Vi er en bedrift på fem ansatte. Er ikke dette overkill?

Nei. NSM Risiko 2025 peker på at små virksomheter ofte blir vei inn til større leverandører eller kunder gjennom forsyningskjede-angrep. Microsoft Digital Defense Report 2024 viser at 80 prosent av organisasjoner har angreps-stier som eksponerer kritiske eiendeler. Størrelsen er ikke vernet. De åtte tiltakene kan implementeres på 4-6 uker for en bedrift på fem personer, til en samlet kost rundt 15 000 kr i året.

Hva koster det totalt for en bedrift med ti ansatte?

Anslag for en standard SMB-pakke med 10 ansatte: M365 Business Premium 2 500 kr per mnd (inkluderer MFA, Intune-patching, Defender, Cloud App Security), backup 600 kr per mnd, phishing-trening 400 kr per mnd, YubiKeys 6 000-9 000 kr engangs. Samlet rundt 50 000-60 000 kr per år. Sammenlign med median løsepenge-krav som ifølge Verizon DBIR og Sophos-rapporter ligger på flere hundre tusen kroner, og forholdet blir tydelig.

Vi har Microsoft 365 Business Standard. Holder det?

Nei, ikke for full sikkerhets-stack. Business Standard mangler Intune-mobilenhetsstyring, Defender for Business og Defender for Cloud Apps. Oppgradering til Business Premium koster cirka 80 kr per bruker per måned ekstra, men låser opp seks av de åtte tiltakene i denne listen uten ekstra tredjeparts-verktøy. Det er det mest kostnadseffektive enkeltgrepet for en M365-bedrift.

Hva med ISO 27001-sertifisering?

Sertifisering koster typisk 200 000-400 000 kr og krever 6-12 måneders forberedelse. Det lønner seg når kundene deres faktisk krever det i kontrakter - typisk i forsvar, finans, helse eller når dere selger til større enterprise. For en standard SMB som leverer tjenester til lokale kunder, gir ISO sjelden direkte avkastning. Bygg de åtte tiltakene først, deretter vurder sertifisering når en stor kunde spør konkret.

Hvor mye av dette kan vi gjøre selv vs. trenger ekstern hjelp?

En IT-kompetent intern person klarer punkt 1 (MFA), 2 (backup) og 4 (phishing-trening) på egen hånd ved hjelp av leverandør-dokumentasjon. Punkt 3 (patching) krever en helg med Intune-oppsett. Punkt 5-8 (EDR, tilgang, IR-plan, logging) er mer komplekst - de fleste SMB henter ekstern hjelp 20-40 timer for å sette opp riktig. Etter oppsett er løpende vedlikehold typisk 4-8 timer per måned.

Hva er forskjellen på MFA via SMS, app og maskinvarenøkkel?

SMS-MFA stopper masse-phishing, men er sårbar for SIM-swap der angripere overtar telefonnummeret hos teleselskapet. Authenticator-app (Microsoft Authenticator, Google Authenticator, Authy) er sterkere - kodene genereres på enheten. Maskinvarenøkkel som YubiKey er sterkest - bruker FIDO2/WebAuthn og er praktisk talt phishing-resistent. For administrator-kontoer og finans-tilganger, gå rett til maskinvarenøkkel.

Hva gjør vi de første timene hvis vi tror vi er angrepet?

Først: isoler den eller de mistenkte maskinene fra nettverket - trekk Ethernet-kabel, slå av Wi-Fi. Ikke skru av maskinen - hukommelses-data kan trenges for forensikk. Endre passord på alle relevante kontoer fra en ren enhet. Kontakt deres IT-leverandør eller en incident-respons-tjeneste. Hvis personopplysninger kan være lekket, har dere 72 timer på å varsle Datatilsynet etter GDPR artikkel 33.

Når er det fornuftig å bytte fra konsulent-løsninger til managed security service?

