{"id":164,"date":"2026-06-22T04:51:16","date_gmt":"2026-06-22T04:51:16","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/22\/dnv-nordisk-cyber-resilience-2026-52-prosent-ansvar\/"},"modified":"2026-06-28T23:49:01","modified_gmt":"2026-06-28T23:49:01","slug":"dnv-nordisk-cyber-resilience-2026-52-prosent-ansvar","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/dnv-nordisk-cyber-resilience-2026-52-prosent-ansvar\/","title":{"rendered":"DNV 2026: 52% av Norske Ledere Fraskriver Seg Cyberansvar"},"content":{"rendered":"\n

To nye rapporter publisert i mai og juni 2026 avdekker et paradoks i norsk cybersikkerhet: Norge registrerte bare 21 cyberangrep mot kritisk infrastruktur i 2025, langt under Sveriges 60, men mer enn halvparten av norske ledere i kritiske sektorer mener cybersikkerhet er noen andres ansvar<\/em>. Kombinert med at angripere n\u00e5 kompromitterer systemer p\u00e5 2,4 dager i stedet for 53 dager, tegner dette et bilde av et land som er farlig selvtilfreds.<\/p>\n\n\n\n

Norges 21 Hendelser: Lavt Tall, H\u00f8y Risiko<\/h2>\n\n\n\n

DNV Cyber publiserte i juni 2026 rapporten How Cyber Resilient Are the Nordics?<\/em>, basert p\u00e5 DNVs Cyber Threat Intelligence-teams kartlegging av antatte, mistenkte og bekreftede angrep og sikkerhetsbrudd i 2025. Norges 21 hendelser er det laveste tallet i Norden, langt unna Sverigens 60. Men DNV-analysen peker p\u00e5 at lavt hendelstall ikke betyr god beredskap.<\/p>\n\n\n\n

I rapporten fremhever DNV at blant norske ledere i sektorer som EU definerer som kritisk infrastruktur, sier 52 prosent<\/strong> at lederne i virksomheten deres ser motstandsdyktighet i kritisk infrastruktur som \u00abnoen andres ansvar\u00bb. Ytterligere 32 prosent<\/strong> er ikke engang sikre p\u00e5 om organisasjonen deres er involvert i kritisk infrastruktur overhodet. Det er et strukturelt problem som ingen brannmur eller endpoint-l\u00f8sning kan l\u00f8se alene.<\/p>\n\n\n\n

Rapporten understreker at cyberresiliens avhenger av hvor godt virksomheter, befolkning og myndigheter hver for seg<\/em> forst\u00e5r og fyller sin rolle i et sammenkoblet system. N\u00e5r over halvparten av n\u00f8kkellederne skyver ansvaret fra seg, brytes denne kjeden.<\/p>\n\n\n\n

Nordisk Sammenligning: Sverige Hardest Rammet i 2025<\/h2>\n\n\n\n

De fire nordiske landenes tallene for 2025 viser store forskjeller. Sverige peker seg ut med 60 registrerte hendelser mot norges 21. Finlands 44 og Danmarks 41 ligger begge langt over norsk niv\u00e5. DNV-metodikken inkluderer antatte, mistenkte og bekreftede hendelser, og ikke alle registreringer er fullskala datainnbrudd. Likevel gir tallene en reell pekepinn om angrepstrykk per land.<\/p>\n\n\n\n

Land<\/th>Cyber\u00adhendelser 2025<\/th>Andel av totalt (166)<\/th>Kritisk infrastruktur-ansvar: \u00abnoen andre\u00bb<\/th><\/tr><\/thead>
Sverige<\/td>60<\/td>36 %<\/td>54 %<\/td><\/tr>
Finland<\/td>44<\/td>27 %<\/td>Ikke publisert<\/td><\/tr>
Danmark<\/td>41<\/td>25 %<\/td>Ikke publisert<\/td><\/tr>
Norge<\/td>21<\/td>13 %<\/td>52 %<\/td><\/tr>
Norden totalt<\/td>166<\/td>100 %<\/td>Gjennomsnitt: ~53 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Kilder: DNV Cyber Threat Intelligence, How Cyber Resilient Are the Nordics?<\/em>, 2026. Norsk andel p\u00e5 13 prosent av de totale nordiske hendelsene er ved f\u00f8rste \u00f8yekast betryggende, men det samsvarer ikke med den generelle ansvarsfraskrivelsen blant norsk n\u00e6ringslivsledelse.<\/p>\n\n\n\n

