Digitaliseringen av kritisk infrastruktur akselererer – og med det øker også risikoen. NIS2-direktivet er EUs tydeligste signal hittil om at cybersikkerhet ikke lenger kan behandles som et tillegg til ordinær drift; det må bygges inn som en kjernekomponent i virksomhetens fundament. For norske aktører innen energi, vann, industri, telekom og annen samfunnskritisk virksomhet innebærer dette en ny virkelighet: strengere krav, tydeligere ansvar og et betydelig sterkere fokus på OT-sikkerhet.
Dette er mer enn et direktiv – det er et løft som moderniserer hele Europas digitale ryggrad.
Trusselbildet mot kritisk infrastruktur har endret seg drastisk. OT-systemer som tidligere var isolerte og stabile, kobles nå mot IT, sky og leverandørmiljøer for å muliggjøre mer datadrevet drift. Samtidig øker angrepsflaten.
NIS2 skjerper derfor kravene på en rekke områder, blant annet:
Konsekvensene er betydelige: brudd kan føre til bøter på opptil 10 millioner euro eller 2 % av global omsetning.
I Norge vil NIS2 bli integrert i eksisterende lovverk, først og fremst sikkerhetsloven. Trolig innføring er medio 2026.
Det mest omfattende skiftet handler om OT. Tradisjonelt har OT-miljøer vært preget av
Denne virkeligheten er i ferd med å forsvinne. Moderne drift forutsetter datadeling, integrasjon mot IT, fjernaksess, skybaserte analyser og omfattende automatisering. Summen er en perfekt storm: OT-systemer som aldri var designet for å være eksponert mot nettverk, befinner seg nå i frontlinjen. Trusselaktører kjenner denne situasjonen – og utnytter den aktivt.
Der IT tradisjonelt har hatt konfidensialitet som høyeste prioritet, har OT levd etter prinsippet «oppetid først». Med NIS2 må disse to verdenene forenes – på en måte som er sikker, standardisert og godt dokumentert.
Virksomheter som ønsker
.. er helt avhengige av sikker og kontrollert tilgang til OT-data. Samtidig stiller NIS2 tydelige krav om at den digitale sikkerheten skal følge disse dataene – hele veien gjennom verdikjeden.
Man kan ikke være virkelig datadrevet uten å etterleve NIS2-kravene for både OT og IT.
En løsning som får stadig større oppmerksomhet, og med god grunn, er edge-teknologi. Edge fungerer som et sikkerhets- og arkitekturprinsipp som gjør det mulig for virksomheter å hente ut verdien av OT-data uten å eksponere OT-miljøene direkte.
Med edge får dere:
Kort fortalt: Edge gjør IT/OT-konvergens både mulig og praktisk gjennomførbar.
Selv om detaljene i lovverket fortsatt finpusses, er retningen tydelig. Å vente er en dårlig strategi. Dette bør prioriteres allerede i dag:
1. Kartlegg OT-systemer, integrasjoner og avhengigheter
Du kan ikke beskytte det du ikke kjenner.
2. Få oversikt over leverandørkjeder og tredjepartsrisiko
Hele verdikjeden må være sikker – ikke bare egen plattform.
3. Standardiser identitetshåndtering, logging og patching på tvers av IT og OT
Harmonisering er en forutsetning for kontroll.
4. Planlegg for sikker datadeling – gjerne med edge-arkitektur
Datadrevet drift må kombineres med sikkerhet «by design».
5. Start NIS2-arbeidet tidlig
Dette er et flerårig løft, spesielt for virksomheter med tung OT.
Virksomheter som starter nå styrker ikke bare sikkerheten, de skaffer seg også et reelt konkurransefortrinn.
Det kan være fristende å betrakte NIS2 som et omfattende compliance-program. I realiteten peker direktivet mot noe virksomheter uansett må forholde seg til: moderne, sikker og datadrevet drift.
Når IT og OT trekker i samme retning, oppnår virksomheter:
For kritisk infrastruktur er dette mer enn et lovkrav – det er god forretning.
Som en del av vår ledende domenekunnskap innen kraftbransjen har vi i Cegal satt sammen et sterkt tverrfaglig team med inngående forståelse av hvilke utfordringer dette innebærer, og vi står klare til å hjelpe aktører med å oppfylle kravene som NIS2 utløser.