NIS2: Direktivet, der ændrer spillereglerne for OT-sikkerhed
Digitaliseringen af samfundskritiske funktioner går stærkt, og det samme gør risiciene. Med NIS2-direktivet gør EU det tydeligt, at cybersikkerhed ikke længere kan behandles som et IT-tillæg, men skal være en integreret del af virksomhedens ledelse og risikostyring. Det er mere end et nyt regelsæt. NIS2 markerer et skifte mod en mere robust, sikker og modstandsdygtig digital infrastruktur i Europa.
Hvorfor er det vigtigt?
Trusselsbilledet for driftskritiske systemer ser anderledes ud i dag. OT-miljøer, som tidligere var mere adskilte, bliver nu ofte koblet sammen med IT-systemer, cloudtjenester og eksterne leverandører for at gøre driften mere effektiv, styrke analysearbejdet og øge automatiseringen. Samtidig vokser eksponeringen mod cybertrusler.
NIS2 skærper derfor kravene på en række områder, bl.a.:
- Risikostyring og ledelse
- Rapportering af hændelser
- Kontinuitetsplanlægning og kriseberedskab
- Sikkerhed i leverandørkæden
- Adgangsstyring og tekniske sikkerhedsforanstaltninger
- Uddannelse og kompetenceudvikling
Manglende efterlevelse kan føre til tilsyn, påbud og sanktioner afhængigt af virksomhedstype og af, hvor alvorlige manglerne vurderes at være.
OT: Fra isolerede miljøer til øget eksponering
En tydelig ændring handler om OT-miljøerne. Traditionelt har de ofte været præget af:
- Lange livscyklusser
- Få ændringer over tid
- Segmenterede netværk, ofte efter Purdue-modellen
- Begrænset ekstern opkobling
- Stort fokus på tilgængelighed og driftsstabilitet
Den virkelighed er under forandring. Kravene til datadeling, fjernadgang, analyse, integrationer og automatisering stiger i mange brancher.
Det betyder, at systemer, som oprindeligt ikke var designet til nutidens opkoblede miljøer, nu skal håndteres med nye sikkerhedskrav for øje.
IT og OT skal arbejde sammen
Hvor IT historisk ofte har prioriteret fortrolighed og integritet, har OT i mange tilfælde været styret af tilgængelighed og driftskontinuitet. I takt med digitaliseringen skal de to perspektiver spille sammen på en struktureret og sikker måde.
Organisationer, der vil opnå:
- Automatiserede og skalerbare processer
- Mere forudsigelig vedligeholdelse
- Bedre analyse og beslutningsstøtte
- Mere effektiv udnyttelse af driftsdata
- Mere stabil og optimeret produktion
De organisationer er helt afhængige af sikker og kontrolleret adgang til OT-data. Samtidig stiller NIS2 krav om, at sikkerheden omfatter hele virksomhedens informationsflow, herunder afhængigheder, integrationer og leverandørled. Det er ikke muligt at være fuldt datadrevet og samtidig leve op til regler og direktiver uden at arbejde kontinuerligt og systematisk med cybersikkerhed i både IT- og OT-miljøer.
Du kan ikke arbejde datadrevet i praksis uden også at have styr på sikkerheden på tværs af OT og IT.
Edge computing: En mulig bro mellem IT og OT
Et arkitekturprincip, som får stadig større betydning i den her sammenhæng, er edge computing. Edge kan gøre det muligt at bearbejde og analysere information tæt på kilden uden unødig eksponering af følsomme miljøer.
Med den rette udformning kan edge bidrage til:
- Lokal databehandling med lav latenstid
- Mindre afhængighed af centrale systemer
- Mere kontrolleret IT/OT-integration
- Støtte til realtidsanalyse og optimering
- Øget robusthed i distribuerede miljøer
Kort sagt kan edge være en måde at få IT og OT til at spille bedre sammen på.
Fem fokusområder for det fortsatte NIS2-arbejde
For virksomheder, der er omfattet af reglerne, gælder kravene allerede. Samtidig har mange organisationer stadig et betydeligt arbejde foran sig med at omsætte kravene i praksis og sikre efterlevelse over tid.
Fokuser på følgende:
1. Kortlæg OT-systemer, integrationer og afhængigheder. Det er ikke muligt at beskytte noget man ikke har overblik over.
2. Analysér leverandørkæder og tredjepartsrisici. Sikkerheden skal omfatte hele økosystemet.
3. Gennemgå identitetsstyring, logning og patchrutiner for IT og OT, hvor det er muligt.
4. Sørg for sikker datadeling og segmenteret integration mellem miljøer.
5. Etabler en langsigtet tilgang til styring, opfølgning og løbende forbedring.
De organisationer, der arbejder systematisk, styrker ikke kun deres sikkerhed. De opbygger også større modstandsdygtighed over tid.
NIS2 er også en strategisk mulighed
Det er let at se NIS2 som endnu et omfattende efterlevelseskrav. Men i praksis handler regelsættet også om noget, moderne organisationer under alle omstændigheder er nødt til at håndtere: sikkerhed, robusthed og pålidelig digital drift.
Når IT og OT spiller rigtigt sammen, giver det bedre forudsætninger for:
- Højere sikkerhedsniveau
- Mere forudsigelig drift
- Bedre beslutningsgrundlag
- Stærkere samarbejde mellem teknologi og forretning
- Øget modenhed og robusthed
For de berørte organisationer handler det ikke kun om regelefterlevelse, men også om langsigtet konkurrenceevne og ansvarlighed.
Cegal som partner i NIS2-arbejdet
Med dyb brancheforståelse inden for energi og industri har Cegal opbygget et tværfagligt team med forståelse for både IT, OT og lovgivning. Vi hjælper organisationer med at omsætte NIS2-kravene til praktiske, sikre og forretningsrelevante løsninger.
