To nye rapporter publisert i mai og juni 2026 avdekker et paradoks i norsk cybersikkerhet: Norge registrerte bare 21 cyberangrep mot kritisk infrastruktur i 2025, langt under Sveriges 60, men mer enn halvparten av norske ledere i kritiske sektorer mener cybersikkerhet er noen andres ansvar. Kombinert med at angripere nå kompromitterer systemer på 2,4 dager i stedet for 53 dager, tegner dette et bilde av et land som er farlig selvtilfreds.
Norges 21 Hendelser: Lavt Tall, Høy Risiko
DNV Cyber publiserte i juni 2026 rapporten How Cyber Resilient Are the Nordics?, basert på DNVs Cyber Threat Intelligence-teams kartlegging av antatte, mistenkte og bekreftede angrep og sikkerhetsbrudd i 2025. Norges 21 hendelser er det laveste tallet i Norden, langt unna Sverigens 60. Men DNV-analysen peker på at lavt hendelstall ikke betyr god beredskap.
I rapporten fremhever DNV at blant norske ledere i sektorer som EU definerer som kritisk infrastruktur, sier 52 prosent at lederne i virksomheten deres ser motstandsdyktighet i kritisk infrastruktur som «noen andres ansvar». Ytterligere 32 prosent er ikke engang sikre på om organisasjonen deres er involvert i kritisk infrastruktur overhodet. Det er et strukturelt problem som ingen brannmur eller endpoint-løsning kan løse alene.
Rapporten understreker at cyberresiliens avhenger av hvor godt virksomheter, befolkning og myndigheter hver for seg forstår og fyller sin rolle i et sammenkoblet system. Når over halvparten av nøkkellederne skyver ansvaret fra seg, brytes denne kjeden.
Nordisk Sammenligning: Sverige Hardest Rammet i 2025
De fire nordiske landenes tallene for 2025 viser store forskjeller. Sverige peker seg ut med 60 registrerte hendelser mot norges 21. Finlands 44 og Danmarks 41 ligger begge langt over norsk nivå. DNV-metodikken inkluderer antatte, mistenkte og bekreftede hendelser, og ikke alle registreringer er fullskala datainnbrudd. Likevel gir tallene en reell pekepinn om angrepstrykk per land.
| Land | Cyberhendelser 2025 | Andel av totalt (166) | Kritisk infrastruktur-ansvar: «noen andre» |
|---|---|---|---|
| Sverige | 60 | 36 % | 54 % |
| Finland | 44 | 27 % | Ikke publisert |
| Danmark | 41 | 25 % | Ikke publisert |
| Norge | 21 | 13 % | 52 % |
| Norden totalt | 166 | 100 % | Gjennomsnitt: ~53 % |
Kilder: DNV Cyber Threat Intelligence, How Cyber Resilient Are the Nordics?, 2026. Norsk andel på 13 prosent av de totale nordiske hendelsene er ved første øyekast betryggende, men det samsvarer ikke med den generelle ansvarsfraskrivelsen blant norsk næringslivsledelse.
Ansvarsparadokset: Teknologien Er Ikke Problemet
DNV Cyber-rapporten er tydelig på at de største hullene i nordisk cyberresiliens ikke er tekniske. Det handler om lederskap, eierskap og koordinering på tvers av sektorer. Når 52 prosent av norske kritisk infrastruktur-ledere ser det som «noen andres ansvar», er det ikke et IT-avdelingsproblem. Det er et styreromsproblem.
Annika Nevaste, seniorrådgiver hos DNV Cyber, formulerte det slik i tilknytning til lanseringen av den svenske versjon av rapporten i februar 2026: «Rapporten vår sender et klart signal: 54 prosent av ledere i kritisk infrastruktur betrakter nasjonal cyberresiliens som noen andres ansvar. Det er ikke en teknisk utfordring, men en lederutfordring.» Norske tall er tilsvarende: 52 prosent.
