Økende mengde cyberangrep mot bedrifter

Økende trussel

Cyberangrep rammer stadig flere bedrifter. NSMs risikorapport fra 2025 viser at norske bedrifter fortsatt har en lang vei å gå når det kommer til opprustingen mot den økte cybertrusselen vi ser i verden i dag. Nyhetsbildet har jevnlig vært preget av at bedrifter rammes av ulike cybersikkerhetsbrudd. I de mer omfattende sakene blir det nødvendig å stenge ned alt av systemer for å håndtere angrepene. Dette hindrer driftskontinuitet og kan medføre store tap for bedrifter. Norske bedrifter har, i motsetning til bedrifter i våre naboland, nesten ikke tegnet cyberforsikring. Oppfatningen har lenge vært at vi har gode nok sikkerhetssystemer i virksomheten, eller at nettopp vår bedrift ikke er attraktiv for cyberangrep. Og dersom en først blir utsatt for et cyberangrep, er det dessverre fortsatt mange som feilaktig tror at en ikke blir rammet på nytt.

EU legger til grunn at cyberangrep kan utfordre den økonomiske stabiliteten i unionen. Dette fordi angrepene kan forårsake betydelige økonomiske tap, forstyrre kritisk infrastruktur og skade tilliten til digitale systemer. Også i Norge har bevissthet rundt den forhøyende cybertrusselen økt. NSM rapporterer at de har registrert cyberhendelser mot så å si alle samfunnssektorer. Enkelte bedrifter er særlig attraktive mål for cyberoperasjoner, eksempelvis de som driver aktivitet innen høyteknologi, næring og finans. Imidlertid ser vi også at stadig flere typer bedrifter rammes, for eksempel produksjonsfabrikker som enkelt settes ut av stand til å produsere uten tilgang til produksjonsdataene sine.

Krav om løsepenger

Løsepenger i cyberverdenen, også kalt «ransomware» beskriver et angrep hvor hackere infiltrerer et system, og krever utbetaling – ofte i kryptovaluta – for å frigjøre dataene. Angriperne krypterer bedrifters data og utestenger dem fra deres eget system.

NSM viser i sin risikorapport fra 2025 at angrepsmetoden i økende grad rettes mot små og mellomstore bedrifter. Forklaringen er at selv om bedriftene ikke forvalter samfunnsviktige funksjoner, kan angrepene likevel få alvorlige konsekvenser dersom bedriftene har informasjon om kundeforhold, leveranser eller leverandørkjeder som kan være attraktive å selge. Dermed er leverandørkjeder blitt attraktive mål, fordi leverandører kan ha informasjon knyttet til nasjonale verdier, som kan kjøpes av kriminelle aktører eller utenlandske etterretningstjenester. Samtidig er også produksjonsfabrikker som ikke er knyttet til nasjonale verdier blitt et stadig hetere mål for hackere som krever ransomware. Det har blitt en enkel måte for hackerne å tjene raske penger.

Cyberangrep kan ha store konsekvenser for bedrifter

Først og fremst kan cyberangrep medføre nedetid, produksjonsstopp, tap av kundedata, konfidensiell informasjon og patenter, samt tapt omdømme. En bedrift med et svakt sikkerhetssystem kan føre til tap av kundetillit, og en bedrift som ikke er rustet mot slike angrep, vil kunne bli en mindre attraktiv samarbeidspartner for andre næringslivsaktører eller offentlige aktører. I verste fall medfører cyberangrep betydelige økonomisk tap, og det kan få ringvirkninger og prege flere aktører og viktige samfunnsfunksjoner. Det er tidkrevende å bygge opp nye sikkerhetssystemer, og det kan ta lang tid før en kan friskmelde seg etter et dataangrep. Vi ser at de bedriftene som har tegnet cyberforsikring er raskere oppe og går etter et dataangrep.

EU skjerper kravene til digital sikkerhet gjennom NIS 2 og DORA

På bakgrunn av den økte cybertrusselen, har også fokuset på regulering og lovgivning økt. På kort tid har vi gjennomgått en betydelig utvikling av cyberlovgivning – fra en beskjeden «soft law»-regulering, til det omfattende juridiske rammeverket vi ser i dag.

NIS 2-direktivet trådte i kraft i oktober 2024 for EU-landene. Direktivet utvider omfanget av sektorer som omfattes av direktivet til et bredt spekter av samfunnsviktige og -kritiske bedrifter, og stiller strengere krav til risikostyring og rapportering av sikkerhetshendelser. Direktivet adresserer også utfordringene med å drive grenseoverskridende virksomhet, og stiller skjerpende krav til harmoniserte regler blant medlemslandene. 

