Det geopolitiske presset øker, angriperne blir mer profesjonelle – og ansvaret ligger hos toppledelsen. Likevel mangler mange norske virksomheter grunnleggende kontroll. Det er en farlig kombinasjon.
Når et alvorlig cyberangrep rammer en norsk virksomhet, vil toppledelsens risikoforståelse og prioriteringer bli satt under lupen. Cyberrisiko har beveget seg inn i kjernen av geopolitikken – og utgjør en forretningsrisiko på linje med finans, drift og sikkerhet.
Samtidig behandler for mange norske ledergrupper cybersikkerhet som et IT-tema. Det er en risikabel undervurdering som kan få alvorlige konsekvenser.
Norge og Norden er under økende press fra et sammensatt trusselbilde: Cyberkriminelle, statstilknyttede aktører og hybride operasjoner som kombinerer hacking, sabotasje og desinformasjon.
Truslene er ikke teoretiske
Gjennom Sopra Sterias sikkerhetssenter overvåker og håndterer vi digitale angrep mot noen av Norges mest samfunnskritiske virksomheter. Observasjonene er oppsummert i trusselrapporten State of Cyber Security 2026 – og bildet er tydelig: Angrepene blir mer KI-drevne, sofistikerte og øker i volum, mens mange fortsatt mangler grunnleggende digital beredskap.
Krigen i Midtøsten viser hvordan moderne konflikter også utspiller seg digitalt. Cyberoperasjoner brukes parallelt med militære virkemidler for å forstyrre logistikk, kommunikasjon og andre kritiske funksjoner. Eskaleringen rundt Hormuzstredet illustrerer hvor raskt globale ringvirkninger kan oppstå. Økt geopolitisk spenning gir også mer digital aktivitet fra trusselaktører som utnytter situasjonen. Konsekvensene kan ramme leverandørkjeder, kritisk infrastruktur og virksomheter langt utenfor konfliktområdet – også i Norge.
Mange norske virksomheter er dårlig forberedt på den operative håndteringen når et angrep faktisk skjer. Digital robusthet handler ikke om å unngå alle hendelser – det er ikke et realistisk mål. Det avgjørende er å begrense skade, håndtere profesjonelt og gjenopprette drift raskt.
Vi ser de samme svakhetene igjen og igjen: Mangelfull grunnsikring, svake beredskapsplaner, uklare ansvarsforhold og for lite øving under realistisk press. Hvis toppledelsen ikke har trent på kritiske hendelser, kan første øvelse skje i offentligheten.
Cybersikkerhet er ikke et IT-spørsmål
Angriperne trenger ikke lenger å bryte seg inn – de logger seg på. Gjennom phishing og sosial manipulering overtar de legitime brukerkontoer og opererer innenfor normale brukerstrømmer. Identitetskompromittering er allerede en hovedårsak til alvorlige hendelser.
Mange virksomheter mangler fortsatt phishing-resistent flerfaktorautentisering, kontroll på administrative rettigheter og løpende verifisering av tilganger. Dette er ikke avansert sikkerhet – det er grunnleggende risikostyring.
Samtidig endrer KI og skyteknologi spillereglene. Kunstig intelligens gir angripere økt fart og presisjon, mens kritisk digital infrastruktur i økende grad kontrolleres av et fåtall globale teknologileverandører. I en mer urolig geopolitisk situasjon blir også leverandørvalg et sikkerhetspolitisk spørsmål.
Gjennom Digitalsikkerhetsloven og nye EU-reguleringer som NIS2-direktivet og finansregelverket DORA er cybersikkerhet tydelig definert som et ledelsesansvar. Toppledelsen forventes å forstå risikoeksponering, leverandøravhengigheter og beredskap – og kunne dokumentere tiltak. Ansvaret kan ikke delegeres bort.
Toppledere som fortsatt behandler cybersikkerhet som et IT-spørsmål, tar en betydelig risiko.
Når et alvorlig cyberangrep rammer, er det ikke IT-avdelingen som stilles til ansvar.