Økt risiko for cyberangrep mot Norge

DNV Cyber Priority Report avdekker alvorlige sikkerhetshull i norske virksomheters forsyningskjeder med mulige konsekvenser for økonomien, samfunnet og menneskeliv. Den globale studien er gjennomført blant 1150 sikkerhetsfagfolk i virksomheter innen kritisk infrastruktur – på tvers av sektorer som energi, maritim og helse.  

4 av 10 norske respondenter oppgir at virksomheten deres ikke har full oversikt over sikkerhetsrisikoene i forsyningskjeden. Nesten like mange (39 %) oppgir at selskapet kan ha blitt infiltrert uten at leverandører har rapportert hendelsen. 

Sikkerhetshull i beredskapen 
Politiets sikkerhetstjenestes (PST) sikkerhetsvurdering for 2025 peker på økende og mer uforutsigbare trusler fra statlige aktører. Ifølge Nasjonal sikkerhetsmyndighets (NSM) direktør Arne Christian Haugstøyl er altfor mange norske virksomheter «åpne som låvedører» og E-tjenesten fastslår at verden har blitt farligere det siste året.  

«Fred kan ikke lenger tas for gitt. Samtidig ser vi en økende trend hvor leverandører blir brukt som inngangsport for cyberangrep mot kritiske samfunnsfunksjoner. Det hjelper lite om vi er aldri så nøye med å låse inngangsdøren hvis bakdøren står på gløtt. En manglende oversikt over forsyningskjeden skaper et alvorlig sikkerhetshull i Norges beredskap,» sier Arve Johan Kalleklev, direktør for DNV Cyber. 

«9 av 10 norske virksomheter i studien har økt fokus på cybersikkerhet som følge av geopolitiske spenninger, men funnene etterlater ingen tvil om at mer må gjøres for å sikre verdier og liv,» påpeker Kalleklev. 

Energibransjen særlig utsatt 
Norges lange kystlinje og omfattende leverandørindustri gjør kraftsektoren til et hovedmål for statssponsede cyberangrep gjennom forsyningskjeden.  

NVE har de siste årene styrket veiledningen for digital sikkerhet i kraftbransjen, blant annet gjennom rapporter om sikkerhet i leverandørkjeder og skytjenester i kritisk infrastruktur, men den nye rapporten fra DNV Cyber viser at sårbarhetene fortsatt er betydelige.  

«Kraftsektoren kombinerer fysisk og digital infrastruktur i en grad få andre sektorer gjør, og takten i digitaliseringen har på kort tid gjort operasjonelle teknologisystemer (OT) mer komplekse og mer utfordrende å beskytte enn tradisjonelle IT-systemer.  

77 % av norske aktører mener virksomheten er mer sårbar enn noensinne for cyberangrep mot denne typen miljøer. Samtidig har norsk kraft blitt enda mer kritisk å sikre for oss selv og for Europa etter krigen i Ukraina. Det krever målrettede tiltak,» legger Arve Johan Kalleklev til. 

Mangel på kompetanse 
I Totalberedskapsmeldingen som nylig ble lagt frem introduserte regjeringen en cyberberedskapsordning hvor næringslivet spiller en nøkkelrolle i beredskapen. Samtidig påpeker justis- og beredskapsministeren at kompetansemangelen innen cybersikkerhet er på et alarmerende nivå. 

«Manglende kompetanse forsterker sårbarhetene i forsyningskjedene ytterligere. Studien indikerer at opplæringen i 82 % av norske virksomheter ikke er tilstrekkelig nok til å håndtere sofistikerte angrep, og 84 % peker på ansatte som det svakeste leddet,» sier Kalleklev. 

Reguleringer hjelper 
På den positive siden vil EU-direktiver som NIS2 og Cyber Resilience Act (CRA) skjerpe kravene til risikostyring i forsyningskjeden for industrielle systemer. Ifølge DNV Cyber-rapporten er strengere regulering den største driveren for å investere i bedre cybersikkerhet.  

