Sopra Sterias State of Cyber Security 2026 slår fast at Norden er inne i den mest turbulente cyberperioden siden andre verdenskrig. Rapporten, som bygger på overvåking av faktiske hendelser gjennom 2025, avdekker et trusselbilde der statsstøttede angrep, industrispionasje, DDoS-kampanjer rettet mot norsk demokrati og ansattekorrupsjon som angrepsstrategi utfordrer norske virksomheter på en måte som ikke har hatt sidestykke de siste tiårene.
Rapporten ble publisert i 2026 av Sopra Sterias Security Operations Centre, et team med røtter i norsk og europeisk cybersikkerhetsrådgivning med over 51.000 ansatte globalt. Analysene bygger på observerte angrep og innbruddsforsøk gjennom hele 2025. Funnene tegner et bilde av en region som er underberedt, til tross for at trusselnivået stiger i alle retninger.
Det Alvorligste Trusselbildet Siden Andre Verdenskrig
Sopra Steria beskriver situasjonen direkte i rapporten: Norden er inne i den mest turbulente perioden siden andre verdenskrig. Formuleringen er ikke retorisk pynting. Den reflekterer en faktisk endring i trusselaktørenes motivasjon, kapasitet og vilje til å ramme samfunnskritisk infrastruktur.
Finansielt motiverte angrep forblir den dominerende kategorien, men regionens strategiske posisjon har tiltrukket seg en annen type aktør. Norges nærhet til Russland, landets rolle i Arktis og NATOs nordlige ekspansjon har løftet Norden til å bli et høyprioritert mål for statssponset cyberspionasje og sabotasje. Der tidligere trusselvurderinger vektla opportunistiske angrep mot bedrifter med svak sikkerhet, beskriver Sopra Steria nå dedikerte kampanjer rettet mot norske myndigheter, forsvar og kritisk infrastruktur.
Sopra Steria klassifiserer trusselaktørene i tre kategorier som alle er aktive i Norden: statsstøttede avanserte vedvarende trusselgrupper (APT-grupper), kriminelle organisasjoner og hacktivister. Alle tre kategoriene ble observert i norske nettverk gjennom 2025. Rapporten understreker at kriminelle grupper og statsstøttede aktører i stadig større grad samarbeider, deler verktøy og infrastruktur, noe som gjør attribuering vanskeligere og angrepenes sofistikasjon høyere.
Norges Strategiske Sårbarhet: Arktis, NATO og Russland
Norge skiller seg fra sine nordiske naboer på ett avgjørende punkt: landets unike strategiske eksponering. Grensen mot Russland i nord, landets dominerende rolle i europeisk energiforsyning gjennom petroleumssektoren og NATOs nordlige flanke gjør Norge til et mål av særlig interesse for russiske og kinesiske etterretningsorganisasjoner.
Sopra Sterias rapport dokumenterer at den norske etterretningstjenesten har avdekket tilfeller der forskere fra Kina og Iran, tilknyttet norske universiteter, samtidig arbeider for statlige enheter i sine hjemland. Dette er ikke en hypotetisk trussel. Det er pågående etterretningsoperasjoner som utnytter det norske akademiske miljøets åpenhet og den norske kulturen for tillit og åpen kunnskapsdeling.
Petroleumssektoren trekkes frem som det høyest prioriterte angrepsmålet i Norge. Ransomware, datatyveri og industrispionasje mot norske olje- og gasselskaper er ikke sporadiske hendelser. Sopra Steria beskriver dette som vedvarende trusler med direkte konsekvenser for operasjonell drift, produksjonsstopp og betydelige finansielle tap. Sektoren er den klart viktigste bidragsyteren til norsk BNP, noe som gjør ethvert vellykket angrep til en nasjonal sikkerhetshendelse.
DDoS som Politisk Våpen: Stortingsvalget i Søkelyset
En av de mest alarmerende avsløringene i rapporten er dokumentasjonen av målrettede DDoS-angrep mot Norge i forbindelse med stortingsvalget 8. september 2025. Angrepene ble offentlig krevd på Telegram av trusselaktører med demonstrerte bånd til statsstøttede kampanjer mot NATO-tilknyttede land.
