DNVs ferske rapport How Cyber Resilient Are the Nordics? dokumenterer 166 cyberangrep mot nordiske organisasjoner i 2025. Sverige ble hardest rammet med 60 hendelser, mens Norge registrerte 21, Finland 44 og Danmark 41. Tallene kommer fra DNV Cyber Threat Intelligence, som sporer påståtte, mistenkte og bekreftede angrep og brudd mot kritisk infrastruktur. Bak statistikken skjuler seg en mer alvorlig virkelighet: to tredjedeler av norske ledere i kritiske sektorer melder om økte cyberangrep, og Russland har gått fra diplomatisk fiende til aktiv digital sabotør mot norsk energiinfrastruktur.
DNVs nordiske cyberrapport: 166 dokumenterte angrep i 2025
DNV, selskapet med røtter som Det Norske Veritas, publiserte i første halvår 2026 rapporten How Cyber Resilient Are the Nordics?, utarbeidet i samarbeid med FT Longitude, en analyse- og rådgivingsenhet tilknyttet Financial Times. Datagrunnlaget ble innhentet fra november 2025 til januar 2026 gjennom intervjuer med ledere i kritiske infrastruktursektorer samt befolkningsundersøkelser i alle fire nordiske land.
De 166 registrerte angrepene fordelte seg ulikt mellom landene. Sverige topper listen med 60 hendelser, noe som gjenspeiler landets større digitale økonomi og høyere andel internetteksponert infrastruktur. Finland fulgte med 44 hendelser, trolig påvirket av landets lange landegrense mot Russland og de påfølgende geopolitiske spenningene etter NATO-innmeldingen. Danmark registrerte 41 hendelser, og Norge lå lavest med 21. Eksperter advarer mot å tolke det lave norske tallet som et godt tegn: det kan like gjerne speile underrapportering eller manglende oppdagelseskapasitet.
| Land | Cyberangrep 2025 | Andel ledere som melder økning | Befolkningens bekymring |
|---|---|---|---|
| Sverige | 60 | Ikke publisert separat | 60% |
| Finland | 44 | Ikke publisert separat | Ikke publisert |
| Danmark | 41 | Ikke publisert separat | Ikke publisert |
| Norge | 21 | 66% | 47% |
| Norden totalt | 166 | – | – |
DNV understreker at tallene inkluderer hendelser som ennå ikke er bekreftet av myndighetene, noe som betyr at de faktiske tallene kan avvike fra offisielle rapporter fra Nasjonal sikkerhetsmyndighet (NSM) og andre nasjonale cybersikkerhetsorgan.
Norge undervurderer trusselen: 47 prosent bekymret mot 60 prosent i Sverige
Det mest urovekkende funnet i DNVs norgesrapport handler ikke om antall angrep, men om holdningene som preger norske organisasjoner. Bare 47 prosent av befolkningen tror at en samfunnsdestabiliserende cyberhendelse kan ramme Norge i løpet av de neste to årene. I Sverige er det tilsvarende tallet 60 prosent. Denne holdningsforskjellen kan ha direkte konsekvenser for beredskapen og for politikernes vilje til å bevilge midler til forebyggende tiltak.
Blant norske ledere i sektorer som EU definerer som kritiske, sier 52 prosent at organisasjonens ledelse ser nasjonal cybermotstandsdyktighet som et ansvar som tilhører andre. Enda mer bekymringsfullt er at 32 prosent ikke en gang er klar over om egen virksomhet er involvert i kritisk infrastruktur. Dette bevissthetsgapet skaper åpninger som trusselaktører aktivt utnytter.
