Den nasjonale statistikken sier altså mer om eksponering og rapportering enn om reell sikkerhet.
| Land | Cyberhendelser 2025 (DNV) | Andel av nordisk total | Relativ eksponering |
|---|---|---|---|
| Sverige | 60 | 36 % | Høyest i Norden |
| Finland | 44 | 27 % | Høy |
| Danmark | 41 | 25 % | Høy |
| Norge | 21 | 13 % | Lavest registrert |
| Norden totalt | 166 | 100 % | Felles trusselrom |
Ansvarsgapet: 52 prosent skyver cybersikkerhet over på andre
Det mest oppsiktsvekkende funnet i DNV-materialet handler ikke om angrep, men om holdninger. Blant norske ledere i sektorer som EU regner som kritiske, svarte 52 prosent at de oppfatter resiliens i kritisk infrastruktur som noen andres ansvar. Enda mer urovekkende: 32 prosent var ikke sikre på om deres egen virksomhet i det hele tatt inngår i kritisk infrastruktur.
Når en av tre ledere ikke vet om de driver samfunnskritisk virksomhet, kollapser hele forutsetningen for målrettet sikkerhetsarbeid. Du kan ikke beskytte det du ikke vet at du eier. DNV formulerer det som at resiliens avhenger av hvor godt næringsliv, befolkning og myndigheter hver for seg forstår og fyller sin rolle i et tett sammenkoblet system. I Danmark trekker DNV frem uklart eierskap til cybersikkerhet som en grunnleggende svakhet i landets digitale motstandskraft. Mønsteret går igjen i hele regionen.
Konsekvensen merkes også av vanlige folk. I Sverige oppgir én av fem innbyggere at hverdagen deres er blitt påvirket av cyberhendelser. Det handler om alt fra forsinkede betalinger til nedetid på offentlige tjenester. Når ansvaret pulveriseres på toppen, treffer regningen bunnen.
NSM Risiko 2026: «vesentlige mangler» i grunnsikringen
Den 6. februar 2026 la NSM frem sin årlige risikovurdering «Risiko 2026», samtidig med de åpne trusselvurderingene fra Etterretningstjenesten og PST. Budskapet var nøkternt og hardt på samme tid: NSM beskriver vesentlige mangler i det forebyggende sikkerhetsarbeidet på tvers av norske sektorer. Enkelte funn går igjen i sektor etter sektor.
Ett av de mest gjennomgående problemene NSM peker på, er at ansatte tildeles roller i sikkerhetsarbeidet som de enten ikke er klar over at de har, eller ikke klarer å fylle fordi de mangler ressurser eller kompetanse. Sikkerhet blir delegert nedover uten at myndighet, opplæring og budsjett følger med. Tilsyn fra NSM avdekker også at virksomheter underlagt sikkerhetsloven ikke alltid etterlever den godt nok, slik at avvik og sikkerhetstruende tilstander verken oppdages eller rapporteres.
NSM legger til et poeng som burde være selvsagt, men sjelden er det: mange virksomheter tester, kontrollerer eller øver sjelden på sikkerhetstiltakene sine. Dermed vet de ikke om tiltakene faktisk virker når det smeller. Et brannslokningsapparat som aldri er sjekket, er ikke et tiltak. Det er en antakelse.
Sikkerhetsstyring pekes ut som det viktigste verktøyet
Gjennom hele «Risiko 2026» trekker NSM frem ett begrep over alle andre: sikkerhetsstyring. Etaten beskriver dette som virksomhetenes viktigste verktøy for å oppnå og opprettholde forsvarlig sikkerhet. Poenget er at sikkerhet ikke er et produkt du kjøper, men en ledelsesdisiplin du utøver kontinuerlig, med oversikt over verdier, trusler og egne svakheter.
Sikkerhetsstyring er virksomhetenes viktigste verktøy for å oppnå og opprettholde forsvarlig sikkerhet. For ofte ser vi at ansatte er tildelt roller i sikkerhetsarbeidet som de ikke er kjent med eller ikke kan utføre.
