NIS2 og Digitalsikkerhetsloven: Hva betyr de nye sikkerhetskravene for vann- og avløpssektoren?
Når vannforsyningen stopper, stopper samfunnet
Klokken er 03:17.
En alarm går hos den kommunale driftsvakten. Trykket i vannforsyningen faller raskt. Er det en teknisk feil? En pumpe som har stoppet? Eller er noen inne i styringssystemet?
For få år siden ville de fleste valgt det første alternativet. I dag må norske kommuner også være forberedt på det siste.
Vann- og avløpssektoren er blant de mest samfunnskritiske funksjonene vi har. Innbyggerne forventer rent vann i springen, fungerende avløp og stabile tjenester – hver eneste dag. Samtidig blir anleggene stadig mer digitale, mer sammenkoblede og mer avhengige av fjernstyring. Det gir store gevinster for drift og effektivitet, men det gjør også VA-sektoren til et attraktivt mål for cyberangrep.
Derfor har myndighetene innført digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025. Og derfor vil kravene fra NIS2-direktivet få stadig større betydning også i Norge.
Spørsmålet er ikke lenger om cybersikkerhet er relevant for VA-sektoren. Spørsmålet er om virksomheten har kontroll.
Hvorfor er VA-sektoren spesielt utsatt?
De fleste kommunale VA-anlegg er ikke bygget som én samlet installasjon. De består av vannverk, høydebasseng, pumpestasjoner, renseanlegg og tekniske installasjoner spredt over store geografiske områder – mange etablert over flere tiår, ofte med ulike systemer, ulike leverandører og ulike kommunikasjonsløsninger.
Resultatet er en infrastruktur som er krevende å få full oversikt over. I praksis ser vi at kommuner gjerne kjenner anleggene sine godt hver for seg, men har langt mindre oversikt over hvordan systemene faktisk henger sammen digitalt.
Typiske utfordringer inkluderer ufullstendig oversikt over tilkoblet utstyr, flere leverandører med ulike tilgangsløsninger, eldre styringssystemer som fortsatt er i drift, manglende segmentering mellom kritiske og mindre kritiske systemer, og begrenset kapasitet til sikkerhetsovervåking.
Dette er ikke nødvendigvis et resultat av dårlige valg. Mange løsninger ble etablert i en tid da tilgjengelighet og drift var eneste prioritet. Men trusselbildet har endret seg – og regelverket har fulgt etter.
Fra teknisk robusthet til digital motstandskraft
Tradisjonelt har VA-sektoren vært opptatt av fysisk robusthet: reservepumper, nødstrøm, alternative vannkilder og beredskapsplaner. Det er gode instinkter, og de har skapt infrastruktur vi kan stole på.
Digitalsikkerhetsloven utvider dette perspektivet betydelig. Nå handler robusthet også om evnen til å motstå digitale angrep, oppdage uønsket aktivitet og gjenopprette normal drift dersom noe skjer. For mange kommuner innebærer dette et reelt skifte i tankesett: cybersikkerhet er ikke lenger et rent IT-spørsmål. Det er blitt en integrert del av samfunnsberedskapen.
Det betyr at beslutninger om nettverksarkitektur, fjernaksess og leverandørtilganger ikke kan tas utelukkende av driftsavdelingen. De må forankres i ledelsen; konsekvensene av feil er samfunnsmessige, ikke bare tekniske.
Hva krever digitalsikkerhetsloven, og hvem gjelder den for?
Digitalsikkerhetsloven gjelder virksomheter som leverer samfunnsviktige tjenester, og vannforsyning og avløpshåndtering er eksplisitt inkludert. Det betyr at kommuner og interkommunale selskaper som drifter VA-infrastruktur, er direkte omfattet av loven.
Kravene dreier seg ikke om å innføre ett bestemt system eller sertifikat. De dreier seg om å kunne dokumentere at virksomheten har et forsvarlig og systematisk sikkerhetsnivå – og at ledelsen tar ansvar for det. Konkret innebærer dette:
Risikostyring: Virksomheten må ha oversikt over sine systemer, vurdere hvilke trusler og sårbarheter som finnes, og ha tiltak på plass som er proporsjonal med risikoen.
Tilgangsstyring og fjernaksess: Hvem har tilgang til hvilke systemer, og under hvilke betingelser? Tilganger skal styres, dokumenteres og logges – og trekkes tilbake når de ikke lenger er nødvendige.
Segmentering: Kritiske systemer skal skilles fra resten av nettverket, slik at et angrep ett sted ikke automatisk sprer seg til resten av infrastrukturen.
Hendelseshåndtering: Virksomheten skal ha evne til å oppdage sikkerhetshendelser, håndtere dem og rapportere om dem til relevante myndigheter innen fastsatte frister.
Leverandørstyring: Ansvaret for sikkerhetsnivået kan ikke delegeres til driftspartnere eller leverandører. Kommunen er ansvarlig – også for hva eksterne aktører gjør i systemene.
For en grundig gjennomgang av hva kravene betyr i praksis for kommunal sektor, se vår artikkel NIS2 for kommuner: hva betyr kravene i praksis?.