Forsyningskjeden er et annet svakt punkt. Hele 65 prosent av norske ledere innen kritisk infrastruktur sier at et brudd hos viktige eksterne leverandører umiddelbart ville påvirke driften. Likevel oppgir bare 40 prosent at de er trygge på cybermotstandsdyktigheten til sine nøkkelleverandører. Det betyr at 60 prosent av norske infrastrukturledere opererer med et leverandørnettverk de ikke har tillit til at tåler et angrep.
| Indikator | Norge | Sverige | Danmark | Finland |
|---|---|---|---|---|
| Befolkningens bekymring (angrep neste 2 år) | 47% | 60% | Ikke publisert | Ikke publisert |
| Ledere: cybersikkerhet er andres ansvar | 52% | 54% | Høy | Ikke publisert |
| Tror angrep kan lamme nasjonal økonomi | 26% | Ikke publisert | Ikke publisert | Ikke publisert |
| Trygge på leverandørers cybersikkerhet | 40% | Ikke publisert | Ikke publisert | Ikke publisert |
| Leverandørbrudd gir umiddelbar driftsimpakt | 65% | Ikke publisert | Ikke publisert | Ikke publisert |
26 prosent av norske ledere innen kritisk infrastruktur tror det er sannsynlig at et cyberangrep vil forstyrre landets økonomi med omfattende forretningsforstyrrelse i 2026. Samme andel, 26 prosent, tror et angrep kan forårsake svikt i en grunnleggende forsyningstjeneste. Med tanke på at Norge produserer over 90 prosent av sin elektrisitet fra vannkraft, er dette en alvorlig risiko.
Russland som strategisk cybermotstander: PST-sjefens advarsel
Norges Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten (E-tjenesten) har begge det siste halvåret gitt uvanlig tydelige offentlige advarsler om Russland som cybertrussel. PST-sjef Beate Gangås sa på Arendalsuka i august 2025: “Det siste året har vi sett en endring i aktivitet fra pro-russiske cyberaktører. Formålet med slike operasjoner er å påvirke og å skape frykt og kaos i befolkningen. Vår russiske nabo har blitt farligere.”
Etterretningssjef Nils Andreas Stensønes understreket ved samme anledning at Russland forblir den største trusselen mot norsk sikkerhet. Stensønes beskrev Russland som en uforutsigbar nabo og den mest alvorlige nåværende trusselen landet står overfor, og la til at Russlands president Vladimir Putin fortsetter å skape spenning gjennom hybridangrep rettet mot hele Vesten.
Valget om å offentliggjøre attributeringen fremfor å begrense den til lukkede briefinger var bevisst. Gangås forklarte etterpå at hun valgte offentliggjøring som et avskrekkingstiltak: “Jeg vil at nordmenn skal være forberedt.” Denne strategien speiler en bredere NATO-trend der åpenhet om trusselkilder brukes som et diplomatisk virkemiddel for å øke den offentlige bevisstheten og den politiske viljen til investering i cyberforsvar.
Bremanger-demningen: Hybridkrig mot norsk vannkraft
Det mest konkrete eksempelet på russisk cybersabotasje mot norsk infrastruktur i 2025 er angrepet mot Bremanger-demningen 7. april. Den pro-russiske gruppen Z-PENTEST fikk tilgang til et internetteksponert menneskelig grensesnitt (HMI) ved hjelp av et svakt passord. Derfra åpnet de en utslippsventil til 100 prosents kapasitet, noe som resulterte i 500 liter vann per sekund i fire timer. Totalt ble 7,2 millioner liter sluppet ut, altså 497 liter per sekund over lovlig minimumsgrense. Hendelsen ble oppdaget av dameieren Breivika Eiendom. Ingen ble skadet.
Angriperne dokumenterte tilgangen ved å legge ut en video på Telegram med Z-PENTESTs vannmerke. Kripos analyserte videoen og konkluderte i juni 2025 med at det dreide seg om bevisst cybersabotasje utført av en pro-russisk hacktivistgruppe. PST bekreftet i august 2025 at hendelsen var Russland-tilknyttet. Det var første gang Oslo offisielt attribuerte et cyberangrep mot fysisk infrastruktur til Russland.
Bjarte Steinhovden, teknisk sjef i Breivika Eiendom, spekulerte i at et svakt passord trolig muliggjorde innbruddet. Mike Hamilton, field CISO ved Lumifi Cyber, kommenterte: “Angrep mot vannsektoren øker, og det er mer et problem for nasjonalstater enn for kriminelle. Russere har nylig angrepet en damoperasjon i Norge og har like god evne til å gjøre det igjen.”