Få måneder etter, i januar 2025, trådte DORA-forordningen i kraft. Forordningen fastsetter IKT-relaterte krav for finanssektoren, og stiller krav til testing av digitale systemer, styring av tredjepartsrisiko og rapportering av hendelser. Formålet med forordningen er å sikre at finanssektoren kan opprettholde kontinuitet og stabilitet selv under cyberangrep eller tekniske feil. Arbeidet med implementeringen til norsk rett er i gang, men for de finansaktørene som driver grenseoverskridende virksomhet, er det allerede krav om å være compliant. Mens NIS 2 har et generelt virkeområde, er DORA avgrenset til finanssektoren, fra kredittvurderingsbyråer til investeringsforetak. I Norge er det for øvrig foreslått å utvide forordningens virkeområde slik at den i tillegg omfatter finansieringsforetak, låneformidlingsforetak, inkassoforetak, eiendomsmeglingsforetak og morselskap i finanskonsern.

EUs nye lovgivning i form av NIS 2 og DORA skjerper de grunnleggende kravene til virksomheters IKT-sikkerhet og pålegger nå flere virksomheter å ha robuste datasystemer. Kravene til risikostyring, rapportering og tilsyn skjerpes, og myndighetene gis utvidede sanksjonsmuligheter ved brudd på regelverket. Du er ikke compliant med DORA selv om du er compliant med IKT-forskriften.

Innføring av NIS 2 og DORA i Norge

I løpet av 2025 vil trolig den nye digitalsikkerhetsloven, som bygger på NIS 1, og inkluderer elementer fra NIS 2, tre i kraft i Norge. Loven har som mål å styrke landets evne til å håndtere digitale trusler og beskytte kritisk infrastruktur. Loven pålegger virksomheter å implementere nødvendige sikkerhetstiltak for å beskytte sine digitale systemer og data. Den krever også at virksomheter rapporterer alvorlige sikkerhetshendelser til relevante myndigheter, slik at det kan iverksettes nødvendige tiltak for å begrense skadeomfanget.

DORA ble innlemmet i EØS-avtalen i februar, og kan trolig tre i kraft i norsk rett i løpet av 2025. Forordningen vil i så fall implementeres i ny lov om digital operasjonell motstandsdyktighet i finanssektoren. De nye lovene representerer en omfattende innsats for å styrke digital sikkerhet og motstandskraft i Norge og EU.

Økende behov for cyberforsikring

For å imøtekomme de nye kravene til digital motstandsdyktighet bør bedrifter gjennomføre en grundig risikoanalyse og styrke relevante sikkerhetstiltak. Det er viktig at bedrifter øker bevisstheten om cybersikkerhet internt i organisasjonen, og har en plan for hendelseshåndtering og hurtig respons ved et cyberangrep. Videre må de ulike virksomhetene nå sørge for at de oppfyller kravene i NIS 2 og DORA, dersom de omfattes av disse.

Forsikringsnæringen tilbyr et digitalt gratis verktøy, en cybersikkerhetsvurdering. Med dette sikkerhetsverktøyet kan bedrifter selv sjekke hvor godt rustet virksomheten er i sitt arbeid med cybersikkerhet. Tjenesten er gratis og kan være til god hjelp for bedrifter med å forebygge dataangrep og følgelig styrke sin cybersikkerhet.

Med økende cybertrusler og skjerpende krav fra lovgiverne, ser vi og en klar økning i etterspørselen etter cyberforsikring, også kalt datakriminalitetsforsikring. En cyberforsikring fungerer som et sikkerhetsnett for bedrifter ved at det er dekning både for eksperthjelp til å begrense skadene, og erstatning. Det kan innebære dekning av driftstap ved dataangrep, kostnader til juridisk bistand, krav fra tredjeparter, utgifter til pålegg fra myndigheter samt rekonstruksjon av data.

Dersom bedrifter ikke har implementert eller ikke holder sikkerhetssystemene oppdatert, kan forsikringsforetak nekte å dekke skader bedriften lider som følge av et cyberangrep. Dette kan også være tilfellet der virksomheter blir ilagt bøter og avgifter for å ikke være compliant med regelverk som NIS 2 og DORA. Vi anbefaler derfor at bedriftene setter seg godt inn i vilkårene for en cyberforsikring før den tegnes.

Oppsummering

Et økt EU-fokus på digital sikkerhet og innføringen av NIS2 og DORA innebærer strengere krav til risikostyring, rapportering og tilsyn, samt økte sanksjonsmuligheter ved manglende etterlevelse.

For bedrifter som omfattes av reguleringen, er det viktig å forstå hvilke krav som gjelder for dem og når de trer i kraft. Brudd på reglene kan føre til betydelige overtredelsesgebyrer. Selv om NIS 2 og DORA ikke har trådt i kraft i Norge ennå, må norske virksomheter som opererer i det europeiske markedet, eller som leverer digitale varer eller tjenester til aktører som omfattes, allerede nå forholde seg til EU-reglene. Bedrifter bør følgelig begynne å planlegge for de kommende kravene allerede nå, og søke juridisk råd dersom man er usikker på om bedriften er omfattet, eller hvordan kravene skal operasjonaliseres. Det bør også tas stilling til behovet for eventuell cyberforsikring, som kan dekke økonomiske tap og juridiske kostnader ved cyberangrep.

Artikkelen er publisert i Finansavisen.