NSM, «Risiko 2026»
Fagdirektør Roar Thon i NSM, en av etatens mest profilerte talspersoner, har i flere sammenhenger understreket nettopp dette skiftet: fra teknologifokus til styring og kultur. Forelesningene og webinarene rundt «Risiko 2026» kretser om samme kjerne, nemlig at de fleste alvorlige hendelser ikke skyldes avansert angrepsteknologi, men grunnleggende svikt i hvordan virksomheten styrer egen sikkerhet. Det er en ubehagelig diagnose, fordi den ikke kan løses med innkjøp.
Digitalsikkerhetsloven: NIS2 strammer til med 24 timers varslingsplikt
Regelverket beveger seg raskere enn modenheten. NSM advarer om at den nye digitalsikkerhetsloven, som er Norges gjennomføring av EUs NIS2-direktiv, skjerper kravene til digital sikkerhet for både offentlige og private virksomheter. Tilbydere av samfunnsviktige tjenester må varsle alvorlige hendelser innen 24 timer. For mange virksomheter er det en dramatisk innkorting fra hvordan de jobber i dag.
Kombinasjonen er krevende. Du får strengere varslingsplikt samtidig som NSM dokumenterer at virksomheter ofte verken oppdager eller rapporterer avvik internt. En 24-timers frist forutsetter deteksjon, en innøvd hendelseshåndtering og en ledelse som vet hvem som har ansvaret. Akkurat det DNV-tallene viser at mange mangler. Loven hever lista samtidig som halvparten av lederne skyver ansvaret videre. Vi har skrevet mer om hva NIS2 i Norge betyr for de rundt 5.000 berørte virksomhetene.
Trusselbildet: Russland, Kina og sammensatte virkemidler
Styringssvikten skjer ikke i et vakuum. De norske tjenestene tegner et skarpt trusselbilde for 2026. PST vurderer at etterretningstrusselen mot Norge er betydelig, og venter at fremmede stater vil bruke sammensatte virkemidler mot norske mål gjennom året. Begrepet «sammensatte virkemidler» dekker spennet fra cyberoperasjoner og påvirkning til fysisk sabotasje og rekruttering av innsidere.
NSM advarer om at Russland kan være motivert for å gjennomføre sabotasjehandlinger mot mål i Norge i 2026, og at slike handlinger også kan ramme sivil infrastruktur. Samtidig vurderes Kina som en vedvarende og betydelig etterretningstrussel. Kinesiske sikkerhets- og etterretningstjenester har ifølge NSM økt evnen til å operere i Norge, både gjennom cyberoperasjoner og menneskebasert innhenting. For energisektoren har dette allerede materialisert seg, slik vi beskrev i analysen av hvordan 73 prosent av angrepene mot nordisk energisektor gikk via VPN.
Det norske trusselbildet for 2026 bygger videre på utviklingen vi dokumenterte i fjor, der AI-akselererte angrep mot Norge ble en sentral bekymring. Angripere bruker i økende grad maskinlæring til å effektivisere rekognosering, sårbarhetsutnyttelse og sosial manipulasjon.
Eierskap under lupen: private equity som sikkerhetsspørsmål
Et nytt og overraskende tema i «Risiko 2026» er eierstrukturer. NSM forteller at de mottok flere henvendelser i 2025 om investeringer gjort via private equity-fond. Etaten er tydelig på at slike fond ikke er en sikkerhetstrussel i seg selv. Problemet er gjennomsiktighet: uklare eierstrukturer og skjulte reelle rettighetshavere gjør det vanskelig å fastslå hvem som faktisk har innflytelse over en virksomhet.
For en sektor som har vært vant til å tenke cybersikkerhet som brannmurer og passord, er dette et paradigmeskifte. Hvem som eier en leverandør, gjennom hvilke lag av fond og holdingselskaper, blir et sikkerhetsspørsmål på linje med hvilke porter som står åpne. Når kritiske leverandører kjøpes opp, må styret kunne svare på hvem som sitter med reell kontroll. Mange kan ikke det i dag.
