Den 6. februar 2026 la Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) og Etterretningstjenesten fram sine åpne trussel- og risikovurderinger samtidig. Budskapet var samstemt og alvorlig: Norge står overfor den mest krevende sikkerhetspolitiske situasjonen siden andre verdenskrig, og cyberangrep mot norske virksomheter skjer nå i et omfang og med en sofistikering vi ikke har sett tidligere. Det nye er at kunstig intelligens, særlig store språkmodeller, har blitt et sentralt verktøy for statlige trusselaktører.
Tallene understreker alvoret. Ifølge DNV Cyber ble 21 cyberhendelser registrert mot norske organisasjoner i 2025, mens nabolandene lå høyere: Sverige 60, Finland 44 og Danmark 41. Verdens økonomiske forum (WEF) melder samtidig at 87 prosent av virksomhetene globalt mener AI-relaterte sårbarheter er den raskest voksende cyberrisikoen. Denne analysen går gjennom hva trusselvurderingen for 2026 faktisk sier, hvem som står bak truslene, hva et cyberangrep koster norske og nordiske virksomheter, og hvordan AI endrer spillereglene.
Cyberangrep mot Norge: hva trusselvurderingen for 2026 sier
Nasjonal trusselvurdering 2026 ble lagt fram av PST-sjef Beate Gangås. I forordet slår hun fast at Norge befinner seg i den mest alvorlige sikkerhetspolitiske situasjonen siden andre verdenskrig. Det er en formulering norske myndigheter ikke bruker lettvint, og den signaliserer at cybertrusselen ikke lenger behandles som et teknisk randproblem, men som en kjerne i nasjonal sikkerhet.
PST er tydelig på retningen. I 2026 vil norske virksomheter bli mål for cyberoperasjoner fra statlige aktører der kunstig intelligens spiller en nøkkelrolle. Vurderingen peker på at norsk digital infrastruktur kartlegges systematisk av kommersielle mellomledd, såkalte proxy-aktører, som selger tilgang videre. Denne kartleggingen kan brukes til å etablere fotfeste i nettverk, samle inn innloggingsdetaljer og videreselge tilganger til høystbydende.
Det betyr at angrepskjeden har endret seg. Tidligere måtte en statlig aktør selv finne veien inn i et norsk nettverk. Nå kan den kjøpe tilgangen ferdig kartlagt av et kommersielt ledd som opererer i en gråsone mellom kriminalitet og etterretning. For norske virksomheter gjør dette det vanskeligere å vite hvem motstanderen egentlig er, og hvilke motiver som ligger bak et innbrudd.
AI-drevne cyberoperasjoner: språkmodeller som angrepsverktøy
Det mest omtalte elementet i vurderingene for 2026 er kunstig intelligens. NSM-direktør Arne Christian Haugstøyl la fram etatens risikovurdering samme dag, og var klar på at nye teknologier som språkmodeller gir mindre kompetente aktører langt flere muligheter til å gjennomføre operasjoner. Terskelen for å lykkes med et angrep har sunket.
I praksis betyr dette flere ting på en gang. Språkmodeller kan skrive overbevisende phishing-e-poster på feilfritt norsk, noe som tidligere var en av de tydeligste advarselstegnene for norske mottakere. De kan generere falskt innhold for sosial manipulasjon, lage kode for skadevare raskere, og hjelpe en angriper med å analysere store mengder stjålne data for å finne det mest verdifulle. Det som før krevde et team av spesialister, kan nå utføres av langt færre hender.
WEF Global Cybersecurity Outlook 2026 bekrefter bildet på globalt nivå. Hele 94 prosent av respondentene mener AI vil være den viktigste driveren for endring i cybersikkerhet det kommende året, og 87 prosent peker på AI-relaterte sårbarheter som den raskest voksende risikoen gjennom 2025. Blant toppledere oppgir 34 prosent at datalekkasjer knyttet til generativ AI er deres fremste bekymring, mens 29 prosent frykter at motstandernes kapasitet styrkes av teknologien.