Når bedriften passerer 20-25 ansatte, eller når dere må dokumentere sikkerhetsarbeidet overfor kunder, leverandører eller forsikring. En managed service (MDR/SOC) koster typisk 150-400 kr per ansatt per måned og gir 24/7 overvåking, hendelses-respons og kvartalsrapporter. For mindre bedrifter holder det vanligvis med løpende rådgivnings-timer.

Publisert: 25. mai 2026 · Roy Morken, Datafolka

Cybersikkerhet for små bedrifter: 8 ting du faktisk må gjøre i 2026

Server-rack i et datasenter med blå LED-lys - illustrasjon for cybersikkerhets-infrastruktur — Foto: Unsplash

Microsoft Digital Defense Report 2024 rapporterer at det blokkeres rundt 7 000 passord-angrep i sekundet, og at over 99 prosent av de 600 millioner daglige identitets-angrepene er passord-baserte. Antall menneske-styrte løsepenge-hendelser økte 2,75 ganger fra året før. I Norge peker NSM Risiko 2025 på at sabotasjeforsøk og forsyningskjede-angrep er sannsynlige, og at små virksomheter ofte er veien inn til de større. Trusselbildet er ikke teori for SMB lenger. Det er en daglig produksjonsfaktor.

De fleste artikler om cybersikkerhet for små bedrifter er enten skremme-tekst eller en liste på 40 punkter som ingen rekker å implementere. Denne er noe annet. Her er åtte tiltak, prioritert etter hvor mye risiko de fjerner per krone og time investert. Listen er bygget fra hva som faktisk dominerer i norske og internasjonale trusselrapporter, ikke fra teoretiske best-practice-rammeverk.

For hvert tiltak får du: hva det koster, hvor lang tid det tar å sette opp, og hvor mye risiko som faktisk reduseres. På slutten har vi en seksjon om hva du trygt kan droppe - sertifiseringer, dyre SIEM-system, EDR-overhead - hvis bedriften din ikke krever det av kontrakt-grunner.

Hvorfor små bedrifter ER mål - tre tall som motbeviser «vi er for små»

Den vanligste innvendingen i en sikkerhets-samtale med en SMB-leder er en variant av «vi er ikke interessante nok». Tallene sier noe annet.

Først supply chain. NSM Risiko 2025 fremhever forsyningskjede-angrep som en sentral angrepsvektor. Mekanismen er enkel: angriperen vil inn hos en stor virksomhet, men hovedinngangen er stengt. Da går de via en mindre underleverandør med svakere sikkerhet og en gyldig tilgang til hovedmålet. Hvis dere selger tjenester til en større kunde, er dere ikke målet, men dere er kanalen. Det betyr at sikkerhetsnivået deres er sertifiserings-spørsmål for større kunder, ikke et internt anliggende.

Så automatisering. 7 000 passord-angrep i sekundet (Microsoft Digital Defense Report 2024) er ikke målrettede angrep mot bestemte selskaper. Det er masse-skannere som prøver hver kjente login-side med lekkede passord-kombinasjoner. Hvis ansattes arbeids-e-post finnes i en gammel database-lekkasje fra LinkedIn eller Dropbox, og hen brukte samme passord på jobb-kontoen, er dere truffet uten at noen har sett dere personlig. SMB mister verdi her fordi dere ofte ikke har MFA aktivert. Større virksomheter har det.

Til slutt løsepenger. SOCRadar Nordic Threat Landscape Report 2024 dokumenterte 105 løsepenge-hendelser mot nordiske organisasjoner i 2024, med produksjons-sektoren som mest utsatt (36 prosent). Norge sto for nær 17 prosent av dark-web-aktiviteten blant nordiske land. Norge er ikke et lavinteressant marked - vi har høyt teknologi-modent SMB-segment med tilstrekkelig betalingsevne til at angriperne får utbytte. Det er ikke trygt å gjemme seg bak flagget.

Microsoft Digital Defense Report 2024 oppgir samtidig at 90 prosent av alle organisasjoner har minst én eksponert angreps-sti, og 80 prosent har stier som leder direkte til kritiske eiendeler. Det er hovedfunnet bak hele denne listen: det er ikke avansert sosial-ingeniørkunst som faktisk gjør mest skade. Det er glemte standard-tiltak.

