Hva sier NSMs Risiko 2026?

NSM-direktør Arne Christian Haugstøyl sa det rett ut: «Når NSM er ute og møter virksomheter, finner vi vesentlige mangler i det forebyggende sikkerhetsarbeidet. Disse sårbarhetene går igjen på tvers av sektorer. Mange mangler oppdaterte beredskapsplaner, til tross for at vi i flere år har stått i en alvorlig sikkerhetspolitisk situasjon».
Rapporten «Risiko 2026 – Dagens valg, morgendagens risiko» peker på fem sentrale sårbarhetsområder som norske virksomheter bør ta inn over seg:

1. Sikkerhetsstyring mangler i norske virksomheter NSM peker på sikkerhetsstyring som virksomhetens viktigste verktøy for forsvarlig sikkerhet. En gjennomgående utfordring er at ansatte er tildelt roller i sikkerhetsarbeidet som de enten ikke er klar over, eller ikke har ressurser og kompetanse til å ivareta. Resultatet er at sikkerhetsarbeidet ikke blir godt nok fulgt opp. 

2. Cyberangrep rammer bredt – og blir mer sofistikerte NSM ser at cyberoperasjoner fortsatt rammer bredt. Både små og store virksomheter på tvers av ulike sektorer må være forberedt på å håndtere hendelser i cyberdomenet. 

3. Sabotasje og fysisk sikkerhet Ifølge PST kan russisk etterretning se seg tjent med å utføre sabotasjeaksjoner mot mål i Norge i 2026. Grunnsikring, påbyggingstiltak, skadebegrensning og gjenoppretting bør være en del av virksomhetens fysiske sikkerhet. 

4. Sikkerhetstruende økonomisk virksomhet Et oppkjøp av en virksomhet, anskaffelser eller andre økonomiske virkemidler kan gi tilganger og rettigheter til å påvirke viktige verdier. Sikkerhetstruende økonomisk virksomhet omfatter alle økonomiske transaksjoner som enten direkte eller indirekte kan medføre risiko for at nasjonale sikkerhetsinteresser blir truet. For styret betyr dette at due diligence og M&A-prosesser nå må inkludere en sikkerhetsanalyse.

5. Skytjenester og leverandørkjeden Norske virksomheter som benytter utenlandske skytjenester gir fra seg en del av kontrollen over digital infrastruktur og data. Dette svekker virksomhetenes evne til å sikre dataens konfidensialitet, integritet og tilgjengelighet. 

For deg som sitter i et styre, er dette en bekymringsmelding direkte adresse til deg og ditt styre. 

Hva bør styret gjøre?

Det viktigste styret kan og bør gjøre er å behandle sikkerhet med samme alvor som økonomi og strategi. PwC har gjennomført en undersøkelse viser at bare 35 prosent av styremedlemmene er komfortable med den informasjonen de mottar om risikobildet. Beredskap bør være et fast punkt i styrerapporteringen – ikke bare når kriser oppstår. Styret bør etterspørre en oppdatert beredskapsplan og forsikre seg om at noen faktisk eier sikkerhetsarbeidet internt, og at eier har reell kapasitet og kompetanse. 

Underleverandører er en av de vanligste angrepsvektorene, og leverandørkjeden bør følges opp. M&A-prosesser og større kontrakter bør inkludere en sikkerhetsanalyse som en selvfølge. En plan som aldri er øvd på, gir falsk trygghet. Det holder ikke å ha dokumentene i orden – organisasjonen må vite hva den skal gjøre når noe faktisk skjer.

Dagens valg former morgendagens risiko. Dette er strategisk valg og spørsmål som hører hjemme i styrerommet Det er styret som eier dem!