For en dyptgående teknisk analyse av selve angrepet, se Bremanger-demningen hacket av Russland: 7,2M liter ut.
APT28 retter seg mot nordisk logistikk og maritim sektor
I mai 2025 publiserte NATO og flere europeiske land en felles cybersikkerhetsrådgivning om at APT28, også kjent som Fancy Bear og tilknyttet den russiske militære etterretningsorganisasjonen GRU (enhet 26165), hadde rettet seg mot vestlige logistikkforetak og teknologiselskaper på tvers av nesten alle transportmodus. Det inkluderer vegtransport, jernbane, sjøfart og luftfart.
Det nordiske maritime cybersikkerhetssenteret NORMA Cyber bekrefter at APT28 spesifikt har målrettet maritim infrastruktur i Norden. Angrepsvektorene spenner fra DDoS-angrep og datainnbrudd til phishing, skadevare og løsepengevirus. Ifølge NORMA Cyber ble minst 45 maritime organisasjoner angrepet med løsepengevirus i 2024 alene, og det faktiske antallet er trolig høyere ettersom mange hendelser ikke rapporteres offentlig.
CCDCOE (NATOs Cooperative Cyber Defence Centre of Excellence) konkluderte i en politikkrapport fra juli 2025 med at de statsstøttede aktørene med størst aktivitet mot europeisk havneinfrastruktur er Russland, Iran og Kina. Rapporten anbefaler at NATO etablerer en dedikert liaisonrolle mellom NATO Maritime Command og nasjonale havnecybersikkerhetsmyndigheter.
Østersjøen under press: Undersjøiske kabler som sabotasjemål
De nordiske landenes sårbarhet strekker seg utover digital infrastruktur til den fysiske undersjøiske kabelinfrastrukturen. Mellom 2022 og januar 2026 ble omtrent ti undersjøiske kabler kuttet i Østersjøen, med sju av disse hendelsene konsentrert i perioden november 2024 til januar 2026 alene. Svenske og finske etterforskere har identifisert skip med mulig forbindelse til Russland og Kina, men ingen formelle tiltaler er reist.
For Norge, som er Europas sjette største skipsfartsnasjon og en kritisk gassleverandør til kontinentet, representerer denne kombinasjonen av cyber- og fysisk sabotasje mot maritim infrastruktur en førstelinjstrussel mot nasjonal energisikkerhet. Nordsjørørledningene og undersjøiske datakabler mellom Norge og Storbritannia er blant de mest strategisk sensitive innslagene.
Helsesektoren: 38 prosent av alle EU-cyberhendelser
Sopra Steria publiserte i 2026 rapporten State of Cyber Security 2026 med en detaljert analyse av trussellandskapet i Norden. Rapporten slår fast at helsesektoren er det mest angrepne sektoren for cyberangrep i Europa, og står for 38 prosent av alle rapporterte cyberhendelser i EU. Den nordiske helsesektoren opplever en vedvarende høy cybertrussel fra både finansielt motiverte aktører og statsstøttede grupper.
Sopra Steria beskriver trussellandskapet i Norden som en intensiverende blanding av nettkriminalitet, statsstøttede operasjoner og hybridkampanjer som kombinerer cyberangrep, sabotasje og desinformasjon. De mest relevante trusselaktørene er statsstøttede APT-grupper, kriminelle organisasjoner og hacktivister. Sykehusene i Norden er attraktive mål fordi de kombinerer kritiske systemer med historisk svake sikkerhetsbudsjetter og store mengder verdifull pasientdata.
Sverige og Finland: Hva gjør nabolandene riktig?
Sveriges høyere antall registrerte angrep (60) er ikke nødvendigvis et tegn på dårligere sikkerhet. Det kan like gjerne gjenspeile bedre oppdagelsesevne, mer robust hendelsesrapportering og en befolkning som er mer bevisst sin rolle i nasjonal sikkerhet. En av fem svenske borgere sier at cyberhendelser har påvirket hverdagen deres direkte, et tall som signaliserer at hendelsene er synlige og rapporteres bredt.
