I BDOs Global Risk Landscape Report for 2026 rykker cybersikkerhet til topps på agendaen. Hele 40 prosent av topplederne svarer at cyber er den risikoen de er mest bekymret for, opp fra 23 prosent i 2025. Samtidig melder respondentene at det også er den risikoen de er dårligst rustet til å håndtere.
– Cybersikkerhet handler rett og slett om overlevelsesevnen til virksomheten. Organisasjoner omstiller seg raskere enn de klarer å utvikle nye strategier for cybersikkerhet, og det skaper farlige hull i motstandskraften, sier partner Siv Irene Aasen i BDO.
Som leder av risk-satsingen i BDO Consulting observerer hun at risikonivået er på vei opp, til tross for at mange virksomheter øker investeringene i sikkerhet.
– Samtidig utvikler cybertruslene seg raskere enn virksomhetene klarer å tilpasse seg. Virksomheter som ikke har rustet seg mot disse truslene fra start, vil i praksis hele tiden ligge et steg bak angripere som stadig blir mer ressurssterke og utspekulerte. Det er en urovekkende utvikling som vi også ser utfolde seg i Norge, sier hun.
– Nordavind fra alle kanter
Den årlige rapporten er basert på en global undersøkelse blant 500 toppledere på tvers av bransjer og regioner, og gir et oppdatert bilde av hvordan virksomheter opplever og håndterer risiko i et marked preget av høy usikkerhet, raske endringer og stadig tettere sammenheng mellom ulike risikofaktorer.
Rapporten peker på at risiko er blitt et grunnleggende trekk ved markedet. Krise er blitt den nye normalen, en vedvarende og kompleks krisetilstand, og med det følger et behov for raskere beslutninger. Åtte av ti toppledere opplever at risikobildet er mer preget av kriser enn noen gang tidligere, og 68 prosent sier at kriser treffer virksomheten raskere enn før.
Geopolitikk seiler opp som en av de viktigste driverne i årets rapport. Det geopolitiske bildet forsterker andre utfordringer som leverandørkjeder, cybersikkerhet og regulatoriske krav.
– Det blåser nordavind fra alle kanter nå. Det mest slående er hvordan alt kommer på en gang –geopolitikk, teknologi og økonomi påvirker hverandre og skaper et langt mer komplekst bilde enn tidligere. Når disse faktorene treffer samtidig, kan det overvelde virksomheter som er vant til å håndtere risiko i siloer, sier partner Ole Martin Kjørstad, som leder tjenestene for GRC og internrevisjon i BDO Consulting.
AI gir nye muligheter, men også nye sårbarheter
Ikke uventet trekkes kunstig intelligens frem som en av de viktigste driverne for endring. Andelen ledere som ser på AI som en mulighet øker, og stadig flere tar teknologien i bruk i kjerneprosesser.
Samtidig viser rapporten at risikoen øker i takt med bruken. Når AI går fra pilotprosjekter til bred implementering, blir svakheter i data, styring og etterlevelse langt mer synlige og konsekvensene større. Rapporten peker særlig på økende bekymring knyttet til personvern, etterlevelse og datakvalitet.
– Mange er opptatt av potensialet i AI, men undervurderer hva som skjer når teknologien tas i bruk i stor skala. AI løser ikke sikkerhetsutfordringene i organisasjonen. Har du svakheter i data eller styring, vil AI forsterke dem, sier Aasen.
Svindel nedprioriteres til tross for økende trussel
Et av de mer bekymringsfulle og overraskende funnene i rapporten er at svindel får mindre oppmerksomhet fra ledelsen.
Hele 93 prosent av lederne oppgir at de ikke ser på svindel som en topprisiko, til tross for at den teknologiske utviklingen, spesielt bruk av AI, gjør det enklere å gjennomføre mer avanserte svindelforsøk.
Kombinasjonen av økt AI-bruk og lavere oppmerksomhet rundt svindel gjør mange virksomheter mer sårbare enn de selv er klar over. Andelen virksomheter som aktivt oppdaterer tiltak mot AI-basert svindel har falt kraftig på kort tid.
– Dette er et godt eksempel på hvordan risikobildet forskyves. Oppmerksomheten flyttes mot de mest synlige temaene, mens mer «tradisjonelle» risikoer fortsetter å ulme i bakgrunnen og blir stadig med sofistikert, sier Aasen.
Risiko må bli en del av beslutningene
Det overordnede budskapet er tydelig: virksomheter må endre hvordan de jobber med risiko. De må løfte risikostyringen ut av siloene, vekk fra en defensiv kontrollfunksjon, og inn i kjernen av beslutningene.
Rapporten fremhever at risiko i dag ofte håndteres for snevert og for isolert., Virksomheter må bli flinkere til å fange opp signaler tidlig og handle raskt, også når bildet ikke er fullstendig.
– Vegring mot å ta tak i risiko blir fort en risiko i seg selv. Ved å utsette beslutninger, vente på mer informasjon eller velge en forsiktig tilnærming kan man både gå glipp av muligheter og bli dårligere forberedt når neste krise inntreffer. De virksomhetene som kommer sterkest ut av dette, er de som gjør risikostyring til en strategisk kapasitet, og som deler eierskapet på tvers av ledelse og fagområder, sier Kjørstad.
Funn fra rapporten
