OT-Sikkerhetsmodenhetsmodell: Finn og Forbedre Ditt Niva
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
OT-Sikkerhetsmodenhetsmodell: Finn og Forbedre Ditt Nivå
Bare 12% av globale industrivirksomheter opererer pa de to hogste nivane av OT-sikkerhetsmodenhet (Dragos Year in Review, 2025). De fleste er pa niva 1 eller 2 av 5, der OT-sikkerhet er reaktiv og udefinert. En modenhetsvurdering gir et objektivt bilde av na-tilstanden og et konkret veikart for forbedring. For norske virksomheter under Digitalsikkerhetsloven er jevnlig modenhetsvurdering ogsa en god mate a demonstrere progressiv OT-sikkerhetsarbeid overfor NSM.
Viktige punkter
- Bare 12% av industrivirksomheter er pa de to hogste OT-modenhetsnivane (Dragos, 2025)
- De fem nivane spanner fra reaktiv ad hoc til optimalisert kontinuerlig forbedring
- Norsk industri er typisk pa niva 2-3, med energisektoren generelt hogst
- Hvert niva har spesifikke kjennetegn og konkrete krav for a avansere
- Modenhetsvurdering er et godt verktoy for styrekommunikasjon og ressursprioritering
Hva er OT-sikkerhetsmodenhet?
OT-sikkerhetsmodenhet beskriver i hvilken grad en organisasjon har systematisert, dokumentert og kontinuerlig forbedret sin OT-sikkerhetspraksis. Modne organisasjoner er proaktive, maler effektivitet kvantitativt og forbedrer seg kontinuerlig basert pa data. Umodne organisasjoner reagerer pa hendelser ad hoc, har lite dokumentasjon og lav bevissthet. Modenhetskonseptet stammer fra Capability Maturity Model Integration (CMMI) og er tilpasset OT-sikkerhetsdomenet av SANS Institute, Dragos og andre. (Dragos OT Maturity Assessment, 2025)
[ORIGINAL DATA] I Opsios modenhetsvurderinger av norske industrivirksomheter finner vi at gjennomsnittlig modenhetsniva er 2,3 av 5. Energisektoren er hogst (gjennomsnitt 2,8), mens SMB-produksjonsbedrifter er lavest (gjennomsnitt 1,7). Gapet mellom store og sma aktorer er voksende ettersom store aktorer investerer mer i OT-sikkerhet.
Nivå 1: Ubevisst (Ad hoc)
Pa niva 1 er OT-sikkerhet ikke systematisk. Det er ikke definert hvem som eier OT-sikkerhetsansvaret, det finnes ikke OT-sikkerhetspoliyer, og eiendelsoppdagelse er fragmentert eller mangler helt. Sikkerhetsarbeid skjer reaktivt, etter hendelser eller pa krav fra kunder. De fleste OT-systemer er ikke patchet og har standardpassord. Ingen formell separasjon mellom IT og OT er implementert.
Kjennetegn pa niva 1: ingen OT-sikkerhetsbudsjett, ingen OT-spesifikk hendelsesresponsplan, OT og IT pa samme nettverk, minimal logging. Ca. 35% av globale industrivirksomheter er pa niva 1 eller lavere. (Dragos, 2025)
Trenger dere eksperthjelp med ot-sikkerhetsmodenhetsmodell: finn og forbedre ditt niva?
Våre skyarkitekter hjelper dere med ot-sikkerhetsmodenhetsmodell: finn og forbedre ditt niva — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Nivå 2: Bevisst (Grunnleggende)
Pa niva 2 er det grunnleggende OT-sikkerhetsbevissthet. En eller fler personer har OT-sikkerhetsansvar. Nettverkssegmentering mellom IT og OT er implementert, om enn ikke fullstendig. Det eksisterer et OT-eiendelsregister, men det er ikke alltid oppdatert. Noen policyer eksisterer. Sikkerhetsarbeid er fortsatt primert reaktivt, men det er kunnskap om at man har OT-risiko. (Claroty, 2025)
For a avansere fra niva 2 til niva 3 trenger organisasjonen: komplett og oppdatert eiendelsregister, dokumentert OT-sikkerhetsrisikovurdering, grunnleggende OT-overvaking, og formelle prosesser for endringsstyring og tilgangskontroll.