Sverige implementerte NIS2-direktivet gjennom en ny cybersikkerhetslov (Cybersäkerhetslagen) som trådte i kraft 15. januar 2026. Loven introduserer en helhetlig virksomhetstilnærming der hele organisasjonen holdes ansvarlig for cybersikkerheten, ikke bare IT-avdelingen. Ti minimumssikkerhetsområder er definert med risikobasert implementering og krav om regelmessig øvelse.
Finland fremhever i DNVs rapport en pragmatisk balanse mellom tilkobling og sikkerhet. Digitalisering i seg selv er ikke problemet, ifølge finske ledere. Det handler om å forstå risikoen det introduserer og om å klargjøre hvem som er ansvarlig for å håndtere den. Finlands lange NATO-prosess og nabolaget til Russland har skapt en beredskapsmessig modenhet som de øvrige nordiske landene nå forsøker å etterligne.
Danmarks svakhet, ifølge DNV, er uklar eierskap til cybersikkerhet. Ledere i kritisk infrastruktur oppfatter ofte nasjonal cybermotstandsdyktighet som andres ansvar, og mange innbyggere forstår ikke sin rolle i å beskytte samfunnet mot cyberangrep. DNVs rapport for Danmark er basert på innsikt fra 200 danske ledere i kritisk infrastruktur.
WEF Global Cybersecurity Outlook 2026: Tilliten til nasjonal respons svekkes
DNVs nordiske funn er ikke isolerte. World Economic Forums Global Cybersecurity Outlook 2026, publisert i januar 2026, viser at 31 prosent av respondentene rapporterer lav tillit til landets evne til å respondere på store cyberhendelser, opp fra 26 prosent året før. Bare 19 prosent av organisasjonene sier at cybermotstandsdyktigheten overgår kravene de er pålagt.
WEF-rapporten peker på at geopolitisk ustabilitet er den viktigste driveren bak svekkende tillit til cyberberedskap. Statsstøttede angripere opererer med ressurser og tålmodighet som overstiger det de fleste private og offentlige organisasjoner kan matche alene. Dette er en av grunnene til at DNV og Sopra Steria begge anbefaler sterkere offentlig-privat samarbeid i Norden.
Munich Re estimerte at det globale cyberforsikringsmarkedet totalt utgjorde nær 15 milliarder dollar i 2025. Selskapet forventer at dette vil vokse til rundt 28 milliarder dollar innen 2030, en gjennomsnittlig global vekstrate på 15 prosent per år mellom 2020 og 2030. For nordiske virksomheter betyr dette at premiene for cyberforsikring vil stige merkbart i takt med skjerpede risikovurderinger.
Mørketallene: Hva vi ikke ser i statistikken
NetNordic, en av Nordens ledende IT-sikkerhetsleverandører, dokumenterte i 2025 en eksplosiv økning i lekkede legitimasjonsdata fra nordiske virksomheter på det mørke nettet. Selskapet beskrev 2025 som et år med en enestående økning i lekkede brukernavn, passord og sensitiv bedriftsinformasjon. Dette er et signal om at angrep lykkes, men at de i mange tilfeller ikke oppdages eller ikke rapporteres offentlig.
Underrapportering er et strukturelt problem i nordisk cybersikkerhet. Mange virksomheter frykter omdømmeskade ved å innrømme brudd. NIS2-direktivet vil endre på dette ved å pålegge kritiske sektorer rapporteringsplikt innen 24 timer for alvorlige hendelser og innen 72 timer for den endelige rapporten. For norske virksomheter vil NIS2-implementeringen gjennom norsk lov tvinge frem en mer åpen sikkerhetskultur.
66 prosent av norske ledere i kritiske sektorer melder om økte angrep. Men hvis bare 21 hendelser ble dokumentert av DNVs trusseletterretning, antyder det at langt flere angrep skjer uten å bli fanget opp av nasjonale rapporteringssystemer. Erfaringer fra sammenlignbare europeiske land tilsier at reelle tall kan ligge to til fem ganger høyere enn offisielle tall.