Dette markerer et kvalitativt skifte i bruken av DDoS som verktøy. Sopra Steria slår fast at DDoS ikke lenger primært er forstyrrende. Det har blitt et strategisk påvirkningsverktøy. Angrep koordinert med politiske begivenheter, og offentlig krevd på åpne plattformer, er designet for å demonstrere sårbarhet, så tvil om valgintegritet og undergrave tilliten til demokratiske institusjoner.
Mønsteret er ikke unikt for Norge. Rapporten dokumenterer eskalerte DDoS-angrep mot NATO-tilknyttede land generelt gjennom 2025, men understreker at Norge var spesifikt navngitt som mål i forbindelse med valget. Dette plasserer norske valgmyndigheter og den digitale infrastrukturen som understøtter demokratiske prosesser i en ny risikoklasse som krever dedikert beredskap.
Nordisk Sammenlikning: 21 Hendelser i Norge mot 60 i Sverige
DNVs parallelle Nordic Cyber Resilience-rapport, publisert i 2026, gir et tallmessig bilde av det nordiske trussellandskapet i 2025. Tallene avdekker store forskjeller mellom landene, men DNV advarer om at lavere hendelsestall for Norge ikke nødvendigvis betyr bedre sikkerhet.
| Land | Registrerte hendelser 2025 | Tillitsgrad til egne deteksjonsevner | Lederskap ser resiliens som eget ansvar |
|---|---|---|---|
| Norge | 21 | 32 % | 48 % |
| Sverige | 60 | 32 % | Ikke oppgitt separat |
| Finland | 44 | 32 % | Ikke oppgitt separat |
| Danmark | 41 | Ikke oppgitt | Uklar eierskap identifisert |
Norges lavere hendelsestall (21 mot Sveriges 60) kan gjenspeile en faktisk forskjell i angrepsvolum, men DNV antyder at underrapportering og lavere deteksjonskapasitet kan forklare deler av gapet. Uansett årsak peker begge rapportene mot det samme grunnleggende problemet: bare 32 prosent av nordiske organisasjoner opplever høy grad av tillit til sin evne til å oppdage og respondere på angrep, til tross for at 87 prosent forventer at angrepsvolumet vil øke fremover.
“Myndighetene kan sette forventninger, håndheve ansvarlighet, dele etterretning, oppmuntre til samarbeid og bygge offentlig bevissthet, men de kan ikke direkte sikre infrastruktur de ikke eier. Cyberresiliens avhenger av hvor godt virksomheter, publikum og myndigheter forstår og fyller sin rolle i et sammenkoblet system.”
DNV Nordic Cyber Resilience 2026
Ansvarsgapet: 52 Prosent Fraskriver Seg Kritisk Infrastruktur
DNV slår fast at den mest fundamentale svakheten på tvers av Norden ikke er teknologisk. Det er et lederskap som abdiserer. Over halvparten (52 prosent) av norske ledere i sektorer som EU klassifiserer som kritiske, mener at ansvaret for resiliens av kritisk infrastruktur tilhører noen andre i organisasjonen eller myndighetene. En tredel (32 prosent) vet ikke engang om virksomheten deres er involvert i kritisk infrastruktur.
Ledelsesgapet er ikke et abstrakt problem. Det har direkte konsekvenser for norske virksomheters evne til å overleve et alvorlig cyberangrep. Når halvparten av lederne i kritiske sektorer mener at cybersikkerhet er andres ansvar, investerer de ikke i deteksjon, respons eller øvelser. Resultatet er at angrep som burde vært stoppet tidlig, får utvikle seg til katastrofer.
Problemet er selvforsterkende. Virksomheter som ikke investerer i synlighet vet ikke at de er angrepet. Lavere registrerte hendelsestall kan speile et mørketall, ikke en trygg havn. Den norske petroleum- og energisektorens eksponering er et konkret eksempel: sektoren er identifisert som høyverdi-mål, men ledelsesprioriteringen av sikkerhet er inkonsistent på tvers av bransjen.
Nordkoreanske Aktører Oppdaget i Norske Nettverk
Sopra Steria-rapporten dokumenterer noe som sannsynligvis vil overraske mange norske ledere: nordkoreanske aktører har blitt koblet til operasjoner mot europeiske selskaper, inkludert dokumenterte tilfeller i Norge. Nord-Korea har de siste årene diversifisert sin cyberoperasjonsportefølje fra rene finansielle angrep mot kryptobørser til bredere industrispionasje og infiltrasjon av teknologiselskaper.
