Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
De fleste virksomheter med OT-miljøer vet at de har mangler. Er man tydelig på det, er man straks klar for å endre og ta stegene mot økt kontroll og innsikt. Men man må vite hvor man skal begynne, hva som faktisk teller, og hvordan man bygger et forsvarlig grunnlag uten å lamme driften underveis. Digitalsikkerhetsloven stiller nå eksplisitte krav til nettopp dette. Og tilsynsmyndighetene begynner å etterspørre dokumentasjon. Denne artikkelen handler om veien fra der du er til der du bør være, og hva det konkret innebærer.
Hvorfor modenhet og ikke compliance bør være målet
Det er lett å tenke på OT-sikkerhet som et sjekklisteproblem: oppfyll kravene, bestå revisjonen, gå videre. Men kravene i IEC 62443, ON104 og digitalsikkerhetsloven er ikke designet for å passeres én gang; de forutsetter kontinuerlig forbedring over tid.
Virksomheter som lykkes med OT-kontroll tenker ikke primært på compliance. De tenker på modenhet: evnen til å drive, beskytte og videreutvikle OT-miljøet på en strukturert og risikobevisst måte. Compliance er et resultat av modenhet, og ikke omvendt.
Det betyr at spørsmålet ikke er «oppfyller vi kravene?» men «er vi i stand til å håndtere det som kommer?»
Hva er egentlig en OT maturity assessment?
En OT maturity assessment er en strukturert gjennomgang av virksomhetens nåværende tilstand på tvers av de dimensjonene som utgjør OT-kontroll: synlighet, governance, prosesser, arkitektur, sikkerhetstiltak og etterlevelse.
Resultatet er ikke en lang rapport med hundre anbefalinger. Det er et faktabasert bilde av:
- Hva som fungerer og bør bevares
- Hva som er de viktigste gapene – prioritert etter risiko
- Et konkret roadmap for hva som bør gjøres, i hvilken rekkefølge, og med hvilken ressursinnsats
En god vurdering gjøres i samarbeid med virksomhetens egne fagfolk; driftspersonell, IT-sikkerhet og ledelse. Det er de som kjenner miljøet. Vurderingen gir dem et felles språk og et felles bilde.
OT-risiko er ikke det samme som IT-risiko
Risikovurdering i OT krever en annen vekting enn IT. De tre dimensjonene som må inn:
Tilgjengelighet og sikker drift er primær. En hendelse som stopper produksjonen i to timer kan ha direkte konsekvenser for leveranser, inntekt og i noen tilfeller sikkerhet for liv og helse. Det betyr at tiltak som påvirker driftstilgjengelighet må vurderes svært nøye selv om de ville vært åpenbare i en IT-kontekst.
Konsekvens, ikke bare sannsynlighet. I OT kan konsekvensen av en hendelse være asymmetrisk stor sammenlignet med sannsynligheten. En PLC som manipuleres kan utløse en prosesshendelse med fysiske konsekvenser. Det endrer risikobildet radikalt.
Kaskadeeffekter mellom soner. Kan en hendelse i én del av OT-miljøet spre seg til andre? Hvilke systemer er avhengige av hverandre? Disse avhengighetene er sjelden fullt dokumentert, og de er kritiske å forstå.
En risikovurdering som ikke tar inn disse dimensjonene gir et misvisende bilde og dermed feil prioriteringer.
Modenhetsrammeverket: fra reaktiv til proaktiv
Et modenhetsrammeverk gir virksomheten mulighet til å plassere seg selv på en skala og forstå hva som kreves for å komme videre. ON104, som er mye brukt i norsk olje- og energisektor, definerer fire modenhetsnivåer:
Nivå 1 – Initiell: Tiltak finnes, men er ustrukturerte og personavhengige. Kontroll eksisterer kun så lenge nøkkelpersoner er til stede.
Nivå 2 – Styrt: Prosesser er definert og dokumentert. Tiltak gjennomføres, men ikke alltid konsekvent.
Nivå 3 – Definert: Prosessene er standardisert på tvers av organisasjonen. Det er et etablert styringssystem for OT-sikkerhet.
Nivå 4 – Optimalisert: Kontinuerlig forbedring er innebygd. Virksomheten måler, lærer og tilpasser seg.
De fleste norske OT-miljøer befinner seg mellom nivå 1 og 2. Målet for de fleste er ikke å nå nivå 4 umiddelbart, men å komme til nivå 2 eller 3 på de kritiske områdene, og gjøre det stabilt.
Gap-analyse: fra bilde til prioritering
En gap-analyse sammenligner nåsituasjonen med kravene i relevante rammeverk. Det lyder enkelt, men gjøres feil nesten like ofte som det gjøres riktig.
De vanligste feilene:
Analysen er for teknisk og ignorerer prosessene. En gap-analyse som bare ser på tekniske kontroller og glemmer governance, endringshåndtering og leverandørstyring gir et ufullstendig bilde.