De 8 tiltakene i prioritert rekkefølge

Rekkefølgen er bevisst. Hvert tiltak forutsetter at de foregående er på plass, og hvert tiltak gir mer risiko-reduksjon enn det neste. Hvis dere starter på toppen og jobber ned, har dere gjort det viktigste først, uansett hvor langt dere kommer.

1. MFA på alt som logger inn

Hvis dere bare gjør én ting fra denne listen, gjør dette. Microsoft sin egen forskning angir at multifaktor-autentisering stopper over 99 prosent av kontotjuveri-forsøk. NorSIS sin undersøkelse for 2024 viser at 60 prosent av nordmenn bruker 2FA der det er tilgjengelig, opp fra 50 prosent i 2023. Det betyr at 40 prosent fortsatt ikke bruker det. På bedrifts-kontoer med tilgang til kundedata, fakturasystem og bank, er det ikke valgfritt.

Praktisk: aktiver MFA på Microsoft 365 eller Google Workspace først. Det dekker e-post, kalender og fildeling. Deretter regnskapssystem (Tripletex, Visma, Fiken), CRM, bank, lønnssystem, fakturaverktøy og alt med innloggings-side som inneholder kundedata eller penger.

Velg autentikator-app (Microsoft Authenticator, Google Authenticator, Authy) framfor SMS. SMS-koder kan kapres med SIM-swap-angrep der noen overtar telefonnummeret hos teleselskapet. Det er ikke teoretisk - det skjer i Norge, særlig mot eksponerte enkeltpersoner som ledere og finansansvarlige. For administrator-kontoer og kontoer med tilgang til betaling, hopp helt over SMS og app, og bruk maskinvarenøkkel (YubiKey). FIDO2/WebAuthn-protokollen er phishing-resistent på en måte ingen kode-basert MFA er.

Tid: 2-4 timer for å rulle ut til et ti-personers-team.
Kost: 0 kr for app-basert, 600-900 kr per YubiKey hvis dere går maskinvare-veien.
Risk-reduksjon: Stopper >99 prosent av credential-stuffing og phishing-baserte kontotjuverier. Største enkelttiltak du kan gjøre.

2. Backup som faktisk er testet med restore-drill

Backup som aldri er testet er ikke backup. Det er en mappe med data og en antakelse om at den virker. Antakelser dør i krisen.

Følg 3-2-1-regelen: tre kopier av kritiske data, lagret på to ulike medier, hvorav én offsite. For en typisk SMB betyr det:

Original data på lokal disk eller fildeling
Backup nummer 1: lokal NAS eller ekstern disk på kontoret
Backup nummer 2: skylagring i annen jurisdiksjon (Backblaze, Wasabi, Azure Backup, OneDrive med versjons-historikk)

Den viktigste delen er ikke oppsettet. Det er testen. Sett en kvartalsvis dato i kalenderen, og gjør følgende: hent én tilfeldig fil fra forrige uke, hent én katalog fra forrige måned, og hent én hel klient-arkiv fra forrige kvartal. Åpne dem. Verifiser at de er intakte. Hvis noe er korrupt eller manglende, vet dere det FØR krisen, ikke under den.

For bedrifter som kjører løsepenge-utsatt programvare lokalt (regnskap, eldre fagsystem), sørg for at backup-en er immutable - skrivebeskyttet for en periode etter at den er tatt. Hvis ikke, kan løsepenge-angripere kryptere backup-en sammen med originalen.

Tid: 1 dag oppsett, 2-3 timer per kvartal til drill.
Kost: 100-500 kr per ansatt per måned avhengig av datavolum.
Risk-reduksjon: Forskjellen på en hendelse som tar to dager og en hendelse som tar tre uker, eller som skrottes helt.

3. Patch-management med 14-dagers-vinduer

Microsoft Digital Defense Report 2024 viser at 1,25 millioner DDoS-angrep ble håndtert i andre halvår av 2024 - en firedobling fra året før. Mange av disse utnytter kjente sårbarheter i uoppdatert programvare. Patch-management er det kjedeligste tiltaket i listen, men det er den stillegående verdiarbeideren.

