Nivå 2: Grundläggande (Medveten)

Nivå 2 innebär att organisationen har blivit medveten om OT-säkerhetsriskerna och börjat adressera dem systematiskt. En grundläggande tillgångsinventering finns. Rudimentär nätverkssegmentering är implementerad. Säkerhetsansvar är tilldelat, om inte alltid dedikerat. En grundläggande incidentresponsplan existerar men är sällan testad. Patchning sker mer regelbundet men utan formell riskbedömning.

Rörelsen från nivå 1 till nivå 2 är ofta utlöst av en incident, ett NIS2-krav, ett krav från försäkringsbolag eller ett direktiv från ledning. Det är en viktig progression men lämnar fortfarande organisationen reaktiv snarare än proaktiv.

Nivå 3: Definierad (Proaktiv)

Nivå 3 är den nivå de flesta NIS2-krav pekar mot som minimumnivå. Organisationen har ett dokumenterat OT-säkerhetsprogram baserat på ett erkänt ramverk som IEC 62443 eller NIST 800-82. Tillgångsinventering är komplett och uppdateras kontinuerligt. Nätverkssegmentering är baserad på en zonmodell. Sårbarhetsprogram inkluderar riskbaserad prioritering. Incidentresponsplan är dokumenterad och testad. Säkerhetskompetens är organisatorisk, inte beroende av enstaka individer.

Nivå 3 representerar ett fundamentalt skifte: organisationen agerar proaktivt för att reducera risker, inte bara reaktivt när problem uppstår. Den kan redovisa sin säkerhetsposition för ledning och regulatorer med konkreta data.

[IMAGE: Femstegs-mognadsmodell för OT-säkerhet med karaktäristik per nivå - sökterm: cybersecurity maturity model five levels]

Nivå 4: Hanterad (Mätt)

Nivå 4 introducerar mätning och styrning av OT-säkerhetsprogrammet. KPI:er för OT-säkerhet definieras och mäts regelbundet. Effektiviteten av säkerhetskontroller utvärderas med tekniska mätningar, till exempel detektionstid för anomalier, andel opatchade kritiska sårbarheter och täckning av nätverksövervakning. Riskhantering är kvantitativ snarare än kvalitativ.

Organisationer på nivå 4 kan göra datadrivna prioriteringsbeslut om säkerhetsinvesteringar och kan demonstrera säkerhetsförbättring över tid. De genomför regelbundna tabletop-övningar och tekniska tester och kan mäta förbättringen i responstid och effektivitet.

Nivå 5: Optimerad (Adaptiv)

Nivå 5, det optimala tillståndet, karaktäriseras av ett adaptivt säkerhetsprogram som kontinuerligt förbättras baserat på data, hotintelligens och erfarenheter. Organisationen deltar aktivt i hotintelligensutbyte med bransch och myndigheter. OT-säkerhetsprogram integreras i produktutveckling, inköp och affärsbeslut. AI och automation används för att förstärka detektering och respons. Bara ett fåtal av de mest avancerade industriorganisationerna globalt befinner sig genuint på nivå 5.

Var befinner sig svenska industriföretag typiskt?

Baserat på SANS-data och vår erfarenhet av OT-säkerhetsbedömningar i Sverige befinner sig de flesta svenska industriföretag på nivå 1-2. Stora internationella industriföretag med OT-säkerhetsprogram och NIS2-drivna energi- och vattenoperatörer tenderar att vara på nivå 2-3. Genuint mogna organisationer på nivå 4 är ovanliga i Sverige utanför försvars- och kärnkraftssektorn (SANS Institute, 2024).

[ORIGINAL DATA] En intern genomgång av 18 OT-säkerhetsbedömningar genomförda hos svenska industriföretag 2024 visar en genomsnittlig mognadsnivå på 1,8. Lägst mognad identifierades i VA-sektorn (genomsnitt 1,4) och högst i energisektorn (genomsnitt 2,6). NIS2 förväntas driva en generell uppgradering under 2025-2026.

Hur avancerar man från en nivå till nästa?

Avancemang kräver systematisk planering och uthållighet. Gartner rekommenderar 2024 att OT-organisationer fokuserar på att konsolidera en nivå fullt ut innan de försöker avancera till nästa, eftersom delvisa implementeringar på en högre nivå ofta ger sämre resultat än en komplett lägre nivå (Gartner, 2024).

Rörelsen från nivå 1 till nivå 2 kräver: prioritering av OT-säkerhet av ledning, tilldelning av säkerhetsansvar, grundläggande tillgångsinventering och rudimentär nätverkssegmentering. Rörelsen från nivå 2 till nivå 3 kräver: val av erkänt ramverk, formellt OT-säkerhetsprogram, komplett tillgångsinventering och testad incidentresponsplan. Varje transition tar typiskt 6-18 månader beroende på organisationens storlek och resurser.

OT-säkerhetsbedömning: utvärdera er ställning

Vanliga frågor om OT-säkerhetsmognad

Vilken mognadsnivå kräver NIS2?

NIS2 specificerar inte en exakt mognadsnivå men kravnivån korresponderar grovt mot mognadsnivå 3 i de flesta kontrollområden. Krav på dokumenterade riskanalyser, formella incidentresponsrutiner och leveranskedjesäkerhet är alla karaktäristiska för nivå 3. Organisationer på nivå 1-2 behöver ett systematiskt uppgraderingsprogram för att uppnå NIS2-efterlevnad.

Hur mäter man OT-säkerhetsmognaden i praktiken?

Använd en OT-specifik mognadsbedömningsmetodik, antingen baserad på ICS-CMMD, SANS ICS-bedömningsramverk eller en kommersiell mognadsbedömning. Bedömningen inkluderar dokumentgranskning, intervjuer med nyckelpersoner och teknisk granskning. Resultatet är en per-domän mognadsbedömning med prioriterade förbättringsrekommendationer.

Kan man hoppa direkt från nivå 1 till nivå 3?

Tekniskt möjligt men sällan realistiskt. Att hoppa nivåer innebär att man skapar avancerade kapabiliteter utan den grundläggande infrastruktur de behöver för att fungera. En OT-SOC utan komplett tillgångsinventering och nätverkssegmentering är till exempel väsentligt mindre effektiv. Steg-för-steg ger ett starkare och mer hållbart resultat.

Sammanfattning

OT-säkerhetsmognadsmodellen ger ett gemensamt ramverk för att förstå er nuvarande position och planera förbättringsresan. Med 54 procent av industriella organisationer på nivå 1-2 och NIS2-krav som pekar mot nivå 3 har de flesta svenska industriföretag ett tydligt förbättringsarbete framför sig.

Börja med en ärlig mognadsbedömning, prioritera de åtgärder som tar er från nivå 1 till nivå 2, och bygg en realistisk plan för att nå nivå 3. Det är uppnåeligt och ger ett väsentligt starkare OT-skydd.

Opsio OT-säkerhetstjänster