Dette er et systemisk problem. Kraftselskaper antar at myndigheter håndterer trusler på nasjonalt nivå. Myndigheter antar at selskapene har egne sikkerhetsteam. Sikkerhetsteamene antar styret har definert risikoappetitt. Ingen definerer helhetlig hvem som egentlig eier ansvaret når et angrep treffer forsyningskjeden.
Truesec Nordic CISO Report 2026: Alvorlige Hendelser Stabiliserer Seg
Stockholm-baserte Truesec publiserte i mai 2026 sin tverrnordiske CISO-rapport, basert på dybdeintervjuer med Chief Information Security Officers fra ledende private og offentlige virksomheter i Norden. Funnene er delvis oppmuntrende, men konteksten gjør dem mer nyansert.
Bare 9 prosent av de intervjuede CISOene sier antall alvorlige cyberhendelser har økt de siste to årene. I den forrige rapporten fra 2024 rapporterte 53 prosent en økning. Det kan virke som et gjennombrudd, men Truesec understreker at nordiske organisasjoner ikke har blitt angrepet sjeldnere. De har blitt bedre til å stoppe angrepene før de eskalerer.
Ifølge Truesec-rapporten rapporterer 91 prosent av de spurte CISOene om stabile alvorlighetsnivåer, mot bare 29 prosent i 2024. Det innebærer en markant forbedring i defensiv kapasitet på svært kort tid. Forklaringen er todelt: bedre deteksjonsverktøy og mer modne prosesser for hendelseshåndtering.
«Nordiske organisasjoner har styrket sin cyberresiliens betydelig over de siste to årene,» skriver Truesec i sin rapport. «Antall alvorlige cyberhendelser har stabilisert seg til tross for økt trussselaktivitet.» Det er et positivt resultat, men det må leses i lys av at trusselaktørene har blitt dramatisk mer effektive.
AI Gjør Angripere 22 Ganger Raskere
Det mest alarmerende funnet i Truesec Nordic CISO Report 2026 handler om angrepstempoet. Gjennomsnittlig tid en trusselaktør bruker på å kompromittere en målrettet organisasjon falt fra 53 dager i 2024 til 2,4 dager i 2026. Det er en 22 ganger raskere kompromitteringstid, drevet av AI-aktiverte angrepskjeder.
I praksis betyr dette at den tradisjonelle «detektere innen 30 dager»-modellen er utdatert. Angripere som brukte ukesvis på rekognosering og lateral bevegelse gjennomfører nå hele angrepssyklusen fra første tilgang til full kompromittering på under tre døgn. For norske virksomheter med helgevakt og manuelle logggjennomganger mandag morgen er dette et kritisk gap.
Parallelt melder de fleste CISOer om en kraftig økning i antall mindre hendelser og angrepsforsøk. Truesec tolker dette som bedre deteksjon, men det representerer også et økt støynivå som kan skjule målrettede angrep. Sikkerhetsoperasjonssentre som drukner i varsler fra automatiserte angripere kan miste et presisjonsstyrt statlig angrep i mengden.
Kritisk Infrastruktur i Faresonen: Energi, Maritim og Helse
Norge har tre sektorer som er særlig eksponert og som representerer disproportional nasjonal risiko: energi (olje, gass og kraft), maritim logistikk og helsevesen. Alle tre er tett sammenkoblet i den norske forsyningskjeden, og alle tre er opplistet som kritisk infrastruktur under NIS2-direktivet som ble gjeldende i EU fra 2023 og som norske aktører tilpasser seg gjennom EØS-avtalen.
ForumNordic oppsummerte i mars 2026 at norsk kritisk infrastruktur-sikkerhet nå er i en ny fase, drevet av tre parallelle krefter: økt statlig trusselaktivitet fra Russland og Kina, strengere EU-regulering, og et politisk klima der cybersikkerhet er høyere på den nasjonale sikkerhetsagendaen enn noensinne. Forskningsrådet i Norge kunngjorde i 2026 et eget utlysningsrunde spesifikt for samfunnssikkerhet og beredskap, et signal om at forskningsmiljøene skal kobles tettere på beredskapspraksis.
