NIS2 og OT-sikkerhet: Hvor langt er du kommet – og er det godt nok?

Jobber virksomheten din med NIS2 i et OT-miljø uten full oversikt? Her får du vite hva de sentrale områdene faktisk krever – og en pekepinn på om innsatsen din er klar for et tilsyn.

Hvor langt er du egentlig kommet med NIS2? For virksomheter med OT-miljøer er implementeringen spesielt tidkrevende, og oppgavene spriker i alle retninger. Det er ikke alltid mangel på innsats som er problemet – men det kan være vanskelig å holde oversikt.

Kanskje sitter du med en urolig fornemmelse av at noe kan ha glidd gjennom: Vil helhetsbildet holde mål når tilsynet kommer på døren?

Dette innlegget gir deg oversikt over hva NIS2 konkret krever i en OT-kontekst, og hva det innebærer å ha gjort det riktig. Underveis stiller vi deg fem spørsmål som hjelper deg å vurdere hvor langt du er kommet i prosessen.

Vi har valgt å samle de ulike kravene og tiltakene i NIS2 i fem kjerneområder. Det er en pedagogisk forenkling som grupperer beslektede krav under én overskrift – ikke for å ta snarveier, men for å gjøre det enklere å jobbe systematisk med implementeringen.

Vi grupperer for øvrig kravene på samme måte i vår OT-workbench i NorthGRC.

Trenger du mer personlig rådgivning, kan våre konsulenter hjelpe deg med neste steg i NIS2-implementeringen din.

Hvorfor er NIS2 en særlig utfordring for OT?

Et vannverk og en IT-virksomhet kan begge være omfattet av NIS2. Men virkeligheten i en OT-virksomhet er fundamentalt annerledes – og derfor slår kravene svært forskjellig inn.

I en OT-virksomhet – enten du driver vannforsyning, kraftproduksjon, fjernvarme eller prosessproduksjon – er systemene designet for stabilitet og driftssikkerhet. Patchbarhet og overvåking kommer i andre rekke, og noen ganger i tredje. Et SCADA-anlegg kan ha en levetid på 20–30 år. Det er ikke bygget for å motta sikkerhetsoppdateringer ukentlig, og det kan ikke bare stenges ned i en time for vedlikehold.

Konsekvensen av en sikkerhetshendelse er heller ikke bare tap av data – det kan også føre til produksjonsstans, forsyningssvikt og i verste fall fysiske skader.

Les også: 5 grunner til at NIS2 er vanskeligere for OT-virksomheter enn for alle andre

Det er dette som gjør NIS2 komplekst for OT-virksomheter: kravene er de samme som for alle andre, men virkeligheten er en annen. Det krever at man tilpasser tilnærmingen til OT-miljøets særskilte betingelser – fremfor å kopiere en IT-sikkerhetsmodell direkte over.

Start med å skape oversikt

NIS2 deler kravene inn i fem innbyrdes forbundne områder: styring og ledelse, risikovurdering, retningslinjer og prosedyrer, kontroller og bevisstgjøring, og til sist rapportering. Områdene henger sammen: styring uten risikovurdering er meningsløs, og retningslinjer uten kontroller er bare papir.

NIS2 skal ikke forstås som en sjekkliste du krysser av én gang, men som en struktur som er integrert i hverdagen.

Den gode nyheten er at du allerede er i gang: du starter ikke fra null. Derfor handler det om å finne ut hvor du faktisk står på tvers av alle fem områdene – og om innsatsen din henger sammen.

1. Styring og lederansvar (NIS2 art. 20)

NIS2 er et ledelsesanliggende. Det er ikke et IT-prosjekt som kan delegeres til sikkerhetsjefen og glemmes i styrerommet. Direktivet slår fast at styre og ledelse bærer et personlig ansvar. Faktisk går direktivet så langt at ledelsesmedlemmer i ytterste konsekvens kan fratas sine lederbeføyelser ved gjentatt manglende etterlevelse.

