Digitaliseringen av samhällsviktiga verksamheter accelererar – och med den ökar också riskerna. Med NIS2-direktivet markerar EU tydligt att cybersäkerhet inte längre kan hanteras som ett IT-tillägg, utan behöver vara en integrerad del av verksamhetens styrning och riskhantering.
Det här är mer än ett nytt regelverk. NIS2 innebär ett skifte mot en mer robust, säker och motståndskraftig digital infrastruktur i Europa.
Hotbilden mot verksamhetskritiska system har förändrats i grunden. OT-miljöer som tidigare var mer avskilda kopplas i dag ofta samman med IT-system, molntjänster och externa leverantörer för att möjliggöra effektivare drift, bättre analys och ökad automatisering. Samtidigt ökar exponeringen mot cyberhot.
NIS2 skärper därför kraven inom flera centrala områden, bland annat:
I Sverige har NIS2 genomförts genom cybersäkerhetslagen och kompletterande regelverk arbetas fram av myndigheter. För verksamhetsutövare inom de sektorer som omfattas innebär detta skärpta krav på cybersäkerhet, riskhantering och rapportering av betydande incidenter. För berörda verksamheter är det därför viktigt att agera i tid.
En tydlig förändring rör OT-miljöerna. Traditionellt har de ofta präglats av:
Den verkligheten förändras snabbt. Kraven på datadelning, fjärråtkomst, analys, integrationer och automatisering ökar i många branscher.
Det innebär att system som ursprungligen inte designades för dagens uppkopplade miljöer nu behöver hanteras med nya säkerhetskrav i åtanke.
Där IT historiskt ofta har prioriterat konfidentialitet och integritet har OT i många fall styrts av tillgänglighet och driftskontinuitet. I takt med digitaliseringen behöver dessa perspektiv samverka på ett strukturerat och säkert sätt.
Organisationer som vill uppnå:
...är beroende av säker och kontrollerad tillgång till relevant information.
Samtidigt ställer NIS2 krav på att säkerheten omfattar hela verksamhetens informationsflöde – inklusive beroenden, integrationer och leverantörsled. Det går inte att vara fullt ut datadriven och följa regelverk och direktiv, utan att kontinuerligt och systematiskt arbeta med cybersäkerhet i både IT- och OT-miljöer.
Du kan inte vara riktigt datadriven utan att uppfylla NIS2-kraven för både OT och IT.
En arkitekturprincip som får allt större betydelse i detta sammanhang är edge computing. Edge kan göra det möjligt att bearbeta och analysera information nära källan, utan att i onödan exponera känsliga miljöer.
Med rätt utformning kan edge bidra till:
Kort sagt kan edge vara ett sätt att möjliggöra IT/OT-konvergens på ett mer kontrollerat sätt.
För verksamheter som omfattas av regelverket gäller kraven redan. Samtidigt återstår för många organisationer ett betydande arbete med att omsätta kraven i praktiken och säkerställa efterlevnad över tid.
Fokusera på följande:
1. Kartlägg OT-system, integrationer och beroenden. Det går inte att skydda det man saknar överblick över.
2. Analysera leverantörskedjor och tredjepartsrisker. Säkerheten behöver omfatta hela ekosystemet.
3. Se över identitetshantering, loggning och patchrutiner för IT och OT där det är möjligt.
4. Säkerställ trygg datadelning och segmenterad integration mellan miljöer.
5. Etablera ett långsiktigt arbetssätt för styrning, uppföljning och kontinuerlig förbättring.
De verksamheter som agerar systematiskt stärker inte bara sin säkerhet – de bygger också bättre motståndskraft över tid.
Det är lätt att se NIS2 som ännu ett omfattande efterlevnadskrav. Men i praktiken berör regelverket frågor som moderna verksamheter ändå behöver hantera: säkerhet, robusthet och tillförlitlig digital drift.
När IT och OT samverkar på rätt sätt skapas bättre förutsättningar för:
För många verksamheter handlar detta inte bara om regelefterlevnad – utan om långsiktig konkurrenskraft och ansvarstagande.
Med djup branschkunskap inom energi och industri har Cegal byggt ett multidisciplinärt team med förståelse för både IT, OT och regelverk. Vi hjälper organisationer att omsätta NIS2-kraven till praktiska, säkra och affärsmässiga lösningar.