Ansvarsparadokset: Teknologien Er Ikke Problemet<\/h2>\n\n\n\n

DNV Cyber-rapporten er tydelig p\u00e5 at de st\u00f8rste hullene i nordisk cyberresiliens ikke er tekniske. Det handler om lederskap, eierskap og koordinering p\u00e5 tvers av sektorer. N\u00e5r 52 prosent av norske kritisk infrastruktur-ledere ser det som \u00abnoen andres ansvar\u00bb, er det ikke et IT-avdelingsproblem. Det er et styreromsproblem.<\/p>\n\n\n\n

Annika Nevaste<\/strong>, seniorr\u00e5dgiver hos DNV Cyber, formulerte det slik i tilknytning til lanseringen av den svenske versjon av rapporten i februar 2026: \u00abRapporten v\u00e5r sender et klart signal: 54 prosent av ledere i kritisk infrastruktur betrakter nasjonal cyberresiliens som noen andres ansvar. Det er ikke en teknisk utfordring, men en lederutfordring.\u00bb Norske tall er tilsvarende: 52 prosent.<\/p>\n\n\n\n

Dette er et systemisk problem. Kraftselskaper antar at myndigheter h\u00e5ndterer trusler p\u00e5 nasjonalt niv\u00e5. Myndigheter antar at selskapene har egne sikkerhetsteam. Sikkerhetsteamene antar styret har definert risikoappetitt. Ingen definerer helhetlig hvem som egentlig<\/em> eier ansvaret n\u00e5r et angrep treffer forsyningskjeden.<\/p>\n\n\n\n

Truesec Nordic CISO Report 2026: Alvorlige Hendelser Stabiliserer Seg<\/h2>\n\n\n\n

Stockholm-baserte Truesec publiserte i mai 2026 sin tverrnordiske CISO-rapport, basert p\u00e5 dybdeintervjuer med Chief Information Security Officers fra ledende private og offentlige virksomheter i Norden. Funnene er delvis oppmuntrende, men konteksten gj\u00f8r dem mer nyansert.<\/p>\n\n\n\n

Bare 9 prosent<\/strong> av de intervjuede CISOene sier antall alvorlige cyberhendelser har \u00f8kt de siste to \u00e5rene. I den forrige rapporten fra 2024 rapporterte 53 prosent<\/strong> en \u00f8kning. Det kan virke som et gjennombrudd, men Truesec understreker at nordiske organisasjoner ikke har blitt angrepet sjeldnere. De har blitt bedre til \u00e5 stoppe angrepene f\u00f8r de eskalerer.<\/p>\n\n\n\n

If\u00f8lge Truesec-rapporten rapporterer 91 prosent<\/strong> av de spurte CISOene om stabile alvorlighetsniv\u00e5er, mot bare 29 prosent i 2024. Det inneb\u00e6rer en markant forbedring i defensiv kapasitet p\u00e5 sv\u00e6rt kort tid. Forklaringen er todelt: bedre deteksjonsverkt\u00f8y og mer modne prosesser for hendelsesh\u00e5ndtering.<\/p>\n\n\n\n

\u00abNordiske organisasjoner har styrket sin cyberresiliens betydelig over de siste to \u00e5rene,\u00bb skriver Truesec i sin rapport. \u00abAntall alvorlige cyberhendelser har stabilisert seg til tross for \u00f8kt trussselaktivitet.\u00bb Det er et positivt resultat, men det m\u00e5 leses i lys av at trusselakt\u00f8rene har blitt dramatisk mer effektive.<\/p>\n\n\n\n

AI Gj\u00f8r Angripere 22 Ganger Raskere<\/h2>\n\n\n\n

Det mest alarmerende funnet i Truesec Nordic CISO Report 2026 handler om angrepstempoet. Gjennomsnittlig tid en trusselakt\u00f8r bruker p\u00e5 \u00e5 kompromittere en m\u00e5lrettet organisasjon falt fra 53 dager i 2024 til 2,4 dager i 2026<\/strong>. Det er en 22 ganger raskere kompromitteringstid, drevet av AI-aktiverte angrepskjeder.<\/p>\n\n\n\n

I praksis betyr dette at den tradisjonelle \u00abdetektere innen 30 dager\u00bb-modellen er utdatert. Angripere som brukte ukesvis p\u00e5 rekognosering og lateral bevegelse gjennomf\u00f8rer n\u00e5 hele angrepssyklusen fra f\u00f8rste tilgang til full kompromittering p\u00e5 under tre d\u00f8gn. For norske virksomheter med helgevakt og manuelle logggjennomganger mandag morgen er dette et kritisk gap.<\/p>\n\n\n\n