Nordisk sammenligning: 21 hendelser i Norge mot 60 i Sverige
Trusselbildet er nordisk, ikke bare norsk. DNV Cyber kartla cyberhendelser mot organisasjoner i hele regionen gjennom 2025, og resultatene viser at Norge faktisk kom relativt godt ut sammenlignet med naboene. Det betyr ikke at Norge er trygt, men at de samme aktørene rammer hele Norden, og at samarbeid på tvers av grensene blir stadig viktigere.
| Land | Registrerte cyberhendelser 2025 | Relativ andel av nordisk total |
|---|---|---|
| Sverige | 60 | 36 % |
| Finland | 44 | 27 % |
| Danmark | 41 | 25 % |
| Norge | 21 | 13 % |
| Norden totalt | 166 | 100 % |
Tallene skal tolkes med forsiktighet. Et lavere antall registrerte hendelser kan like gjerne skyldes ulik rapporteringskultur og synlighet som faktisk lavere eksponering. Sverige har et større næringsliv og flere børsnoterte selskaper, noe som gir flere mål. Likevel gir oversikten et nyttig utgangspunkt: cybertrusselen mot Norden følger felles mønstre, og en angriper som lykkes i ett land prøver gjerne samme metode mot virksomheter i nabolandet.
Hva nordiske ledere mener om egen cyberberedskap
DNV Cyber spurte også ledere i nordisk kritisk infrastruktur om hvordan de vurderer egen beredskap. Svarene avslører et betydelig sprik mellom opplevd risiko og opplevd evne til å håndtere den. Hele 66 prosent rapporterte en økning i cyberangrep, men bare 55 prosent var trygge på egen organisasjons evne til å håndtere truslene.
Det mest bekymringsfulle gjelder nettopp kunstig intelligens. Kun 38 prosent av lederne mente de var forberedt på at angripere i økende grad tar i bruk AI. Med andre ord: nesten to av tre nordiske ledere i kritisk infrastruktur erkjenner at de ikke er rustet for den teknologiske utviklingen som trusselvurderingen for 2026 advarer mot. I tillegg mente 26 prosent at et cyberangrep kunne ramme nasjonaløkonomien med omfattende forstyrrelser.
Dette gapet er kjernen i utfordringen. Truslene vokser raskere enn forsvarsevnen, og det området der gapet er størst, AI-drevne angrep, er også det området der teknologien utvikler seg fortest. For norske virksomheter er dette en tydelig beskjed om at investeringer i deteksjon og kompetanse ikke lenger kan utsettes.
WEF Global Cybersecurity Outlook 2026: nøkkeltallene
For å forstå den norske situasjonen i en større sammenheng er WEF-rapporten for 2026 et nyttig referansepunkt. Den bygger på svar fra ledere og sikkerhetseksperter globalt, og tallene viser hvor raskt kunstig intelligens har flyttet seg fra mulighet til risiko. Tabellen under oppsummerer de mest relevante funnene.
| Indikator (WEF 2026) | Andel | Hva det betyr |
|---|---|---|
| AI som viktigste endringsdriver i 2026 | 94 % | Nær alle venter at AI omformer cybersikkerhet |
| AI-sårbarheter som raskest voksende risiko | 87 % | Truslene knyttet til AI øker raskest |
| Vurderer sikkerheten i egne AI-verktøy (2026) | 64 % | Opp fra 37 % i 2025 |
| Kompetansegap som hinder for AI-forsvar | 54 % | Mangel på kunnskap bremser forsvaret |
| Bruker AI for å forbedre phishing-deteksjon | 52 % | AI brukes også defensivt |
| Toppledere bekymret for datalekkasje fra generativ AI | 34 % | Den fremste genAI-bekymringen |
Et tall stikker seg særlig ut. Andelen virksomheter som faktisk vurderer sikkerheten i sine egne AI-verktøy steg fra 37 prosent i 2025 til 64 prosent i 2026. Det er en kraftig økning på ett år, og den forteller at organisasjoner over hele verden nå tar AI-risiko på alvor. Samtidig betyr det at en av tre fortsatt tar i bruk AI-verktøy uten å granske sikkerheten, en åpning angripere kjenner godt.
Statlige aktører og kommersielle mellomledd
Et gjennomgående tema i trusselvurderingen for 2026 er sammenblandingen av statlige og kommersielle aktører. PST beskriver hvordan kommersielle mellomledd kartlegger norsk infrastruktur og selger resultatene videre. Dette skaper en gråsone der det blir vanskelig å skille ren økonomisk kriminalitet fra statlig etterretning.
Etterretningstjenesten, ledet av viseadmiral Nils Andreas Stensønes, utgir sin egen åpne vurdering, Fokus 2026. Tjenesten retter oppmerksomheten mot statlige aktører som driver etterretning og forberedende sabotasje mot norske interesser. Kombinasjonen av E-tjenestens fokus på statlige motstandere og PSTs beskrivelse av kommersielle proxy-aktører gir et bilde av et trusselbilde med flere lag, der den synlige angriperen sjelden er den egentlige oppdragsgiveren.