Hva krever det i praksis? Et dedikert sikkerhetsforum med tydelige roller og mandat. Dokumentert lederopplæring som skaper reell forståelse av trusselbildet og ansvarsstrukturen. Og en modell for hvordan sikkerhet rapporteres oppover i organisasjonen – ikke bare nedover.

Se her hvordan du kan gi ledelsen oversikt med NorthGRC

Styring er forutsetningen for alt som følger. Uten den har risikovurderinger, retningslinjer og kontroller ingen forankring i ledelsen – og dermed ingen reell tyngde.

Har styret og ledelsen et dokumentert ansvar for OT-sikkerhet – og møtes i et dedikert sikkerhetsforum regelmessig med mandat til å handle?

2. Risikovurdering (NIS2 art. 21)

En risikovurdering betyr ikke det samme innenfor OT som innenfor IT – og det er en av de vanligste misforståelsene i NIS2-arbeidet. I it handler risiko primært om konfidensialitet og dataintegritet.

I OT handler det om tilgjengelighet, sikkerhet og de direkte konsekvensene for fysiske prosesser: Hva skjer hvis vannbehandlingsanlegget ditt mister kontrollen over pumpene, eller hvis styresystemet legges ned? Hva koster en produksjonsstans på én time, ett døgn, én uke?

NIS2 krever at du kartlegger eiendelene dine – systemene, PLC-ene, SCADA-systemene, lokasjonene og de kritiske leverandørene – og vurderer risikoen ved dem. Her skal fokuset ligge på samfunnsmessige konsekvenser hvis noe går galt, og sannsynligheten for at det faktisk skjer.

Og det er ikke nok å vurdere risikoen. Du må ha en risikohåndteringsplan som viser hva du gjør med risikoene du har identifisert.

Les også: NIS2 artikkel 21: Hva krever risikovurderingen – og hva betyr det for OT?

Det er vanskelig å prioritere det man ikke har kartlagt. Mange OT-virksomheter har gjennomført risikovurderingene sine med utgangspunkt i fysiske trusler – men cybertrusler er sjelden inkludert.

Det er likevel nettopp den koblingen tilsynsmyndighetene vil se etter.

Har du kartlagt OT-eiendelene og leverandørene dine, og har du en risikohåndteringsplan som viser hva du gjør med det du har funnet?

3. Retningslinjer og prosedyrer (NIS2 art. 21 — 13 domener)

NIS2 stiller to krav på retningslinjefronten: én overordnet OT-informasjonssikkerhetspolicy som setter rammen for hele innsatsen, og 13 temaspesifikke retningslinjer som dekker alt fra hendelseshåndtering og sikkerhetskopiering til tilgangskontroll, kryptografi og leverandørstyring. I tillegg kommer prosedyrer for systemers livssyklus – fra anskaffelse til avvikling.

Det er ikke en uoverkommelig oppgave – men det krever mer enn gode intensjoner. En retningslinje fungerer først når den har en eier, er godkjent av ledelsen og faktisk etterleves og revideres jevnlig.

Se her hvordan NorthGRC gjør det enklere å holde oversikt over retningslinjene deres.

Hvis sikkerhetskopieringspolicyen sist ble oppdatert for tre år siden, er den ikke et kontrolltiltak. I verste fall er den faktisk en sårbarhet – fordi den gir en falsk trygghet om at «det har vi jo en retningslinje for».

Retningslinjene er virksomhetens egen forpliktelse til god sikkerhet – overfor seg selv og overfor myndighetene som fører tilsyn. Den forpliktelsen må kunne innfris.

Har retningslinjene dine en eier, en godkjenningsdato og en revisjonssyklus – eller er de dokumenter ingen lenger vet hvor befinner seg?

4. Kontroller og bevisstgjøring (NIS2 art. 21 + art. 20)

Det er en viktig forskjell på å ha nedskrevne kontroller og å ha implementerte kontroller – og det er nettopp den forskjellen NIS2 adresserer. En tilgangskontrollpolicy som ikke er rullet ut, er ikke en kontroll. Et segmenteringsdesign som aldri er satt i drift, er ikke et sikkerhetstiltak.

NIS2 krever at du kan dokumentere at kontrollene dine faktisk fungerer i praksis.

