Årets trussel‑ og risikovurderinger beskriver et sikkerhetsbilde preget av varig rivalisering og endrede rammer for internasjonal samhandling. Formuleringene i vurderingene er åpne, og gir plass til flere mulige utviklingsbaner – uten at dette skal tolkes som et tegn på lavere alvor.
Et hovedbudskap i etterretnings-, overvåkings- og sikkerhetstjenestenes vurderinger er at arbeidet med motstandsdyktighet fortsatt må stå sentralt, også i sivil sektor. Det er avgjørende å være forberedt, men det understrekes samtidig at selvskremming må unngås.
Vedvarende krevende situasjon
Årets åpne vurderinger plasserer Norge i et landskap der den geopolitiske utviklingen i økende grad virker inn på norske forhold. Etterretningstjenesten beskriver en sikkerhetssituasjon der Russland kombinerer åpne, fordekte og påvirkningsrettede virkemidler for å forme europeiske beslutninger.
Det pekes også på fortsatt utvikling av evner som kan rettes mot kritisk infrastruktur under vann – relevant for rørledninger, kabler og andre havbunnssystemer i norske farvann.
Videre omtales perioder med bruk av virkemidler som kan påvirke navigasjon og infrastruktur, samt periodevis synlig militær aktivitet i nordlige havområder, herunder i områder i nærheten av norsk sivil og kommersiell virksomhet. Denne aktiviteten settes i sammenheng med et bredere geostrategisk bilde der havområdene i nord inngår i staters militære og politiske kommunikasjon.
Parallelt beskrives hvordan Kina utvider sitt handlingsrom gjennom økonomiske og industrielle virkemidler og posisjonering i verdikjeder med betydning for europeisk sikkerhet og energi.
Norge spiller en viktig rolle som stabil leverandør av olje og gass til Europa, og infrastrukturen på kontinentalsokkelen og landanleggene er av interesse for fremmede stater. PST legger til grunn at mer av aktiviteten fra slike aktører forventes å foregå på måter som i liten grad søker offentlig oppmerksomhet. Kartlegging, påvirkning og bruk av stedfortredere beskrives som de mest sannsynlige uttrykkene, mens sabotasje mot sivile mål vurderes som mulig dersom det anses formålstjenlig.
Det fremgår at russiske tjenester særlig følger med på militære forhold, alliert aktivitet, norsk støtte til Ukraina og infrastruktur langs kysten – blant annet ved bruk av sivile fartøy til kartlegging. Helheten er et bilde der virksomheter med samfunnsmessig betydning kan berøres både direkte og indirekte, og der variasjon i uttrykk og timing inngår i vurderingene. Disse forholdene må virksomheter i petroleumssektoren hensynta når de gjennomfører risikovurderinger og vurderer risikoreduserende tiltak.
Vi har de beste forutsetninger for å lykkes, men det vil kreve innsats.
Arne Christian Haugstøyl, NSM
Sikkerhetsstyring for å bygge motstandsdyktighet
NSMs risikovurdering vektlegger helhetlig sikkerhetsstyring som forutsetning for at virksomheter skal bygge motstandsdyktighet. I tilsyn det siste året har NSM identifisert svakheter i forankring, gjennomføring og evne til å løfte sikkerhetstiltak når risikonivået endrer seg. Disse funnene sammenfaller med det Havtil også ser i petroleumssektoren. Derfor understreker vi, i tråd med NSM, at sikkerhetsstyring må omfatte alle områder – fra digital og fysisk sikkerhet, rolle‑ og ansvarsforståelse og planverk, til personellsikkerhet og sikkerhetskultur. Det holder ikke å være god på ett område; trusselaktører vil søke alternative innganger.
NSM peker også på personellsikkerhet som et område hvor flere virksomheter har vedvarende utfordringer, blant annet mangler i oppfølging av ansatte og intern informasjonsflyt mellom enheter som sitter på relevant personellinformasjon. Slike mangler kan gjøre det vanskelig å fange opp sårbarheter hos ansatte i tide og øker risikoen for at personellrelaterte forhold utnyttes av en trusselaktør.
I Risiko 2026 fremhever NSM at grunnsikring og planlagte påbyggingstiltak ikke alltid holdes oppdatert, og at fysiske sikringstiltak kan bli utdaterte og mindre motstandsdyktige etter hvert som trusselaktører utvikler nye metoder. Fysisk sikring må derfor ses i sammenheng med øvrige sikkerhetstiltak, ettersom det ofte er gjensidige avhengigheter mellom tiltaksområdene.
NSM løfter også eierskap og leverandørkjeder som sentrale risikoområder. Komplekse leverandørkjeder og uoversiktlige eierstrukturer kan skape påvirkningspunkter inn i verdikjeder og gjøre kritiske funksjoner mer sårbare i perioder med økt press. Rapporten understreker betydningen av å forstå avhengigheter og grenseflater til eksterne aktører som en del av det samlede risikobildet i 2026.
Cybersikkerheten må ivaretas
Trusselbildet i cyberdomenet er vedvarende og alvorlig. PST vurderer dette som det området der trusselen er størst. Årets vurderinger fremhever at det er sannsynlig at cyberoperasjoner vil treffe norske virksomheter i 2026, og at flere slike operasjoner vil lykkes i det kommende året.
Det er i cyberdomenet trusselen er størst.
Beate Gangås, PST
Cyberoperasjoner rammer bredt. NSM påpeker at angrep stadig blir mer sofistikerte, og teknologisk utvikling gir kompetente aktører flere muligheter. Samtidig gjør ny teknologi, blant annet språkmodeller, at også aktører med mindre avanserte kapabiliteter kan utføre operasjoner som tidligere krevde høyere teknisk kompetanse.
KI er fortsatt en risiko
Bruken av kunstig intelligens (KI) har økt trusselaktører sin evne til å gjennomføre målrettede cyberangrep. NSM vurderer at slik teknologi kan utnyttes for å påvirke, spionere eller sabotere. PST forventer at norske virksomheter vil bli utsatt for cyberangrep i 2026 hvor bruk av KI vil inngå som en sentral komponent.
PST understreker at norsk digital infrastruktur kartlegges ved bruk av kommersielle stedfortredere. Slik kartlegging kan brukes til å samle inn sensitiv eller skjermingsverdig informasjon, få fotfeste i virksomheters digitale infrastruktur eller innhente påloggingsinformasjon for videresalg. Det er derfor viktig at virksomheter bygger både organisatorisk og teknologisk motstandsdyktighet.
Videre trekker NSM frem sårbarheter i usikrede OT-systemer som et særlig fokusområde. Manglende segmentering, usikrede fjerntilganger, manglende patching og utilstrekkelig overvåking er forhold som kan utnyttes når virksomheter mangler oversikt over egne systemer og sårbarheter.
Disse forholdene understreker at sikkerhetstiltak må gjenspeile det til enhver tid gjeldende trusselbildet. NSM oppfordrer virksomheter til å styrke egen sikkerhet ved å oppdatere beredskapsplanene sine og øve på scenarioer. For å kunne ta i bruk hensiktsmessige tiltak må virksomhetene vite hvilke systemer, komponenter og avhengigheter de har, samt teste og verifisere at tiltakene virker som tiltenkt.