Beredskapsåret 2026: Er vann og avløp i norske kommuner godt nok sikret?

Forfatter: Tonje Rønneberg Skei

Kommunal vannforsyning er blant samfunnsfunksjonene som omfattes av digitalsikkerhetsloven. Loven trådte i kraft 1. oktober 2025 og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Regelverket innebærer også at ansvaret for digital sikkerhet er tydelig plassert hos virksomhetens øverste ledelse.

For vann og avløp betyr dette at digital sikkerhet ikke lenger kan behandles som et rent IT-spørsmål. Driftskontroll, pumpestasjoner, fjernaksess, PLS-er og andre OT-miljøer må inngå i kommunens helhetlige beredskaps- og sikkerhetsarbeid. Norsk helsenett peker selv på at OT-sjekklisten er laget nettopp for kommuner og andre virksomheter, med særlig fokus på kritisk infrastruktur som vann og avløp. De understreker også at selv om drift er satt ut til tredjepart, er det fortsatt virksomheten selv som er systemeier og må ha oversikt over hvordan løsningen er sikret.

‍

Et godt sted å starte er derfor ikke mer kompleksitet, men bedre kontroll. Norsk helsenett anbefaler blant annet å avklare ansvar for OT-sikkerhet, vurdere sårbarheter og risiko, sikre sterke passord også på PLS-er, ha kontroll på patching og backup, segmentere OT-nettverk fra kontornett og internett, og etablere overvåkning og logging i OT-miljøet.

Særlig overvåkning og logging bør stå høyt på agendaen. Norsk helsenett skriver at overvåkning i OT-miljø er avgjørende for å kunne oppdage cyberangrep tidlig, at passiv overvåkning av nettverkstrafikk er et effektivt tiltak som ikke påvirker operasjonell drift, og at sentralisert logging gjør det lettere å følge opp både drifts- og sikkerhetshendelser. De fremhever også at effekten av slike tiltak er begrenset dersom alarmer ikke faktisk følges opp.  

For mange kommuner er det nettopp her gapet ligger: ikke nødvendigvis i mangel på gode intensjoner, men i mangel på faktisk innsikt i hva som skjer i OT-miljøet bak brannmuren. Uten den oversikten blir det vanskelig både å prioritere riktige tiltak, dokumentere risikohåndtering og leve opp til kravene som nå gjelder for samfunnsviktige tjenester. Dette er en slutning basert på at loven krever hensiktsmessige og proporsjonale sikkerhetstiltak og varsling av alvorlige digitale hendelser, mens NHN samtidig anbefaler konkret OT-kartlegging, overvåkning, logging og oppfølging av alarmer.

Tre spørsmål det er verdt å stille nå:

·      Har vi faktisk oversikt over hvilke OT-enheter og forbindelser som finnes i VA-miljøet vårt?

·      Har vi overvåkning og logging som gir tidlig varsel hvis noe unormalt skjer?

·      Er dette forankret tydelig nok hos ledelsen, slik regelverket nå krever?

Kommuner som kommer godt ut av dette fremover, er neppe de som gjør mest mulig på én gang, men de som starter med å få kontroll på egen virkelighet. For vann og avløp handler beredskap i 2026 i stor grad om å vite hva man har, forstå risikoen og oppdage avvik tidlig. Det er først da man kan prioritere tiltakene som faktisk betyr noe.  

Få kontroll på OT-sikkerheten i deres VA-anlegg

Norsk Helsenett peker altså tydelig på behovet for kartlegging, overvåkning og logging i OT-miljøer. Spørsmålet er hvordan dette ser ut i praksis hos dere. Vår helsesjekk gir en konkret oversikt over systemer, kommunikasjon og risiko – uten å påvirke drift.

Les mer om helsesjekk og last ned whitepaper for kommunal sektor