Kalleklev peker på modenhetsvurderinger for cybersikkerhet som et annet viktig bidrag til en positiv utvikling. DNV har sammen med forsikringsselskapet Gjensidige utviklet et modenhetsverktøy som tilbys industrien gjennom Finans Norge Forsikring Drift. Nå etterlyser han en dugnad i norsk næringsliv for å tette sikkerhet- og kompetansegapet i forkant av EU-direktivene.  

«Vi ser en positiv utvikling, men funnene viser også at vi har en vei å gå. Sikkerhetskulturen må styrkes, og ledere og ansatte må få bedre opplæring i hvordan de skal håndtere dagens trusler. Cybersikkerhet er ikke lenger bare en sak for ITavdelingen – det er et toppleder- og styreansvar. Selskaper må teste sin egen responskapasitet, stille strengere krav til leverandører og bygge en sterk sikkerhetskultur, avslutter Kalleklev.  

Flere tall fra undersøkelsen:   

• 71 % mener at trusselen mot kritisk infrastruktur i Norge ikke blir tatt alvorlig nok av myndighetene, sett i lys av dagens geopolitiske situasjon. 

• 69 % oppgir at ledelsen ser cybersikkerhet som den største risikoen for virksomheten 

• 77 % oppfatter at ledelsen har tilstrekkelig forståelse av risikoen 

• 69 % oppgir at virksomheten har investert mer i cybersikkerhet i år enn i fjor 

• Blant norske virksomheter oppgis å holde tritt med sofistikerte trusler som den største utfordringen for å møte nye cybersikkerhetreguleringer. 

Om Cyber Priority  

DNV Cyber Priority-undersøkelse fokuserer på endrede holdninger og tilnærminger til cybersikkerhet i viktige industrisektorer. Den nyeste utgaven av undersøkelsen for 2024/25 er basert på en spørreundersøkelse blant 1150 fagpersoner på tvers av industrisektorer, samt intervjuer med bransjeledere. Undersøkelsen ble gjennomført mellom september 2024 og januar 2025. 

Rapporten Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformation utforsker synspunktene til 375 energifagfolk som deltok i undersøkelsen. Den er supplert med dybdeintervjuer og analyser fra DNV Cybers eksperter og bransjeledere, inkludert representanter fra E-REDES, Siemens Energy, Fortified Technologies og Fortum. 

Rapporten Maritime Cyber Priority 2024/25: Managing Cyber Risk to Enable Innovation utforsker synspunktene til nærmere 500 maritime fagfolk som deltok i undersøkelsen. Den er også supplert med dybdeintervjuer og analyser fra bransjeledere og DNV Cybers eksperter. 

Om DNV Cyber

DNV Cyber er en ledende leverandør av cybersikkerhetstjenester som tilbyr skreddersydde løsninger til bedrifter med komplekse behov for å gjøre dem tryggere og mer robuste. Et globalt team bestående av mer enn 500 eksperter med over 30 års erfaring innen IT- og industriell kontrollsystem-sikkerhet hjelper kunder på tvers av bransjer med å prestere bedre.

DNV Cyber identifiserer, prioriterer og kommuniserer risiko, veileder bedrifter gjennom endringer i regelverk og sørger for at cybersikkerheten er i tråd med kundenes forretningsmål. Med effektive teknologier og innsikt i trusselbildet hjelpe tjenesteleverandøren med å sikre investeringer i cybersikkerhet og innføre kostnadsefektive sikkerhetstiltak.

DNV Cyber avdfekker og håndterer trusler og sørger for kontinuerlig forbedring og rask gjenoppretting. Ved å samarbeide og dele innsikt, setter DNV Cybers eksperter nye bransjestandarder og leverer beste praksis, beskytter det som er kritisk og gjør det mulig for bedrifter å blomstre.

DNV Cyber ble etablert i 2024 gjennom sammenslåingen av Nixu, Applied Risk og DNV.