Cloudahead - Oppdatert

Det digitale trusselbildet for SMB i Norge Q1 2026

Skrevet av Cloudahead | 13.3.2026

NSM fant vesentlige mangler hos norske virksomheter på tvers av alle sektorer. PST forventer KI-drevne angrep mot norske bedrifter i år. Eidsiva stoppet 250 000 cyberangrep på Innlandet alene i årets to første måneder. Her er hva som faktisk har skjedd.

Tallene snakker for seg

I januar og februar 2026 stoppet Eidsiva Digital over 250 000 cyberangrep rettet mot bedrifter på Innlandet. Selskapet stoppet over én million angrep totalt i 2024.

6. februar la NSM, PST og E-tjenesten frem sine trusselvurderinger for 2026. Tre viktige tall å merke seg:

  • 250 000 cyberangrep stoppet av Eidsiva Digital mot bedrifter på Innlandet — i årets to første måneder alene.
  • 258 dager er gjennomsnittlig tid fra et angrep starter til det oppdages og kontrolleres (IBM 2024). I nesten ni måneder kan angripere ha tilgang uten at du vet det.
  • 1 av 5 norske bedrifter opplever forsøk på digital kriminalitet (NSR). 

NSM og PST forventer begge at norske virksomheter vil bli utsatt for cyberoperasjoner der KI-verktøy spiller en viktig rolle i 2026. Dette er ikke fremtidsscenarioer. Det er myndighetenes vurdering av hva som skjer nå.

Hvem angriper — og hvorfor akkurat deg?

Det er lett å tenke at angripere er ute etter de store aktørene. Virkeligheten er mer ubehagelig.

NSR oppsummerer det slik: «En liten underleverandør med svak sikkerhet kan være inngangsporten som feller en samfunnskritisk aktør.» SMB-er er ikke bare mål i seg selv — de er veien inn til større organisasjoner. Din tilgang til kundenes systemer og din plassering i verdikjeden gjør deg interessant.

Trusselaktørene er mer sammensatte enn mange tror. Fire kategorier er relevante for norske SMB-er:

  • Statsstøttede APT-grupper. Russland er den desidert mest aggressive aktøren mot norsk infrastruktur — det dokumenterte TV2-dokumentaren «Hva gjorde denne russeren i Norge?» (mars 2026) konkret: en russisk aktør kartla i årevis norske vannverk, havner og eiendommer nær strategiske mål. Kina opererer mer diskret, men er den mest aktive aktøren globalt på industrispionasje. Iran og Nord-Korea er også aktive — særlig Nord-Korea, som anslås å finansiere store deler av statsbudsjettet gjennom kryptovalutasvindel og ransomware. For SMB er trusselen oftest indirekte: via leverandørkjeder eller som springbrett til et større mål.
  • Organiserte kriminelle grupper. Profesjonelle, økonomisk motiverte og opererer i industriell skala. Driver ransomware-as-a-service og BEC-svindel (direktørsvindel). NSR trekker frem en urovekkende utvikling: grensen mellom kriminelle grupper og statsstøttede aktører viskes ut. Russiske myndigheter ser gjennom fingrene med grupper som angriper vestlige mål.
  • Hacktivister. Ideologisk motiverte grupper som angriper for å sende et politisk budskap. Pro-russiske grupper har gjennomført DDoS-angrep mot norske myndigheter og medier etter norsk støtte til Ukraina. Sjelden destruktivt, men skaper driftsavbrudd og negativ oppmerksomhet.
  • Innsidertrusler. Ofte glemt. Bevisst sabotasje er sjeldent, men ansatte som klikker feil, deler filer ukryptert eller beholder tilgang etter de slutter, er den vanligste innsidetrusselen. Særlig relevant ved avsluttede arbeidsforhold og ved underleverandører med systemtilgang.

Og KI gir alle disse gruppene et kraftig verktøy. Den norskspråklige phishing-e-posten med skrivefeil som avslørte forsøket — den finnes ikke lenger.

Hva som faktisk skjedde: Extend AS

Det tydeligste eksempelet på leverandørangrep fra det siste halvåret er Extend AS, et programvareselskap som ble rammet av løsepengevirus i juli 2025.

Extend AS — løsepengevirus, juli 2025

  • Servere kryptert, dokumenter stjålet. Fire kommuner berørt: Kristiansand, Drammen, Ringsaker og Bergen. NTNU rammet.
  • Datatilsynet mottok mer enn ti avviksmeldinger og karakteriserte saken som «potensielt alvorlig».
  • Stjålet: beredskapsplaner, risikovurderinger og personopplysninger om ansatte.
  • Extend hadde over 350 000 brukere og 300 kunder. Ingen av de berørte var det direkte målet — de ble rammet fordi de brukte samme leverandør.

Det er verdikjedeangrep i praksis.

Hva koster det?