NordForsk-prosjektet CyberResilient-Nordic samler ekspertise fra energi-, luftfart- og maritim sektor i et tverrfaglig nordisk forskningsnettverk. Prosjektet er eksplisitt innrettet mot cybermotstandsdyktighet og digital suverenitet i kritisk infrastruktur, og speiler en bredere erkjennelse av at enkeltsektor-tilnærminger er utilstrekkelige i en tid der IT-systemer, operasjonsteknologi (OT) og forsyningskjeder er dypt integrerte.
EU Cyber Resilience Act: September 2026 Endrer Rapporteringskravene
EU Cyber Resilience Act (CRA) trådte i kraft i desember 2024 og setter obligatoriske cybersikkerhetskrav for alle «produkter med digitale elementer» som selges i EU. Det er en av de bredeste EU-forordningene med direkte relevans for produktsikkerhet, og den treffer norske teknologi- og industribedrifter gjennom EØS-avtalen.
Den kritiske datoen for norske virksomheter er 11. september 2026. Fra den dato trer kravene om sårbarhetshåndtering og hendelsesrapportering i kraft. Produsenter, importører og distributører av digitale produkter må da ha etablert prosesser for å dokumentere komponenter (inkludert en SBOM, Software Bill of Materials), adressere sårbarheter uten forsinkelse, og publisere informasjon om sikkerhetsoppdateringer.
De øvrige kravene i CRA, blant annet krav til «sikker design»-prinsipper og kravene til produktenes egentlige tilstand ved markedsintroduksjon, trer først i kraft i desember 2027, etter en treårig overgangsperiode. Men virksomheter som venter til 2027 risikerer å komme bakpå. Produktutviklingssykluser tar typisk 18-24 måneder, noe som betyr at alle produkter som designes i dag må ta hensyn til CRA-kravene.
Manglende etterlevelse kan medføre tilbaketrekning av produkter fra markedet og alvorlige bøter. CRA-kravene er ikke tilgjengelige for tolkningsfleksibilitet: de gjelder for alt fra industrielle kontrollsystemer til smarthjemenheter, så lenge de er koblet til internett eller kan oppdateres eksternt.
NIS2 og Norsk Tilpasning: Hvem Er Ansvarlig?
NIS2-direktivet, som i EU trådte i kraft i oktober 2024, utvider sikkerhetskravene og tilsynsplikten til å dekke langt flere sektorer og aktører enn det opprinnelige NIS-direktivet. For Norge, som implementerer EU-direktiver gjennom EØS-avtalen, pågår tilpasningsprosessen. Norske myndigheter jobber med å implementere NIS2 i norsk lov, men det er en prosess med noe tidsetterslep.
Direktivet stiller krav til risikovurdering, hendelsesrapportering innen 24 timer til nasjonale myndigheter, og styrelseansvar for cybersikkerhet. Det siste punktet er direkte relevant for DNV-funnene om ansvarsfraskrivelse: NIS2 plasserer eksplisitt ansvar hos toppledelsen og gjør styremedlemmer personlig ansvarlige for manglende cybertiltak.
Det betyr at de 52 prosentene av norske ledere som anser cybersikkerhet som «noen andres ansvar», ikke kan opprettholde den holdningen under NIS2. Direktivet gir tilsynsmyndighetene hjemmel til å pålegge bøter, og styret kan i ytterste konsekvens holdes ansvarlig. Norsk næringsliv er i en fase der regulering tvinger frem det ansvaret DNV-rapporten viser at frivilligheten ikke har klart å skape.
Budsjettbildet: 68% Av Nordiske CISOer Fikk Mer Penger i 2026
Et av de mer oppsiktsvekkende funnene i Truesec Nordic CISO Report 2026 er at budsjettbildet er relativt stabilt, selv om trusselnivået har økt. 68 prosent av de spurte nordiske CISOene rapporterte om budsjettøkning i 2026. Til sammenligning rapporterte 66 prosent økning i 2024. Kun 9 prosent opplevde budsjettnedgang, tilsvarende som i 2024.
