logo
    Kontakt oss
    Tilbake

    Digital­sikkerhetsloven: Hva er forskjellen fra NIS2 og hva betyr det for din virksomhet?

    Av Stig Mortvedt | 6. februar 2026

     

    Kraftforsyning, vann og avløp og samferdsel er helt grunnleggende funksjoner i samfunnet. Når styringssystemer i disse sektorene svikter eller blir utsatt for angrep, får det raskt store konsekvenser for både innbyggere, næringsliv og kritiske tjenester. 

    Det er bakgrunnen for at Norge har innført Digital­sikkerhetsloven fra 1. oktober 2025, og for at EU har vedtatt NIS2-direktivet. Begge regelverkene har som mål å løfte sikkerhetsnivået i nettverk og informasjonssystemer, med særlig vekt på virksomheter som driver kritisk infrastruktur. 

     For virksomheter innen kraft, vann og avløp (VA), samferdsel og annen kritisk infrastruktur skaper dette et naturlig spørsmål: 

     Hva er egentlig forskjellen fra NIS2, og hva betyr dette for driften vår? 

     I denne artikkelen ser vi nærmere på Digital­sikkerhetsloven og NIS2, og hvordan de henger sammen for virksomheter i kraft, vann og avløp, og samferdsel. Målet er å gi et oversiktlig bilde av hva lovene innebærer, og hvordan de påvirker gamle anlegg, flate OT‑nettverk og løsninger for fjernaksess. 

     

    Norsk lov og europeisk standard 

    Digital­sikkerhetsloven er den norske loven som gjelder her og nå. Den retter seg mot virksomheter som leverer samfunnsviktige tjenester eller digitale tjenester, og den slår fast at disse må ha systemer, prosesser og ansvar på plass for å håndtere digital sikkerhet. Loven er bygget på det tidligere NIS-regelverket, og den er tilpasset norske forhold og sektorer. 

     NIS2 er EUs omfattende regelverk for digital sikkerhet. Direktivet omfatter flere sektorer enn den norske loven, med tydeligere krav til risikostyring, rapportering, leverandørkontroll og håndheving, og med et mer eksplisitt ansvar plassert hos styre og toppledelse. 

     For kraft, VA og samferdsel er det derfor nyttig å tenke slik: Digital­sikkerhetsloven beskriver minimumsnivået som gjelder i Norge, mens NIS2 viser hvilket sikkerhetsnivå som forventes i EU og EØS-området fremover. Virksomheter som vil være robuste over tid, bør planlegge for det europeiske nivået, ikke bare det som akkurat dekker minimumskravet. 

     

    Der lovene treffer mest: OT-miljøet 

    I mange kraftverk, vannverk og samferdselsanlegg finner vi den samme grunnstrukturen: SCADA-systemer som overvåker og styrer, PLS-er som åpner og lukker ventiler eller brytere, HMI-er der operatører følger med og griper inn ved behov, og et nettverk som binder alt sammen. Mye av dette har vært i drift i flere tiår og ble bygget i en tid da air gap var normalen og få tenkte på cyberangrep mot OT. 

    Digital­sikkerhetsloven og NIS2 gjør det tydelig at disse miljøene nå er å regne som digitale systemer av vesentlig betydning. Når kontrollsystemet stopper, stopper strøm, vann eller trafikk, og det er nettopp denne kontinuiteten lovverket skal verne. 

    Et typisk bilde vi møter i dag, er: 

    • Gamle styringssystemer som fortsatt fungerer godt, men som aldri ble designet med sikkerhet i tankene 
    • Flate OT-nettverk der “alt ser alt” så snart noen først har kommet seg inn 
    • Fjernaksessløsninger som er blitt til over tid, ofte med hver sin løsning for hver leverandør 

     
    I en slik hverdag er det ikke lenger tilstrekkelig å ha brannmur rundt kontornettet, oppdaterte PC-er og gode e-postfiltre. Angrepene starter ofte på IT-siden, men de store konsekvensene kommer når angriperen tar steget over i OT. For norske virksomheter i kraft, VA og samferdsel betyr Digital­sikkerhetsloven i praksis at OT‑systemer som SCADA, PLS‑er, HMI‑er, kommunikasjonsnett, fjernaksess og datainnsamling nå regnes som en del av den digitale grunnmuren som loven skal beskytte. NIS2 legger tilsvarende føringer på europeisk nivå, men med et bredere sektoromfang og mer detaljerte krav. 