Østre Toten brukte minimum 35 millioner kroner på opprydding etter ransomware-angrepet i 2021 — pluss 4 millioner i gebyr fra Datatilsynet for manglende sikring av personopplysninger.

Datatilsynet beskriver kostnadsspekteret: fra «irriterende» hvis systemer raskt gjenopprettes, til «katastrofalt» hvis sensitiv informasjon er på avveier og virksomhetskritiske data er tapt permanent.

Andre kostnader som ofte undervurderes:

  • Driftstopp i dager til uker mens systemer gjenopprettes
  • Omdømmetap som ifølge fersk nordisk benchmark er vanskeligere å reparere enn tekniske systemer
  • Manglende forsikringsdekning — norske SMB-er har nesten ikke tegnet cyberforsikring, og der forsikring finnes kan utbetaling nektes hvis sikkerhetssystemer ikke var oppdatert
  • Mange mangler oppdaterte beredskapsplaner — til tross for at Norge har stått i en alvorlig sikkerhetspolitisk situasjon i flere år
  • Ansatte er tildelt sikkerhetsroller de ikke er klar over, eller ikke har ressurser til å ivareta
  • Sensitiv informasjon sendes ukryptert over internett
  • Egne systemer overvåkes ikke tilstrekkelig — angrep kan pågå i måneder uten at noen oppdager det

Hva NSM fant

NSMs Risiko 2026 beskriver ikke bare trusler utenfra — den beskriver hva NSM faktisk finner når de besøker norske virksomheter. Funnene går igjen på tvers av alle sektorer:

«Det er vesentlige mangler i det forebyggende sikkerhetsarbeidet til virksomheter i Norge. Disse sårbarhetene går igjen på tvers av sektorer.» — NSM Risiko 2026, 6. februar 2026

Hva du kan gjøre

NSMs funn er tydelige på hva som mangler. Her er fire konkrete tiltak som adresserer det direkte:

1. Ha en beredskapsplan — og øv på den

Østre Toten hadde backup. De hadde ikke øvd på å bruke den. Det kostet måneder og 35 millioner kroner.

En beredskapsplan trenger ikke være komplisert: hvem varsler hvem, hvem tar beslutninger, hvem kontaktes eksternt, og klarer dere å gjenopprette kritiske systemer på en mandag morgen etter et helgeangrep? Øv på det — ikke les om det.

2. Gjør sikkerhetsopplæring til en fast rutine

NSM finner at ansatte har sikkerhetsansvar de ikke vet om. Angriperne vet at det er enklere å lure et menneske enn å bryte gjennom teknisk sikkerhet. Korte, jevnlige påminnelser — hva ser en phishing-e-post ut som i 2026, hva gjør du hvis du klikker feil, hvem varsler du — gir langt større effekt enn ett langt kurs i januar.

3. Rydd opp i hvem som har tilgang til hva

Extend-angrepet viser at en kompromittert leverandør med systemtilgang er nok til å ramme hundrevis av kunder. Gå gjennom hvem som faktisk har tilgang til systemene dine: ansatte som har sluttet, leverandører med videre tilgang enn nødvendig, gamle kontoer ingen bruker lenger. Det tar en ettermiddag og koster ingenting.

4. Test backupen — ikke bare ha den

Backup som aldri er testet, er ikke backup. Spørsmålet er ikke om du tar backup — spørsmålet er om du faktisk kan gjenopprette kritiske data på en tirsdag morgen når alt har stoppet opp. Backupen skal ligge adskilt fra produksjonsmiljøet, slik at den ikke også låses ved et ransomware-angrep.

Kilder

1.    NSM — Risiko 2026: Dagens valg – morgendagens risiko, 6. februar 2026 (nsm.no/regelverk-og-hjelp/rapporter/risiko-2026)
2.    PST — Trusselvurdering 2026, 6. februar 2026 (pst.no)
3.    NSR — Oppsummering av EOS-tjenestenes trusselvurderinger for 2026 (nsr-org.no)
4.    Eidsiva Digital — 250 000 stoppede angrep på Innlandet, jan–feb 2026 (eidsiva.no)
5.    Kripos NC3 — Rapport om cyberangrep mot norsk næringsliv, 2025 (kripos.no)
6.    NRK / Datatilsynet — Dekning av Extend AS-angrepet, juli 2025 (nrk.no / datatilsynet.no)
7.    IBM — Cost of a Data Breach Report 2024 (ibm.com/security)
8.    Finansavisen — Manglende cyberforsikring i norsk næringsliv (finansavisen.no)
9.    NetNordic — Nordisk benchmark: norske virksomheter og cyberrisiko, mars 2026 (netnordic.no)
10.    TV2 — «Hva gjorde denne russeren i Norge?» — dokumentarserie om russisk kartlegging av norsk infrastruktur, mars 2026 (tv2.no/spesialer/nyheter/hva-gjorde-denne-russeren-i-norge)
Vis hele posten