Markedet i bevegelse: oppkjøp og konsolidering i nordisk cyber
Selve cybersikkerhetsbransjen i Norden er midt i en konsolideringsbølge. DNV kjøpte finske Nixu i en avtale verdsatt til rundt 107 millioner dollar, en transaksjon som gjorde sertifiseringsgiganten til en av regionens største rene cyberaktører. I det norske markedet slo Netsecurity seg sammen med Data Equipment til en gruppe med rundt 74 millioner dollar i omsetning.
Drivkreftene er todelte. Etterspørselen etter sikkerhetstjenester vokser raskere enn tilgangen på kompetanse, og kunder vil ha færre, større leverandører som kan dekke hele kjeden fra rådgivning til døgnkontinuerlig overvåking. Samtidig presser regelverk som NIS2 frem behovet for formell sertifisering og dokumentert kapasitet. Resultatet er at små spesialistmiljøer kjøpes opp av aktører med bredere skuldre. For kundene betyr det enklere innkjøp, men også større avhengighet av færre leverandører, noe som i seg selv er en konsentrasjonsrisiko.
Slik står Norden mot resten av verden
De nordiske funnene speiler en global trend. World Economic Forums «Global Cybersecurity Outlook 2026» viser at 31 prosent av respondentene har lav tillit til at eget land kan håndtere en stor cyberhendelse. Det er opp fra 26 prosent året før. Tilliten faller mens regelverket strammes til, en kombinasjon som forsterker presset på ledere.
Samtidig finnes det lyspunkter. Andelen organisasjoner som mener egen resiliens overgår kravene, steg til 19 prosent i 2026, mer enn en dobling fra 9 prosent i 2025. Geopolitikk er fortsatt den viktigste driveren bak strategiendringer, men presset har avtatt: 66 prosent endret strategi på grunn av geopolitikk i 2026, ned fra hele 93 prosent i 2023. Modenheten øker, men ujevnt, og gapet mellom de best og dårligst rustede vokser.
| Indikator | Verdi 2026 | Sammenligning | Kilde |
|---|---|---|---|
| Lav tillit til nasjonal respons | 31 % | Opp fra 26 % året før | WEF |
| Resiliens overgår egne krav | 19 % | Opp fra 9 % i 2025 | WEF |
| Endret strategi pga. geopolitikk | 66 % | Ned fra 93 % i 2023 | WEF |
| CEO-er som peker på manglende midler | 63 % | Største hinder for resiliens | WEF |
| CEO-er som peker på kompetansemangel | 56 % | Nest største hinder | WEF |
| Norske ledere: resiliens er andres ansvar | 52 % | Nordisk styringsgap | DNV Cyber |
Kompetansemangel og budsjettpress bremser opprustningen
Hvorfor henger styringen etter? WEF-tallene gir to tydelige svar. Blant organisasjoner som regnes som utilstrekkelig motstandsdyktige, peker 63 prosent av toppsjefene på manglende midler som det største hinderet for å forbedre cyberresiliensen. Hele 56 prosent peker på kompetansemangelen i cybersikkerhet som en hovedutfordring.
Disse to faktorene forsterker hverandre. Mangel på erfarne sikkerhetsfolk driver lønningene opp, noe som gjør at de samme funksjonene koster mer akkurat når budsjettene er stramme. Resultatet ser vi i NSMs funn: roller delegeres til ansatte uten tilstrekkelig kompetanse eller tid, fordi alternativet, å ansette en spesialist, er for dyrt eller umulig i et tørt arbeidsmarked. Norden konkurrerer dessuten om de samme hodene som hele Europa jakter på.
Leverandørkjeden er det neste store slaget
Når organisasjoner med god resiliens blir bedt om å peke på sin største gjenværende utfordring, svarer de samstemt: leverandørkjeden og avhengigheter til tredjeparter. WEF identifiserer dette som den mest betydelige hindringen for ytterligere styrking. Du kan ha orden i eget hus og likevel falle fordi en underleverandør, eller underleverandørens underleverandør, blir kompromittert.
