Mange små og mellomstore bedrifter tror fortsatt at de er for små til å være interessante for cyberkriminelle. Norske trusselvurderinger peker i motsatt retning: svak grunnsikring, sårbare leverandørkjeder og mer profesjonelle angripere gjør nettopp mindre virksomheter utsatte. Den gode nyheten er at de viktigste tiltakene fortsatt er enkle, rimelige og raske å få på plass.
Små bedrifter er ikke under radaren
Det tradisjonelle skillet mellom avanserte dataangrep og hverdagslige svindelforsøk blir stadig mindre relevant. I 2026 beskriver NSM et risikobilde der det finnes betydelige mangler i det forebyggende sikkerhetsarbeidet hos virksomheter i Norge. Kripos peker samtidig på at cyberkriminaliteten blir mer kompleks og lettere tilgjengelig, fordi angriperne organiserer seg, deler verktøy og tilpasser metodene raskt. For en liten bedrift betyr det at trusselen sjelden kommer som et spektakulært hackerangrep, men som en troverdig e-post, en falsk faktura eller en innlogging som ser helt legitim ut
At små selskaper går under radaren, er også en seiglivet myte. I Oslo politidistrikts lokale trusselvurdering heter det at størstedelen av den cyberrettede kriminaliteten i distriktet utføres av profittmotiverte aktører og er rettet mot små og mellomstore bedrifter. Internasjonale undersøkelser viser dessuten at phishing fortsatt er den vanligste inngangen. I den britiske Cyber Security Breaches Survey 2025 oppga 93 prosent av bedriftene som hadde opplevd cyberkriminalitet, at phishing inngikk i hendelsen.
De grepene som gir størst effekt
For nybegynnere er det klokt å starte med tiltak som faktisk stanser de vanligste angrepene. Det viktigste enkelttiltaket er fortsatt tofaktorautentisering. Microsoft opplyser at mer enn 99,9 prosent av kompromitterte kontoer ikke har MFA aktivert. Det gjør ikke en virksomhet usårbar, men det viser hvor mye risiko som kan fjernes ved å kreve en ekstra bekreftelse ved innlogging til e-post, regnskapssystemer, skylagring og administratorkontoer.
Neste steg er bedre passordhygiene. Mange angrep lykkes fortsatt fordi ansatte gjenbruker passord eller fordi virksomheten mangler oversikt over tilganger. En passordbehandler løser ikke alt, men gjør det langt enklere å bruke lange og unike passord. Samtidig bør bedriften rydde i gamle brukere, avslutte tilganger for tidligere ansatte og sørge for at ingen deler innlogginger til sentrale systemer
Oppdateringer er det tredje området der mange små virksomheter undervurderer risikoen. NSM understreker at sårbarheter i systemer og manglende sikkerhetsarbeid går igjen på tvers av sektorer. I praksis betyr det at gamle versjoner av operativsystemer, nettlesere og kontorprogrammer fortsatt er en enkel vei inn for angripere. Å slå på automatiske oppdateringer høres banalt ut, men det er ofte her de mest kjente hullene blir stående åpne.
Den største risikoen sitter ofte i innboksen
E-post er fortsatt favorittverktøyet til mange angripere. De trenger ikke lenger skrive dårlige meldinger med åpenbare språkfeil for å lykkes. Kripos beskriver et trusselbilde der metodene blir mer profesjonelle, og konsekvensene større. Derfor må ansatte trenes til å stanse opp ved hastverk, pengeforespørsler, bytte av kontonummer og lenker som ber om innlogging. En enkel intern regel kan være avgjørende: Ingen utbetalinger, ingen endringer i leverandørdata og ingen deling av sensitiv informasjon skal skje kun på bakgrunn av en e-post. Alt må bekreftes via telefon eller en separat kanal.
Sikkerhetskopier er like viktige dersom uhellet først er ute. NSM anbefaler tiltak mot digital utpressing og peker på at god beredskap mot løsepengeangrep også virker mot andre typer digitale angrep. For en mindre bedrift handler dette ikke bare om å ha backup, men om å vite at kopiene faktisk fungerer, at de ikke kan overskrives av angriperen, og at gjenoppretting er testet
Regningen kan bli høy
Kostnadene ved et databrudd kan vokse raskt. IBMs Cost of a Data Breach 2025 anslår den globale gjennomsnittskostnaden til 4,4 millioner dollar, og rapporten viser samtidig at raskere identifisering og håndtering reduserer tapene betydelig. IBM oppgir også at det i snitt tar 241 dager å identifisere og stanse et aktivt brudd. Tallene kan ikke overføres direkte til en norsk SMB, men de illustrerer hvor dyrt det blir når et angrep får utvikle seg i det skjulte.
For norske bedrifter kommer også et stadig tydeligere regulatorisk press. NSM peker på at digitalsikkerhetsloven skjerper kravene til digital sikkerhet for virksomheter i både offentlig og privat sektor, og at tilbydere av samfunnsviktige tjenester får varslingsplikt innen 24 timer ved alvorlige hendelser. Ikke alle SMB-er omfattes direkte, men utviklingen går tydelig i retning av strengere forventninger, særlig for selskaper som leverer til større kunder eller offentlig sektor.
Datasikkerhet i 2026 handler derfor mindre om dyre spesialløsninger og mer om grunnleggende disiplin. Tofaktorautentisering, unike passord, oppdaterte systemer, skeptiske ansatte og fungerende sikkerhetskopier er fortsatt den beste startpakken. En halvtime brukt på disse grepene gjør ikke bedriften immun, men den gjør den langt mindre attraktiv for angripere enn virksomheter som fortsatt satser på flaks.