DigiForum: Fra muligheter til kontroll i kommunal sektor.

Refleksjoner fra en av de viktigste arenaene for digital sikkerhet i kommunal sektor – og hva vi må tørre å ta inn over oss.

Forfatter: Adil Lakrimi, SecureNOK

‍

Når digitaliseringen har løpt fra oversikten

DigiForum har over tid utviklet seg til en av de viktigste møteplassene for kommunal sektor innen digitalisering og sikkerhet. Her samles kommunedirektører, IT-ledere og fagpersoner som til daglig står i krevende avveininger mellom effektivisering, drift og stadig strengere krav til sikkerhet.

For Secure-NOK var det naturlig å være til stede sammen med NetSecurity. Ikke for å presentere løsninger, men for å være tett på de diskusjonene som faktisk former hvordan kommunene jobber med sikkerhet i praksis.

Og det er en tråd som går gjennom nesten alle samtalene vi hadde:

‍

Digitaliseringen har kommet langt, kanskje lenger enn evnen til å ha full kontroll.

Systemer er koblet sammen, tjenester er digitalisert, nye løsninger tas i bruk i høyt tempo. Samtidig beskriver mange en hverdag der oversikten ikke har fulgt samme utvikling. Det er her risikoen faktisk bor, ikke i mangel på tiltak, men i mangel på innsikt.

‍

Mellom muligheter og kaos

Torgeir Waterhouse satte dette godt i perspektiv da han beskrev situasjonen som et spenn mellom å forstå mulighetene og håndtere kaoset. Det er nettopp i dette spenningsfeltet mange kommuner nå opererer.

Mulighetene er store. Kompleksiteten er større. Og når man ikke vet hva som faktisk skjer i egne systemer, vet man heller ikke hvor risikoen ligger.

Dette er ikke en teoretisk bekymring. NSMs Risiko 2026-rapport, lagt frem tidligere i år, peker på et tydelig skjerpet risikobilde: økt sannsynlighet for sabotasje og cyberangrep mot kritisk infrastruktur, sårbarheter som går igjen på tvers av sektorer, og en trussel der statlige aktører, ifølge PST, kan utføresabotasjehandlinger mot mål i Norge i 2026.

Dette er virkeligheten kommunene nå skal navigere i.

‍

Trusselbildet endrer tempo, ikke bare retning

Flere innlegg pekte på hvordan digitale angrep i økende grad er koblet til et større geopolitisk bilde. Både aktører og motivasjon kan være uklare. Det er ikke lenger gitt at man vet hvem som angriper, eller om man i det hele tatt oppdager det.

I foredraget “Industrial Cyber-attacks 101” satte Svein Rune Stangeland utviklingen i et historisk perspektiv. Fra de første kjente hendelsene på 1980-tallet til dagens situasjon. Et sentralt poeng var hvordan tempoet har endret seg:

• Tidligere var angrep sjeldne og ofte målrettede.

• I dag skannes og kartlegges sårbare enheter kontinuerlig.

• Aktiviteten er automatisert, lavterskel og skjer i langt høyere hastighet enn før.

‍

Tiden fra en sårbarhet eksisterer til den utnyttes er dramatisk redusert. For OT-miljøer – der systemene ofte har lang levetid, spesialisert teknologi og begrenset mulighet for raske endringer, betyr det at synlighet og reaksjonsevne ikke lenger er en “nice-to-have”. Det er forutsetningen for å holde driftengående.

Kort forklart: OT (operasjonell teknologi) er de systemene som styrer fysiske prosesser,  pumper, ventiler, renseanlegg, produksjonslinjer. PLS (programmerbar logisk styring) er selve “hjernene” i disse systemene. Når angripere kommer seg inn her, er det ikke data som er på spill, det er drift, forsyning ogsamfunnsfunksjoner.

‍

‍

Lovkravene flytter ansvaret oppover

Parallelt skjerpes regelverket. Digitalsikkerhetsloven trådte i kraft 1. oktober 2025, og implementerer det som internasjonalt er kjent som NIS1. NIS2 forventes innført i norsk lov i løpet av 2026, og vil utvide virkeområdet betydelig, blant annet til vann og avløp, avfallshåndtering, matproduksjon ogdeler av offentlig forvaltning.

Det konkrete skiftet er ikke bare tekniske krav. Det er at ansvaret eksplisitt flyttes opp i organisasjonen. Sikkerhet er ikke lenger noe som utelukkende håndteres i IT-avdelingen. Det er et ledelsesansvar som krever oversikt, prioritering og dokumentasjon.

For mange kommuner betyr dette et tankeskifte: fra teknisk disiplin til integrert virksomhetsstyring. Og det er her mange oppdager at de mangler det mest grunnleggende – et faktabasert bilde av egen situasjon.

‍

Gapet mellom IT og OT er fortsatt underkommunisert

Kommunene har i stor grad gode rutiner og kontrollmekanismer på IT-siden. Men i OT-miljøene, der vann leveres, avløp håndteres, bygg driftes, er innsikten ofte langt svakere.

