Trusselvurderingene 2026: Et lederansvar norsk næringsliv ikke kan ignorere

Flere stater driver aktiv etterretningsvirksomhet mot norske virksomheter, særlig innen forsvar, energi, teknologi, maritim sektor og forskning. Trusselen fra Russland og Kina fremheves som vedvarende høy. 

Digital utpressing, herunder løsepengevirus (ransomware), er en alvorlig og økende trussel. Kriminelle aktører krypterer data og krever løsepenger, ofte kombinert med trusler om offentliggjøring av stjålne data. Angrepene blir stadig mer profesjonaliserte, blant annet gjennom løsepengevirus som tjeneste (Ransomware-as-a-Service). Konsekvensene kan være langvarig driftsstans, betydelige økonomiske tap, personvernbrudd og omdømmeskade. Virksomheter med tilgang til sensitiv teknologi eller kritisk infrastruktur er særlig utsatt. 

Ansatte kan bevisst eller ubevisst utnyttes gjennom sosial manipulering, bestikkelser eller press. Svak sikkerhetskultur, manglende opplæring og utilstrekkelig tilgangsstyring gjør virksomheter sårbare – en risiko som forsterkes av hybride arbeidsformer. 

Statlige og ikke-statlige aktører benytter i økende grad virkemidler som kombinerer cyberangrep, desinformasjon, økonomisk press og sabotasje. Kunstig intelligens gjør det enklere å produsere troverdig, men falskt innhold i stort omfang. Virksomheter med roller innen kritisk infrastruktur og samfunnskritiske tjenester bør ha beredskap for å håndtere slike kampanjer, med klare kommunikasjonslinjer og rutiner for krisekommunikasjon. 

1. Styrk cybersikkerheten og forankre ansvaret i styret og toppledelsen 

Cybersikkerhet er et ledelses- og styringsansvar. Alle virksomheter bør som minimum implementere NSMs grunnprinsipper for IKT-sikkerhet. Styret bør sikre at virksomheten har oppdaterte beredskapsplaner, gjennomfører regelmessige øvelser og stiller tilfredsstillende sikkerhetskrav til tredjepartsleverandører. Styremedlemmer kan holdes ansvarlige dersom virksomheten ikke har tatt rimelige forholdsregler. 

2. Bygg en sterk sikkerhetskultur og gjennomfør risikovurderinger 

Menneskene i virksomheten er både den største sårbarheten og det viktigste forsvaret. Ledelsen bør investere i regelmessig sikkerhetsopplæring med fokus på phishing, sosial manipulering og rapportering av mistenkelige hendelser. Virksomheten bør gjennomføre helhetlige risikovurderinger som dekker digitale, fysiske og menneskelige sårbarheter, og rapportere resultatene til styret. 

3. Sikre etterlevelse av regulatoriske krav og forbered dere på ny lovgivning 

Det regulatoriske landskapet er i rask utvikling. NIS2-direktivet, sikkerhetsloven og kommende krav til digital operasjonell motstandsdyktighet stiller strengere krav til norske virksomheter. Ledelsen bør kartlegge gjeldende krav, identifisere gap og iverksette nødvendige tiltak. Manglende etterlevelse kan medføre betydelige bøter, erstatningsansvar og tap av tillit. 

Trusselbildet i 2026 krever at styret og toppledelsen tar aktivt eierskap til sikkerhetsarbeidet. De virksomhetene som lykkes er de som behandler sikkerhet som en strategisk prioritet – ikke en operasjonell kostnad. Selmer bistår jevnlig med rådgivning innen cybersikkerhet, personvern, beredskap og krisehåndtering. 

NSMs risikovurdering: https://nsm.no/getfile.php/1314962-1770630853/NSM/Filer/Dokumenter/Rapporter/Risiko%202026.pdf 

PSTs trusselvurdering: https://www.pst.no/wp-content/uploads/2026/02/Nasjonal-trusselvurdering-2026.pdf 

Politiets trusselvurdering: https://www.politiet.no/globalassets/tall-og-fakta/politiets-trusselvurdering-ptv/politiets-trusselvurdering-2026.pdf  

Ta gjerne kontakt med oss dersom dere ønsker en uforpliktende samtale om hvordan deres virksomhet kan styrke sitt sikkerhetsarbeid.