Nyheter

Så förändrar NIS2 energisektorn över hela Europa

Av Jon Mattias Högberg |

Text: Ricardo Ferreira, EMEA Field CISO

Europas energisektor genomgår en snabb omvandling med nya hot, inklusive AI-drivna, och en konvergens av IT och OT. NIS2-direktivet är inte bara en ny checklista, utan en grundläggande förändring av ansvar och förväntningar. I mina diskussioner ser jag två återkommande problem som driver upp kostnaderna: tredjepartsresiliens och skalbarhet.

Styrelserna är medvetna om leverantörsberoenden, men de operativa modellerna är ofta inte tillräckligt utvecklade. Ett tydligt exempel är ransomware-attacken mot Rumäniens Oltenia Energy Complex i slutet av 2025, som störde både operativ verksamhet och kritiska IT-system. Sådana incidenter försvårar beslutsfattande och ökar återhämtningskostnaderna betydligt.

NIS2 kräver att säkerheten över samtliga delar av leveranskedjan prioriteras. Det innebär att man går från enstaka försäkringar till en löpande kontroll av hur externa parter ansluter, vad de får behörighet till och hur snabbt tillgången kan återkallas. Att inte följa detta kan få allvarliga konsekvenser.

Nyckeln är att identifiera de få leverantörer som har stor påverkan. En förmåga att hindra spridning av incidenter, segmentering och principen om minsta privilegium minskar de ekonomiska riskerna, förutsatt att kontrollerna kan bevisas vara effektiva.

Den andra utmaningen är skalbarhet. Många koncerner verkar i flera länder, med olika generationer av OT och olika typer av kulturer. Det gör en enhetlig policy svår att implementera effektivt. Traditionella OT-miljöer är ofta för långsamma på att reagera på incidenter på grund av säkerhetskrav, patchbegränsningar och planerade avbrott.

Det jag ofta ser är att organisationer standardiserar dokumentation, inte resultat. Trots att man samordnar avtal och rapporteringsmallar ser riskbilden olika ut beroende på region och anläggning – bland annat på grund av att tillgången för tredje part hanteras inkonsekvent, identitetssystemen är fragmenterade och loggningen bristfällig.

För att, i enlighet med NIS2, effektivt minska de ekonomiska riskerna genom att stärka leverantörskedjans motståndskraft, bör organisationer prioritera genomförandet. Konkret innebär det att återkommande kartlägga beroenden, införa segmentering som förutsätter att ett intrång redan skett, och strikt styra tredjepartsåtkomst med minsta möjliga privilegier och tidsbegränsade behörigheter. Dessutom bör operativ komplexitet minimeras.

NIS2 kommer att belöna de organisationer som kan visa effektiv kontroll under press, som förstår vilka beroenden som är viktigast och som klarar av att begränsa spridning och snabbt kan återkalla tredjepartsåtkomst vid förändrade situationer.

BIld av Pedro sorriso 

    Du kanske även vill läsa om det här

    Drillcon tecknar borrkontrakt med Skanska för utbyggnad av SFR Forsmark

    Hur Ejendals säkerhetsbedömning minskar arbetsplatsolyckor genom smartare riskanalys

    Umeå Energi vinner internationellt kommunikationspris – kan vinna ytterligare ett

    När produkten styr produktionen kan industrin bli mer flexibel

    Alimak Group väljer Avassas edge-plattform för skalbar hantering av edge-applikationer i bygg- och industrimiljöer

    Ny rapport: EU-policy hotar 35 000 svenska jobb

    Liquid Wind lämnar in ansökan om miljötillstånd för storskalig elektrobränsleanläggning i Örnsköldsvik

    Nya spelregler för köldmedier – Rittal erbjuder framtidssäkra kylaggregat och chillers

    Nytt projekt undersöker förutsättningar för biogen CO2-värdekedja i Piteå