Den nordkoreanske operasjonsmåten i Europa involverer ofte falske IT-konsulenter og utviklere som ansettes av vestlige selskaper, enten via direktekontakt eller gjennom tredjepartsleverandører. Disse aktørene bruker sin legitime tilgang til å eksfiltrere kode, forretningshemmeligheter og i noen tilfeller kryptovalutamidler. For norske teknologi- og finansselskaper er dette en forsyningskjedeeksponering som krever aktiv due diligence på alle leverandørrelasjoner.
Recorded Futures State of Security 2026 bekrefter det bredere bildet: RedMike-kampanjen mot telekominfrastruktur, kinesiske aktørers utnyttelse av upatchede Cisco-enheter i over 100 land og russisk GRU-aktivitet mot NATO-infrastruktur utgjør til sammen et koordinert press mot vestlig digital infrastruktur der Norden er et spesifikt mål.
Ansattekorrupsjon: Det Lavteknologiske Angrepet Vokser
Mens avanserte tekniske angrep får mest oppmerksomhet, dokumenterer Sopra Steria-rapporten en bekymringsverdig økning i lavteknologiske insider-angrep. Gjennom hele 2025 ble det registrert flere tilfeller i Norden der trusselaktører bestakk ansatte for å røpe sensitiv informasjon eller utlevere innloggingsopplysninger mot penger. Metoden er enkel, effektiv og vanskelig å oppdage med tekniske midler alene.
Denne angrepsvektoren er spesielt vanskelig å forsvare seg mot med tekniske virkemidler. Ingen brannmur stopper en ansatt som frivillig deler passordet sitt. Forsvar krever en kombinasjon av tilgangskontroll etter prinsippet om minste nødvendig tilgang (least privilege), atferdsbasert overvåking og en organisasjonskultur der ansatte forstår og tar cybersikkerhet på alvor.
Innsidetrusselen forsterkes av den generelle økningen i sofistikert sosial manipulasjon. AI-generert phishing, deepfake-lyd i falske støttesamtaler og skreddersydde spearphishing-kampanjer mot navngitte ansatte senker terskelen for å lykkes med slike angrep. Sopra Steria understreker at dette er et mønster observert direkte i nordiske nettverk, ikke bare en global statistikk.
Mobiltelefonen Er Det Nye Angrepspunktet i 2026
Sopra Steria-rapporten identifiserer mobiltelefonen som det primære angrepspunktet for trusselaktørene i 2026. Phishing, spyware, usikre apper og rogue-nettverk gjør telefonen til en gateway for identitetstyveri og kompromittering av skybaserte tjenester. For mange ansatte er skillet mellom privat og jobb-relatert bruk av mobiltelefon blitt utvisket, noe som betyr at et vellykket angrep på privatpersonen også kan gi tilgang til bedriftsressurser.
Overgangen til mobiltelefonen som primært angrepspunkt representerer en fundamental endring i trussellandskapet. Tradisjonelle sikkerhetsmodeller designet rundt perimeter-sikring av kontorlokaler og bedriftsnettverk er i stor grad ineffektive mot mobile trusler. Mobile Device Management-løsninger, Zero Trust-arkitektur og opplæring av ansatte er ikke lenger valgfrie tillegg, men grunnleggende forsvarsmidler for enhver norsk virksomhet med ansatte som bruker mobiltelefon til arbeidsformål.
AI Akselererer Angrepshastigheten Dramatisk
Kunstig intelligens forandrer angrepshastigheten. Sopra Steria dokumenterer at AI-drevet phishing og automatisert rekognosering akselererer angrepssyklusen betraktelig. Det som tidligere krevde dager eller uker av manuell kartlegging, kan nå gjennomføres på timer med AI-verktøy tilgjengelig i undergrunnsmarkedet.
CrowdStrikes Global Threat Report 2026 kvantifiserer problemet: gjennomsnittlig tid fra innbrudd til dataeksfiltrering er nå nede i 29 minutter i de raskeste registrerte tilfellene. For et sikkerhetsoperasjonssenter som reagerer på varsler i beste fall innen 30-60 minutter, betyr dette at data allerede er ute av huset før responsarbeidet starter.