Flate nettverk: den åpne døren ingen ser
En utfordring som går igjen i mange VA-driftsmiljøer, er flate nettverk. Historisk har dette vært en praktisk løsning: alle stasjoner kan kommunisere med hverandre, og driftsoperatørene får enkel tilgang til hele infrastrukturen fra ett sted.
Problemet er at dette er nøyaktig det en angriper ønsker. Dersom noen får tilgang til én del av nettverket – via en sårbar pumpestasjon, en gammel fjernaksessløsning eller en kompromittert leverandørkonto – kan de i verste fall bevege seg fritt videre til resten av infrastrukturen. Det finnes dokumenterte eksempler internasjonalt der angrep mot VA-systemer har startet via én enkelt inngangspunkt og eskalert derfra.
Digitalsikkerhetsloven og NIS2 stiller derfor tydelige forventninger til segmentering. Det handler ikke om å gjøre driften mer komplisert. Det handler om å begrense konsekvensene dersom noe går galt – og sørge for at en hendelse ett sted ikke blir en krise overalt.
Et moderne VA-nettverk bør være bygget slik at kritiske anlegg er skilt fra mindre kritiske deler av infrastrukturen, at trafikk mellom soner kontrolleres og logges, og at avvik varsles tidlig nok til at noen kan reagere. Les mer om dette i vår artikkel Hvorfor flate nettverk er en risiko i VA-sektoren.
Fjernaksess: nødvendig, men ikke ukontrollert
For en sektor som er geografisk spredt, er fjernaksess en forutsetning for kostnadseffektiv drift. Ingen ønsker å sende teknikere flere timer av gårde hver gang en parameter skal justeres eller en feil undersøkes. Det er fullt forståelig – og fullt forsvarlig, dersom løsningen er satt opp riktig.
Problemet er at fjernaksess i mange kommuner har vokst frem organisk over tid. Én løsning for automasjonsleverandøren, en annen for driftspartneren, en tredje for servicepersonell. Resultatet er parallelle innganger til de samme systemene, med varierende sikkerhetsnivå, manglende logging og uklart ansvar. Noen av tilgangene tilhører kanskje leverandører som ikke lenger er aktive.
Digitalsikkerhetsloven er tydelig: ansvaret for tilgangsstyring ligger hos eieren av infrastrukturen. Kommunen skal til enhver tid kunne dokumentere hvem som har tilgang til hva, hvorfor tilgangen er gitt, og hva som har skjedd under tilgangsøktene. Det krever sentral styring, flerfaktorautentisering og logging som faktisk dekker sikkerhetsrelevante hendelser – ikke bare tekniske driftshendelser.
For praktiske anbefalinger, se vår artikkel Slik sikrer du fjernaksess til pumpestasjoner og vannverk.
De fleste ser tekniske feil – men oppdager de sikkerhetshendelser?
De fleste VA-virksomheter har gode systemer for driftsovervåking. Når en pumpe stopper eller en alarm utløses, blir det oppdaget raskt. Det er nødvendig og godt.
Men digitalsikkerhetsloven krever noe mer: evnen til å oppdage sikkerhetshendelser. En innlogging utenfor normal arbeidstid. En kommandosekvens som avviker fra det vanlige mønsteret. En fjernaksess-økt til et anlegg uten planlagt vedlikehold. Legitime brukerkontoer som brukes på uvanlige tidspunkter eller fra ukjente lokasjoner.
Denne typen hendelser er ikke synlige i et tradisjonelt driftsovervåkingssystem. De krever logger som fanger opp sikkerhetsrelevante hendelser, og kapasitet til å analysere dem – enten internt eller hos en partner med spesialisert kompetanse. Målet er ikke å samle mest mulig data. Målet er å oppdage avvik tidlig nok til å kunne reagere før de utvikler seg til en driftsforstyrrelse.
Leverandøransvar: ansvaret kan ikke outsources
Mange kommuner drifter ikke VA-anleggene sine selv. Driften er satt ut til interkommunale selskaper eller private aktører. Tekniske leverandører vedlikeholder og oppdaterer systemene. I begge tilfeller har eksterne parter tilgang til kritisk infrastruktur – og det er fullt legitimt.
Men digitalsikkerhetsloven er eksplisitt på ett punkt: ansvaret for sikkerhetsnivået ligger hos eieren av infrastrukturen, uavhengig av hvem som gjør jobben. Det betyr at kontrakter må inneholde konkrete krav til sikkerhet, logging og rapportering – og at disse kravene faktisk må følges opp, ikke bare stå i en avtaletekst.
For mange vil dette innebære en gjennomgang av eksisterende driftsavtaler. Ikke fordi leverandørene gjør en dårlig jobb, men fordi avtalene ble skrevet i en tid da disse spørsmålene ikke var regulert. Nå er de det.
En grundig gjennomgang av de vanligste blindsonene finner du i artikkelen Har kommunen kontroll på hvem som har tilgang til vannforsyningen?.
