Hvilke sektorer dekkes og hva betyr det for OT?

Digitalsikkerhetsloven dekker 11 sektorer der OT-systemer er sentrale i mange:

• Energi (elektrisitet, olje/gass, hydrogen): OT-systemer i kraftverk, SCADA-nett, offshore-installasjoner
• Transport (jernbane, luftfart, vei, sjofart): Jernbane-SCADA, flyplassautomasjon, maritim OT
• Vann og avlop: SCADA for vannbehandling og pumpestasjoner
• Helse: Medisinsk utstyr, sykehus-BAS, laboratorieautomatisering
• Digital infrastruktur: Datasentre (BAS-kritisk), IXP, DNS, CDN
• Bank og finansmarkedsinfrastruktur, posttjenester, narmiddelforsyning, offentlig administrasjon, romfart

For norsk olje- og gassektor betyr dette at Equinor, Aker BP og Vr Energy (som essensielle aktorer) ma implementere risikostyring og rapportering som dekker offshore OT-systemer. For norsk kraftsektor gjelder tilsvarende for Statkraft, Statnett og store nettselskaper. (NSM, 2025)

Lovens konkrete krav til OT-sikkerhet

Loven stiller krav pa fire hovdomrader som alle er direkte relevante for OT:

1. Risikostyring: Virksomheter ma ha et dokumentert risikostyringssystem som inkluderer OT-systemer. Risikovurderingen ma vare oppdatert og reflektere det aktuelle trusselbildet. IEC 62443-3-2 er anerkjent som teknisk standard for OT-spesifikk risikovurdering. (NSM Veiledning, 2025)

2. Tekniske og organisatoriske tiltak: Virksomheter ma implementere "passende og forholdsmessige" tiltak. For OT betyr dette i praksis: nettverkssegmentering, tilgangskontroll, patch-management (eller kompenserende tiltak), overvaking og hendelsesresponsplan. Loven gir ikke uttommende liste, men refererer til anerkjente standarder som IEC 62443 og NIST SP 800-82.

3. Leverandorsikkerhet: Virksomheter ma vurdere risiko knyttet til OT-leverandorer og kreve tilstrekkelig sikkerhet i leverandoravtaler. For OT-sektoren er dette sarlig relevant da mange OT-leverandorer har bred fjerntilgang til kritiske systemer. (NSM, 2025)

4. Kontinuitet og krisehardtering: Virksomheter ma ha planer for a opprettholde kritiske funksjoner ved cyberhendelser. For OT betyr dette backup-prosedyrer for PLS-konfigurasjoner og beredskapsplaner for manuell drift.

Hendelsesrapportering: Krav og frister

Digitalsikkerhetsloven stiller strenge krav til hendelsesrapportering. Alvorlige hendelser (som vesentlig pavirker tjenesteyting) skal varsles til NSM innen 24 timer etter at hendelsen er oppdaget. Deretter skal en mer detaljert rapport leveres innen 72 timer, og en fullstendig sluttrapport innen 30 dager. Manglende rapportering er en selvstandig overtredelse, uavhengig av selve hendelsen. (NSM, 2025)

For OT-miljoer er det viktig a avklare pa forhand hvem i organisasjonen som har rapporteringsansvaret, og hva som kvalifiserer som en "alvorlig hendelse". NSM gir veiledning om terskelen, men en tommelfingerregel er at enhver hendelse som pavirker normal tjenesteyting i mer enn noen timer er rapporteringspliktig. Etabler en intern varslingsprosess som sikrer at OT-hendelser eskaleres raskt til compliance-ansvarlig.

NSMs rolle som koordinerende myndighet

NSM (Nasjonal sikkerhetsmyndighet) er den nasjonale myndigheten for forebyggende nasjonal sikkerhet og er koordinerende myndighet for Digitalsikkerhetsloven. NSM forer tilsyn, mottar hendelsesrapporter, gir veiledning og kan ilegge sanksjoner. For OT-sikkerhet publiserer NSM relevant veiledningsmateriell, inkludert NSMs Grunnprinsipper for IKT-sikkerhet, som er tilpasset ogsa for OT-miljoer. (NSM, 2025)

[PERSONAL EXPERIENCE] I var erfaring med norske industrivirksomheter under Digitalsikkerhetsloven ser vi at NSM er konstruktivt samarbeidsorientert i den forste fasen. De utforer veiledende tilsyn og gir konkrete tilbakemeldinger. Det gir virksomhetene en mulighet til a forbedre seg for de strenge sanksjonene kan bli aktuelle. Dra nytte av NSMs veiledningsressurser aktivt.

Sanksjoner ved manglende etterlevelse

Digitalsikkerhetsloven gir NSM myndighet til a ilegge administrative gebyrer pa opp til 10 millioner euro eller 2% av global arlig omsetning (det hoyeste belopet gjeller) for essensielle virksomheter. For viktige virksomheter er taket 7 millioner euro eller 1,4% av global omsetning. I tillegg kan NSM palegge midlertidige begrensninger pa virksomheten. Styremedlemmer kan i alvorlige tilfeller vare personlig ansvarlig for manglende OT-sikkerhetsarbeid. (NIS2 Direktiv, Art. 34, 2022)

Sanksjonsnivat er vesentlig hoyre enn under den gamle NIS-loven, og representerer et nytt nivaa av regulatorisk alvor. For norske industrivirksomheter betyr dette at OT-sikkerhet ma behandles som et compliance-sporsmal pa linje med GDPR, ikke bare som et teknisk driftsanliggende.

