Digitaliseringen af samfundskritiske funktioner går stærkt, og det samme gør risiciene. Med NIS2-direktivet gør EU det tydeligt, at cybersikkerhed ikke længere kan behandles som et IT-tillæg, men skal være en integreret del af virksomhedens ledelse og risikostyring. Det er mere end et nyt regelsæt. NIS2 markerer et skifte mod en mere robust, sikker og modstandsdygtig digital infrastruktur i Europa.
Trusselsbilledet for driftskritiske systemer ser anderledes ud i dag. OT-miljøer, som tidligere var mere adskilte, bliver nu ofte koblet sammen med IT-systemer, cloudtjenester og eksterne leverandører for at gøre driften mere effektiv, styrke analysearbejdet og øge automatiseringen. Samtidig vokser eksponeringen mod cybertrusler.
NIS2 skærper derfor kravene på en række områder, bl.a.:
Manglende efterlevelse kan føre til tilsyn, påbud og sanktioner afhængigt af virksomhedstype og af, hvor alvorlige manglerne vurderes at være.
En tydelig ændring handler om OT-miljøerne. Traditionelt har de ofte været præget af:
Den virkelighed er under forandring. Kravene til datadeling, fjernadgang, analyse, integrationer og automatisering stiger i mange brancher.
Det betyder, at systemer, som oprindeligt ikke var designet til nutidens opkoblede miljøer, nu skal håndteres med nye sikkerhedskrav for øje.
Hvor IT historisk ofte har prioriteret fortrolighed og integritet, har OT i mange tilfælde været styret af tilgængelighed og driftskontinuitet. I takt med digitaliseringen skal de to perspektiver spille sammen på en struktureret og sikker måde.
Organisationer, der vil opnå:
De organisationer er helt afhængige af sikker og kontrolleret adgang til OT-data. Samtidig stiller NIS2 krav om, at sikkerheden omfatter hele virksomhedens informationsflow, herunder afhængigheder, integrationer og leverandørled. Det er ikke muligt at være fuldt datadrevet og samtidig leve op til regler og direktiver uden at arbejde kontinuerligt og systematisk med cybersikkerhed i både IT- og OT-miljøer.
Du kan ikke arbejde datadrevet i praksis uden også at have styr på sikkerheden på tværs af OT og IT.
Et arkitekturprincip, som får stadig større betydning i den her sammenhæng, er edge computing. Edge kan gøre det muligt at bearbejde og analysere information tæt på kilden uden unødig eksponering af følsomme miljøer.
Med den rette udformning kan edge bidrage til:
Kort sagt kan edge være en måde at få IT og OT til at spille bedre sammen på.
For virksomheder, der er omfattet af reglerne, gælder kravene allerede. Samtidig har mange organisationer stadig et betydeligt arbejde foran sig med at omsætte kravene i praksis og sikre efterlevelse over tid.
Fokuser på følgende:
1. Kortlæg OT-systemer, integrationer og afhængigheder. Det er ikke muligt at beskytte noget man ikke har overblik over.
2. Analysér leverandørkæder og tredjepartsrisici. Sikkerheden skal omfatte hele økosystemet.
3. Gennemgå identitetsstyring, logning og patchrutiner for IT og OT, hvor det er muligt.
4. Sørg for sikker datadeling og segmenteret integration mellem miljøer.
5. Etabler en langsigtet tilgang til styring, opfølgning og løbende forbedring.
De organisationer, der arbejder systematisk, styrker ikke kun deres sikkerhed. De opbygger også større modstandsdygtighed over tid.
Det er let at se NIS2 som endnu et omfattende efterlevelseskrav. Men i praksis handler regelsættet også om noget, moderne organisationer under alle omstændigheder er nødt til at håndtere: sikkerhed, robusthed og pålidelig digital drift.
Når IT og OT spiller rigtigt sammen, giver det bedre forudsætninger for:
For de berørte organisationer handler det ikke kun om regelefterlevelse, men også om langsigtet konkurrenceevne og ansvarlighed.
Med dyb brancheforståelse inden for energi og industri har Cegal opbygget et tværfagligt team med forståelse for både IT, OT og lovgivning. Vi hjælper organisationer med at omsætte NIS2-kravene til praktiske, sikre og forretningsrelevante løsninger.