Digitaliseringen av kritisk infrastruktur akselererer – og med det øker også risikoen. NIS2-direktivet er EUs tydeligste signal hittil om at cybersikkerhet ikke lenger kan behandles som et tillegg til ordinær drift; det må bygges inn som en kjernekomponent i virksomhetens fundament. For norske aktører innen energi, vann, industri, telekom og annen samfunnskritisk virksomhet innebærer dette en ny virkelighet: strengere krav, tydeligere ansvar og et betydelig sterkere fokus på OT-sikkerhet.
Dette er mer enn et direktiv – det er et løft som moderniserer hele Europas digitale ryggrad.
Trusselbildet mot kritisk infrastruktur har endret seg drastisk. OT-systemer som tidligere var isolerte og stabile, kobles nå mot IT, sky og leverandørmiljøer for å muliggjøre mer datadrevet drift. Samtidig øker angrepsflaten.
NIS2 skjerper derfor kravene på en rekke områder, blant annet:
Konsekvensene er betydelige: brudd kan føre til bøter på opptil 10 millioner euro eller 2 % av global omsetning.
I Norge vil NIS2 bli integrert i eksisterende lovverk, først og fremst sikkerhetsloven. Planlagt ikrafttredelse er 1. juli 2026.
Det mest omfattende skiftet handler om OT. Tradisjonelt har OT-miljøer vært preget av
Denne virkeligheten er i ferd med å forsvinne. Moderne drift forutsetter datadeling, integrasjon mot IT, fjernaksess, skybaserte analyser og omfattende automatisering. Summen er en perfekt storm: OT-systemer som aldri var designet for å være eksponert mot nettverk, befinner seg nå i frontlinjen. Trusselaktører kjenner denne situasjonen – og utnytter den aktivt.
Der IT tradisjonelt har hatt konfidensialitet som høyeste prioritet, har OT levd etter prinsippet «oppetid først». Med NIS2 må disse to verdenene forenes – på en måte som er sikker, standardisert og godt dokumentert.
Virksomheter som ønsker
.. er helt avhengige av sikker og kontrollert tilgang til OT-data. Samtidig stiller NIS2 tydelige krav om at den digitale sikkerheten skal følge disse dataene – hele veien gjennom verdikjeden.
Man kan ikke være virkelig datadrevet uten å etterleve NIS2-kravene for både OT og IT.
En løsning som får stadig større oppmerksomhet – og med god grunn – er edge-teknologi. Edge fungerer som et sikkerhets- og arkitekturprinsipp som gjør det mulig for virksomheter å hente ut verdien av OT-data uten å eksponere OT-miljøene direkte.
Med edge får dere:
Kort fortalt: Edge gjør IT/OT-konvergens både mulig og praktisk gjennomførbar.
Selv om detaljene i lovverket fortsatt finpusses, er retningen tydelig. Å vente er en dårlig strategi. Dette bør prioriteres allerede i dag:
1. Kartlegg OT-systemer, integrasjoner og avhengigheter
Du kan ikke beskytte det du ikke kjenner.
2. Få oversikt over leverandørkjeder og tredjepartsrisiko
Hele verdikjeden må være sikker – ikke bare egen plattform.
3. Standardiser identitetshåndtering, logging og patching på tvers av IT og OT
Harmonisering er en forutsetning for kontroll.
4. Planlegg for sikker datadeling – gjerne med edge-arkitektur
Datadrevet drift må kombineres med sikkerhet «by design».
5. Start NIS2-arbeidet tidlig
Dette er et flerårig løft, spesielt for virksomheter med tung OT.
Virksomheter som starter nå, styrker ikke bare sikkerheten – de skaffer seg også et reelt konkurransefortrinn.
Det kan være fristende å betrakte NIS2 som et omfattende compliance-program. I realiteten peker direktivet mot noe virksomheter uansett må forholde seg til: moderne, sikker og datadrevet drift.
Når IT og OT trekker i samme retning, oppnår virksomheter:
For kritisk infrastruktur er dette mer enn et lovkrav – det er god forretning.
Som en del av vår ledende domenekunnskap innen kraftbransjen har vi i Cegal satt sammen et sterkt tverrfaglig team med inngående forståelse av hvilke utfordringer dette innebærer, og vi står klare til å hjelpe aktører med å oppfylle kravene som NIS2 utløser.