NIS2 for energisektoren: Krav til norske kraft- og oljeselskaper
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2 for energisektoren: Krav til norske kraft- og oljeselskaper
Energisektoren er ryggraden i norsk økonomi og en prioritert sektor under NIS2. Kraftprodusenter, nettselskaper, fjernvarmeoperatører og olje- og gasselskaper vil alle omfattes av de nye kravene. For en sektor som allerede er regulert gjennom kraftberedskapsforskriften og petroleumsregelverket, blir NIS2 et tilleggslag.
Energisektoren var den mest angrepne kritiske sektoren i Europa i 2024, med over 500 rapporterte hendelser (ENISA, 2025). I Norge har NSM gjentatte ganger advart om statlige aktører som kartlegger norsk energiinfrastruktur (NSM, 2025).
Nøkkelpunkter
- Energisektoren var mest angrepet i Europa i 2024 med over 500 hendelser (ENISA, 2025)
- Norske kraftselskaper er allerede regulert, men NIS2 stiller tilleggskrav
- OT-sikkerhet (operasjonell teknologi) er et kritisk gap for mange energiselskaper
- Olje- og gassektoren inkluderes i NIS2 for første gang, til forskjell fra NIS1
Hvilke energivirksomheter er omfattet?
NIS2 dekker hele verdikjeden i energisektoren. Direktivet lister opp elektrisitet, fjernvarme, fjernkjøling, olje, gass og hydrogen som undersektorer. EU-kommisjonen anslår at over 20 000 energivirksomheter i EØS omfattes (EU-kommisjonen, 2022).
Elektrisitet
Kraftprodusenter, nettselskaper (DSO og TSO), kraftbørser og lastfordelere er alle omfattet. Statnett som TSO og de regionale nettselskapene som DSOer vil klassifiseres som vesentlige enheter. Mindre kraftselskaper kan klassifiseres som viktige enheter avhengig av størrelse.
Olje og gass
For første gang inkluderer NIS2 olje- og gassektoren eksplisitt. Det omfatter operatører av rørledninger, produksjonsanlegg, raffinerier og lagringsanlegg. For norsk sokkel betyr dette at operatørselskaper som allerede er regulert under petroleumsregelverket, får tilleggskrav for cybersikkerhet.
Fjernvarme og hydrogen
Fjernvarmeoperatører og fremtidige hydrogenaktører omfattes også. For Norges voksende fjernvarmesektor er dette nytt regelverk som krever oppmerksomhet.
Citatkapsel: Energisektoren var den mest angrepne kritiske sektoren i Europa i 2024 med over 500 rapporterte hendelser, og NIS2 inkluderer for første gang olje- og gassektoren eksplisitt i cybersikkerhetsregelverket (ENISA, 2025).
Hvordan forholder NIS2 seg til eksisterende energiregulering?
Norske energiselskaper er ikke uregulert i dag. Kraftberedskapsforskriften og NVEs tilsyn har stilt krav til beredskap og sikkerhet i mange år. NVE gjennomførte 47 tilsyn med kraftforsyningens beredskap i 2024 (NVE, 2025). NIS2 kommer på toppen av dette, ikke som erstatning.
Kraftberedskapsforskriften
Kraftberedskapsforskriften stiller allerede krav til IKT-sikkerhet i kraftforsyningen. Mange av kravene overlapper med NIS2, men det finnes viktige forskjeller. NIS2 stiller mer spesifikke krav til hendelsesrapportering (24/72 timer), leverandørkjedesikkerhet og ledelsesansvar.
Petroleumsregelverket
Petroleumstilsynet (Ptil) regulerer sikkerheten på norsk sokkel. NIS2-kravene vil komme i tillegg til eksisterende HMS-krav. For oljeselskaper som opererer både på land og til havs, kan dette bety at de må forholde seg til flere tilsynsmyndigheter.
