Små bedrifter sliter med cybertrusler – mangler lederskap innen cybersikkerhet

Cyberangrep koster gjennomsnittlig over 2,5 millioner kroner for små og mellomstore bedrifter (SMB). Samtidig ligger lønnen for en Chief Information Security Officer (CISO) på mellom 2,5 og 4 millioner kroner årlig, ifølge CISO Report 2026 fra Sophos og Cybersecurity Ventures. Mange SMB-er velger derfor å ikke ansette en dedikert cybersikkerhetsleder, og håper i stedet på at de slipper unna angrep.

Dette er en farlig strategi. SMB-er utgjør ryggraden i norsk og internasjonal økonomi, men mangler ofte den nødvendige ekspertisen for å håndtere voksende trusler. En virtuell CISO (vCISO) eller deltids-CISO (fCISO) kan være en kostnadseffektiv løsning for bedrifter som ikke har råd til en fulltidsansatt.

Digitalisering øker sårbarheten

Etter hvert som økonomien blir mer digital, benytter også SMB-er seg av de samme teknologiene som store bedrifter: skytjenester, betalingssystemer, ekstern tilgang, kundedata og tredjepartsløsninger. Uten erfaren cybersikkerhetsledelse ender ofte sikkerhetsarbeidet opp som en lappetekk av verktøy, sjekklister og forsikringspapirer – noe som ikke bygger ekte motstandskraft.

Nesten halvparten av alle rapporterte cyberangrep involverer mindre bedrifter, og det globale økonomiske tapet ventes å nå 12,2 billioner dollar årlig innen 2031. Truslene blir dessuten stadig mer avanserte. Angripere bruker nå kunstig intelligens til å automatisere rekognosering, utvikle skadevare og gjennomføre phishing-kampanjer i stor skala. Dette reduserer kostnadene og kompetansebehovet for å målrette SMB-er.

I tillegg samler angripere kryptert data med tanke på fremtidig dekryptering når kvantedatamaskiner blir tilgjengelige. Mange SMB-er innen forsvarsindustri, helsevesen og finansielle leverandørkjeder håndterer sensitiv informasjon som kan gi tilgang til større bedrifter – men de fleste er ikke forberedt på å innføre kvantemotstandsdyktig kryptering.

Behovet for lederskap, ikke bare teknologi

SMB-er er klar over at de står overfor cybersikkerhetsrisikoer, men det største gapet er lederskap. En erfaren cybersikkerhetsleder kan oversette tekniske sårbarheter til forretningsmessige beslutninger, prioritere tiltak, rapportere til ledelsen, forberede revisjoner og holde leverandører ansvarlige.

For mange SMB-er er det imidlertid ikke økonomisk gjennomførbart å ansette en fulltids CISO. Her kommer vCISO- og fCISO-modellene inn:

• vCISO: Tilbyr ekstern, tilgjengelig cybersikkerhetsledelse på forespørsel, ofte for flere bedrifter samtidig.
• fCISO: En dedikert, deltidssikkerhetsleder som er mer integrert i bedriftens styring, sikkerhetsplanlegging og daglige drift.

Begge løsningene gir tilgang til senior-kompetanse innen cybersikkerhet på en fleksibel og mer økonomisk måte enn en fulltidsansatt.

Offentlig støtte kan styrke sikkerheten

Eksperter mener at myndighetene bør gjøre det enklere for SMB-er å ansette deltidssikkerhetsledere, siden markedet ikke løser dette gapet på egen hånd. Cybersecurity and Infrastructure Security Agency (CISA) og Small Business Administration (SBA) kan bidra ved å utgi veiledninger for kjøpere. Dette kan omfatte:

• Kriterier for å evaluere leverandører
• Eksempler på arbeidsomfang og leveranser
• Reelle casestudier som viser hva en høykvalitets vCISO- eller fCISO-engasjement bør innebære

Klare retningslinjer er avgjørende fordi mange SMB-er sliter med å skille ekte cybersikkerhetsledelse fra verktøyselgere, compliance-konsulenter eller generiske tjenesteavtaler. Kriteriene bør vektlegge:

• Bevist erfaring med å bygge og drive sikkerhetsprogrammer
• Uavhengighet fra leverandørenes incentiver og produktkvoter
• Evne til å tilpasse løsninger til bedriftens spesifikke behov