Parallelt melder de fleste CISOer om en kraftig \u00f8kning i antall<\/em> mindre hendelser og angrepsfors\u00f8k. Truesec tolker dette som bedre deteksjon, men det representerer ogs\u00e5 et \u00f8kt st\u00f8yniv\u00e5 som kan skjule m\u00e5lrettede angrep. Sikkerhetsoperasjonssentre som drukner i varsler fra automatiserte angripere kan miste et presisjonsstyrt statlig angrep i mengden.<\/p>\n\n\n\n

Kritisk Infrastruktur i Faresonen: Energi, Maritim og Helse<\/h2>\n\n\n\n

Norge har tre sektorer som er s\u00e6rlig eksponert og som representerer disproportional nasjonal risiko: energi (olje, gass og kraft), maritim logistikk og helsevesen. Alle tre er tett sammenkoblet i den norske forsyningskjeden, og alle tre er opplistet som kritisk infrastruktur under NIS2-direktivet som ble gjeldende i EU fra 2023 og som norske akt\u00f8rer tilpasser seg gjennom E\u00d8S-avtalen.<\/p>\n\n\n\n

ForumNordic oppsummerte i mars 2026 at norsk kritisk infrastruktur-sikkerhet n\u00e5 er i en ny fase, drevet av tre parallelle krefter: \u00f8kt statlig trusselaktivitet fra Russland og Kina, strengere EU-regulering, og et politisk klima der cybersikkerhet er h\u00f8yere p\u00e5 den nasjonale sikkerhetsagendaen enn noensinne. Forskningsr\u00e5det i Norge kunngjorde i 2026 et eget utlysningsrunde spesifikt for samfunnssikkerhet og beredskap, et signal om at forskningsmilj\u00f8ene skal kobles tettere p\u00e5 beredskapspraksis.<\/p>\n\n\n\n

NordForsk-prosjektet CyberResilient-Nordic samler ekspertise fra energi-, luftfart- og maritim sektor i et tverrfaglig nordisk forskningsnettverk. Prosjektet er eksplisitt innrettet mot cybermotstandsdyktighet og digital suverenitet i kritisk infrastruktur, og speiler en bredere erkjennelse av at enkeltsektor-tiln\u00e6rminger er utilstrekkelige i en tid der IT-systemer, operasjonsteknologi (OT) og forsyningskjeder er dypt integrerte.<\/p>\n\n\n\n

EU Cyber Resilience Act: September 2026 Endrer Rapporteringskravene<\/h2>\n\n\n\n

EU Cyber Resilience Act (CRA) tr\u00e5dte i kraft i desember 2024 og setter obligatoriske cybersikkerhetskrav for alle \u00abprodukter med digitale elementer\u00bb som selges i EU. Det er en av de bredeste EU-forordningene med direkte relevans for produktsikkerhet, og den treffer norske teknologi- og industribedrifter gjennom E\u00d8S-avtalen.<\/p>\n\n\n\n

Den kritiske datoen for norske virksomheter er 11. september 2026<\/strong>. Fra den dato trer kravene om s\u00e5rbarhetsh\u00e5ndtering og hendelsesrapportering i kraft. Produsenter, import\u00f8rer og distribut\u00f8rer av digitale produkter m\u00e5 da ha etablert prosesser for \u00e5 dokumentere komponenter (inkludert en SBOM, Software Bill of Materials), adressere s\u00e5rbarheter uten forsinkelse, og publisere informasjon om sikkerhetsoppdateringer.<\/p>\n\n\n\n

De \u00f8vrige<\/em> kravene i CRA, blant annet krav til \u00absikker design\u00bb-prinsipper og kravene til produktenes egentlige tilstand ved markedsintroduksjon, trer f\u00f8rst i kraft i desember 2027<\/strong>, etter en tre\u00e5rig overgangsperiode. Men virksomheter som venter til 2027 risikerer \u00e5 komme bakp\u00e5. Produktutviklingssykluser tar typisk 18-24 m\u00e5neder, noe som betyr at alle produkter som designes i dag m\u00e5 ta hensyn til CRA-kravene.<\/p>\n\n\n\n