Samordning av krav
[UNIQUE INSIGHT] En av de største utfordringene for norsk energisektor er samordningen mellom eksisterende krav og NIS2. NVE, Ptil og NSM har ulike tilsynstradisjoner og fokusområder. Virksomheter som opererer i grensesnittet mellom kraft og petroleum risikerer å møte overlappende, og potensielt motstridende, krav fra ulike myndigheter. Digitalsikkerhetslovens samordnende intensjon er bra, men implementeringen i forskrifter vil avgjøre om det faktisk blir enklere.
Trenger dere eksperthjelp med nis2 for energisektoren?
Våre skyarkitekter hjelper dere med nis2 for energisektoren — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hva er de største cybersikkerhetsutfordringene for energisektoren?
En rapport fra DNV viser at 64 % av energiselskaper globalt anser OT-sikkerhet som en av sine tre største cybersikkerhetsutfordringer (DNV, 2024). For norske energiselskaper er utfordringen særlig akutt fordi mange styringssystemer er 15-20 år gamle.
OT-sikkerhet (operasjonell teknologi)
Kraftverk, nettstasjoner og oljeplattformer styres av industrielle kontrollsystemer (ICS/SCADA). Disse systemene ble opprinnelig designet uten cybersikkerhet i tankene. Etter hvert som de kobles til IT-nettverk og internett, øker angrepsflaten dramatisk.
NIS2 krever at virksomheter sikrer alle systemer som støtter kritiske tjenester. For energisektoren betyr det at OT-sikkerhet ikke kan behandles separat fra IT-sikkerhet. En helhetlig tilnærming er nødvendig.
Økende digitalisering
Smart-grid-teknologi, digitale tvillinger og fjernstyrte anlegg øker effektiviteten, men også angrepsflaten. Hvert nytt tilkoblet punkt er en potensiell inngangsport. Energiselskaper må balansere digitaliseringsgevinster mot økt sikkerhetsrisiko.
Statlige trusselaktører
NSM har identifisert statlige aktører som aktivt kartlegger norsk energiinfrastruktur. Etter sabotasjen av Nord Stream-rørledningene i 2022 har trusselvurderingen for norsk energiinfrastruktur økt betydelig. NIS2s krav til risikostyring og hendelseshåndtering adresserer denne trusselen direkte.
Hvordan bør energiselskaper tilnærme seg NIS2?
Gartner anbefaler at energiselskaper starter NIS2-forberedelsene med en OT-sikkerhetsgjennomgang, ettersom dette typisk er det største gapet (Gartner, 2024). For norske energiselskaper som allerede har kraftberedskapsforskriften, handler det om å identifisere tilleggskravene.
Gap-analyse mot eksisterende krav
Start med å kartlegge hva som allerede er dekket gjennom kraftberedskapsforskriften, NSMs grunnprinsipper og eventuelle ISO 27001-sertifiseringer. Identifiser gapene, som typisk er hendelsesrapportering med NIS2-spesifikke tidsfrister, leverandørkjedesikkerhet med dokumenterte krav til leverandører, formelt ledelsesansvar med opplæringskrav, og registrering hos tilsynsmyndighet.
OT-sikkerhetsprogram
Etabler et dedikert OT-sikkerhetsprogram som inkluderer inventar av alle OT-systemer, nettverkssegmentering mellom IT og OT, overvåking av OT-trafikk, sikkerhetsvurdering av industrielle kontrollsystemer, og sårbarhetshåndtering tilpasset OT (der patching ofte er vanskeligere enn i IT).
Leverandørkjedesikkerhet
Energisektoren er avhengig av spesialiserte leverandører for alt fra SCADA-systemer til vedlikehold av vindturbiner. Kartlegg kritiske leverandører og still sikkerhetskrav. Inkluder cybersikkerhet i anskaffelsesprosesser.
[PERSONAL EXPERIENCE] I vårt arbeid med energiselskaper i Norden ser vi at OT-sikkerhetsgjennomgangen alene typisk avdekker 40-60 kritiske funn, alt fra usikrede fjerntilganger til manglende segmentering mellom IT og OT. Start denne gjennomgangen tidlig, den tar tid å remedierer.