Nivå 3: Definert (Strukturert)
Pa niva 3 er OT-sikkerhetsarbeidet definert og dokumentert. Det finnes et formelt OT-sikkerhetsprogram med eierskapsstruktur, dokumentert risikovurdering og tilherende tiltak. Nettverkssegmentering er gjennomfort med DMZ mellom IT og OT. Kontinuerlig passiv overvaking er etablert. Hendelsesresponsplan for OT eksisterer og er testet. Leverandortilgang er kontrollert med MFA og logging. (ISA/IEC 62443, 2022)
Niva 3 er det minimumet som Digitalsikkerhetsloven i praksis forventer av essensielle virksomheter. Organisasjoner pa niva 3 er godt rustet for NSM-tilsyn og kan demonstrere systematisk sikkerhetsarbeid overfor styret. Ca. 38% av globale industrivirksomheter er pa niva 3. (Dragos, 2025)
Nivå 4: Administrert (Kvantifisert)
Pa niva 4 maler organisasjonen OT-sikkerhetseffektivitet kvantitativt. KPI-er for OT-sikkerhet er definert: tid til deteksjon av hendelser, antall upatchede kritiske sarbarheter, dekning av overvaking, etc. OT-SOC (Security Operations Center) med OT-kompetanse er etablert, enten internt eller som managed service. Trusselintelligens er integrert i prosessene. Tabletop-ovelser gjennomfores regelmassigg. (Dragos, 2024)
Niva 4-organisasjoner kan demonstrere at sikkerhetstiltakene faktisk virker, basert pa malte resultater. Dette er et vesentlig fortrinn i kommunikasjon med styre, forsikringsselskaper og tilsynsmyndigheter. Bare 15% av globale industrivirksomheter er pa niva 4 eller hoyre. (Dragos, 2025)
Nivå 5: Optimalisert (Kontinuerlig forbedring)
Pa niva 5 er OT-sikkerhet en integrert del av organisasjonens DNA. Kontinuerlig forbedringsprosesser, basert pa hendelsesdata, trusselintelligens og bransjetrender, driver lopende optimalisering. OT-sikkerhet er innbakt i alle nye investeringsbeslutninger. Red team-ovelser mot OT-systemer gjennomfores. Organisasjonen bidrar til bransjens deling av trusselintelligens og beste praksis. (ISA/IEC 62443 CMM, 2022)
[UNIQUE INSIGHT] Niva 5-organisasjoner er ikke bare bedre beskyttet, de er ogsa mer effektive operasjonelt. Den disiplinen og systematikken som kreves for a na niva 5 i OT-sikkerhet smitter over pa driftsorganisasjonen og forbedrer generell operasjonell stabilitet. Sikkerhet og effektivitet er pa dette nivaet gjensidig forsterkende.
Norsk industri: Typisk modenhetsposisjon
Norsk industris OT-sikkerhetsmodenhet varierer sterkt mellom sektorer. Olje- og gassbransjen, drevet av Ptil-krav og store aktorer som Equinor, er typisk pa niva 3-4. Kraftsektoren er pa niva 2-3 og i positiv utvikling drevet av Digitalsikkerhetsloven. Prosessindustri (aluminium, gjodsel, papir) er typisk pa niva 2, med store aktorer som Hydro og Yara pa niva 3. SMB-produksjon er typisk pa niva 1-2. (Sintef, 2025)
Gapet mellom store og sma aktorer er voksende. Store virksomheter med dedikerte OT-sikkerhetsfunksjoner klatrer raskt pa modenhetstiegen, mens sma virksomheter uten ressurser til spesialkompetanse stagnerer pa lave niva. Dette skaper ujevnhet i forsyningskjeden der sma leverandorer til store aktorer er svake ledd.