IEC 62443 som veien til NIS2-samsvar

Digitalsikkerhetsloven er teknologinoytralt formulert og stiller ikke krav om spesifikk standard. Men NSM-veiledningen er klar pa at IEC 62443 er den anerkjente standarden for OT-samsvar, og at virksomheter som dokumenterer implementering av IEC 62443 er godt posisjonert for tilsyn. Standarden dekker alle lovens hovdkrav: risikovurdering (IEC 62443-3-2), sikkerhetsstyringssystem (IEC 62443-2-1), tekniske tiltak (IEC 62443-3-3) og leverandorvurdering (IEC 62443-2-4). (ISA/IEC 62443, 2022)

For virksomheter med ISO 27001-sertifisering er IEC 62443 et naturlig komplement: ISO 27001 dekker IT-siden, IEC 62443 dekker OT-siden. Mange norske virksomheter implementerer begge standardene i et integrert styringssystem.

Praktisk implementeringsveikart for OT

For norske OT-operatorer under Digitalsikkerhetsloven anbefaler vi folgende veikart:

1. Selvklassifisering (Uke 1-2): Bestem om din virksomhet er essensiell eller viktig basert pa NSMs veiledning. Identifiser hvilke OT-systemer som er i scope
2. Gap-analyse mot IEC 62443 (Maned 1-2): Gjennomfor strukturert gap-analyse for a identifisere mangler
3. OT-sikkerhetsrisikovurdering (Maned 2-3): Dokumentert risikovurdering i samsvar med lovkrav og IEC 62443-3-2
4. Tekniske tiltak (Maned 3-12): Implementer prioriterte tiltak: nettverkssegmentering, tilgangskontroll, overvaking
5. Hendelsesresponsplan (Maned 4-6): Etabler varslingsprosedyrer og OT-spesifikk IR-plan i samsvar med rapporteringskrav
6. Leverandoravtaler (Lopende): Oppdater leverandoravtaler for a inkludere NIS2-krav
7. Revisjon og dokumentasjon (Arlig): Gjennomfor arlig risikovurdering og dokumenter compliance-status

Ofte stilte spørsmål om Digitalsikkerhetsloven og OT

Nar tredde Digitalsikkerhetsloven i kraft?

Digitalsikkerhetsloven har en gradvis ikrafttredelse. De forste kravene (registreringsplikt og grunnleggende tilsyn) tredde i kraft i 2024. De fulle kravene til risikostyring, hendelsesrapportering og sanksjoner er i full kraft fra 2025-2026 i henhold til NSMs implementeringsplan. (NSM, 2025)

Gjelder loven for OT-leverandorer og integratorer?

Primert gjelder loven for operatorer av kritisk infrastruktur (pliktsubjekter). OT-leverandorer som behandler data eller har tilgang til pliktsubjekters OT-systemer har indirekte ansvar gjennom leverandorkravene. Pliktsubjekter er palagt a stille sikkerhetskrav til sine leverandorer, som dermed ma oppfylle disse kravene for a vinne kontrakter. (NSM, 2025)

Hva er forskjellen mellom NIS2 og den norske Sikkerhetsloven?

Sikkerhetsloven (2019) gjelder for skjermingsverdig informasjon og skjermingsverdige objekter, og er bredere i scope men mer spesifikk i tiltak (inkludert personkontroll og klassifisert informasjon). Digitalsikkerhetsloven (NIS2) gjelder for all kritisk infrastruktur og stiller mer spesifikke cybersikkerhetskrav. Mange virksomheter er underlagt begge lovene, og kravene utfyller hverandre. (NSM, 2025)

Hva regnes som en "alvorlig hendelse" etter loven?

En alvorlig hendelse er en hendelse som har vesentlig innvirkning pa ytelsen av nettverks- og informasjonssystemer, noe som pavirker tjenesteyting. For OT betyr dette typisk: produksjonsstans over flere timer pa grunn av cyberangrep, kompromittering av OT-systemer med potensielt sikkerhetsfarlige konsekvenser, eller tap av kontroll over kritiske prosesser. NSMs veiledning gir mer detaljerte eksempler. (NSM, 2025)

Hva skjer om vi ikke rapporterer en hendelse i tide?

Manglende hendelsesrapportering innen de pa fastlagte frister er en selvstendig overtredelse og kan resultere i gebyrer uavhengig av alvorligheten til selve hendelsen. NSM kan ogsa gjennomfore tilsyn og utforde ytterligere krav. I alvorlige tilfeller kan manglende rapportering medragert tilleggssanksjoner. Etabler klare interne varslingsprosedyrer sa frister overholdes. (NSM, 2025)

Konklusjon

Digitalsikkerhetsloven og NIS2 er den viktigste regulatoriske driveren for OT-sikkerhet i norsk industri de kommende arene. Loven er ikke bare et compliance-krav, den gjenspeiler den faktiske sikkerhetsrisikoen som norsk kritisk infrastruktur star overfor.

For norske industrivirksomheter er veien fram klar: selvklassifiser, gjennomfor risikovurdering basert pa IEC 62443, implementer prioriterte tiltak og etabler hendelsesrapporteringsprosedyrer. Virksomheter som starter dette arbeidet na, er godt posisjonert for a oppfylle lovkravene og beskytte sin kritiske infrastruktur.