For Norden er dette spesielt skarpt. Regionen er tett integrert, deler kraft- og betalingsinfrastruktur, og er sterkt avhengig av et knippe globale skyleverandører og programvarehus. Et angrep mot én felles leverandør kan ramme alle fire land samtidig. Kant-enheter som rutere, gatewayer og VPN-løsninger er gjentatte ganger pekt ut som det vanligste første fotfestet inn i kritiske nett, og overgangen fra IT til OT er det stedet angriperne søker. Vil du forstå hvordan disse inngangene utnyttes, har vi gjennomgått sikker VPN-konfigurasjon på Linux med WireGuard i detalj.
Hva CISO-ene i Norden faktisk er bekymret for
Sikkerhetsselskapet Truesec publiserte sin «Nordic CISO Report 2026» basert på intervjuer med sikkerhetsledere på tvers av regionen. Rapporten bekrefter mønsteret fra DNV og NSM: trusselbildet eskalerer, men den største flaskehalsen er organisatorisk, ikke teknisk. CISO-ene beskriver et gap mellom hva styret tror er på plass og hva som faktisk er implementert og testet.
Den samlede meldingen fra DNV, NSM, WEF og Truesec er bemerkelsesverdig konsistent. Alle fire peker på styring, ansvar og kompetanse fremfor teknologi. Det er en sjelden grad av enighet i en bransje som ofte er uenig om alt. Når flere uavhengige miljøer lander på samme diagnose, er sannsynligheten høy for at diagnosen er riktig. Konsekvensene av en alvorlig hendelse er godt dokumentert i våre gjennomganger av hvordan datalekkasjer skjer og hva de koster.
Fem spådommer for nordisk cybersikkerhet 2026-2027
Basert på de samlede funnene fra DNV, NSM, PST, WEF og Truesec peker utviklingen i en ganske tydelig retning. Her er fem konkrete prognoser for de neste tolv til atten månedene.
- Styring blir styrerommets ansvar, ikke IT-avdelingens. Med digitalsikkerhetsloven og 24-timers varslingsplikt vil cybersikkerhet flyttes formelt opp på styrenivå i flertallet av samfunnskritiske virksomheter i løpet av 2026.
- Leverandørkjede-revisjoner blir standard. Tredjepartsrisiko vil gå fra å være et avkrysningspunkt til en kontinuerlig prosess, drevet av at WEF utpeker leverandørkjeden som hovedutfordringen.
- Konsolideringen fortsetter. Etter Nixu- og Netsecurity-avtalene venter flere oppkjøp av nordiske spesialistmiljøer, drevet av kompetansemangel og krav om sertifisering.
- Eierskapskontroll skjerpes. NSMs fokus på private equity og reelle rettighetshavere vil føre til strengere screening av investeringer i kritisk infrastruktur.
- Tillitsgapet vedvarer. Uten at ansvar avklares konkret, vil den lave nasjonale tilliten på 31 prosent forbli på samme nivå eller falle videre gjennom 2027.
| Hendelse | Tidspunkt | Betydning |
|---|---|---|
| NSM «Risiko 2026» lagt frem | 6. februar 2026 | Setter den nasjonale agendaen for sikkerhetsstyring |
| CISO Inspired Summit Nordics | Juni 2026 | Ledernivå samles om felles trusselforståelse |
| Full innfasing av digitalsikkerhetsloven | 2026 | 24-timers varslingsplikt for samfunnsviktige tjenester |
| North European Cyber Days, Oslo | 3.-4. november 2026 | Regionens største møteplass for kritisk infrastruktur |
Hva virksomheter bør gjøre nå
Diagnosen er stilt, og den er styringsmessig. Da er også tiltakene styringsmessige. Det første og viktigste steget er å avklare ansvar konkret: hvem i ledelsen eier cybersikkerheten, og er den personen klar over det. NSMs funn om at 52 prosent skyver ansvaret videre, kan ikke fikses med teknologi. Det fikses med et organisasjonskart og en beslutning.