Konkret oppsett:

Windows-PCer: aktiver automatisk Windows Update. For bedrifts-flåte, bruk Microsoft Intune eller Windows Update for Business til å styre når oppdateringer ruller ut.
Mac-er: aktiver automatisk macOS-oppdatering. For flåte, bruk Jamf eller Mosyle.
Nettlesere (Chrome, Edge, Firefox, Safari): la dem oppdatere automatisk. Den vanligste angrepsflaten er nettleseren.
Office, Adobe Reader, Zoom, Teams og andre kontor-verktøy: aktiver autoupdate i hvert verktøy.
Servere og nettverks-utstyr (rutere, brannmurer, switcher): patch innen 14 dager for kritiske CVE-er.

Mål: kritiske og høy-alvorlige sårbarheter patches innen 14 dager fra leverandørens utgivelse. Medium og lav alvorlighet innen 30 dager. Ikke perfekt, men praktisk - og merkbart bedre enn gjennomsnittet.

Tid: 2 dager initiell oppsett av sentral styring, så 1-2 timer per måned til å sjekke rapporter.
Kost: Intune er inkludert i M365 Business Premium. Standalone Intune er cirka 50 kr per enhet per måned. Jamf for Mac er 80-150 kr per enhet per måned.
Risk-reduksjon: Fjerner det ekvivalente med åpne dører.

4. Kvartalsvis phishing-trening - ikke årlig kurs

NorSIS sin undersøkelse for 2024 viser at 41 prosent av nordmenn er bekymret for å bli lurt til å dele sensitiv informasjon. Bekymring uten trening hjelper ikke. NorSIS rapporterer samtidig at 30 prosent fikk formell digital sikkerhetstrening i 2024 (opp fra 25 prosent i 2023), og at 65 prosent av disse mente ferdighetene ble bedre etterpå.

Det viktige tallet er hva som ikke står: at 70 prosent fikk ingen trening. Det er der hoved- gevinsten ligger for de fleste SMB.

Modellen som faktisk fungerer:

Kvartalsvis phishing-simulering, ikke årlig. Hjernen glemmer på tre måneder.
Ansatte som klikker får et kort mikro-kurs på 10-15 minutter, ikke en irettesettelse.
Eksempel-flyt: e-post som later som faktura fra leverandør, e-post med fake delings-lenke fra en kollega, e-post som later som varsling fra Microsoft eller bank. Bytt mønster hvert kvartal.
Mål: klikkrate skal falle fra typisk 25-35 prosent i første simulering til under 10 prosent etter et år.

Verktøy:

KnowBe4: markedslederen. 200-400 kr per ansatt per år. Bredt bibliotek.
Hoxhunt: nordisk alternativ. Mer fokus på løpende mikro-trening framfor årlige kampanjer.
GoPhish: gratis open-source. Krever en time-budsjettering for selv-hosting, men kost null per ansatt.

Tid: 4-8 timer per kvartal til å bygge kampanje og følge opp resultater.
Kost: 200-500 kr per ansatt per år for kommersiell tjeneste, 0 kr for GoPhish.
Risk-reduksjon: Direkte i den største angrepsvektoren mot SMB.

Person ved bærbar PC i mørkt rom med kode på skjermen - illustrasjon for cybersikkerhets-arbeid — Foto: Unsplash

5. EDR eller moderne antivirus

Klassisk signatur-basert antivirus stopper kjente trusler. Moderne angripere bruker living-off-the-land-teknikker (PowerShell, legitime systemverktøy brukt på onde måter) som ikke utløser signatur-skannere. Endpoint Detection and Response (EDR) overvåker atferd, ikke bare filer.

For SMB:

Microsoft Defender for Business: inkludert i M365 Business Premium. For mange SMB er dette nok. Aktiver den.
CrowdStrike Falcon Go: markedslederen blant SMB-EDR. 150-250 kr per enhet per måned. Sterk deteksjon, god rapportering.
SentinelOne Singularity: alternativ til CrowdStrike. Liknende kost.
Sophos Intercept X: sterk på krypto-løsepenge-beskyttelse spesifikt.