Alle gap behandles som like viktige. Resultatet er en liste på 80 tiltak uten prioritering, som aldri blir gjennomført fordi ingen vet hvor man skal begynne.
Analysen gjøres som et prosjekt, ikke som et grunnlag. Gap-analysen skal resultere i et roadmap og en plan. Den skal ikke bli liggende som en rapport som samler støv. Da får du et aktivt styringsverktøy.
En god gap-analyse er:
- Avgrenset til de dimensjonene som gir størst risikobilde
- Koblet direkte til relevante standardkrav (IEC 62443, ON104, ISO 27001, digitalsikkerhetsloven)
- Prioritert etter risiko og gjennomførbarhet
- Formidlet på et språk som gir mening for både driftspersonell og ledelse
Roadmap: hva bør komme i hvilken rekkefølge?
Det er ingen universell fasit, men noen sekvenser gir nesten alltid bedre resultater enn andre:
1. Start alltid med synlighet. Du kan ikke prioritere det du ikke vet om eller det du ikke ser. Passiv kartlegging av OT-nettverket gir et faktabasert grunnlag for alt som kommer etter.
2. Deretter governance og eierskap. Før du innfører tekniske tiltak, bør det være klart hvem som eier OT-sikkerheten, hvem som godkjenner endringer, og hvordan ansvaret er fordelt mellom IT og OT.
3. Så prosessene. Endringshåndtering, leverandørtilgang og asset lifecycle management bør etableres som en styrt prosess, og ikke en ad hoc-praksis.
4. Arkitektur og segmentering. Med oversikt og prosesser på plass kan segmenteringen gjøres på basis av faktisk trafikk og faktiske risikoer – ikke bare tegnebordsmodeller.
5. Deteksjon og respons – OT SOC. Dette er steget de fleste ønsker å starte med, men som gir minst verdi uten de fire foregående. Et OT SOC overvåker trafikk og hendelser kontinuerlig, men uten et oppdatert asset-register å matche mot, uten prosesser for hvem som skal handle og hvordan, og uten segmentering som gir kontekst, drukner analytikerne i støy. Vi ser dette i praksis: virksomheter som har investert i overvåkningsverktøy, men som ikke får verdien ut av dem fordi grunnlaget ikke er på plass.
Når strukturen er etablert, er en OT SOC-integrasjon det som gjør kontrollen kontinuerlig, trygg og effektiv. Dette skal altså ikke være et engangsprosjekt. Men en OT SOC får dere en løpende overvåkning med OT-kompetente analytikere som forstår hva normal OT-trafikk ser ut som, og hva som er avvik. Og som agerer på uønsket atferd.
Etterlevelse i praksis: hva betyr digitalsikkerhetsloven for OT?
Digitalsikkerhetsloven (implementeringen av NIS2-direktivet i Norge) stiller krav til virksomheter i kritisk infrastruktur og viktige samfunnsfunksjoner. Dette treffer bredt: kraftselskaper, vannverk, havner, olje- og gassaktører og deler av norsk industri. For OT-miljøer er de mest relevante kravene:
- Risikostyring: systematisk vurdering og håndtering av risikoer, inkludert OT-spesifikke trusler
- Hendelseshåndtering og rapportering: evne til å oppdage, håndtere og rapportere sikkerhetshendelser innen definerte tidsrammer
- Leverandørkjede-sikkerhet: krav om at risiko fra tredjeparts leverandører er vurdert og håndtert
- Kontinuerlig overvåkning: ikke bare periodisk vurdering, men løpende overvåkning av OT-miljøet
For virksomheter som allerede jobber med IEC 62443 og ON104 er mye av dette kjent territorie. Digitalsikkerhetsloven legger til det regulatoriske kravet og rapporteringsforpliktelsen.
Det er viktig å merke seg at etterlevelse må følges opp som en løpende forpliktelse. Det betyr at styringssystemet (gjerne ISO 27001-basert) som holder styr på risikovurderinger, revisjoner og forbedringstiltak er en forutsetning for å lykkes over tid.
Vanlige spørsmål om OT-modenhet og etterlevelse
Hva er forskjellen mellom en OT maturity assessment og en penetrasjonstest? En penetrasjonstest avdekker tekniske sårbarheter i systemer og nettverk. En maturity assessment gir et bredere bilde av modenhet på tvers av prosesser, governance, arkitektur og tekniske kontroller. De er komplementære, og en maturity assessment er vanligvis riktig startpunkt, fordi den gir konteksten som trengs for å tolke pentest-funnene riktig.
Kan vi gjøre en gap-analyse selv? Ja, delvis. Egenrevisjoner er verdifulle og bør gjøres jevnlig. Men en ekstern vurdering gir et mer objektivt bilde, bringer inn erfaring fra tilsvarende miljøer, og er lettere å forankre overfor ledelse og eventuelt tilsynsmyndigheter. En kombinasjon av begge er best.