Det er positivt at sikkerhetsbudsjetter holder seg. Men det er viktig å nyansere: budsjettøkning i prosent av en lav base er ikke det samme som tilstrekkelig investering. En virksomhet som øker sikkerhetsinvesteringene med 10 prosent fra et underfinansiert utgangspunkt, er fortsatt underfinansiert.
| Indikator | 2024 | 2026 | Endring |
|---|---|---|---|
| Alvorlige hendelser økt (% av CISOer) | 53 % | 9 % | -44 prosentpoeng |
| Stabile alvorlige hendelser | 29 % | 91 % | +62 prosentpoeng |
| Budsjettøkning rapportert | 66 % | 68 % | +2 prosentpoeng |
| Budsjettnedgang rapportert | 9 % | 9 % | Ingen endring |
| Gj.sn. kompromitteringstid | 53 dager | 2,4 dager | -96 % (22x raskere) |
| CISOer svært trygge på deteksjon | 32 % | Ikke oppdatert | Avventes |
Kilde: Truesec Nordic CISO Report 2026, Vivicta Nordic Cyber Resilience 2024. Tallene for deteksjonskonfidans (32 %) stammer fra den tverrnordiske Vivicta-undersøkelsen fra 2024 som dekket Finland, Norge og Sverige.
Norske Cyberhendelser i 2025-2026: En Oppdatert Kronologi
De 21 norske hendelsene i DNV-tallene er aggregerte. Noen konkrete norske saker fra perioden 2025 til første halvår 2026 illustrerer bredden i trusselbildet:
Den kinesiske statlige gruppen Salt Typhoon kompromitterte telekominfrastruktur globalt, inkludert norske aktører. Salt Typhoons operasjoner i Norge ble del av en global kampanje som totalt rammet mer enn 200 organisasjoner i over 80 land. Angrepet er blant de mest alvorlige etterretningsoperasjonene mot vestlig telekominfrastruktur på flere tiår.
I tillegg rammet en rekke supply chain-angrep norske bedrifter gjennom sårbare tredjepartsleverandører. FortiClient EMS-sårbarheten (CVE-2026-48720) ble aktivt utnyttet mot norske bedriftsnettverk av infostjelere, ifølge NSM og norske sikkerhetsmiljøer.
AI-drevet phishing mot nordiske mål økte med 14 ganger i 2025 og utgjorde 44 prosent av alle phishingangrep i regionen, noe som har økt presset på both brukere og e-postsikkerhetsløsninger markant.
NordForsk CyberResilient-Nordic: Tverrfaglig Forskning for Kritiske Sektorer
Et av de mer strukturelle tiltakene for å adressere den fragmenterte ansvarsmodellen er NordForsk-finansierte CyberResilient-Nordic, et tverrsektorielt nordisk forskningsnettverk som samler ekspertise fra energi, luftfart og maritim sektor for å fremme cyberresiliens og digital suverenitet i kritisk infrastruktur.
Prosjektet er eksplisitt rettet mot det som DNV identifiserer som selve kjerneproblemet: siloisert ansvarstenkning. Energisektoren har sine eksperter, maritim sektor sine, helsevesenet sine. Men i en tilkoblet verden propagerer angrep på tvers av sektorgrenser. En kompromittert leverandør av industriell programvare til kraftsektoren kan like gjerne ramme en maritim operatør som bruker samme underleverandørprogramvare.
CyberResilient-Nordic er et konkret svar på dette, ved å bygge et felles kunnskapsgrunnlag, metodikk og responspraksis på tvers av sektorer i Norden. Prosjektet er del av en bredere nordisk erkjennelse, synliggjort i Nordisk råds planlagte temasesjon om cybertrusler og pandemiberedskap, der de nordiske ministrene for beredskapplanlegging og etterretning samles.