NSM peker i tillegg på en strukturell svakhet. Grunnsikringen og planlagte forbedringstiltak holdes ikke alltid oppdatert, og eierskap og leverandørkjeder fremstår som sentrale risikoområder. Med andre ord ligger en stor del av den norske sårbarheten ikke i avanserte nulldagssårbarheter, men i grunnleggende sikkerhetsarbeid som ikke er fulgt opp. Det er en ubehagelig påminnelse om at de fleste vellykkede angrep utnytter kjente svakheter.
Hva eksperter og myndigheter sier om AI-trusselen
Lederne for de tre tjenestene har vært tydelige i sine vurderinger for 2026. Uttalelsene under er hentet fra de offentlige fremleggelsene 6. februar 2026.
«Norge står overfor den mest alvorlige sikkerhetspolitiske situasjonen siden andre verdenskrig.»
Beate Gangås, sjef for PST, i forordet til Nasjonal trusselvurdering 2026
Fra NSM var budskapet at teknologien forskyver maktbalansen mellom angriper og forsvarer. Etatens vurdering er at cybertrusselen er vedvarende og alvorlig, og at angrepene blir stadig mer sofistikerte.
«Nye teknologier som språkmodeller gir mindre kompetente aktører flere muligheter til å gjennomføre operasjoner.»
Arne Christian Haugstøyl, direktør i NSM, ved fremleggelsen av risikovurderingen 2026
Globalt oppsummerer WEF utviklingen slik at kunstig intelligens akselererer både angrep og forsvar samtidig som geopolitisk fragmentering og et voksende teknologisk skille gjør forsvaret vanskeligere. Den nordiske bransjen deler bekymringen. DNV Cyber understreker at gapet mellom opplevd trussel og faktisk beredskap, særlig på AI, er den mest påtrengende utfordringen for kritisk infrastruktur i regionen.
Markedseffekt: hva cybertrusselen koster norsk næringsliv
Trusselvurderingen har direkte økonomiske konsekvenser. Når 66 prosent av nordiske ledere rapporterer flere angrep, og bare 38 prosent føler seg forberedt på AI, oversettes dette raskt til økte budsjetter for sikkerhet, høyere forsikringspremier og mer krevende anbudsprosesser der dokumentert sikkerhet blir et krav for å vinne kontrakter.
For norske leverandører til offentlig sektor og kritisk infrastruktur blir sikkerhet et konkurransefortrinn. NSMs vektlegging av leverandørkjeder betyr i praksis at en underleverandør med svak sikkerhet kan miste oppdrag fordi den utgjør en risiko for hele kjeden. Sikkerhetskompetanse går fra å være en kostnad til å bli et salgsargument.
Det merkes også i arbeidsmarkedet. WEF peker på at 54 prosent av virksomhetene oppgir manglende kompetanse som det største hinderet for å ta i bruk AI i forsvaret. I Norden, der arbeidsmarkedet for sikkerhetsspesialister allerede er stramt, presser dette lønningene oppover og gjør at flere virksomheter vurderer å sette ut deteksjon og respons til spesialiserte leverandører.
Historisk kontekst: fra enkeltangrep til systemisk trussel
For å forstå hvor dramatisk språkbruken i 2026 er, hjelper det å se tilbake. For ti år siden ble cyberhendelser i Norge stort sett omtalt som enkeltstående tekniske uhell, ofte håndtert av IT-avdelingen uten at ledelsen ble involvert. Trusselvurderingene fra tjenestene nevnte cyber, men sjelden som det dominerende temaet.
Endringen har vært gradvis, men tydelig. Russlands fullskala invasjon av Ukraina i 2022 flyttet cyber fra et teknisk til et sikkerhetspolitisk domene over hele Norden. Angrep mot energiforsyning, telekommunikasjon og offentlig forvaltning ble forstått som en forlengelse av geopolitisk konflikt. Trusselvurderingen for 2026, med sin referanse til den mest alvorlige situasjonen siden andre verdenskrig, er sluttpunktet på denne utviklingen så langt.
Det nye laget i 2026 er kunstig intelligens. Der tidligere år handlet om hvem som angrep og hvorfor, handler 2026 like mye om hvordan. Språkmodeller endrer økonomien i et angrep ved å gjøre det billigere, raskere og mer skalerbart. Det er denne kombinasjonen av geopolitisk alvor og teknologisk akselerasjon som gjør årets vurdering kvalitativt forskjellig fra tidligere.
