Før Russlands invasjon av Ukraina meldte PST at cyberangrep utgjør den viktigste trusselen mot norske interesser. En måned etter rapporterte PST at vi kunne forvente en økning nettverksoperasjoner fremover. Digitalisering har gjort verden mer sammenkoblet, men det menes likevel at befolkningen har forholdsvis lite kunnskap om digitale trusler. Med etableringen og utviklingen av internett har cyberkriminalitet som fenomen vokst parallelt. Som et resultat av de endrede sårbarhetsflatene har resiliens vokst frem som en ny sikkerhetstenkning i virksomhetene og hvordan de håndterer avvikssituasjoner. I forhold til andre tilnærminger tar begrepet for seg hvordan man forbereder seg før situasjonen, responderer under situasjonen, og hvordan man lærer etter situasjonen. Utgangspunktet ligger i problemstillingen: hvilke ikke-tekniske faktorer bidrar til cyberresiliens i Hydro? Avhandlingen har som formål å skape innsikt i hvordan Norsk Hydro opprettholdte tilnærmede normaltilstander i drift under cyberangrepet i 2019 med fokus på ikke-tekniske faktorer – herunder menneskelige, sosiale og organisatoriske dimensjoner av resiliens. For å besvare problemstillingen har oppgaven tatt utgangspunkt i et datamateriale på ti kvalitative intervjuer foretatt i ett av Hydro-verkene i landet. For å holde et fokus på hvordan informantene selv erfarte cyberangrepet har oppgaven tatt utgangspunkt i fenomenologi, eksplorativt design og abduktiv metode. Analysen struktureres etter tidsperioden før, under og etter cyberangrepet, og i analysen identifiseres fem ikke-tekniske faktorer som gjorde seg gjeldende før, under og etter angrepet som diskusjonen struktureres etter. (1) Evnen til å antesipere ble sentral før angrepet i form av bevisstgjøring og grunnkompetansen alle ansatte besitter. (2) Avvikserfaring og improvisasjon ble sentral under angrepet i form av at responsgrunnlaget befant seg i ansattes egne erfaringer fra andre avvikssituasjoner og prosedyrer. (3) Desentralisering og organisatorisk struktur ble sentral både før og under angrepet siden strukturene var på plass lenge før angrepet fant sted, men også for at operatørene selv har myndighet over rutinemessige oppgaver. (4) Åpenhet ble sentral under og etter angrepet, både for hvordan konsernet håndterte angrepet utad og hvordan det ble håndtert lokalt. (5) Læring- og kunnskapsformidling er sentral etter angrepet og viser til bevisstgjøringen som har skjedd i etterkant. Avslutningsvis diskuterer jeg to problemer som kommer frem i intervjuene. Den ene er et såkalt «paradoksalt læringsutbytte» der man må ha krisesituasjoner for å oppnå læringsutbytte. Den andre er avveiningen mellom funksjonalitet og sikkerhet, og vanskeligheter med å kombinere sikkerhetsarbeid sammen med ordinært arbeid.