Fem spørsmål enhver VA-leder bør kunne svare på
For mange kommuner kan regelverk og sikkerhetskrav virke overveldende. Et godt sted å starte er å stille noen grunnleggende spørsmål – og ta svarene på alvor:
Har vi en oppdatert oversikt over alle kritiske systemer? Ikke bare anleggene i seg selv, men hvilke systemer som er koblet til hva, og hvilke som er tilgjengelige utenfra.
Vet vi hvem som har tilgang til anleggene våre? Alle tilganger – inkludert leverandører, driftspartnere og servicepersonell – skal være dokumentert og aktive av en grunn.
Kan vi oppdage mistenkelig aktivitet? Ikke bare tekniske feil, men unormal innlogging, uvanlige kommandoer og avvikende bruksmønstre.
Har vi segmentert kritiske systemer fra resten av nettverket? Et flatt nettverk er en risiko. Segmentering begrenser skadeomfanget dersom noe går galt.
Har vi en plan dersom vi blir rammet av et cyberangrep? Beredskapsplaner for fysiske hendelser er gode. De må suppleres med planer for digitale hendelser.
Dersom svaret er nei på ett eller flere av disse spørsmålene, finnes det forbedringsområder som bør adresseres – og som digitalsikkerhetsloven forventer at virksomheten tar tak i. Se også vår oversikt over de fem vanligste sikkerhetsutfordringene i kommunale vannverk.
Bygg for NIS2 – ikke bare for dagens krav
Digitalsikkerhetsloven er gjeldende norsk rett, men den er basert på EUs opprinnelige NIS-direktiv. EU har siden vedtatt NIS2, som stiller betydelig strengere krav: bredere sektordekning, tydeligere forventninger til risikostyring og leverandørkontroll, og et eksplisitt lederansvar som plasserer sikkerhet på direktørnivå.
NIS2 vil over tid bli standarden også i norsk sammenheng. Virksomheter som i dag kun tilpasser seg minimumskravene i digitalsikkerhetsloven, risikerer å måtte gjøre jobben to ganger. De som bygger mot NIS2-nivå fra starten, investerer én gang – og er bedre posisjonert uansett hva som kommer.
En fullstendig sammenligning av regelverkene finner du i artikkelen Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Sikkerhet handler til syvende og sist om vann i springen
Cybersikkerhet i VA-sektoren handler ikke først og fremst om teknologi eller regelverksetterlevelse. Det handler om samfunnsoppdraget: å sikre rent drikkevann, beskytte kritiske tjenester og opprettholde tillit hos innbyggere og næringslivet, også når noen prøver å hindre det.
Digitalsikkerhetsloven og NIS2 representerer ikke bare nye krav. De representerer en mulighet til å bygge en mer robust, mer oversiktlig og mer motstandsdyktig infrastruktur. Kommuner som tar dette på alvor, får noe mer enn lovmedhold: de får bedre kontroll på egne systemer, raskere respons når noe skjer, og et fundament for tryggere drift i en tid der avhengigheten av digitale styringssystemer bare øker.
Hvordan NetNordic kan bistå
NetNordic arbeider med sikkerhet for kritisk infrastruktur i hele Norden og bistår kommuner, VA-selskaper og interkommunale selskaper med å styrke sin digitale motstandskraft – fra første kartlegging til løpende overvåking.
Gjennom vår Security Advisory-tjeneste hjelper vi virksomheter med å forstå sitt faktiske risikobilde: hvilke systemer er eksponert, hvor er de største sårbarhetene, og hva bør prioriteres. Et naturlig startpunkt er en modenhetsanalyse – en strukturert gjennomgang av dagens sikkerhetsnivå opp mot kravene i digitalsikkerhetsloven og NIS2. For virksomheter som ønsker å involvere ledergruppen tidlig, kan vi tilpasse format og agenda for dere.
Vil du vite hva loven faktisk krever av din virksomhet – og hva som er de smarteste første stegene? Ta kontakt med oss for en uforpliktende samtale.
Innholdsfortegnelse
- Når vannforsyningen stopper, stopper samfunnet
- Hvorfor er VA-sektoren spesielt utsatt?
- Fra teknisk robusthet til digital motstandskraft
- Hva krever digitalsikkerhetsloven, og hvem gjelder den for?
- Flate nettverk: den åpne døren ingen ser
- Fjernaksess: nødvendig, men ikke ukontrollert
- De fleste ser tekniske feil – men oppdager de sikkerhetshendelser?
- Leverandøransvar: ansvaret kan ikke outsources
- Fem spørsmål enhver VA-leder bør kunne svare på
- Bygg for NIS2 – ikke bare for dagens krav
- Sikkerhet handler til syvende og sist om vann i springen
- Hvordan NetNordic kan bistå
Innholdsfagskategori
Innholdstype
Relatert innhold
NIS2 for kommuner: hva betyr kravene i praksis?
Slik sikrer du fjernaksess til pumpestasjoner og vannverk
De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Har kommunen kontroll på hvem som har tilgang til vannforsyningen?
CyberTalk 2026: Fra antagelse til bevis
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!