Phishing forblir den ledende innledende angrepsvektoren i Norden, men rapporten understreker at det skjer et tydelig skifte. Enkle massesendte phishing-e-poster er i ferd med å bli erstattet av svært målrettede angrep basert på offentlig tilgjengelig informasjon om mål, AI-generert innhold og deepfake-teknologi som kan etterligne stemmer i telefonsamtaler. Sopra Steria observerte også at generativ AI brukes til å lage skadevare med lavere teknisk kompetansekrav for angriperne.
Trusselstatistikk og Beredskapsgap 2026
| Trusselkategori | Opplevd høy/kritisk risiko | Andel godt forberedt | Beredskapsgap |
|---|---|---|---|
| Ransomware | 63 % | 30 % | 33 prosentpoeng |
| Phishing og svindel | 60 % | Ikke oppgitt | Estimert stor |
| AI-drevne angrep | Topp 1 globalt | Lav | Kritisk |
| Forsyningskjedeangrep | 65 % (resiliente org.) | 32 % (svake org.) | Stor |
| DDoS | Topp 7 globalt | 28 % (resiliente) | Varierende |
| Insidetrussel | Topp 6 globalt | 32 % (resiliente) | Varierende |
Ivantis rapport dokumenterer at beredskapsgapet har økt med gjennomsnittlig 10 prosentpoeng fra 2025 til 2026 på tvers av alle trusselkategorier. Norske virksomheter er ikke immune mot denne globale trenden. Angrepshastigheten og sofistikasjonen øker raskere enn forsvarsmidlene bygges ut.
Norsk Digitallov: NIS1 Vedtatt, NIS2 på Vei
I 2025 vedtok Stortinget den norske digitalsikkerhetsloven (NIS1), den viktigste regulatoriske milepælen for norsk cybersikkerhet på mange år. Loven er formet av EUs NIS2-direktiv og DORA-forordningen (Digital Operational Resilience Act) og krever tverrsektoriell resiliens fra virksomheter i kritiske sektorer.
Sopra Steria er krystallklare i sin vurdering: “Samsvar er ikke lenger et avkrysningsfelt. Det er en strategisk nødvendighet.” Formuleringen reflekterer en erkjennelse av at regulatoriske krav, historisk behandlet som compliance-overhead, faktisk representerer minimumsstandarden for overlevelse i det aktuelle trussellandskapet.
NIS2-rammeverket krever blant annet at virksomheter implementerer risikostyringsprosesser, har planer for hendelseshåndtering, kan rapportere alvorlige hendelser innen 24 timer og gjennomfører regelmessige øvelser. For mange norske SMB-er i kritiske forsyningskjeder er dette en betydelig heving av kravene sammenlignet med hva de tradisjonelt har investert i. Stortinget vedtok i 2025 også flere andre lover som direkte påvirker cybersikkerhet, noe som gjør 2025-2026 til en periode med mer regulatorisk endring enn de foregående ti årene til sammen.
“Samsvar er ikke lenger et avkrysningsfelt. Det er en strategisk nødvendighet. Den norske digitalsikkerhetsloven, formet av NIS2 og DORA, vil kreve tverrsektoriell resiliens fra virksomheter i kritiske sektorer.”
Sopra Steria State of Cyber Security 2026
Norsk Vannkraftangrep: En Forsmak på Hybridkrig
World Economic Forums Global Cybersecurity Outlook 2026 løfter frem et norsk incident som illustrerer den virkelige konsekvensen av OT-angrep (Operational Technology). I april 2025 ble et norsk vannkraftanlegg hacket. Angriperne klarte å åpne en flomport og sloppet ut 500 liter vann per sekund i fire timer. Myndighetene beskrev hendelsen som en bevisst sabotasjehandling.
Angrepet mot norsk vannkraft er ikke isolert. Sopra Steria-rapporten plasserer Norge i en bredere kontekst der OT-systemer, infrastruktur som styrer kraftforsyning, vann og transport, i stadig større grad er koblet til IT-systemer og internett. Denne konvergensen øker effektiviteten, men den eliminerer den fysiske adskillelsen som tradisjonelt beskyttet kritisk infrastruktur mot nettangrep.