    Tre nøkkelkrav til OT‑miljøet 

    Digital­sikkerhetsloven løfter spesielt frem noen kjerneområder som blir avgjørende for virksomheter i kraft, VA og samferdsel. NIS2 peker i samme retning, men med et mer detaljert og bredere europeisk rammeverk i bakgrunnen. 

     Det første er risikoanalyse. Virksomheten skal vite hvilke systemer og komponenter den har, hvor de står, og hva som skjer hvis de svikter. I praksis betyr det å ta den samme grundigheten man tradisjonelt har hatt i fysisk anleggssikkerhet, og føre den over i den digitale dimensjonen. Uten et reelt bilde av OT‑miljøet er det vanskelig å prioritere riktige tiltak eller vise myndighetene at man faktisk har kontroll, slik loven krever. 

     Det andre er håndtering av hendelser. Når en uvanlig kommando sendes mot en PLS, når fjernaksess brukes på en annen måte enn avtalt, eller når et kontrollsystem oppfører seg uventet, skal virksomheten kunne oppdage det, håndtere det og forklare hva som skjedde i etterkant. Her gjør Digital­sikkerhetsloven logging, overvåking og tydelige rutiner til en naturlig del av sikkerhetsnivået, ikke bare «nice to have». 

     Det tredje er leverandør- og tilgangsstyring. I mange prosjekt har det vært praktisk at hver systemintegrator ordner sin egen fjernaksess. Resultatet kan bli at flere ulike løsninger peker inn mot det samme produksjonsnettet, ofte med bredere tilganger enn virksomheten er klar over. Digital­sikkerhetsloven er tydelig på at dette ansvaret ligger hos virksomheten selv. Det er den som eier og driver infrastrukturen, som skal styre hvordan fjernaksess gis, hvilke systemer man får tilgang til, hvor lenge, og hvordan dette logges og følges opp. 

     

    Når sikkerhet blir forretningskritisk 

    Digital­sikkerhetsloven gjør det tydelig at digital sikkerhet ikke lenger kan behandles som et rent teknisk tema som overlates til IT‑avdelingen eller enkeltpersoner i drift. Loven plasserer ansvaret for sikkerhetsnivået hos virksomhetens ledelse, og forventer at styre og toppledelse følger opp risikovurderinger, prioriteringer og investeringer. 

     For kraft, VA og samferdsel er dette en naturlig utvikling. Produksjonen i OT‑miljøet er det som betaler for resten av virksomheten. Når et kraftselskap mister produksjon en uke, eller en vannforsyning må stenge ned for å finne feilen, er det ikke bare en teknisk hendelse. Det er en direkte trussel mot inntekter, tillit og samfunnsoppdrag. 

     Digital­sikkerhetsloven forsterker derfor et skifte som allerede har vært på vei internasjonalt: sikkerhet skal vurderes som en del av virksomhetsstyringen. Et godt grep om OT‑sikkerheten reduserer ikke bare risikoen for bøter ved avvik, men også sannsynligheten for langvarige produksjonsstopp, tap av kunder og skader på omdømmet. 

     

    Veien videre for kraft, VA og samferdsel 

    Digital­sikkerhetsloven gjelder allerede. NIS2 setter samtidig standarden for hvordan europeiske myndigheter vurderer digital sikkerhet i kritisk infrastruktur. For virksomheter i bransjene innen kraft, VA og samferdsel handler det nå om å ta inn over seg at OT-miljøet er like regulert, og like viktig, som resten av virksomheten. 

     Kjernen er enkel, selv om arbeidet kan være omfattende: få oversikt, forstå risikoen, og bygg gradvis opp et sikkerhetsnivå som står i stil med hvor viktig strømmen, vannet og transporten faktisk er. Da blir Digital­sikkerhetsloven og NIS2 ikke bare regelverk å etterleve, men verktøy for å sikre at kritisk infrastruktur i Norge fungerer, også når noen prøver å stoppe den. 

    Vil du vite hvordan din virksomhet kan utnytte mulighetene i 2026? Ta kontakt for en prat om hvordan du kan gå fra pilot til strategi, på en måte som skaper reell verdi.

    Temaer

    OT-cybersikkerhet NIS2 Kraft Last Mile AS

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.