Phishing og sosial manipulasjon i AI-alderen
Et av de mest konkrete områdene der AI allerede gjør seg gjeldende, er phishing og sosial manipulasjon. Tidligere kunne norske mottakere ofte avsløre svindel-e-poster på dårlig språk, merkelige formuleringer eller åpenbare oversettelsesfeil. Med språkmodeller forsvinner disse signalene. En angriper kan nå produsere feilfri norsk tekst tilpasset mottakerens bransje og rolle.
WEF rapporterer at 73 prosent av respondentene globalt opplevde at de selv eller noen i deres nettverk ble rammet av cyberbasert svindel i 2025. Samtidig brukes AI også defensivt: 52 prosent av virksomhetene tar i bruk kunstig intelligens for å forbedre nettopp phishing-deteksjon. Vi ser dermed et kappløp der den samme teknologien styrker begge sider.
For norske virksomheter betyr dette at opplæring i å gjenkjenne svindel må oppdateres. Råd som «se etter dårlig språk» er utdatert. I stedet må ansatte lære å verifisere uventede forespørsler gjennom en annen kanal, være skeptiske til hastverk og press, og forstå at en tilsynelatende troverdig e-post fra en kjent avsender like gjerne kan være generert av en maskin.
Leverandørkjeder og grunnsikring som svakeste ledd
NSM løfter fram leverandørkjeder og eierskap som sentrale risikoområder for 2026. Dette er ikke et nytt tema, men det får ny tyngde i en tid der norske virksomheter er avhengige av et tett nett av underleverandører, skytjenester og programvare fra tredjeparter. Et angrep trenger ikke ramme målet direkte; det kan komme via en betrodd leverandør.
Påpekningen om at grunnsikringen ikke alltid holdes oppdatert er kanskje den mest praktiske advarselen i hele vurderingen. De fleste vellykkede angrep utnytter kjente sårbarheter som det finnes oppdateringer for, svake passord eller manglende totrinnsbekreftelse. AI gjør disse angrepene raskere og mer treffsikre, men grunnlaget er fortsatt sviktende grunnsikring.
Konklusjonen for norske virksomheter er nøktern. Før man investerer i avansert AI-basert deteksjon, bør grunnmuren være på plass: oppdatert programvare, sterk autentisering, segmenterte nettverk og kontroll på hvilke leverandører som har tilgang til hva. Uten denne grunnsikringen blir avanserte verktøy lite verdt.
Nordisk samarbeid og felles forsvar mot cybertrusler
Når de samme aktørene rammer hele Norden, blir samarbeid på tvers av grensene en nødvendighet. Nordisk råd har de siste årene drevet fram tettere regionalt samarbeid om cybersikkerhet, og 2026 ser ut til å forsterke denne retningen. Felles trusselbilde gir grunnlag for felles forsvar, deling av etterretning og samordnede øvelser.
Aktivitetsnivået i bransjen gjenspeiler alvoret. Oslo er vertskap for flere store sikkerhetskonferanser i 2026, blant dem Cyber Security 2026 den 22. og 23. april, CISO Inspired Summit Nordics den 16. juni og North European Cyber Days den 3. og 4. november. At hovedstaden samler regionens sikkerhetsledere flere ganger i året, viser at cybersikkerhet har blitt et felt der nordisk koordinering er regelen, ikke unntaket.
For norske virksomheter er det praktiske budskapet at man ikke står alene. Myndighetene gjennom NSM tilbyr veiledning, bransjen deler erfaringer, og det nordiske samarbeidet gir tilgang til et bredere trusselbilde enn det en enkelt virksomhet kan bygge selv. Den som utnytter disse ressursene, står sterkere mot en motstander som selv samarbeider og deler verktøy.
Fem spådommer for cybertrusselen mot Norge frem mot 2027
Basert på trusselvurderingen for 2026 og de internasjonale dataene peker utviklingen i en tydelig retning. Her er fem spådommer for hvordan trusselbildet sannsynligvis utvikler seg det neste året.
- AI-generert phishing blir normen. Når feilfri norsk tekst kan produseres på sekunder, vil tradisjonelle avsløringstegn forsvinne, og deteksjon må flyttes fra mottakeren til automatiske systemer.
- Leverandørkjeder blir den foretrukne angrepsveien. Med NSMs advarsel om svak grunnsikring hos underleverandører vil flere angrep komme indirekte, via en betrodd tredjepart fremfor et direkte innbrudd.
