Helene JensenPST og Nasjonal sikkerhetsmyndighet (NSM) varsler i sine trusselvurderinger for 2026 at sabotasje mot norsk kritisk infrastruktur er sannsynlig, og at russisk etterretning aktivt kartlegger norske sårbarheter. Hva betyr dette for din bedrift – og hva kan du gjøre for å beskytte deg nå?
Hva sier trusselvurderingen?
Politiets sikkerhetstjeneste (PST) og NSM presenterte i februar 2026 sine nasjonale trusselvurderinger, og bildet er alvorlig. Russisk etterretning kan gjennomføre sabotasjeaksjoner mot mål i Norge i 2026, ifølge PST-rapporten «Nasjonal trusselvurdering 2026». Fremmede etterretningstjenester kartlegger norsk kritisk infrastruktur og identifiserer sårbarheter som kan utnyttes til spionasje, påvirkning og sabotasje.
I NSMs «Risiko 2026»-rapport fremheves det at cyberoperasjoner fortsatt rammer bredt – både store og små organisasjoner. Virksomheter som leverer kritiske tjenester, er nå pålagt en 24-timers varslingsfrist ved alvorlige hendelser, ifølge den oppdaterte Sikkerhetsloven og Digitalsikkerhetsloven.
Undersøkelsen «Ni av ti nordmenn frykter sabotasje» (Agderposten, 2026) viser at bevisstheten om trusselen er utbredt i befolkningen. Men bevisstheten alene er ikke nok – det handler om konkrete tiltak.
Tre sårbarheter norske bedrifter undervurderer
Norske virksomheter – særlig SMB-er – har gjennomgående svakheter som gjør dem sårbare for både cyberangrep og fysisk sabotasje, ifølge NSMs rapport:
1. Ansatte uten tilstrekkelig sikkerhetsopplæring. NSM peker på et gjentagende problem: sikkerhetsansvar tildeles ansatte som mangler bevissthet, ressurser eller kompetanse til å ivareta rollen. Resultatet er utilstrekkelig sikkerhetsoversikt. I 2026 er phishing og sosial manipulasjon fortsatt den vanligste inngangsporten for cyberangrep – og det eneste forsvaret er godt opplærte ansatte.
2. Utilstrekkelig styring av skytjenester. Norske bedrifter som bruker utenlandske skytjenester, gir fra seg noe kontroll over sin digitale infrastruktur og sine data. NSM understreker at dette reduserer virksomhetens evne til å sikre konfidensialitet, integritet og tilgjengelighet. Det er ikke nødvendigvis feil å bruke skytjenester – men det krever bevisste valg og en IT-strategi.
3. Manglende beredskapsplaner. Norges vassdrags- og energidirektorat (NVE) slår fast at kritisk norsk infrastruktur ikke er rustet for samtidige sabotasjeangrep. Det samme gjelder mange private virksomheter: de har ikke øvd på scenarier der IT-systemene er nede i dager, eller der fysisk sikkerhet er kompromittert.
Hva kan norske bedrifter gjøre konkret?
Trusselen kan virke overveldende, men de grunnleggende tiltakene er kjente og gjennomførbare. NSM anbefaler at alle virksomheter implementerer følgende:
Grunnleggende cyberhygiene: Oppdater programvare umiddelbart, bruk tofaktorautentisering overalt, og begrens tilganger til kun det ansatte trenger for jobben sin. Disse tiltakene stopper majoriteten av automatiserte angrep.
Hendelseshåndtering og gjenoppretting: Ha en plan for hva som skjer dersom systemene kompromitteres. Hvem varsles? Hva er reserverutinene? Kan driften fortsette manuelt? En IT-spesialist kan hjelpe med å utarbeide en hendelseshåndteringsplan tilpasset din virksomhets størrelse og risikoprofil.
Segmentering av nettverk: Del opp IT-infrastrukturen slik at et angrep i én del ikke automatisk sprer seg til alt. Dette prinsippet – kalt nettverkssegmentering – er en av de mest effektive beskyttelsene mot ransomware og sofistikerte angrep.
Fysisk sikkerhet: Cybertrusler og fysiske trusler henger stadig mer sammen. PST varsler at sabotasje kan rette seg mot energi, transport og kommunikasjon. For bedrifter som drifter fysisk infrastruktur, er det viktig å sikre serverrom, datasentre og kritiske anlegg mot uautorisert tilgang.
Leverandørkjeden er en sårbarhet
NSM påpeker at norske virksomheter i økende grad er eksponert via sine leverandører. Et angrep mot en underleverandør kan gi angripere tilgang til din virksomhets systemer. I 2021 rammet Kaseya-angrepet tusenvis av bedrifter globalt via en enkelt IT-leverandør – et scenario som er like aktuelt i 2026.
Gjennomfør en leverandørgjennomgang: Hvilke av dine IT-leverandører har tilgang til dine systemer? Hva er deres sikkerhetspraksis? Krever kontraktene dine at leverandørene følger definerte sikkerhetsstandarder?
En IT-sikkerhetsekspert kan gjennomføre en slik leverandørvurdering og identifisere de største risikoene i din forsyningskjede.
Lovkrav: hva er din plikt?
Fra 2026 gjelder skjerpede krav for norske virksomheter som leverer kritiske tjenester. NSMs Risiko 2026-rapport gir en detaljert oversikt over regelverkskravene, inkludert 24-timersfristen for varsling ved alvorlige hendelser og plikten til å ha dokumenterte sikkerhetsrutiner.
Manglende etterlevelse kan ikke bare gi bøter – det kan gi konsekvenser for omdømmet og forretningsmessige relasjoner. Myndigheter og store selskaper stiller i stadig større grad krav til sine leverandørers sikkerhetspraksis.
Ansattes bevissthet: den menneskelige brannmuren
Tekniske tiltak alene holder ikke. PST-rapporten understreker at fremmede etterretningstjenester aktivt rekrutterer nordmenn gjennom digitale kanaler – og at sosial manipulasjon brukes til å skaffe tilgang til sensitiv informasjon. En ansatt som klikker på en phishing-lenke eller deler sensitiv informasjon via telefon, kan gi angripere tilgang som ingen brannmur kan stoppe.
Regelmessige sikkerhetsøvelser – der ansatte trenes på å gjenkjenne phishing, deepfakes og mistenksomme henvendelser – er blant de mest kostnadseffektive tiltakene en norsk bedrift kan gjennomføre i 2026.
Ekspertens råd: start med risikovurderingen
Det viktigste første steget er å forstå din egen risikoprofil. Hva er de kritiske dataene og systemene for din virksomhet? Hvem er de sannsynlige angriperne? Hva er konsekvensene dersom de kritiske systemene dine er nede i 24 timer? 48 timer?
En erfaren IT-sikkerhetsrådgiver kan gjennomføre en strukturert risikovurdering, identifisere de viktigste sårbarhetene og hjelpe deg med å prioritere tiltak etter kost-nytte. I 2026-trusselbildet er proaktiv sikkerhet ikke lenger et konkurransefortrinn – det er en grunnleggende forutsetning for å drive virksomhet i Norge.
Denne artikkelen er for informasjonsformål. Konkrete råd om cybersikkerhet og beredskapsplanlegging bør tilpasses din virksomhets spesifikke behov og risikoprofil av en kvalifisert IT-sikkerhetsekspert.