Anbefaling: start med Defender for Business hvis dere har M365 Business Premium. Vurder CrowdStrike eller SentinelOne hvis dere håndterer spesielt sensitive data eller har eksplisitte compliance-krav.

Tid: 1-2 dager oppsett, mest brukt på å definere policies.
Kost: 0 kr (inkludert i Business Premium) til 300 kr per enhet per måned for premium-EDR.
Risk-reduksjon: Fanger det MFA og patching ikke fanger.

6. Tilgangs-styring etter least-privilege

Ingen får admin-rettigheter de ikke aktivt trenger. Daglig-bruker-konto for daglig arbeid, separat admin-konto for installasjoner. Dette er prinsippet bak least privilege og det er ferdige løsninger for det i Microsoft 365 og Google Workspace.

Konkret sjekkliste:

Hver ansatt har én standard-bruker. Lokale admin-rettigheter på arbeids-PC fjernes.
Admin-handlinger gjøres med separat admin-konto som har MFA og logges separat.
Gjeste-tilganger får alltid utløpsdato - typisk 30, 60 eller 90 dager. Ingen evige konsulent-kontoer.
Når ansatte slutter, deaktiveres konto innen 24 timer. Sett opp HR-flyt som trigger IT-handling automatisk - i Microsoft 365 kan dette gjøres via Entra ID lifecycle workflows.
Bruk rolle-basert tilgangs-styring (RBAC) framfor individuelle tilganger. Definer «Markedsføring», «Salg», «Regnskap» som roller, og legg ansatte i roller. Det er enklere å vedlikeholde og lettere å revidere.

Tid: 2-3 dager rydding første gang i en bedrift som har vokst uten styring. Deretter 30-60 minutter per måned til vedlikehold.
Kost: Inkludert i M365 og Google Workspace. Ingen ekstra lisens.
Risk-reduksjon: Reduserer skade-flaten når noe går galt - en kompromittert konto skal ikke ha tilgang til alt.

7. Incident-respons-plan med telefon-tre

Hvis et angrep skjer klokken 04 om natten på en søndag, hvem ringer du? Det er ikke et retorisk spørsmål. Det er det viktigste spørsmålet i hele cybersikkerhets-arbeidet, og veldig få SMB har svaret klart.

En incident-respons-plan trenger ikke være lang. Den trenger å være konkret. Den skal dekke:

Hvem oppdager: typisk en ansatt som ser noe rart, eller et varsel fra EDR/Defender.
Hvem varsles internt: kort liste med navn, mobilnummer og e-post. Maks 3-5 personer.
Hvem isolerer maskinen: trekke nettverkskabel, koble fra Wi-Fi, men ikke slå av maskinen (hukommelses-bevis kan gå tapt).
Hvem skifter passord: sentrale tilganger må endres fra ren enhet.
Hvem kontakter ekstern hjelp: IT-leverandør, incident-respons-tjeneste (Mnemonic, KPMG, PwC, Sopra Steria, ulike spesialister), eller forsikrings-selskap hvis dere har cyber-forsikring.
Hvem snakker med Datatilsynet: hvis personopplysninger kan være eksponert, har dere 72 timer på å varsle etter GDPR artikkel 33. Identifiser hvem hos dere som skriver det varselet på forhånd.
Hvem snakker med kunder eller media: én utpekt person, ikke ad-hoc.

Skriv planen som et flytdiagram eller en kort tabell, ikke som et regelverk på 40 sider. Print den ut og heng en kopi opp - hvis serverne brenner, må planen være tilgjengelig uten skystjøy.

Test planen én gang i året med en bordsimulering på 1-2 timer. Velg et realistisk scenario (ansatt klikker på phishing-faktura, faktura-betaling går til feil konto, et tilfeldig system slutter å svare på morgenen). Spør hver person i tre-et hva de ville gjort. Notér det som ikke virker. Oppdater planen.

