Er forsyningssektoren klar til en ny sikkerhedspolitisk virkelighed?

Geopolitisk uro og cybertrusler øger presset – med NIS2 bliver cybersikkerhed et ledelsesansvar i forsyningssektoren.

Opsummering:

• NIS2 stiller nye krav til cybersikkerhed, risikostyring og beredskab i kritisk infrastruktur.
• Geopolitisk uro og hybridtrusler gør forsyningssikkerhed til et nationalt anliggende.
• Forsyningsvirksomheder skal tænke i robusthed, kriseledelse og myndighedssamarbejde.

De seneste år har sat nye standarder for, hvad det vil sige at være robust som samfund. Geopolitiske konflikter, energikrisen, sabotage mod gasledninger i Østersøen og en markant stigning i cyberangreb mod kritisk infrastruktur har tydeligt vist én ting: Organisationer med samfundskritisk betydning er rykket fra bagtæppet til frontlinjen i en ny sikkerhedspolitisk virkelighed.

Herhjemme er konsekvenserne allerede mærkbare. Regeringen har opprioriteret beredskab og forsyningssikkerhed i sin udenrigs- og sikkerhedspolitiske strategi. Samtidig er nye EU-regler – særligt NIS2-direktivet – med til at hæve kravene til cybersikkerhed og kriseberedskab markant for energi- og forsyningsvirksomheder.

Spørgsmålet er måske ikke kun, om sektoren er klar – men hvordan vi i fællesskab definerer, hvad "klar" egentlig betyder i en virkelighed præget af usikkerhed og forandring.

Cybersikkerhed som nationalt anliggende

NIS2-direktivet, der trådte i kraft I januar 2023, skaber et fælles, højt sikkerhedsniveau for netværk og informationssystemer i hele EU. Direktivet retter sig mod sektorer med kritisk betydning for samfundet – herunder energi, vand, varme og affald – og skærper både de tekniske og organisatoriske krav til, hvordan virksomheder forebygger og håndterer cybertrusler.

Kravene dækker blandt andet:

• Risikostyring og cybersikkerhedspolitik
• Ledelsesinvolvering og ansvar
• Hændelseshåndtering og rapportering
• Sikring af forsyningskæden og underleverandører
• Sanktionsmuligheder ved manglende overholdelse

NIS2 gør det klart, at cybersikkerhed ikke længere er en opgave, der kan overlades til IT-afdelingen alene. Samtidig rejser det en række spørgsmål, som mange endnu søger svar på: Hvordan omsætter vi direktivets krav til handling? Hvordan skaber vi værdi ud af compliance? Og hvordan sikrer vi, at cybersikkerhed ikke bliver et isoleret projekt, men en del af organisationens kultur og beslutningsprocesser?

Fysisk sikkerhed og geopolitisk spænding stiller nye krav

Selvom NIS2 primært fokuserer på cybersikkerhed, udspiller mange trusler sig i grænsefladen mellem det digitale og det fysiske. Eksplosionerne på Nord Stream-rørledningerne i 2022 var en påmindelse om, at også den fysiske infrastruktur kan blive mål i strategiske magtkampe. Sabotage, spionage og hybridtrusler udgør i dag en reel risiko – også for danske kritiske anlæg og netværk.

Samtidig er grænserne mellem erhvervspolitik, energipolitik og sikkerhedspolitik blevet udviskede. EU har sat sig mål om massiv udbygning af vedvarende energi og gennemgribende elektrificering. Men i takt med, at samfundets infrastruktur bliver mere sammenkoblet og digital, øges også sårbarheden over for geopolitiske spændinger – hvad enten det handler om konflikter i Mellemøsten, ustabilitet i Arktis eller afhængighed af globale forsyningskæder.

Det handler i dag ikke kun om, hvor ydelserne kommer fra, men også om hvem der ejer og kontrollerer teknologien, infrastruktur og data. Derfor er begreber som uafhængighed, diversificering og resiliens rykket i centrum af både erhvervsstrategi og sikkerhedspolitik.

Selvom disse temaer i høj grad adresseres i det supplerende CER-direktiv, er det relevant, at ledelser i samfundskritiske enheder overvejer, hvordan fysisk og digital sikkerhed i stigende grad er forbundne størrelser – og bør tænkes sammen.

Men hvordan arbejder vi konkret med de begreber i hverdagen? Hvad betyder resiliens i praksis – og hvilke kompromisser er vi parate til at indgå for at opnå den?

Krisehåndtering og ledelsesansvar

Det nye trusselsbillede betyder, at ledelsesorganer i forsyningsselskaber må hæve blikket. Krisestyring skal ikke kun ske spontant efter behov, men være en integreret del af governance-strukturen. Det kræver træning og klare procedurer.

Mange selskaber har allerede implementeret ISO 27001 eller tilsvarende sikkerhedsstandarder. Men med NIS2 og det øgede trusselsniveau er der behov for at gå videre. 

I stedet for at tænke i faste tjeklister, kan det være relevant at stille sig selv nogle åbne spørgsmål:

• Har I en opdateret trusselsvurdering?
• Har I et overblik over og styr på jeres forsyningskæde og leverandører?
• Er jeres hændelseshåndtering testet i praksis?
• Ved ledelsen, hvordan den skal reagere ved cyberangreb?

Svarene er sjældent entydige – men det er samtalen og bevidstheden om roller og ansvar, der gør forskellen.

Samarbejde er nøglen

Ingen står alene i krisetider – heller ikke i forsyningssektoren. Derfor er deltagelse i sektorspecifikke netværk og samarbejde med myndigheder helt centralt. Deling af trusselsbilleder, hændelsesrapporter og Best Practice bliver afgørende, hvis sektoren skal kunne reagere hurtigt og effektivt.

EY bistår en lang række aktører i forsyningssektoren med modenhedsvurderinger, risikokortlægning, NIS2-compliance, ledelsesundervisning, leverandørstyring og relaterede kontraktlige forhold, der sikrer, at kravene omsættes til konkret handling og strategisk forankring.

Det handler om at opbygge tillid, sikre stabil drift og styrke virksomhedens rolle som kritisk samfundsaktør.

Konklusion: Fra drift til resiliens

Forsyningssektoren har længe været god til stabil drift og høj effektivitet. Men i den nye virkelighed handler det også om modstandsdygtighed, fleksibilitet og beredskab. Det kræver investeringer, men også et skifte i mindset – fra drift og teknik til strategi og samfundsansvar.

Sektoren står ikke alene – men hvordan tager vi bedst ansvar for robusthed og modstandsdygtighed, når trusselsbilledet hele tiden udvikler sig? Hvilke spørgsmål bør vi stille os selv – og hinanden – for at være på forkant, uden at lade os lamme af frygt?

Kontakt: Lea K. R. Junge, tlf. +45 2529 4288