- Gapet mellom trussel og beredskap krymper sakte. Andelen som vurderer sikkerheten i egne AI-verktøy vil fortsette å stige fra dagens 64 prosent, men neppe raskt nok til å lukke gapet i 2026.
- Nordisk etterretningsdeling formaliseres ytterligere. Felles trusselbilde gir press for tettere samordning, og vi vil se flere felles øvelser og strukturer mellom de nordiske landene.
- Cybersikkerhet blir et anbudskriterium. Dokumentert sikkerhet vil i økende grad avgjøre hvem som vinner kontrakter i offentlig sektor og kritisk infrastruktur, og gjøre kompetanse til et konkurransefortrinn.
Slik bør norske virksomheter handle nå
Trusselvurderingen for 2026 er ikke ment å skape lammelse, men handling. For de fleste norske virksomheter ligger den største gevinsten i å få grunnsikringen på plass før man investerer i avanserte verktøy. Konkret betyr det å holde all programvare oppdatert, innføre sterk totrinnsbekreftelse overalt, og kartlegge hvilke leverandører som har tilgang til hvilke systemer.
Neste steg er å oppdatere opplæringen. Ansatte må forstå at AI har gjort svindel-e-poster språklig perfekte, og at verifisering gjennom en separat kanal er den eneste pålitelige forsvarsmekanismen mot målrettet sosial manipulasjon. Ledelsen, ikke bare IT-avdelingen, må eie cyberrisikoen, slik trusselvurderingen tydelig forutsetter.
Til slutt bør virksomheter utnytte det nordiske og nasjonale støtteapparatet. NSM tilbyr konkret veiledning, og deltakelse i bransjefora gir tilgang til et oppdatert trusselbilde. I en situasjon der motstanderen samarbeider, deler verktøy og utnytter kunstig intelligens, er det å stå alene den dyreste strategien av alle.
Ofte stilte spørsmål om cyberangrep mot Norge i 2026
Hva sier Nasjonal trusselvurdering 2026 om cyberangrep?
PST slår fast at norske virksomheter i 2026 vil bli mål for cyberoperasjoner fra statlige aktører der kunstig intelligens spiller en nøkkelrolle. Vurderingen, lagt fram 6. februar 2026 av PST-sjef Beate Gangås, beskriver den mest alvorlige sikkerhetspolitiske situasjonen siden andre verdenskrig.
Hvor mange cyberhendelser rammet Norge i 2025?
Ifølge DNV Cyber ble 21 cyberhendelser registrert mot norske organisasjoner i 2025. Til sammenligning hadde Sverige 60, Finland 44 og Danmark 41 hendelser samme år.
Hvordan bruker trusselaktører kunstig intelligens?
Språkmodeller brukes til å skrive feilfrie phishing-e-poster på norsk, generere falskt innhold for sosial manipulasjon, produsere skadevare raskere og analysere stjålne data. NSM påpeker at teknologien gir mindre kompetente aktører flere muligheter, og at terskelen for et vellykket angrep dermed synker.
Hvem står bak cyberangrepene mot Norge?
Trusselvurderingen peker på statlige aktører, ofte gjennom kommersielle mellomledd, såkalte proxy-aktører, som kartlegger norsk infrastruktur og selger tilgangen videre. Denne gråsonen gjør det vanskelig å skille økonomisk kriminalitet fra statlig etterretning.
Er nordiske virksomheter forberedt på AI-drevne angrep?
Ikke i tilstrekkelig grad. DNV Cyber fant at bare 38 prosent av nordiske ledere i kritisk infrastruktur mente de var forberedt på at angripere i økende grad tar i bruk kunstig intelligens, selv om 66 prosent rapporterte flere angrep.
Hva bør en norsk virksomhet gjøre først?
Få grunnsikringen på plass før avanserte verktøy: oppdatert programvare, sterk totrinnsbekreftelse, segmenterte nettverk og kontroll på leverandørtilgang. Deretter bør opplæringen oppdateres slik at ansatte verifiserer uventede forespørsler gjennom en separat kanal.
Relatert innhold
- Cyberangrep mot Danmark: OpDenmark krever 1,5 milliarder
- Cyberangrep Tyskland: +124 % angrep i DACH-regionen
- Datainnbrudd: hvordan de skjer og hvordan du beskytter deg
- Phishing-angrep: hvordan gjenkjenne og unngå dem
- Post-kvante-kryptografi: 50 % av nettet er nå sikret
- Nettsikkerhet forklart: en praktisk guide