North European Cyber Days 2026: Oslo Tar Sentral Rolle
Den 3. og 4. november 2026 er Oslo vertskap for North European Cyber Days 2026, arrangert av den europeiske cybersikkerhetsorganisasjonen ECSO. Det er andre utgave av arrangementet, og bringer sammen cybersikkerhets-, AI- og kritisk sektors ledere. De to beste cybersikkerhetsselskapene som deltar i den nordiske utgaven vil nomineres til ECSO CISO Choice Award.
Valget av Oslo som vertsby for dette flaggskipet av europeisk cybersikkerhetsarrangementer understreker at Norges posisjon i den europeiske cybersikkerhetsøkosystemet er i vekst, selv om de interne tallene fra DNV-rapporten antyder at det er et stykke å gå for å omgjøre den internasjonale posisjoneringen til operasjonell modenhet på virksomhetsnivå.
Hva Bør Norske Virksomheter Gjøre Nå?
DNV-rapporten og Truesec CISO-rapporten peker mot et felles handlingspunkt: ansvaret for cybersikkerhet må forankres hos toppledelsen, ikke delegeres bort fra den. Her er fem konkrete tiltak basert på rapportfunnene:
- Gjennomfør en ansvarsklargjøring i styret. Definer eksplisitt hvem i styret og ledergruppen som er ansvarlig for cybersikkerhet. NIS2 krever det, og CRA er på vei.
- Test responsevnen, ikke bare beredskapsplanene. Med kompromitteringstid på 2,4 dager er det ikke nok å ha en plan. Drillen må sitte i hendene, ikke på papiret.
- Kartlegg CRA-eksponering innen Q3 2026. September 2026 er fristen for sårbarhetshåndtering og hendelsesrapportering. Alle produkter med digitale elementer som selges i EØS er berørt.
- Gjennomfør leverandørkartlegging (SBOM). Supply chain er den vanligste inngangsveien til norske virksomheter. En komplett Software Bill of Materials er ikke bare god praksis, det er snart et regulatorisk krav.
- Invester i deteksjonshastighet, ikke bare forebygging. Med AI-aktiverte angripere på 2,4 dager er MTTR (Mean Time to Respond) den kritiske metriken. Automatisert deteksjon og SOAR-integrasjon er ikke lenger et nice-to-have.
5 Spådommer for Nordisk Cybersikkerhet 2026-2027
Basert på DNV-rapporten, Truesec CISO-rapporten og det regulatoriske landskapet er her fem spådommer for nordisk cybersikkerhet de neste 18 månedene:
- NIS2-søksmål mot norske styremedlemmer innen 2027. Etter hvert som norsk NIS2-implementering modnes, vil den første norske saken om styreansvar ved cyberbrudd sette en presedens for hele næringslivet.
- Kompromitteringstiden faller under 24 timer innen utgangen av 2026. AI-optimaliserte angrepsverktøy akselererer. Fra 53 dager til 2,4 dager på to år tilsier at under ett døgn er innen rekkevidde for avanserte trusselaktører.
- CRA-bøter treffer første norske aktør innen Q2 2027. Etter september 2026-fristen vil manglende SBOM og sårbarhetshåndteringsprosesser utløse de første håndhevingssakene i Norden.
- Statlige angrep mot norsk energisektor øker med 40 prosent i 2026. Geopolitisk uro og Norges rolle som Europas viktigste gasseksportør gjør energiinfrastrukturen til et prioritert mål for statlige trusselaktører, særlig etter Salt Typhoon-kampanjen.
- Nordisk cybersikkerhets-M&A-aktivitet dobles i 2026-2027. Kombinasjonen av regulatoriske krav (NIS2, CRA) og kompleksiteten i trusselbildet vil drive konsolidering, der store nordiske selskaper kjøper opp spesialiserte sikkerhetsvirksomheter for å møte kompetansegapet.