Manglende etterlevelse kan medf\u00f8re tilbaketrekning av produkter fra markedet og alvorlige b\u00f8ter. CRA-kravene er ikke tilgjengelige for tolkningsfleksibilitet: de gjelder for alt fra industrielle kontrollsystemer til smarthjemenheter, s\u00e5 lenge de er koblet til internett eller kan oppdateres eksternt.<\/p>\n\n\n\n

NIS2 og Norsk Tilpasning: Hvem Er Ansvarlig?<\/h2>\n\n\n\n

NIS2-direktivet, som i EU tr\u00e5dte i kraft i oktober 2024, utvider sikkerhetskravene og tilsynsplikten til \u00e5 dekke langt flere sektorer og akt\u00f8rer enn det opprinnelige NIS-direktivet. For Norge, som implementerer EU-direktiver gjennom E\u00d8S-avtalen, p\u00e5g\u00e5r tilpasningsprosessen. Norske myndigheter jobber med \u00e5 implementere NIS2 i norsk lov, men det er en prosess med noe tidsetterslep.<\/p>\n\n\n\n

Direktivet stiller krav til risikovurdering, hendelsesrapportering innen 24 timer til nasjonale myndigheter, og styrelseansvar for cybersikkerhet. Det siste punktet er direkte relevant for DNV-funnene om ansvarsfraskrivelse: NIS2 plasserer eksplisitt ansvar hos toppledelsen og gj\u00f8r styremedlemmer personlig ansvarlige for manglende cybertiltak.<\/p>\n\n\n\n

Det betyr at de 52 prosentene av norske ledere som anser cybersikkerhet som \u00abnoen andres ansvar\u00bb, ikke kan opprettholde den holdningen under NIS2. Direktivet gir tilsynsmyndighetene hjemmel til \u00e5 p\u00e5legge b\u00f8ter, og styret kan i ytterste konsekvens holdes ansvarlig. Norsk n\u00e6ringsliv er i en fase der regulering tvinger frem det ansvaret DNV-rapporten viser at frivilligheten ikke har klart \u00e5 skape.<\/p>\n\n\n\n

Budsjettbildet: 68% Av Nordiske CISOer Fikk Mer Penger i 2026<\/h2>\n\n\n\n

Et av de mer oppsiktsvekkende funnene i Truesec Nordic CISO Report 2026 er at budsjettbildet er relativt stabilt, selv om trusselniv\u00e5et har \u00f8kt. 68 prosent<\/strong> av de spurte nordiske CISOene rapporterte om budsjett\u00f8kning i 2026. Til sammenligning rapporterte 66 prosent<\/strong> \u00f8kning i 2024. Kun 9 prosent<\/strong> opplevde budsjettnedgang, tilsvarende som i 2024.<\/p>\n\n\n\n

Det er positivt at sikkerhetsbudsjetter holder seg. Men det er viktig \u00e5 nyansere: budsjett\u00f8kning i prosent av en lav base er ikke det samme som tilstrekkelig investering. En virksomhet som \u00f8ker sikkerhetsinvesteringene med 10 prosent fra et underfinansiert utgangspunkt, er fortsatt underfinansiert.<\/p>\n\n\n\n

Indikator<\/th>2024<\/th>2026<\/th>Endring<\/th><\/tr><\/thead>
Alvorlige hendelser \u00f8kt (% av CISOer)<\/td>53 %<\/td>9 %<\/td>-44 prosentpoeng<\/td><\/tr>
Stabile alvorlige hendelser<\/td>29 %<\/td>91 %<\/td>+62 prosentpoeng<\/td><\/tr>
Budsjett\u00f8kning rapportert<\/td>66 %<\/td>68 %<\/td>+2 prosentpoeng<\/td><\/tr>
Budsjettnedgang rapportert<\/td>9 %<\/td>9 %<\/td>Ingen endring<\/td><\/tr>
Gj.sn. kompromitteringstid<\/td>53 dager<\/td>2,4 dager<\/td>-96 % (22x raskere)<\/td><\/tr>
CISOer sv\u00e6rt trygge p\u00e5 deteksjon<\/td>32 %<\/td>Ikke oppdatert<\/td>Avventes<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Kilde: Truesec Nordic CISO Report 2026, Vivicta Nordic Cyber Resilience 2024. Tallene for deteksjonskonfidans (32 %) stammer fra den tverrnordiske Vivicta-unders\u00f8kelsen fra 2024 som dekket Finland, Norge og Sverige.<\/p>\n\n\n\n