DNVs syv anbefalinger for norsk cybermotstandsdyktighet
DNVs norgesrapport avslutter med syv konkrete anbefalinger for å styrke norsk cybermotstandsdyktighet. Disse speiler de strukturelle svakhetene rapporten avdekker:
- Ikke forveksle tidligere suksess med fremtidig usårbarhet. Norge har sluppet lettere unna enn Sverige, men det er ikke et tegn på sterkere forsvar.
- Klargjør ansvarsforholdene. 52 prosent som ser cybersikkerhet som andres ansvar, er ikke bærekraftig i et landskap med statssponsede trusselaktører.
- Kartlegg forsyningskjedesårbarheter. Tredjepartsleverandører er en primær angrepsvei i 2026, og 65 prosent av norske virksomheter er direkte eksponert.
- Ta høyde for mer sofistikerte angripere. AI-drevne angrep og statssponsede aktører krever mer enn grunnleggende sikkerhet.
- Engasjer befolkningen. 47 prosent bekymring er for lavt i en tid med aktivt statssponsert sabotasje mot norsk infrastruktur.
- Samarbeid aktivt på tvers av sektorer og landegrenser. Nordisk koordinering gir stordriftsfordeler i trusselrespons.
- Revurder hvordan regulering kan ha størst effekt. NIS2 er et utgangspunkt, ikke en ferdig løsning for norske virksomheter.
5 spådommer for nordisk cybersikkerhet 2026 til 2028
Basert på trendene i DNV-rapporten, WEF-analysen, Sopra Sterias rapport og den geopolitiske utviklingen peker ekspertene mot fem sentrale utviklingstrekk:
- Russiske hybridangrep mot norsk vannkraft og energiinfrastruktur vil øke frem mot 2027. Med Norges rolle som Europas gassbackup og hydropower-eksportør er energiinfrastruktur et høyt prioritert mål for geopolitisk press. Z-PENTEST og lignende grupper vil sannsynligvis trappe opp aktiviteten etter Bremanger.
- NIS2-implementering vil avdekke et kompetansegap og drive etterspørselen etter sikkerhetspersonell kraftig opp. Nordiske land har allerede underskudd på sertifiserte cybersikkerhetsspesialister. Nye lovkrav vil forsterke dette gapet og presse lønningene opp i 2026 og 2027.
- Maritim sektor vil oppleve sin største cyberhendelse i Norden innen 2027. Med 45 løsepengevirus-angrep mot maritime organisasjoner i 2024 og eskalerende statssponsede trusler mot Østersjøen er sannsynligheten for en rammende hendelse mot en stor nordisk havn eller et rederi høy.
- AI-drevne phishingangrep vil doble konverteringsraten mot norske mål innen utgangen av 2026. Norske ansatte er allerede utsatt for en markant økning i AI-phishing sammenlignet med 2024, og de neste 18 månedene vil sannsynligvis vise ytterligere eskalering i presisjon og volum.
- Nordisk cyberforsikringsmarked vil vokse med over 20 prosent per år frem mot 2028, drevet av NIS2-krav, stigende skadetall og økt bevissthet. Virksomheter uten cyberansvar-forsikring vil møte problemer med å inngå kontrakter med offentlig sektor.
Relatert dekning
Les mer om nordisk og norsk cybersikkerhet
- Bremanger-demningen hacket av Russland: 7,2M liter ut – Den fullstendige analysen av Z-PENTESTs angrep mot norsk vannkraftinfrastruktur i april 2025.
- AI-phishing i Norden: 14x økning, 44% av alle angrep – Hvordan kunstig intelligens har revolusjonert phishing og gjort nordiske virksomheter til høyprioriterte mål.
- Verizon DBIR 2026: 31% angrep via sårbarhet, 22.000 brudd – Global trusselrapport med direkte relevans for nordisk sikkerhetssituasjon.
- Nettsvindel i Norge: 1,2 mrd tapt i 2024 – Tallene bak kostnadene av digital kriminalitet i Norge.