Deretter kommer det NSM kaller sikkerhetsstyring i praksis: kartlegg verdiene, vurder truslene mot dem, innfør tiltak, og test at tiltakene faktisk virker. Virksomheter bør avklare om de er omfattet av digitalsikkerhetsloven, etablere en hendelseshåndtering som kan møte 24-timers fristen, og kartlegge sine kritiske leverandører inkludert eierstrukturen bak dem. Grunnleggende hygiene som solid passordsikkerhet og korrekt bruk av HTTPS og TLS er fortsatt fundamentet alt annet bygger på.
Det nordiske paradokset er at regionen har høy digital modenhet og lav avklart ansvarsfølelse på samme tid. 166 hendelser i 2025 er ikke et teknologiproblem. Det er et lederskapsproblem, og det er gode nyheter, fordi lederskap kan endres raskere enn trusselbildet.
Ofte stilte spørsmål om nordisk cybersikkerhet 2026
Hvor mange cyberhendelser ble registrert i Norden i 2025?
DNV Cyber observerte til sammen 166 hendelser mot virksomheter i de fire nordiske landene: 60 i Sverige, 44 i Finland, 41 i Danmark og 21 i Norge. Tallene gjelder observerte hendelser mot organisasjoner i DNVs portefølje, ikke det totale trusselbildet.
Hva er det viktigste funnet i NSMs «Risiko 2026»?
NSM peker på vesentlige mangler i det forebyggende sikkerhetsarbeidet og fremhever sikkerhetsstyring som virksomhetenes viktigste verktøy. Et gjennomgående problem er at ansatte tildeles sikkerhetsroller de ikke er klar over eller ikke kan utføre på grunn av manglende ressurser og kompetanse.
Hva betyr digitalsikkerhetsloven for norske virksomheter?
Digitalsikkerhetsloven gjennomfører EUs NIS2-direktiv i Norge og skjerper kravene til digital sikkerhet for både offentlige og private aktører. Tilbydere av samfunnsviktige tjenester må varsle alvorlige hendelser innen 24 timer. Det forutsetter deteksjon, innøvd hendelseshåndtering og avklart ansvar.
Hvilke land utgjør den største trusselen mot Norge i 2026?
NSM og PST trekker frem Russland og Kina. NSM advarer om at Russland kan være motivert for sabotasje mot mål i Norge, mens Kina vurderes som en betydelig og økende etterretningstrussel, blant annet gjennom cyberoperasjoner og menneskebasert innhenting.
Hvorfor er Norges tall lavere enn de andre nordiske landene?
Det lave norske tallet på 21 hendelser sier mer om eksponering og rapportering enn om reell sikkerhet. Norge har færre store virksomheter enn Sverige, og DNV teller observerte hendelser mot egen portefølje. NSM understreker at cyberoperasjoner rammer bredt, og at både små og store virksomheter må være forberedt.
Hva er det største hinderet for bedre cyberresiliens?
Ifølge WEFs «Global Cybersecurity Outlook 2026» peker 63 prosent av toppsjefene i utilstrekkelig rustede organisasjoner på manglende midler, og 56 prosent på kompetansemangel. Leverandørkjeden og tredjepartsavhengigheter regnes som den største gjenværende utfordringen for de mest modne virksomhetene.
Relatert innhold
- Cyberangrep Norge: AI-trussel og 21 angrep i 2026
- NIS2 i Norge: 5.000 virksomheter og 4 % bot
- Nordisk energisektor: 73 % hacket via VPN
- Cyberangrep Bremanger: 500 l/s i 4 timer
- WireGuard VPN på Linux: sikker konfigurasjon i 12 steg
- Datalekkasjer: hvordan de skjer og hvordan du beskytter deg
- Nettsikkerhet: datalekkasjer, passord, HTTPS og phishing
