Få norske selskaper anser AI som risiko: – De har ikke forstått

En stor undersøkelse viser at mange små og mellomstore bedrifter i Norge ikke tror de er interessante mål for angripere – og få ser på AI som en sikkerhetsrisiko.

Thomas Tømmernes, IT-sikkerhetsdirektør i Atea Norge. 📸: Atea
Thomas Tømmernes, IT-sikkerhetsdirektør i Atea Norge. 📸: Atea Vis mer

Atea har nylig publisert sin sikkerhetsrapport for 2025, basert på en undersøkelse blant 516 respondenter i norske virksomheter med 20 eller flere ansatte.

I undersøkelsen går det frem at 29 prosent av norske virksomheter vurderer risikoen som svært liten eller liten, for at de skal bli utsatt for cyberangrep. Og det er de minste virksomhetene som vurderer risikoen som lavest.

– Mange tror de ikke er interessante mål, men det stemmer ikke, og de minste virksomhetene vurderer risikoen som lavest. Vi ser at små virksomheter ofte står helt alene når krisen treffer, sier Thomas Tømmernes, IT-sikkerhetsdirektør i Atea Norge.

Han mener mange ikke vet hva de skal gjøre om de blir utsatt for et angrep.

– De vet ikke hvem de skal ringe, hva planen er, eller hvordan de kan løse det. Det gjør dem til enkle mål. Når de først rammes, står de alene , og det kan i verste fall være kroken på døra.

«Norske virksomheter må forstå at AI ikke bare er et verktøy, det er også et våpen for kriminelle.»

Ser ikke på AI som en risiko

I undersøkelsen har Atea også spurt om hvorvidt de mener kunstig intelligens (AI) utgjør en sikkerhetsrisiko for dem.

34 prosent sier at de ser på AI som en sikkerhetsrisiko, et tall Tømmernes mener er altfor lavt.

– AI har gjort phishing, deepfakes og sosial manipulering både mer troverdig og mer skalerbart, sier Tømmernes.

Utgjør kunstig intelligens en IT-sikkerhetsrisiko for virksomheten? 📸: Atea
Utgjør kunstig intelligens en IT-sikkerhetsrisiko for virksomheten? 📸: Atea Vis mer

– Rapporten viser at mange ikke har forstått hvordan AI brukes i angrep. Deepfake-stemmer har allerede blitt brukt for å lure økonomisjefer til å overføre penger. Dette skjer nå. Norske virksomheter må forstå at AI ikke bare er et verktøy, det er også et våpen for kriminelle.

For få kjenner til NIS2

Cybersikkerhets-direktivet NIS2 (Network and Information Systems Directive) er kommende retningslinjer utviklet av EU for å ivareta digital sikkerhet i Europa.

Direktivet gjelder ifølge Atea ofte indirekte, via leverandørkjeder – også for de mindre virksomhetene.

Likevel viser undersøkelsen at nesten 40 prosent av private virksomheter ikke kjenner til NIS2.

– Jeg er bekymret for at vi i Norge blir stående igjen på perrongen. Trusselbildet skjerpes og angrepene blir smartere, men Norge henger fortsatt etter. Cybersikkerhetsdirektivet fra EU (NIS2) er ikke innført i Norge, vi mangler folk med riktig kompetanse, og samarbeidet mellom offentlige og private er for svakt. Mens vi nøler, vokser risikoen, sier Tømmernes.

«De som kjøper tjenester, vil stille strengere krav til sikkerheten hos sine leverandører.»

Han advarer om at NIS2 og andre EU-reguleringer kommer til å treffe hele næringslivet, uansett om virksomheten omfattes direkte eller ikke.

– Dette blir en dominoeffekt. Kravene kommer til å komme nedover i leverandørkjedene, fra topp til bunn. De som kjøper tjenester, vil stille strengere krav til sikkerheten hos sine leverandører. Hvis du ikke er forberedt, kan du fort falle ut av kjeden.