Energihanteringssystem (EMS och BEMS) inom industri och fastighet har länge levt sitt eget liv i slutna lokala nät, men med allt högre krav på fjärravläsningar och styrning kopplas allt fler komponenter upp mot nätet. Vad innebär det egentligen när den operativa tekniken kopplas upp, och vad krävs för att hantera det på ett strukturerat sätt?
Från slutet nät till uppkopplad verklighet
Operativ teknik (OT) är den hårdvara och mjukvara som styr och övervakar fysiska processer. Det handlar om allt från energimätare och motorskydd till styrsystem för ventilation, belysning och produktion. Historiskt sett var dessa system fysiskt separerade från IT-nätverket, ett koncept som kallas air gap. Säkerheten var enkel: det som inte är uppkopplat kan inte attackeras utifrån.
Men med kraven på fjärravläsning, realtidsdata och integration med överordnade system har drivit fram en uppkoppling av OT som för tio år sedan var otänkbar. En energimätare som tidigare rapporterade lokalt skickar i dag data till molnbaserade analysplattformar. En styrcentral som förr krävde fysisk närvaro kan i dag nås och konfigureras på distans.
Det är en utveckling som skapar enormt värde – och en helt ny väg in för cyberangripare.
Hämta vårt White Paper om cybersäkerhet
Varför OT-system är särskilt känsliga?
OT-system är inte designade med cybersäkerhet som grundförutsättning. De är designade för driftsäkerhet, lång livslängd och tillförlitlighet i tuffa miljöer. Ett energimätsystem kan ha en förväntad livslängd på 15–20 år. Det innebär att hårdvara som aldrig var tänkt att vara uppkopplad nu är det – och att säkerhetsuppdateringar ofta lyser med sin frånvaro.
Det skapar en kombination som är svår att hantera:
- Lång livslängd – system förblir i drift långt efter att säkerhetsstödet upphört.
- Svår patchning – OT-miljöer tål ofta inte driftstopp, vilket försvårar uppdateringar.
- Ökad uppkoppling – fler ingångspunkter för angripare, utan att säkerheten är på plats.
- Konsekvenser i den fysiska världen – ett lyckat angrepp på OT kan påverka el, värme eller produktion, inte bara data.
Myndigheten för civilt försvar har i sin rapport Cyberangreppens utveckling 2023–2025 lyft fram konkreta exempel på hur hårdvara utnyttjats som angreppsväg. I ett fall hade växelriktare i solcellsparker utrustats med skadliga moduler som tillät fjärrstyrning utan tillåtelse – ett tydligt exempel på att OT-komponenter numera är ett reellt mål.
Vad skiljer OT-säkerhet från IT-säkerhet?
En vanlig missuppfattning är att IT-säkerhetslösningar går att applicera rakt av på OT-miljöer. Det stämmer sällan.
Inom IT är skydd och konfidentialitet ofta högsta prioritet. Inom OT är ofta tillgänglighet och drift det centrala. Ett system som slås av för en säkerhetsuppdatering mitt i en produktionsprocess eller under en kall vinterdag kan få allvarliga konsekvenser. Det betyder att säkerhetsarbetet i OT-miljöer måste ta hänsyn till driftkrav på ett sätt som IT-säkerhet sällan behöver göra.
Det påverkar allt från hur man genomför riskanalyser till hur man hanterar incidenter och väljer leverantör.
Vad innebär de nya lagkraven i praktiken?
NIS2-direktivet och Cyber Resilience Act (CRA) förändrar spelplanen på två sätt.
NIS2 ställer krav på verksamheter inom samhällsviktig infrastruktur – energi, vatten, transport och liknande – att ha strukturerad riskhantering, spårbarhet och förmåga att rapportera incidenter. Det handlar inte längre om att cybersäkerhet är IT-avdelningens ansvar. Det är en verksamhetsfråga med juridiska konsekvenser.
CRA riktar sig mot tillverkare av produkter med digitala komponenter och kräver att säkerhet byggs in från start – inte läggs till i efterhand. Det innebär att tillverkare måste hantera sårbarheter löpande, erbjuda säkerhetsuppdateringar under produktens livslängd och kunna dokumentera hur säkerheten säkerställts.
Tillsammans skapar de ett tryck genom hela leverantörskedjan. Det räcker inte att den egna verksamheten har säkra processer – man behöver också kunna visa att de komponenter och system man köper in uppfyller motsvarande krav.
Ställ krav på komponentleverantören
Det finns inget enkelt svar på hur OT-säkerhet ska hanteras – det beror på verksamhet, systemmiljö och riskbild. Men det är viktigt att ställa krav på leverantörskedjan. En säker OT-miljö börjar med de komponenter som ingår i den. Fråga din komponenttillverkare hur de arbetar med säkerhet i produktutvecklingen, hur de hanterar sårbarheter och om de kan visa certifieringar mot relevanta standarder som IEC 62443.
Vi hjälper dig gärna!
Fyll i formuläret så återkommer en av våra experter till dig så snart som möjligt.
En pågående process, inte ett projekt
OT-säkerhet är inte något man löser en gång och bockar av. Det är en löpande process som kräver att säkerhet vägs in i varje beslut – från komponentval och systemdesign till upphandling och livscykelplanering.
Den goda nyheten är att ramen för det arbetet blir allt tydligare. NIS2, CRA och standarder som IEC 62443 ger konkreta verktyg och krav att navigera efter. Det gör det lättare att ställa rätt frågor – till sig själv och till sina leverantörer.