Relatert Dekning
Vil du lese mer om cybersikkerheten i Norden og norske spesifikke hendelser? Her er relevant dekning fra shattered.io:
- Nordisk Cyberrapport 2026: 166 Angrep, 66% Varsler Trusseltopp
- Salt Typhoon-angrep på Norge: 200 Ofre, 80 Land [2026]
- AI-phishing i Norden: 14x økning, 44% av alle angrep [2026]
- CrowdStrike 2026: 29-Minutters Brekkpunkt, 89% AI-Angrep
- FortiClient EMS CVE-2026-48720: Infostjelere Herjet Norske Bedriftsnettverk [2026]
- Cybersikkerhet: Fullstendig oversikt og guider
Eksterne Kilder
Artikkelen bygger på følgende primærkilder:
- Truesec: Nordic CISO Report 2026 (pressemelding)
- Triage Security: Nordic CISOs report stable severe incident rates (mai 2026)
- ForumNordic: Cybersecurity for Critical Infrastructure Enters a New Phase in Norway (mars 2026)
- NordForsk: CyberResilient-Nordic research network
Vanlige Spørsmål (FAQ)
Hva viser DNV-rapporten om norsk cybersikkerhet i 2026?
DNV-rapporten How Cyber Resilient Are the Nordics? fra 2026 viser at Norge hadde 21 registrerte cyberhendelser i 2025, det laveste i Norden. Samtidig mener 52 prosent av norske ledere i kritisk infrastruktur at cybersikkerhet er «noen andres ansvar», noe som representerer et alvorlig strukturelt gap mellom teknisk beredskap og lederansvar.
Hvor lang tid tar det nå å hacke en bedrift?
Ifølge Truesec Nordic CISO Report 2026 har gjennomsnittlig kompromitteringstid for trusselaktører falt fra 53 dager i 2024 til 2,4 dager i 2026. Nedgangen skyldes primært AI-aktiverte angrepsverktøy som automatiserer rekognosering, utnyttelse og lateral bevegelse.
Hva er EU Cyber Resilience Act og når gjelder den for norske bedrifter?
EU Cyber Resilience Act trådte i kraft i desember 2024 og stiller obligatoriske sikkerhetskrav for alle produkter med digitale elementer som selges i EU/EØS. Fra 11. september 2026 gjelder kravene til sårbarhetshåndtering og hendelsesrapportering. De øvrige kravene, blant annet krav til sikker design, gjelder fra desember 2027. Norske produsenter, importører og distributører av digitale produkter er berørt.
Hva er NIS2 og gjelder det for norske virksomheter?
NIS2-direktivet er EUs oppdaterte direktiv for nettverks- og informasjonssikkerhet, som trådte i kraft i EU i oktober 2024. For Norge, som gjennomfører EU-direktiver via EØS-avtalen, pågår implementeringsprosessen. Direktivet stiller krav til risikovurdering, hendelsesrapportering innen 24 timer og styreansvar for cybersikkerhet i et bredt spekter av sektorer, inkludert energi, transport, helse og digital infrastruktur.
Hvilke nordiske land hadde flest cyberhendelser i 2025?
Ifølge DNVs Cyber Threat Intelligence-kartlegging hadde Sverige flest hendelser med 60 registrerte tilfeller i 2025. Finland hadde 44, Danmark 41 og Norge 21. Tallene inkluderer antatte, mistenkte og bekreftede angrep og sikkerhetsbrudd mot organisasjoner i de respektive landene.
Hva betyr «ansvarsparadokset» i norsk cybersikkerhet?
«Ansvarsparadokset» refererer til DNV-funnene som viser at selv om Norge har relativt få registrerte cyberhendelser, mener 52 prosent av norske ledere i kritisk infrastruktur at cyberresiliens er «noen andres ansvar». 32 prosent er ikke engang sikre på om organisasjonen deres er en del av kritisk infrastruktur. Dette skaper et system der ingen tar eierskap til helheten, noe som gjør den samlede motstandsdyktigheten skjørere enn hvert enkelt selskaps tekniske tiltak skulle tilsi.
