DNV Cyber Priority Report avdekker alvorlige sikkerhetshull i norske virksomheters forsyningskjeder med mulige konsekvenser for økonomien, samfunnet og menneskeliv. Den globale studien er gjennomført blant 1150 sikkerhetsfagfolk i virksomheter innen kritisk infrastruktur – på tvers av sektorer som energi, maritim og helse.
4 av 10 norske respondenter oppgir at virksomheten deres ikke har full oversikt over sikkerhetsrisikoene i forsyningskjeden. Nesten like mange (39 %) oppgir at selskapet kan ha blitt infiltrert uten at leverandører har rapportert hendelsen.
Sikkerhetshull i beredskapen
Politiets sikkerhetstjenestes (PST) sikkerhetsvurdering for 2025 peker på økende og mer uforutsigbare trusler fra statlige aktører.
Ifølge Nasjonal sikkerhetsmyndighets (NSM) direktør Arne Christian Haugstøyl er altfor mange norske virksomheter «åpne som låvedører» og E-tjenesten fastslår at verden har blitt farligere det siste året.
– Fred kan ikke lenger tas for gitt. Samtidig ser vi en økende trend hvor leverandører blir brukt som inngangsport for cyberangrep mot kritiske samfunnsfunksjoner. Det hjelper lite om vi er aldri så nøye med å låse inngangsdøren hvis bakdøren står på gløtt. En manglende oversikt over forsyningskjeden skaper et alvorlig sikkerhetshull i Norges beredskap, sier Arve Johan Kalleklev, direktør for DNV Cyber.
– 9 av 10 norske virksomheter i studien har økt fokus på cybersikkerhet som følge av geopolitiske spenninger, men funnene etterlater ingen tvil om at mer må gjøres for å sikre verdier og liv, påpeker Kalleklev.
Energibransjen særlig utsatt
Norges lange kystlinje og omfattende leverandørindustri gjør kraftsektoren til et hovedmål for statssponsede cyberangrep gjennom forsyningskjeden.
NVE har de siste årene styrket veiledningen for digital sikkerhet i kraftbransjen, blant annet gjennom rapporter om sikkerhet i leverandørkjeder og skytjenester i kritisk infrastruktur, men den nye rapporten fra DNV Cyber viser at sårbarhetene fortsatt er betydelige.
– Kraftsektoren kombinerer fysisk og digital infrastruktur i en grad få andre sektorer gjør, og takten i digitaliseringen har på kort tid gjort operasjonelle teknologisystemer (OT) mer komplekse og mer utfordrende å beskytte enn tradisjonelle IT-systemer. 77 % av norske aktører mener virksomheten er mer sårbar enn noensinne for cyberangrep mot denne typen miljøer. Samtidig har norsk kraft blitt enda mer kritisk å sikre for oss selv og for Europa etter krigen i Ukraina. Det krever målrettede tiltak.
I Totalberedskapsmeldingen som nylig ble lagt frem introduserte regjeringen en cyberberedskapsordning hvor næringslivet spiller en nøkkelrolle i beredskapen. Samtidig påpeker justis- og beredskapsministeren at kompetansemangelen innen cybersikkerhet er på et alarmerende nivå.