Tid: 2-3 dager til å skrive første versjon. 4 timer per år til test.
Kost: 0 kr internt. Eventuell ekstern fasilitator 8-15 000 kr.
Risk-reduksjon: Forskjellen mellom å håndtere en hendelse og å la den eskalere.

8. Tilgangs-logging og alarmer på risiko-handlinger

Det åttende tiltaket er det første som er valgfritt for de minste SMB - men det blir kritisk raskt når dere passerer 15-20 ansatte eller behandler sensitiv kundedata.

Aktiver logging og alarmer på følgende hendelser:

Innlogging fra geografi som er uvanlig (ansatt i Stavanger logger inn fra Vietnam)
Innlogging på umulig hastighet (samme bruker fra Oslo og New York innen 1 time)
Masse-nedlasting fra OneDrive, SharePoint eller Google Drive
Oppretting av nye admin-kontoer eller endring av eksisterende tilganger
Deaktivering av MFA på en konto
Endring av e-post-videresending-regler (vanlig mønster ved kompromittert konto)
Mass-sletting av filer

I Microsoft 365 settes dette opp via Microsoft Defender for Cloud Apps og Microsoft Purview Insider Risk Management. I Google Workspace bruker dere Alert Center og Investigation Tool. Begge støtter alarmer via e-post eller integrasjon mot Teams/Slack.

For SMB som ikke har dedikert sikkerhets-personell, kan en ekstern Managed Detection and Response (MDR) overvåke disse signalene 24/7 for typisk 150-400 kr per ansatt per måned. Det er det riktige steget når dere passerer en viss størrelse eller har eksplisitte kontrakts-krav.

Tid: 1 dag oppsett om dere har M365 Business Premium eller Google Workspace Enterprise.
Kost: Inkludert i Business Premium / Workspace Enterprise. MDR-tjeneste er 150-400 kr per ansatt per måned.
Risk-reduksjon: Reduserer detection time fra måneder til timer.

Hva det koster - oppsummering for en 10-personers bedrift

Tiltak	Oppsett (timer)	Løpende kost / år	Risiko fjernet
1. MFA	4	0-9 000	★★★★★
2. Backup + restore-drill	8	12 000-60 000	★★★★★
3. Patch-management	16	6 000-18 000	★★★★
4. Phishing-trening	8	2 000-5 000	★★★★
5. EDR / Defender	12	0-36 000	★★★★
6. Tilgangs-styring	16	0	★★★
7. Incident-respons-plan	16	4 000-15 000	★★★
8. Logging og alarmer	8	0-48 000	★★★
Sum (10 ansatte)	88	24 000-191 000	-

For en SMB på ti ansatte som allerede har M365 Business Premium og en backup-løsning, ligger den løpende kostnaden typisk rundt 50 000-80 000 kr per år for alle åtte tiltakene samlet. Det er omtrent halvparten av kostnaden ved en gjennomsnittlig løsepenge-hendelse før produksjonstap regnes inn.

Hva du KAN droppe - vanlige overkill for SMB

Listen ovenfor er hva som faktisk gir resultater. Det er like viktig å vite hva som ikke gjør det. Disse tingene ser bra ut i et tilbud, men gir liten reell sikkerhetsgevinst for en typisk SMB.

ISO 27001-sertifisering, hvis kundene ikke krever det. Sertifisering koster typisk 200 000-400 000 kr og krever 6-12 måneders forberedelse. Det er meningsfullt når dere selger til store enterprise-kunder eller offentlig sektor som har det som anbuds-krav. For en lokal SMB som leverer tjenester til lokale kunder, gir det sjelden direkte avkastning. Bygg de åtte tiltakene først, lag dokumentasjon underveis, og vurder sertifisering når en konkret kunde spør.

Eget SIEM-system (Splunk, QRadar) for under 25 ansatte. Security Information and Event Management-systemer er bygget for store organisasjoner med dedikerte sikkerhets-analytikere. For SMB blir SIEM-er typisk dyre å lisensiere og umulige å vedlikeholde internt. Hvis dere virkelig trenger sentralisert logging og analyse, kjøp den som en managed-tjeneste, ikke som et internt system.

