Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Search

  1. Denmark
  2. Insights
  3. Blog
  4. Regulations
  5. Cybersikkerhed i OT-miljøer: Sådan påvirker NIS2 din organisation

Cybersikkerhed i OT-miljøer: Sådan påvirker NIS2 din organisation

CybersecurityNIS2OT securityRegulations
Orange Cyberdefense Ipad Industry

Share

Wim Van Langenhove

Director Audit & Business Consultancy, Orange Cyberdefense Belgium

I en tid, hvor den digitale udvikling går hurtigere end nogensinde før, er cybersikkerhed blevet en afgørende faktor for virksomheder og sektorer over hele verden. EU’s direktiv om net- og informationssikkerhed, kendt som NIS2, er et vigtigt lovgivningsmæssigt initiativ, der skal styrke sikkerheden omkring netværks- og informationssystemer i hele EU.

Efterhånden som kritisk infrastruktur i stigende grad drives af industrielle kontrolsystemer og operationel teknologi (OT), er det afgørende at forstå, hvordan NIS2 påvirker OT – og hvad det kræver at opnå høj cybersikkerhed på dette område.

Hvad er NIS2?

NIS2-direktivet bygger videre på det oprindelige NIS-direktiv, som blev indført for at styrke cybersikkerhedskapaciteten i medlemslandene, herunder deres kritiske infrastruktur og digitale tjenesteudbydere. Med NIS2 udvides direktivets rækkevidde, kravene skærpes, og samarbejdet mellem EU-landene styrkes.

NIS2-direktivets nøgleområder:

  • Udvidet anvendelsesområde: Flere sektorer som transport, energi, fødevarer, produktion og finans foruden kritiske forsyningsområder som vand, affald, telekommunikation samt en række andre områder, der betegnes som kritisk infrastruktur omfattes nu af direktivet.
  • Skærpede sikkerhedskrav: Virksomheder skal implementere stærkere foranstaltninger inden for risikostyring, hændelseshåndtering og rapportering.
  • Øget samarbejde: Der etableres blandt andet et EU-netværk for koordineret krisehåndtering (EU-CyCLONe) mellem medlemsstaterne.

Hvad er OT (Operational Technology)

Operationel teknologi omfatter de hardware- og softwaresystemer, der styrer og overvåger industrielle processer – f.eks. inden for energi, produktion, transport og forsyning. Hvor IT fokuserer på databehandling og kommunikation, handler OT om at styre fysiske processer og maskiner.

Sammenkoblingen af IT og OT har skabt både effektivitet og bedre sammenhæng – men det har også åbnet op for nye cybersikkerhedsrisici.

Centrale NIS2-krav med betydning for OT

1. Skærpede sikkerhedskrav

Organisationer i kritiske sektorer, herunder dem der benytter OT, skal indføre omfattende risikostyring, foretage løbende sikkerhedsvurderinger og udarbejde effektive hændelseshåndteringsplaner.

2. Hændelsesrapportering og -respons

NIS2 kræver, at alvorlige cyberhændelser indrapporteres inden for 24 timer. For OT-miljøer er hurtig rapportering afgørende for at begrænse konsekvenserne af f.eks. angreb på kritisk infrastruktur.

Virksomheder skal:

  • Udarbejde og vedligeholde hændelseshåndteringsplaner målrettet OT.
  • Gennemføre regelmæssige øvelser og simulationer for at teste beredskabet.

3. Sikkerhed i forsyningskæden

Organisationers leverandørnetværk udgør en væsentlig angrebsflade. NIS2 stiller derfor krav om at integrere cybersikkerhed i hele forsyningskæden. Det betyder, at der skal:

  • Defineres sikkerhedskrav til leverandører: Gælder både ved indkøb, installation og drift af udstyr og systemer.
  • Gennemføres audits: Regelmæssige evalueringer af leverandører hjælper med at identificere risici og sikre overholdelse.

4. Ledelsesansvar

NIS2 indfører personligt ansvar for ledelsen i de berørte virksomheder og organisationer. Manglende overholdelse af de skærpede krav kan føre til bøder eller fjernelse af nøglepersoner fra ledelsesposter. Derfor skal topledelsen være aktivt involveret i cybersikkerhedsstrategien – herunder budgettering, governance og kultur.

Konsekvenser af NIS2 for OT-miljøer

Cyber-risikostyring:
NIS2 stiller krav om aktiv risikostyring – også i OT-miljøet. For mange IT-afdelinger betyder det et nyt fokus, da risikohåndtering i disse miljøer traditionelt har været koncentreret om drifts- og sikkerhedshensyn og derfor noget, der overvejende, er blevet håndteret et andet sted i organisationen.

Større synlighed:
Mange organisationer har begrænset indsigt i deres OT-miljøer. Men for at kunne håndtere sikkerhedshændelser effektivt, er det nødvendigt at have overblik over alle aktiver i hele netværket – dvs. alle de systemer og datastrømme, som er kritiske for virksomheden. Det kræver både teknologi og processer til aktiv styring og overvågning.

Øgede omkostninger:
Overholdelse af NIS2-kravene medfører nye investeringer i teknologi, processer og certificeringer – f.eks. i form af løbende audits og sikkerhedsstandarder.

Vejen til NIS2-compliance

Overholdelse af NIS2 er ikke kun et juridisk krav – det er en investering i modstandskraft og cybersikkerhedsmodenhed. Her er fire skridt, der kan hjælpe din organisation på vej:

1. Etabler en cybersikkerhedsstyring (Governance)

Definér roller og ansvar på tværs af ledelse og IT/OT. Internationale standarder som ISO/IEC 27001 og ISA/IEC 62443 er gode værktøjer til at opbygge governance og struktur.

2. Løbende risikovurderinger

Foretag regelmæssige og systematiske risikovurderinger med klare ejere og handleplaner. Det gør det lettere at prioritere og måle forbedringer.

3. Implementér sikkerhedstiltag

Tekniske og organisatoriske tiltag skal balanceres, så de dækker både mennesker, processer og teknologi. Det kan inkludere:

  • Sikker OT-arkitektur
  • Overvågning og adgangskontrol
  • Politik og procedurer for hændelseshåndtering

4. Træning og awareness

Medarbejdere og leverandører er ofte det svageste led og udgør dermed den største sikkerhedsrisiko. Men med den rette træning kan de blive det stærkeste led i jeres cyberforsvar. Awareness skaber en sikkerhedskultur, som beskytter organisationens mest værdifulde aktiver.

Sådan kan Orange Cyberdefense hjælpe

Hos Orange Cyberdefense kan vi støtte jer hele vejen mod NIS2-compliance. Vores ydelser omfatter bl.a.:

  • Risikovurdering og GAP-analyse
  • Implementering af ISO/IEC 27001 og ISA/IEC 62443
  • Design og opbygning af OT-sikkerhedsarkitektur
  • Overvågning og fjernadgangsløsninger (remote access solutions)
  • Incident response-planer og awareness-programmer

Konklusion

NIS2 er et markant skridt fremad for cybersikkerheden i EU – især for sektorer, der er afhængige af OT. Med skærpede krav, bedre hændelseshåndtering og øget samarbejde skal direktivet sikre mere robuste og modstandsdygtige miljøer.

Cybertruslerne udvikler sig hele tiden – og det samme gør lovgivningen. Derfor er det nu, at alle berørte virksomheder og organisationer skal tilpasse sig og styrke deres cybersikkerhedsforsvar for at beskytte de samfundskritiske funktioner, vi alle er afhængige af.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.