Bevisstgjøring er et selvstendig krav og fortjener å bli behandlet som nettopp det. Medarbeidere og ledere som aldri har fått opplæring i OT-sikkerhet, er en risiko – ikke en ressurs.

De trenger kunnskap om de særskilte truslene mot industrielle systemer, om sosial manipulasjon og om de hendelsesprosedyrene som gjelder spesielt i OT. Opplæringen er nødvendig både for dem som sitter foran SCADA-skjermen, og for lederne med det overordnede systemansvaret.

Les også: Hvorfor 95 % gjennomført opplæring ikke er det samme som 95 % sikkerhet

Det er her papirarbeidet enten blir til reell sikkerhet – eller viser seg å bare være papir.

Kan du dokumentere at kontrollene dine er implementert og fungerer – og når medarbeiderne dine sist fikk OT-spesifikk sikkerhetsopplæring?

5. Rapportering og lederforankring (NIS2 art. 20 + art. 23)

Det femte området binder de fire foregående sammen: Hva er evnen din til å dokumentere, kommunisere og handle på sikkerhetsnivået ditt?

Det innebærer to ting:

• Internt: at ledelsen mottar løpende og meningsfull rapportering om sikkerhetsstatus. Halvårlige statusmøter med uforståelige tekniske lysbilder holder ikke. Rapporteringen skal gi et tydelig bilde av risikoer, fremgang og åpne punkter.
• Eksternt: at du har en velfungerende varslingskjede hvis noe går galt. NIS2 krever en foreløpig melding til myndighetene innen 24 timer, en utdypende rapport innen 72 timer og en endelig rapport senest én måned etter hendelsen.

Det høres kanskje overkommelig ut – men mange virksomheter oppdager for sent at de mangler tydelige roller, dokumenterte prosedyrer og de rette kontaktpunktene. Hvis det først viser seg i den situasjonen der det haster mest, kan det få store konsekvenser for virksomheten.

Se her hvordan NorthGRC gjør det enklere å sikre hendelseshåndtering og rapportering

Rapportering kan føles som unødvendig byråkrati – men det er det som gjør styring meningsfull, og det er nettopp det tilsynsmyndighetene vil se nærmere på.

Hvis det skjer en hendelse i morgen, vet alle hvem som avgjør om den er vesentlig – og hvem som varsler myndighetene innen 24 timer?

Få oversikten – før tilsynet gjør det for deg

NIS2 krever ikke at sikkerhetsnivået er i toppklasse på alle fronter for å være compliant. Det krever at du har forholdt deg systematisk til risikoene dine og kan dokumentere at innsatsen er proporsjonal med det trusselbildet du faktisk har. Det viktige er ikke å ha gjort alt – men å vite hvor du står og ha en plan for det som gjenstår. Og du trenger ikke komme dit alene.

NorthGRCs OT Workbench er bygget for å bryte NIS2-kravene ned i strukturerte og utfyllende beskrevne oppgaver, og for å holde oversikt over fremgang så vel som mangler. På den måten skaper plattformen nettopp den oversikten som ellers er så vanskelig å få tak i.

Vår OT Workbench er utviklet spesielt for OT-virksomheter som jobber med NIS2. Den strukturerer de fem kravområdene i et samlet årshjul, gir deg oversikt over implementeringsstatusen din og gjør det enkelt å dokumentere, prioritere og følge opp – uten å miste tråden underveis.

I tillegg gir OT Workbenchen oversikt over leverandørkjeden din, hjelper deg med risikovurderinger og veileder deg til handling og rapportering hvis dere skulle oppleve et sikkerhetsbrudd.

Vil du ha hjelp til for eksempel en gapanalyse eller løpende GRC-støtte, kan våre konsulenter hjelpe deg fra der du er i dag til der du skal være. Vi rådgir, hjelper dere i gang og utfører GRC-oppgaver for dere – når det gir mer mening enn å bygge opp kapasiteten selv.

Vil du se hva OT Workbench kan gjøre for NIS2-implementeringen din? Se videodemonstrasjonen og les mer om Operational Technologies her.