- Stryker hacket: 200.000 enheter slettet av Handala – Statssponsede destruktive angrep i en europeisk kontekst.
- EDR vs XDR: 10 min vs 4 timer MTTR – Teknologisammenligningen som avgjør oppdagelseshastigheten ved angrep mot kritisk infrastruktur.
Ofte stilte spørsmål
Hva viser DNVs nordiske cyberrapport for 2026?
DNVs rapport dokumenterer 166 cyberangrep mot nordiske organisasjoner i 2025, fordelt på Sverige (60), Finland (44), Danmark (41) og Norge (21). Rapporten ble publisert i samarbeid med FT Longitude og bygger på data fra november 2025 til januar 2026. Den avdekker kritiske gap i ansvarstakling, leverandørsikkerhet og befolkningsbevissthet, særlig i Norge.
Hvorfor registrerte Norge færrest cyberangrep i Norden i 2025?
Det lave norske tallet på 21 hendelser kan skyldes flere faktorer: færre internetteksponerte industrielle systemer, lavere digital tetthet enn Sverige, men også underrapportering og begrenset oppdagelseskapasitet. DNV understreker at tallene inkluderer påståtte og mistenkte hendelser, og eksperter advarer mot å tolke lave tall som et uttrykk for god sikkerhet.
Hvem sto bak angrepet på Bremanger-demningen i 2025?
Den pro-russiske hacktivistgruppen Z-PENTEST tok på seg ansvaret ved å publisere en video på Telegram som dokumenterte kontrollen over demningens HMI-system. Kripos bekreftet i juni 2025, og PST i august 2025, at angrepet var utført av pro-russiske aktører. Angrepet skjedde 7. april 2025 og markerte første gang Oslo offisielt attribuerte et cyberangrep mot fysisk infrastruktur til Russland.
Hva er NIS2-direktivet og hvordan påvirker det norske virksomheter?
NIS2 er EUs oppdaterte direktiv for nettverks- og informasjonssikkerhet, som stiller krav til rapportering av sikkerhetshendelser, risikovurdering, forsyningskjedesikkerhet og ledelsesansvar i kritiske sektorer. Norge er tilknyttet EU via EØS-avtalen og vil implementere NIS2 gjennom nasjonal lovgivning. Sverige innførte NIS2 ved lov 15. januar 2026. Norske virksomheter i sektorer som energi, transport, helse og digital infrastruktur vil måtte innfri tilsvarende krav.
Hva er APT28 og hvilken trussel utgjør gruppen mot Norden?
APT28, også kjent som Fancy Bear, er en avansert vedvarende trusselgruppe knyttet til den russiske militære etterretningstjenesten GRU (enhet 26165). I mai 2025 utsendte NATO og europeiske allierte en felles advarsel om at APT28 hadde målrettet seg mot vestlige logistikkselskaper og teknologivirksomheter på tvers av alle transportmodus, inkludert maritim transport. NORMA Cyber har bekreftet at gruppen har rettet seg mot nordisk maritim infrastruktur.
Hva bør norske virksomheter gjøre for å styrke cybersikkerheten?
DNV anbefaler at norske virksomheter kartlegger tredjepartsleverandørers cybersikkerhet, klargjør internt ansvar for cyberberedskap, gjennomfører regelmessige øvelser og implementerer multifaktorautentisering på alle eksponerte systemer. Deltakelse i sektor-CSIRT-er og nasjonale koordineringsorganer er en minimumsstandard. For virksomheter i kritisk infrastruktur er NIS2-samsvar ikke bare lovpålagt, det er grunnmuren i et forsvarlig cyberforsvar.
Hvor kan jeg lese de offisielle rapportene?
DNVs overordnede nordiske rapport er tilgjengelig på DNV Cyber Insights. Sopra Sterias State of Cyber Security 2026-rapport gir et utfyllende nordisk perspektiv. Industrial Cyber og NetNordic gir dybdeanalyser av spesifikke trusseltrender. For globalt perspektiv er Munich Res Global Cyber Risk Survey 2026 en viktig kilde.