For norske vannkraftselskaper, som forvalter Europas suverent største hydroelektriske kapasitet, representerer dette en ny dimensjon av risiko. Et vellykket sabotasjeangrep mot norsk kraftforsyning ville ikke bare ramme norske husholdninger og industri. Det ville destabilisere det europeiske kraftnettet og ha konsekvenser langt utover Norges grenser. WEF bruker nettopp dette eksempelet for å illustrere at OT-angrep ikke lenger er et hypotetisk scenario.
“I april 2025 ble et norsk vannkraftanlegg hacket, noe som åpnet en flomport og slapp ut 500 liter vann per sekund i fire timer. Myndighetene beskrev det som en bevisst sabotasjehandling.”
WEF Global Cybersecurity Outlook 2026
5 Spådommer for Norsk Cybersikkerhet mot 2027
Basert på trendene i rapportene er det mulig å peke på fem sannsynlige utviklinger i det norske trussellandskapet de neste 12-18 månedene:
- OT-angrep mot energisektoren eskalerer. Med petroleumssektoren og vannkraft som erkjente høyverdi-mål vil angripere øke frekvensen og sofistikasjonsgraden av angrep mot driftssystemer som styrer produksjon. Konvergensen av IT og OT gjør disse systemene mer tilgjengelige for fjernbaserte angrep enn de var for fem år siden.
- NIS2-samsvar avdekker kritiske gap i norske virksomheter. Når tilsyn i henhold til digitalsikkerhetsloven intensiveres, vil mange norske virksomheter i kritiske sektorer oppdage at de ikke oppfyller minimumskravene. Bøter og pålegg vil følge, men den viktigste langsiktige konsekvensen er at virksomheter tvinges til å kartlegge sitt eget trussellandskap.
- Valgrelaterte DDoS-angrep blir systematisert. Etter stortingsvalget 2025 er det grunn til å forvente at norske kommunevalg og andre demokratiske prosesser systematisk målrettes med koordinerte DDoS-kampanjer offentlig krevd på sosiale medier, som en del av en bredere hybridkrigsstrategi.
- AI-generert deepfake-svindel rammer norske bedrifter. CEO-svindel via AI-genererte videoer eller lydopptak av ledere for å autorisere ulovlige transaksjoner vil øke markant. Recorded Future dokumenterer at deepfake-aktivert svindel økte 10 ganger fra 2024 til 2025.
- Nordisk cybersikkerhetssamarbeid formaliseres. Presset fra nasjonal lovgivning og det reelle trusselbildet vil drive frem et mer formalisert nordisk samarbeid om deling av trusseletterretning, felles responskapasitet og koordinert tilsyn, potensielt med utgangspunkt i North European Cyber Days i Oslo november 2026.
North European Cyber Days 2026: Oslo tar Ansvar
Mot en slik bakgrunn er det positivt at Oslo er valgt som vertsby for North European Cyber Days 2026. Konferansen, som finner sted 3. og 4. november 2026, samler ledere innen cybersikkerhet, kunstig intelligens og kritiske sektorer fra hele Nord-Europa for å diskutere felles nordisk respons på de truslene Sopra Steria og DNV dokumenterer i sine respektive 2026-rapporter.
Forumnordic understreker at Norges neste kapittel innen cyberforsvaret ikke handler om å koble til flere systemer, men om å herde de systemene som allerede driver landet. Det er en erkjennelse som resonerer direkte med funnene i Sopra Steria-rapporten og som peker mot et nødvendig skifte i nasjonal sikkerhetsstrategi.
Hva Norske Virksomheter Bør Gjøre Nå
Sopra Steria og DNV konvergerer mot de samme anbefalingene. For norske virksomheter i kritiske sektorer peker begge rapportene på noen umiddelbare tiltak som ikke kan vente på neste budsjettsyklus.
Ledelsesforankring er den mest kritiske faktoren. At 52 prosent av norske ledere i EU-kritiske sektorer delegerer cybersikkerhetsansvar nedover i organisasjonen eller til myndighetene, er et strategisk valg med potensielt katastrofale konsekvenser. Cybersikkerhet må behandles som et styreromsspørsmål, ikke bare et IT-driftsspørsmål.
