Cybersikkerhet ved en korsvei

Hva Norges forsyningskjeder må lære før NIS2 kommer

Den 27. november 2025 samlet Achilles industriledere, cybersikkerhetseksperter og juridiske spesialister i Stavanger for å ta opp et spørsmål som vil definere det neste tiåret for norsk konkurransekraft:

Er leverandørkjedene våre klare for cybertruslene Norge vil stå overfor i 2026 og fremover?

Seminaret fulgte opp suksessen med vårt første store bransjearrangement i samarbeid med Schjødt tidligere i år: Cybersikkerhet møter forsvar og infrastruktur

Norges digitale sårbarheter er ikke lenger hypotetiske, fra offshore-infrastruktur til transport, offentlige tjenester og produksjon. De er aktuelle, aktive og i stadig utvikling. Det som kom ut av seansen med Schjødt og Orpheus , var ikke nok en påminnelse om at «cybersikkerhet er viktig», men noe langt mer presserende:

Den neste store cyberhendelsen i Norge vil med stor sannsynlighet ha sitt utspring i leverandørkjeden.

Og med mindre organisasjoner begynner å behandle cybersikkerhet som et strategisk ansvar på styrenivå, og ikke som et IT-prosjekt, vil konsekvensene merkes på tvers av sektorer som er sentrale for nasjonal sikkerhet og økonomisk stabilitet.

Hvorfor Norge er i ferd med å bli et yndet cybermål

Flere overskrifter den siste tiden, som spenner fra overvåking av fiberkabler til etterretning om mobiltrusler og sikkerhetsproblemer i offentlige transportanskaffelser, forsterker en virkelighet vi sjelden sier høyt:

Norge er et lite land med et stort geopolitisk fotavtrykk.

Norges energieksport gir kraft til Europa. Den digitale forvaltningen ligger til grunn for velferd, skatt, helsetjenester og innvandring. Industrielle kapabiliteter, fra maritim industri til prosessindustri, gjør Norge til en inngangsport til europeiske markeder.

I dette geopolitiske miljøet er cyberangrep ikke lenger «noen andres problem».
De er den nye metoden for statlig påvirkning, sabotasje og økonomisk forstyrrelse.

Likevel begynner de fleste vellykkede angrep ikke med de store aktørene. De begynner i det stille, usynlig og i det svakeste hjørnet av forsyningskjeden.

Forsyningskjeder: Vår største styrke og farligste sårbarhet

Et øyeblikk fra seminaret illustrerte dette perfekt. En diskusjon rundt DolWin Beta viste hvordan selv høyt utviklet, virksomhetskritisk infrastruktur kan bli utsatt for fare:

• sammenkoblede IT- og OT-miljøer
• komplekse kommunikasjonssystemer
• energistyringslag
• og mest kritisk: tredjepartsleverandører

Poenget var enkelt, og ubehagelig: Et moderne dataangrep trenger ikke å bryte seg inn i Fort Knox. Det holder med en dør som står åpen hos en underleverandør tre lag ned.

Dette er ikke spekulasjoner. Vi har allerede sett det i Norge.
PST har offentlig knyttet den siste tidens sabotasje og datainnbrudd til en pro-russisk trusselaktør som utnytter nettopp denne kjedebaserte sårbarheten.

Mønsteret er tydelig:

• Angriperne identifiserer den svakeste leverandøren
• De infiltrerer i det stille
• De eskalerer
• Det primære offeret lider under konsekvensene

Det er ikke lenger nok å sikre sine egne systemer. Du må sikre økosystemet du er avhengig av.

NIS2: Mer enn regulering – en ny ansvarliggjøring

Mange organisasjoner ser fortsatt på NIS2 som et compliance-prosjekt. Det er en farlig misoppfatning. NIS2 vil kreve at norske organisasjoner:

• kartlegge og vurdere leverandørkjedene sine
• kontinuerlig overvåke digital risiko
• gjennomføre tilsyn på styrenivå
• sikre driftsmessig robusthet
• og dokumentere alt sammen

Spennvidden er enorm. Energi, avfall, transport, kjemikalier, offentlig administrasjon, forskning, digitale tjenester, finans. Listen er lang, og den vokser.

Innen juli 2026 vil tusenvis av norske selskaper gå fra «cyberbevissthet» til juridisk bindende cyberstyring. Og tilsynsmyndighetene vil forvente bevis, ikke gode intensjoner.

Det menneskelige element: Demonstrasjoner som fjernet enhver illusjon om sikkerhet

En av de mest øyeåpnende delene av seminaret var ikke teoretisk i det hele tatt.
Det var fysisk:

En falsk ladekabel som kan kapre en enhet. En USB-pinne som oppfører seg som en datamaskin. En enkel antenne som kan hente ut ukrypterte data fra luften.

Dette er ikke avanserte nasjonalstatlige verktøy.
De er billige, lettkjøpte og sjokkerende effektive.

Hvis Norsk Hydro-angrepet i 2019 har lært oss noe, bortsett fra 800 millioner kroner i skader, 23 000 PC-er og 3000 servere som ble rammet, så er det dette:

Den digitale infrastrukturen er skjør. Men tilliten er enda mer skjør. Og Norge, som er et samfunn med høy tillit, er spesielt utsatt.

Cybersikkerhet er ikke lenger en IT-oppgave. Det er risikoledelse.

Orpheus Cybers bidrag brakte samtalen til et kritisk punkt: Cyberrisiko må håndteres med samme disiplin som finansiell, operasjonell og strategisk risiko.

Det viser deres modeller for trusseletterretning, som allerede brukes av FCA, Bank of England og europeiske forsvarsaktører:

• angrep er forutsigbare
• risikoen kan kvantifiseres
• og leverandører kan vurderes lenge før de blir forpliktelser

I en studie utført av det britiske forsvarsdepartementet viste Orpheus en treffsikkerhet på 94 % når det gjaldt å forutsi hvilke leverandører som ville bli angrepet innen 10 dager.

Denne forutsebarheten forvandler cybersikkerhet fra reaktiv brannslukking til proaktiv beskyttelse av virksomheten. På MyAchilles-plattformen kan bedrifter få direkte tilgang til disse prediktive risikovurderingene, noe som gir innkjøps- og risikoledere verktøyene de trenger for å oppdage, prioritere og handle lenge før hendelser oppstår.

Hva bedrifter må gjøre nå

På tvers av alle foredragsholderne kom det frem tre strategiske imperativer:

Det vanligste budskapet fra alle foredragsholderne:

Organisasjoner trenger ikke å bli perfekte.
De må bli vanskeligere å angripe enn den neste organisasjonen i kjeden.