Hvilken rolle har NVE under NIS2?
NVE har allerede tilsynsansvar for kraftforsyningens beredskap og gjennomfører regelmessige tilsyn. Under digitalsikkerhetsloven forventes NVE å få utvidet mandat som sektormyndighet for energi. NVE har bygget opp betydelig kompetanse gjennom tilsyn under kraftberedskapsforskriften (NVE, 2025).
NVEs eksisterende tilsynskompetanse gir energisektoren en fordel sammenlignet med sektorer der tilsynsmyndigheten må bygge opp cybersikkerhetskompetanse fra bunnen. Men NVE vil trolig måtte utvide tilsynet til å dekke NIS2-spesifikke krav som ikke finnes i dagens kraftberedskapsforskrift.
For olje- og gassektoren er tilsynsforholdet mellom NVE og Ptil under avklaring. Virksomheter som opererer i begge sektorer bør følge med på hvordan dette ansvaret fordeles.
Citatkapsel: DNV rapporterer at 64 % av energiselskaper globalt ser OT-sikkerhet som en topp-tre cybersikkerhetsutfordring, og for norske energiselskaper med 15-20 år gamle styringssystemer er NIS2-kravene til helhetlig sikring av OT og IT særlig krevende (DNV, 2024).
Ofte stilte spørsmål
Gjelder NIS2 for alle kraftselskaper uansett størrelse?
Hovedregelen er at virksomheter med over 50 ansatte eller over 10 millioner euro i omsetning er omfattet. Men sektormyndigheten kan utpeke mindre virksomheter som vesentlige dersom de har en kritisk funksjon i kraftforsyningen. Mange norske nettselskaper er relativt små men likevel kritiske.
Erstatter NIS2 kraftberedskapsforskriften?
Nei. NIS2, implementert gjennom digitalsikkerhetsloven, kommer i tillegg. Kraftberedskapsforskriften gjelder fortsatt. Der kravene overlapper, vil virksomheter oppfylle begge gjennom de samme tiltakene. Der NIS2 stiller tilleggskrav, må disse implementeres separat.
Hvordan håndterer vi OT-systemer som ikke kan patches?
Dokumenter risikoen og implementer kompenserende tiltak: nettverkssegmentering, overvåking, tilgangskontroll og fysisk sikring. Inkluder eldre systemer i risikovurderingen og planlegg for utfasing der det er mulig.
Gjelder NIS2 for vindkraft og solenergi?
Ja, kraftprodusenter uansett energikilde er omfattet. Vindkraftoperatører og solcelleparker med tilstrekkelig størrelse og kapasitet vil omfattes. Fjernstyrte anlegg har ekstra sårbarhet som bør adresseres i risikovurderingen.
Må vi rapportere til NVE innen 24 timer?
Under NIS2 skal tidlig varsel sendes til kompetent myndighet innen 24 timer etter at virksomheten blir oppmerksom på en vesentlig hendelse. For energisektoren vil dette trolig gå til NVE eller den myndigheten som utpekes i forskrift.
Viktige punkter om NIS2 energisektoren Krav til norske
Norske energiselskaper har et forsprang gjennom eksisterende regulering, men NIS2 stiller tilleggskrav som krever oppmerksomhet. OT-sikkerhet, leverandørkjedesikkerhet og formalisert ledelsesansvar er de områdene med størst gap for de fleste energivirksomheter.
Start med en gap-analyse som sammenligner nåværende etterlevelse av kraftberedskapsforskriften mot NIS2-kravene. Prioriter OT-sikkerhetsgjennomgang og leverandørkartlegging. Og sørg for at styret og ledelsen er involvert, det er nå et lovkrav.
Meta description: Energisektoren hadde 500+ cyberhendelser i Europa i 2024. Lær NIS2-kravene for norske kraft-, olje- og gasselskaper og OT-sikkerhet.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.