Risiko er NSMs årlige risikovurdering. Målet er å gi virksomheter bedre forutsetninger for å etablere og opprettholde et forsvarlig sikkerhetsnivå i lys av det nasjonale risikobildet. Dette gjelder alle virksomheter, men spesielt for virksomheter omfattet av sikkerhetsloven eller digitalsikkerhetsloven.

Rapporten for 2026 tar blant annet opp at: 

  • Det er vesentlige mangler i det forebyggende sikkerhetsarbeidet til virksomheter i Norge. Disse sårbarhetene går igjen på tvers av sektorer. I Risiko 2026 beskriver NSM flere mangler virksomheter bør rette. 
  • Sikkerhetsstyring er virksomheters viktigste verktøy for å oppnå og opprettholde forsvarlig sikkerhet. Dette handler om de aktivitetene som er nødvendige for å beskytte virksomheters verdier mot uønskede hendelser.
  • En utfordring NSM altfor ofte ser er at virksomheters ansatte er blitt tildelt roller i sikkerhetsarbeidet som de enten ikke er klar over eller har ressurser og kompetanse til å ivareta. Resultatet er at sikkerhetsarbeidet ikke blir godt nok fulgt opp.
  • NSM ser at cyberoperasjoner fortsatt rammer bredt. Både små og store virksomheter på tvers av ulike sektorer må være forberedt på å håndtere hendelser i cyberdomenet.
  • Digitalsikkerhetsloven skjerper kravene til digital sikkerhet for virksomheter i både offentlig og privat sektor. Virksomheter som er tilbydere av samfunnsviktige tjenester har varslingsplikt innen 24 timer ved alvorlige hendelser. 
  • Grunnsikring, påbyggingstiltak, skadebegrensning og gjenoppretting bør være en del av virksomheters fysiske sikkerhet. Ifølge PST kan russisk etterretning se seg tjent med å utføre sabotasjeaksjoner mot mål i Norge i 2026.
  • For å oppnå forsvarlig sikkerhet må de ulike sikkerhetstiltakene ses i forhold til hverandre. Ofte er det gjensidige avhengigheter mellom ulike tiltaksområder. Fysiske sikringstiltak blir, i likhet med digitale, utdaterte og mindre motstandsdyktige ettersom trusselaktørene stadig utvikler nye og mer effektive verktøy og teknikker.
  • Et oppkjøp av en virksomhet, anskaffelser eller andre økonomiske virkemidler kan gi tilganger og rettigheter til å påvirke viktige verdier. Sikkerhetstruende økonomisk virksomhet omfatter alle økonomiske transaksjoner som enten direkte eller indirekte kan medføre en risiko for at nasjonale sikkerhetsinteresser blir truet.
  • Norske virksomheter som benytter utenlandske skytjenester gir fra seg en del av kontrollen over digital infrastruktur, systemer og data som lagres og behandles i skyen. Dette svekker virksomhetenes evne til å sikre dataens konfidensialitet, integritet og tilgjengelighet.

Se også pressemelding fra NSM: Risiko 2026 Dagens valg - morgendagens risiko

Forsiden til NSMs årlige risikovurdering for 2026viser en løve foran Stortinget.