Norske virksomheter tar for lett på IT-sikkerheten
Den nye sikkerhetsrapporten «Bevissthet og beredskap 2025» fra Atea viser at norske virksomheter investerer for lite i IT-sikkerhet, har for lav risikoforståelse, og er ikke godt nok forberedt på skjerpede lovkrav og nye trusler som kunstig intelligens.

Undersøkelsen er gjennomført for tredje året på rad av Kantar på vegne av Atea våren 2025, og omfatter både offentlig og privat sektor.
-
29 % vurderer risikoen for cyberangrep som svært liten eller liten.
-
Risikoforståelsen er lavest blant mindre virksomheter.
-
Kun 34 % ser på kunstig intelligens som en sikkerhetsrisiko.
-
De fleste virksomheter bruker mindre enn 0,0025 % av budsjettet på IT-sikkerhet.
-
38 % av virksomhetene kjenner ikke til EUs nye NIS2-direktiv.
-
Manglende kjennskap til NIS2 kan føre til svak etterlevelse og verdikjedeforstyrrelser.
Lav risikoforståelse
29 prosent av virksomhetene vurderer risikoen for at de blir rammet av et cyberangrep som svært liten eller liten. Dette kan føre til manglende investeringer i nødvendige sikkerhetstiltak, noe som øker sårbarheten i en tid der trusselaktørene blir stadig mer profesjonelle.
Risikoforståelsen er lavest blant mindre virksomheter. De som ofte har færre ressurser til å håndtere angrep når de inntreffer.
Kunstig intelligens endrer trusselbildet
Rapporten viser at kun 34 prosent av virksomhetene vurderer kunstig intelligens som en sikkerhetsrisiko. Samtidig advarer både Kripos og Nasjonal sikkerhetsmyndighet om at AI i økende grad benyttes til blant annet phishing, sosial manipulering og automatiserte angrep.
Dette viser et gap mellom den faktiske utviklingen i trusselbildet og virksomhetenes risikoforståelse. Manglende bevissthet rundt AI som trussel kan gjøre virksomheter spesielt sårbare for mer avanserte og målrettede angrepsformer i tiden som kommer.
Investeringene i sikkerhet er for lave
De fleste virksomheter oppgir at de bruker mindre enn 0,0025 prosent av sitt totale budsjett på IT-sikkerhet. Dette innebærer at en liten andel av virksomhetenes ressurser blir brukt til å beskytte digitale verdier, data og tjenester. Rapporten viser også at virksomheter med høyere omsetning investere noe mer.
Manglende kjennskap til EU-direktiv
38 prosent av norske virksomheter oppgir at de ikke kjenner til EUs nye NIS2-direktiv, til tross for at det vil få betydelig innvirkning på kravene til digital sikkerhet også i Norge. Manglende kunnskap om direktivet kan føre til mangelfull etterlevelse, både direkte for enkelte virksomheter og indirekte for deres leverandørkjeder.
Dette kan føre til økonomiske sanksjoner, tap av tillit i markedet, og økt risiko.