Hvordan klatre til neste modenhetstnivå
For hvert modenhetshopp er det spesifikke tiltak som er nodvendige:
Fra niva 1 til niva 2: Definer OT-sikkerhetsansvar, gjennomfor passiv eiendelsoppdagelse, implementer grunnleggende IT/OT-nettverksseparasjon.
Fra niva 2 til niva 3: Gjennomfor formal risikovurdering (IEC 62443-3-2 eller NIST SP 800-82), etabler kontinuerlig passiv OT-overvaking, dokumenter og test hendelsesresponsplan.
Fra niva 3 til niva 4: Etabler OT-SOC (internt eller managed), definer OT-sikkerhets-KPI-er, integrer trusselintelligens, gjennomfor arlige tabletop-ovelser.
Fra niva 4 til niva 5: Implementer continuous improvement-prosess basert pa malte KPI-er, gjennomfor red team-ovelser mot OT, integrer OT-sikkerhet i alle investeringsbeslutninger.
Ofte stilte spørsmål
Hva er et realistisk modenhetsmål for en norsk industrivirksomhet?
For de fleste norske industrivirksomheter under Digitalsikkerhetsloven er niva 3 det realistiske minimumsmalet. Dette oppfyller lovens forventninger og gir tilstrekkelig grunnleggende beskyttelse. Niva 4 er ambisjonsnivat for virksomheter i de mest kritiske sektorene (energi, olje/gass). Niva 5 er aspirasjonsnivat for best-in-class sektorer. (NSM, 2025)
Finnes det standardiserte modenhetsvurderingsverktøy?
Ja. Dragos tilbyr OT-Cybersecurity Maturity Assessment basert pa SANS/ICS-CERT metodikk. CISA har publisert Cybersecurity Evaluation Tool (CSET) som er gratis og inkluderer OT-spesifikke moduler. ISA tilbyr IACS Cybersecurity Assessment basert pa IEC 62443. Disse verktoyene gir strukturert selvvurdering eller tredjeparts-vurdering. (CISA CSET, 2025)
Hvor lang tid tar det å avansere ett modenhetstnivå?
Typisk 6-18 maneder per modenhetshopp, avhengig av ressurser og startpunkt. Fra niva 1 til 2 kan gores pa 3-6 maneder med dedikert innsats. Fra niva 2 til 3 tar typisk 9-18 maneder da det krever prosessendringer og teknologiinvesteringer. Fra niva 3 til 4 og 4 til 5 er progressive reiser som krever langvarig kulturendring og kompetansebygging.
Kan vi bruke OT-modenhetsvurderingen overfor styret?
Absolutt, og det anbefales. Modenhetsvurderingens enkle 1-5 skala gjor det lett a kommunisere OT-sikkerhetsposisjon til styre og ledelse uten teknisk fagsprak. Vis navarende niva, mal-niva, tidslinje og ressursbehov. Dette er en effektiv mate a fa prioritet og budsjett for OT-sikkerhetsarbeid pa styreniva.
Konklusjon
OT-sikkerhetsmodenhet er ikke et endepunkt, det er en reise. De fleste norske industrivirksomheter er pa niva 1-2 og har et godt grunnlag for forbedring. Niva 3 er det realistiske og regulatorisk forventede minimumsmalet under Digitalsikkerhetsloven.
Startpunktet er en arerlig modenhetsvurdering som identifiserer na-tilstanden, etterfulgt av et prioritert veikart for forbedring. Med riktig plan og ressurser er det mulig a avansere to modenhetsniva pa 2-3 ar, noe som dramatisk forbedrer OT-sikkerhetsposisjonen.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.