Norske Cyberhendelser i 2025-2026: En Oppdatert Kronologi<\/h2>\n\n\n\n

De 21 norske hendelsene i DNV-tallene er aggregerte. Noen konkrete norske saker fra perioden 2025 til f\u00f8rste halv\u00e5r 2026 illustrerer bredden i trusselbildet:<\/p>\n\n\n\n

Den kinesiske statlige gruppen Salt Typhoon kompromitterte telekominfrastruktur globalt, inkludert norske akt\u00f8rer. Salt Typhoons operasjoner i Norge ble del av en global kampanje som totalt rammet mer enn 200 organisasjoner i over 80 land. Angrepet er blant de mest alvorlige etterretningsoperasjonene mot vestlig telekominfrastruktur p\u00e5 flere ti\u00e5r.<\/p>\n\n\n\n

I tillegg rammet en rekke supply chain-angrep norske bedrifter gjennom s\u00e5rbare tredjepartsleverand\u00f8rer. FortiClient EMS-s\u00e5rbarheten (CVE-2026-48720) ble aktivt utnyttet mot norske bedriftsnettverk av infostjelere, if\u00f8lge NSM og norske sikkerhetsmilj\u00f8er.<\/p>\n\n\n\n

AI-drevet phishing mot nordiske m\u00e5l \u00f8kte med 14 ganger i 2025 og utgjorde 44 prosent av alle phishingangrep i regionen, noe som har \u00f8kt presset p\u00e5 both brukere og e-postsikkerhetsl\u00f8sninger markant.<\/p>\n\n\n\n

NordForsk CyberResilient-Nordic: Tverrfaglig Forskning for Kritiske Sektorer<\/h2>\n\n\n\n

Et av de mer strukturelle tiltakene for \u00e5 adressere den fragmenterte ansvarsmodellen er NordForsk-finansierte CyberResilient-Nordic, et tverrsektorielt nordisk forskningsnettverk som samler ekspertise fra energi, luftfart og maritim sektor for \u00e5 fremme cyberresiliens og digital suverenitet i kritisk infrastruktur.<\/p>\n\n\n\n

Prosjektet er eksplisitt rettet mot det som DNV identifiserer som selve kjerneproblemet: siloisert ansvarstenkning. Energisektoren har sine eksperter, maritim sektor sine, helsevesenet sine. Men i en tilkoblet verden propagerer angrep p\u00e5 tvers av sektorgrenser. En kompromittert leverand\u00f8r av industriell programvare til kraftsektoren kan like gjerne ramme en maritim operat\u00f8r som bruker samme underleverand\u00f8rprogramvare.<\/p>\n\n\n\n

CyberResilient-Nordic er et konkret svar p\u00e5 dette, ved \u00e5 bygge et felles kunnskapsgrunnlag, metodikk og responspraksis p\u00e5 tvers av sektorer i Norden. Prosjektet er del av en bredere nordisk erkjennelse, synliggjort i Nordisk r\u00e5ds planlagte tema\u00adsesjon om cybertrusler og pandemi\u00adberedskap, der de nordiske ministrene for beredskapplanlegging og etterretning samles.<\/p>\n\n\n\n

North European Cyber Days 2026: Oslo Tar Sentral Rolle<\/h2>\n\n\n\n

Den 3. og 4. november 2026 er Oslo vertskap for North European Cyber Days 2026<\/em>, arrangert av den europeiske cybersikkerhetsorganisasjonen ECSO. Det er andre utgave av arrangementet, og bringer sammen cybersikkerhets-, AI- og kritisk sektors ledere. De to beste cybersikkerhetsselskapene som deltar i den nordiske utgaven vil nomineres til ECSO CISO Choice Award.<\/p>\n\n\n\n

Valget av Oslo som vertsby for dette flaggskipet av europeisk cybersikkerhetsarrangementer understreker at Norges posisjon i den europeiske cybersikkerhets\u00f8kosystemet er i vekst, selv om de interne tallene fra DNV-rapporten antyder at det er et stykke \u00e5 g\u00e5 for \u00e5 omgj\u00f8re den internasjonale posisjoneringen til operasjonell modenhet p\u00e5 virksomhetsniv\u00e5.<\/p>\n\n\n\n

Hva B\u00f8r Norske Virksomheter Gj\u00f8re N\u00e5?<\/h2>\n\n\n\n

DNV-rapporten og Truesec CISO-rapporten peker mot et felles handlingspunkt: ansvaret for cybersikkerhet m\u00e5 forankres hos toppledelsen, ikke delegeres bort fra den. Her er fem konkrete tiltak basert p\u00e5 rapportfunnene:<\/p>\n\n\n\n