Forsyningskjedesikkerhet krever aktiv due diligence. Dokumentasjonen av nordkoreanske aktører som opererer via tredjeparts leverandørforhold understreker at ansvaret ikke slutter ved bedriftens egen perimeter. Alle leverandørrelasjoner med tilgang til systemer, data eller nettverk må vurderes kontinuerlig, ikke bare ved kontraktsinngåelse.
Mobilsikkerhet må sidestilles med PC-sikkerhet. Sopra Sterias identifisering av mobiltelefonen som primært angrepspunkt betyr at MDM-løsninger, applikasjonskontroll og mobilt Zero Trust ikke er valgfrie tillegg. De er grunnleggende forsvarsmidler for enhver virksomhet med fjernarbeidende ansatte.
Relatert Dekning
- Unit 42 2026: 89% av Brudd via Identitet, Angrep 4x Raskere
- Salt Typhoon-angrep på Norge: 200 Ofre, 80 Land
- CrowdStrike 2026: 29-Minutters Brekkpunkt, 89% AI-Angrep
- Verizon DBIR 2026: 31% Angrep Via Sårbarhet, 22.000 Brudd
- Bremanger-demningen hacket av Russland: 7,2M liter ut
- Cybersikkerhet: Praktisk veiledning for norske virksomheter
Eksterne kilder
- Sopra Steria Cybersecurity Services
- ENISA EU Threat Landscape
- ForumNordic: Norges nye fase i kritisk infrastrukturforsvar
- North European Cyber Days 2026, Oslo
- Recorded Future State of Security 2026
Ofte Stilte Spørsmål
Hva er Sopra Steria State of Cyber Security 2026?
State of Cyber Security 2026 er Sopra Sterias årsrapport om trussellandskapet i Norden, basert på observerte hendelser og angrep gjennom 2025. Rapporten dekker trusseltrender, angrepsvektorer, regulatorisk utvikling og anbefalinger for virksomheter i kritiske sektorer.
Hvorfor er Norge et høyprioritert cybermål?
Norges NATO-medlemskap, nærhet til Russland, dominerende rolle i europeisk energiforsyning via petroleumssektoren og strategiske posisjon i Arktis gjør landet til et attraktivt mål for statsstøttede aktører. Rapporten dokumenterer DDoS-angrep rettet spesifikt mot Norge i forbindelse med stortingsvalget i september 2025.
Hva er den norske digitalsikkerhetsloven?
Den norske digitalsikkerhetsloven (NIS1) ble vedtatt av Stortinget i 2025 og er formet av EUs NIS2-direktiv og DORA-forordningen. Loven krever tverrsektoriell resiliens fra virksomheter i kritiske sektorer, inkludert risikobasert sikkerhetsstyring, hendelsesrapportering og regelmessige øvelser.
Hvorfor er mobiltelefonen identifisert som primært angrepspunkt?
Sopra Steria peker på at phishing, spyware, usikre apper og rogue-nettverk gjør telefonen til en effektiv gateway for identitetstyveri og kompromittering av skybaserte bedriftsressurser. Den utvisket grensen mellom privat og jobb-relatert mobilbruk forsterker risikoen ytterligere.
Hva viste det norske vannkraftangrepet i 2025?
I april 2025 ble et norsk vannkraftanlegg hacket. Angriperne åpnet en flomport som slapp ut 500 liter vann per sekund i fire timer. WEF karakteriserte hendelsen som en bevisst sabotasjehandling og bruker den som illustrasjon på de reelle konsekvensene av OT-angrep mot kritisk infrastruktur.
Hva er beredskapsgapet for ransomware i 2026?
Ifølge Ivantis State of Cybersecurity 2026 vurderer 63 prosent av sikkerhetsprofesjonelle ransomware som høy eller kritisk trussel, mens bare 30 prosent er godt forberedt. Dette beredskapsgapet på 33 prosentpoeng har økt med gjennomsnittlig 10 prosentpoeng fra 2025 til 2026 på tvers av alle trusselkategorier.
Hva skjer på North European Cyber Days 2026?
North European Cyber Days 2026 holdes 3. og 4. november i Oslo. Konferansen samler ledere innen cybersikkerhet, AI og kritiske sektorer fra hele Nord-Europa for å adressere det nordiske trussellandskapet og diskutere felles tilnærminger til cyberresiliens.