Hva koster det å ikke gjøre noe? Det er et legitimt spørsmål, og det riktige svaret er: det avhenger av risikobildet. Men i virksomheter der OT-systemer styrer kritiske prosesser, er konsekvensen av en alvorlig hendelse – stans, manipulasjon, tap av kontroll – potensielt langt større enn kostnaden ved å etablere kontroll. I tillegg kommer regulatorisk risiko for virksomheter som faller inn under digitalsikkerhetsloven.
Trenger vi et ISO 27001-sertifikat for å etterleve digitalsikkerhetsloven? Nei, men et velfungerende styringssystem etter ISO 27001-prinsippene gjør etterlevelse vesentlig mer håndterbart. Det gir strukturen for å dokumentere risikovurderinger, gjennomførte tiltak og kontinuerlig forbedring. Det er dette tilsynsmyndighetene ser etter.
Hvor lang tid tar det å bygge OT-modenhet? Det avhenger av utgangspunktet og ambisjonsnivået. De fleste virksomheter ser konkrete forbedringer i løpet av 3–6 måneder på prioriterte områder. Et robust styringssystem tar gjerne 12–18 måneder å etablere. Dette er en kontinuerlig prosess.
Hva NetNordic bidrar med
NetNordic tilbyr en strukturert OT maturity assessment som dekker alle dimensjonene som kreves for reell kontroll:
Asset-kartlegging – passiv nettverksovervåkning som gir et komplett og ikke-intrusivt bilde av det faktiske OT-miljøet.
Modenhets- og gap-vurdering – strukturert gjennomgang mot IEC 62443, ON104 og relevante krav i digitalsikkerhetsloven, med tydelig prioritering av funn.
Roadmap og handlingsplan – konkrete anbefalinger i prioritert rekkefølge, tilpasset virksomhetens risikobilde, ressurser og driftsrammer.
Implementeringsstøtte – vi kan bistå gjennom hele implementasjonen: governance-etablering, nettverksarkitektur, prosessutvikling og SOC-integrasjon.
Løpende OT SOC – kontinuerlig overvåkning av IT og OT med OT-kompetente analytikere, integrert hendelseshåndtering og støtte ved etterlevelsesrapportering.
Vurderingen gjennomføres i tett samarbeid med virksomhetens egne fagfolk. Vi bringer rammeverk og erfaring, og dere bringer kontekstkunnskap. Resultatet er et realistisk og forankret grunnlag for videre arbeid.
Tre spørsmål å stille om deres OT-miljø i dag
- Har du et oppdatert og komplett bilde av alle OT-assets – inkludert firmware, supportstatus og ansvarlig eier?
- Har du et definert styringssystem for OT – med tydelige prosesser for endringer, leverandørtilgang og hendelseshåndtering?
- Vet du hva digitalsikkerhetsloven konkret krever av dere – og har du dokumentasjon som viser at kravene er adressert?
Hvor står dere i dag?
Det er det viktigste spørsmålet, og det vanskeligste å svare på uten et strukturert grunnlag.
NetNordic OT Maturity Assessment gir et faktabasert bilde av nåsituasjonen, vurdert mot IEC 62443, ON104 og kravene i digitalsikkerhetsloven. Resultatet vil være at dere får et prioritert roadmap for hva som bør gjøres, i hvilken rekkefølge, tilpasset virksomhetens driftsrammer og risikonivå.
Vurderingen dekker hele kjeden: fra asset-synlighet og governance via nettverksarkitektur og prosesser til deteksjonsevne og SOC-integrasjon. Fordi kontroll ikke er ett tiltak, men det er summen av at mange ting henger sammen.
[Les del 1: Purdue-modellen og nettverksdesign] | [Les del 2: OT-kontroll – oversikt og struktur]
NetNordic hjelper virksomheter med å bygge reell OT-modenhet, fra første kartlegging til løpende overvåkning og etterlevelse.
Innholdsfortegnelse
- Hvorfor modenhet og ikke compliance bør være målet
- Hva er egentlig en OT maturity assessment?
- OT-risiko er ikke det samme som IT-risiko
- Modenhetsrammeverket: fra reaktiv til proaktiv
- Gap-analyse: fra bilde til prioritering
- Roadmap: hva bør komme i hvilken rekkefølge?
- Etterlevelse i praksis: hva betyr digitalsikkerhetsloven for OT?
- Vanlige spørsmål om OT-modenhet og etterlevelse
- Hva NetNordic bidrar med
- Tre spørsmål å stille om deres OT-miljø i dag
- Hvor står dere i dag?
Innholdsfagskategori
Innholdstype
Relatert innhold
OT-kontroll handler ikke bare om sikkerhet
Fortinet Security Fabric forklart: Fra brannmur til SOC-overvåking
NIS2 for kommuner: hva betyr kravene i praksis?
Slik sikrer du fjernaksess til pumpestasjoner og vannverk
De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!
