<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2233467260228916&amp;ev=PageView&amp;noscript=1">

NIS2: Direktivet som endrer spillereglene for OT-sikkerhet

Ommund Øvrelid Løsningsarkitekt i Cegal.
03/19/2026 |

Digitaliseringen av kritisk infrastruktur akselererer – og med det øker også risikoen. NIS2-direktivet er EUs tydeligste signal hittil om at cybersikkerhet ikke lenger kan behandles som et tillegg til ordinær drift; det må bygges inn som en kjernekomponent i virksomhetens fundament. For norske aktører innen energi, vann, industri, telekom og annen samfunnskritisk virksomhet innebærer dette en ny virkelighet: strengere krav, tydeligere ansvar og et betydelig sterkere fokus på OT-sikkerhet.

Dette er mer enn et direktiv – det er et løft som moderniserer hele Europas digitale ryggrad.

Hvorfor er NIS2 viktig – og hvorfor akkurat nå?

Trusselbildet mot kritisk infrastruktur har endret seg drastisk. OT-systemer som tidligere var isolerte og stabile, kobles nå mot IT, sky og leverandørmiljøer for å muliggjøre mer datadrevet drift. Samtidig øker angrepsflaten.

NIS2 skjerper derfor kravene på en rekke områder, blant annet:

  • tilgangsstyring, logging og kryptering
  • sikker utvikling, drift, patching og vedlikehold
  • beredskap, hendelseshåndtering og kontinuitet
  • kontroll på leverandørkjeder og integrasjoner
  • dokumentert risikostyring
  • systematisk opplæring

Konsekvensene er betydelige: brudd kan føre til bøter på opptil 10 millioner euro eller 2 % av global omsetning.

I Norge vil NIS2 bli integrert i eksisterende lovverk, først og fremst sikkerhetsloven. Planlagt ikrafttredelse er 1. juli 2026.

OT: Fra isolert teknologi til attraktivt angrepsmål

Det mest omfattende skiftet handler om OT. Tradisjonelt har OT-miljøer vært preget av

  • minimale endringer
  • svært lang levetid på utstyr
  • streng segmentering
  • liten eller ingen internettilgang
  • høyere prioritet på tilgjengelighet enn på konfidensialitet

Denne virkeligheten er i ferd med å forsvinne. Moderne drift forutsetter datadeling, integrasjon mot IT, fjernaksess, skybaserte analyser og omfattende automatisering. Summen er en perfekt storm: OT-systemer som aldri var designet for å være eksponert mot nettverk, befinner seg nå i frontlinjen. Trusselaktører kjenner denne situasjonen – og utnytter den aktivt.

IT og OT må spille på lag

Der IT tradisjonelt har hatt konfidensialitet som høyeste prioritet, har OT levd etter prinsippet «oppetid først». Med NIS2 må disse to verdenene forenes – på en måte som er sikker, standardisert og godt dokumentert.

Virksomheter som ønsker

  • automatiserte prosesser
  • prediktivt vedlikehold
  • avansert analyse og maskinlæring
  • bedre utnyttelse av operative data
  • mer optimal og robust drift

.. er helt avhengige av sikker og kontrollert tilgang til OT-data. Samtidig stiller NIS2 tydelige krav om at den digitale sikkerheten skal følge disse dataene – hele veien gjennom verdikjeden.

Man kan ikke være virkelig datadrevet uten å etterleve NIS2-kravene for både OT og IT.

Edge-computing: Brobyggeren mellom IT og OT

En løsning som får stadig større oppmerksomhet – og med god grunn – er edge-teknologi. Edge fungerer som et sikkerhets- og arkitekturprinsipp som gjør det mulig for virksomheter å hente ut verdien av OT-data uten å eksponere OT-miljøene direkte.

Med edge får dere:

  • databehandling nær datakilden
  • et bufferlag som reduserer risiko
  • sikker og kontrollert IT/OT-integrasjon
  • støtte for sanntidsanalyse og AI
  • en arkitektur som bygger robusthet, ikke kompleksitet

Kort fortalt: Edge gjør IT/OT-konvergens både mulig og praktisk gjennomførbar.

Fem konkrete tiltak dere bør starte med nå

Selv om detaljene i lovverket fortsatt finpusses, er retningen tydelig. Å vente er en dårlig strategi. Dette bør prioriteres allerede i dag:

1. Kartlegg OT-systemer, integrasjoner og avhengigheter
    Du kan ikke beskytte det du ikke kjenner.

2. Få oversikt over leverandørkjeder og tredjepartsrisiko
    Hele verdikjeden må være sikker – ikke bare egen plattform.

3. Standardiser identitetshåndtering, logging og patching på tvers av IT og OT
    Harmonisering er en forutsetning for kontroll.

4. Planlegg for sikker datadeling – gjerne med edge-arkitektur
    Datadrevet drift må kombineres med sikkerhet «by design».

5. Start NIS2-arbeidet tidlig
    Dette er et flerårig løft, spesielt for virksomheter med tung OT.

Virksomheter som starter nå, styrker ikke bare sikkerheten – de skaffer seg også et reelt konkurransefortrinn.

NIS2 er en strategisk mulighet – ikke bare et regulatorisk krav

Det kan være fristende å betrakte NIS2 som et omfattende compliance-program. I realiteten peker direktivet mot noe virksomheter uansett må forholde seg til: moderne, sikker og datadrevet drift.

Når IT og OT trekker i samme retning, oppnår virksomheter:

  • bedre sikkerhet
  • mer forutsigbar drift
  • dypere innsikt og bedre beslutningsgrunnlag
  • tettere samarbeid på tvers av fagmiljøer
  • høyere modenhet og økt robusthet

For kritisk infrastruktur er dette mer enn et lovkrav – det er god forretning.

Som en del av vår ledende domenekunnskap innen kraftbransjen har vi i Cegal satt sammen et sterkt tverrfaglig team med inngående forståelse av hvilke utfordringer dette innebærer, og vi står klare til å hjelpe aktører med å oppfylle kravene som NIS2 utløser.
Ønsker dere rådgivning rundt NIS2 og OT-sikkerhet?

Vi er klar til å hjelpe dere.

Kontakt oss

Relaterte artikler

Energi Digitalisering
Hva er NIS2 og hva betyr det for deg som leder?
Ingrid Løvseter Business Consultant | Cyber Security...
arrow
NIS2 - Hvordan jobbe med risikostyring
Daniel Andersson Daniel Andersson er senior...
arrow
Digitalisering
Slik beskytter Cegal kritisk infrastruktur mot daglige...
Redaksjonen
arrow