Avansert EDR for under 10 ansatte med M365 Business Premium. Microsoft Defender for Business er allerede med i pakken. Marginal gevinst ved å legge til CrowdStrike eller SentinelOne for en bedrift på under ti er liten. Bytt opp når dere passerer 15-25 ansatte eller håndterer spesielt sensitive data.

Dyrt penetrasjons-test-program årlig hvis grunnleggende ikke er på plass. En pentest avdekker det MFA, patching og EDR allerede ville ha fjernet. For en bedrift uten disse grunnleggende tiltakene gir en pentest en lang liste med funn og lite handlings-rom. Gjør grunnleggende først, og pentest når dere har en sikkerhets-modenhet som krever validering.

VPN for ansatte som jobber hjemmefra, hvis dere er full SaaS. Hvis hele stacken deres er M365 eller Google Workspace med MFA og Conditional Access, gir tradisjonell VPN minimal ekstra beskyttelse - og innfører en ekstra angreps-flate (VPN-konsentratoren). Det som faktisk hjelper er identitets-basert tilgangs-styring og Conditional Access, ikke nettverks-tunneller.

Når trenger du proff hjelp

Det meste på listen kan en IT-kompetent intern person sette opp ved hjelp av leverandørenes egne guider. Punkt 1 (MFA), 2 (backup) og 4 (phishing-trening) gjøres typisk uten ekstern bistand i bedrifter under 20 ansatte. Punkt 3 (patching) krever en helg med Intune eller tilsvarende.

Ekstern hjelp gir mest mening for:

Initiell oppsett av punkt 5-8 (EDR-policy, tilgangs-styring, incident-respons-plan, logging og alarmer). Typisk 20-40 timer ekstern jobb.
Årlig sikkerhets-revisjon. 1-2 dager ekstern gjennomgang av oppsett.
Akutt incident-respons. Beredskaps-avtale med en spesialist (Mnemonic, KPMG, mindre uavhengige) koster typisk 5 000-15 000 kr per år bare for å ha nummeret aktivt, pluss timer ved faktisk hendelse.
Compliance-arbeid hvis dere må dokumentere sikkerhetsarbeid overfor en kunde, regulatorisk myndighet eller forsikringsselskap.

For en standard SMB på 10-25 ansatte er typisk samlet budsjett til ekstern sikkerhets-bistand 40 000-100 000 kr per år, fordelt på oppsett, løpende rådgivning og beredskap.

Neste steg - start på toppen

Listen er prioritert. Hvis dere bare har én uke å bruke på cybersikkerhet i denne måneden, bruk den på punkt 1 (MFA) og punkt 2 (backup-test). De to fjerner den største delen av risikoen for det meste av kost. Punkt 3-8 kan rulles ut over de neste 4-12 ukene i den rekkefølgen.

Hvis dere ønsker en sparringspartner som har gjort denne pakken før for norske SMB, kan vi hjelpe med oppsett av punkt 5-8 og med årlig sikkerhets-gjennomgang. Send en e-post til Roy.Morken@Datafolka.no , så avtaler vi en samtale. Vi tar også beredskaps-avtaler for incident-respons om dere vil ha et nummer å ringe når noe skjer.

Beslektet lesing på datafolka.no: IT-sikkerhets-tjenester , Privat AI uten datalekkasje og IT-rådgivning .

Kilder

NSM Risiko 2025: nsm.no/regelverk-og-hjelp/rapporter/risiko-2025
Microsoft Digital Defense Report 2024: microsoft.com/security/security-insider
NorSIS digital sikkerhetskultur-undersøkelse 2024: norsis.no
SOCRadar Nordic Threat Landscape Report 2024: socradar.io

Roy Morken, medgrunnlegger i Datafolka. Artikkelen er bygget på offentlige industri-kilder (NSM, Microsoft, NorSIS, SOCRadar) og oversatt til praktisk språk for norske SMB. Ingen kundedata eller anonymiserte case er brukt. Sist oppdatert 25. mai 2026.