Disse miljøene kjennetegnes av:

• Lang levetid på utstyret (15–25 år er ikke uvanlig)

• Spesialisert, ofte proprietær teknologi

• Økende grad av tilkobling mot IT-nettverk og sky

• Uklart eierskap mellom IT-avdeling og driftsorganisasjon

‍

Kombinasjonen gjør dem både sårbare og vanskelige å få oversikt over. Og la oss være tydelige på en ting: IT-sikkerhet dekker ikke OT. De er ulike disipliner, med ulike protokoller, ulike risikoprofiler og ulike konsekvenser når det går galt. Et IT-brudd stopper e-post. Et OT-brudd stopper vanntilførsel.

‍

I dialogene på stand var det særlig tre spørsmål som gikk igjen:

1. Hvordan får vi faktisk oversikt over OT-miljøet?

2. Hvordan vet vi hva som er normal aktivitet?

3. Hvordan oppdager vi avvik tidlig nok til å handle?

‍

Dette er ikke spørsmål som løses med flere verktøy. De løses med bedre innsikt.

‍

Når “dra ut kabelen” ikke lenger er et alternativ

Et tema som kom tydelig frem var beredskap, ikke som planer på papir, men som reell evne til å håndtere hendelser.

Historisk kunne man isolere systemer fysisk. Dra ut kabelen. Gå manuelt. Det er ikke lenger et alternativ i en sammenkoblet virkelighet der SCADA-systemer, fjernovervåkning og skybaserte tjenester er en del av den daglige driften.

Erfaringene fra de siste årene illustrerer dette brutalt godt. Angrepet mot Østre Toten kommune i 2021 krevde uker med manuell drift. Stavanger kommune ble rammet i 2023. Og i 2025 ble trusselbildet ytterligere konkretisert gjennom flere hendelser. Den mest alvorlige var Bremanger‑sabotasjen i april 2025, der angripere tok kontroll over styringssystemene til en demning ved Risevatnet. Ventilene sto åpne i fire timer og slapp ut rundt 500 liter vann i sekundet. Hendelsen var et direkte angrep på operasjonell teknologi og viste at digitale innbrudd ikke bare handler om data, de kan få fysiske konsekvenser for liv, miljø og infrastruktur. Sabotasjen ble vurdert som en målrettet påvirkningsoperasjon, og den regnes i dag som et av de mest alvorlige OT‑angrepene i norsk historie. Samtidig ble flere kommuner i 2025 rammet indirekte gjennom et dataangrep mot en ekstern leverandør, noe som understreker hvor avhengige kommuner er av tredjepartsaktører og hvor raskt et angrep kan spre seg gjennom digitale kjeder. Summen av disse hendelsene viser at trusselen ikke lenger er teoretisk. Den er konkret, målrettet og i økende grad rettet mot kritisk infrastruktur.

Det siste eksempelet understreker også en av de viktigste innsiktene fra konferansen: leverandørkjeden er i dag en av de største reelle risikoene. Angripere trenger ikke å bryte seg inn. De logger seg inn, via noen andre.

Det grunnleggende er fortsatt det vanskeligste

Det er fristende å tro at løsningen ligger i mer teknologi. Flere verktøy. Nye plattformer. Sannheten – slik vi hører den fra kommunene selv – er mer edruelig:

Det starter med å forstå hva man faktisk har. Og hva som faktisk skjer.

Uten et reelt bilde av hvordan OT-miljøet opererer, blir det krevende å prioritere riktig, dokumentere kontroll eller reagere i tide. Alle tiltakene i verden kompenserer ikke for manglende synlighet.

Det er i dette erkjennelsen den egentlige modningen ligger. Ikke i å kjøpe mer – men i å se mer.

‍

Hvorfor slike arenaer faktisk betyr noe

DigiForum gir et ganske tydelig bilde av hvor kommunal sektor står i dag. På tvers av størrelse og geografi er utfordringene i stor grad de samme: kompleksiteten øker, kravene skjerpes, og behovet for bedre beslutningsgrunnlag blir stadig mer presserende.

For oss i Secure-NOK handler det å delta på slike arenaer om å være til stede der disse diskusjonene faktisk skjer. Sammen med NetSecurity får vi innsikt i hvordan kommunene opplever sin egen situasjon – og hva som faktisk skal til for å gå fra usikkerhet til kontroll.

Det er i møtet mellom erfaringer, behov og teknologi at gode løsninger formes. Og det er derfor disse arenaene er så viktige – ikke bare for leverandører, men for hele sektoren. Det er her beslutningstakere får sett seg selv i en større sammenheng, får speilet sine utfordringer mot andres, og kommer hjemmed et tydeligere språk for det de står i.

Om du har mulighet til å delta på DigiForum eller lignende arenaer: gjør det. Ikke for å finne svaret, men for å skjerpe spørsmålene. Det er der den reelle bevegelsen starter.

‍

Fra manglende oversikt til faktisk kontroll

Mange kommuner vi møter vet at de har tiltak, men mangler oversikt over hva som faktisk skjer i OT-miljøet.

En strukturert helsesjekk gir et faktabasert utgangspunkt for å forstå egen situasjon og ta riktige beslutninger. Ikke som et salgspitch, men som en nullpunktsmåling før man prioriterer neste steg.

Utviklingen stopper ikke. Digitaliseringen vil fortsette, systemene vil bli mer komplekse, og kravene til sikkerhet vil øke. Spørsmålet er ikke om kritisk infrastruktur må forholde seg til dette, men hvordan.

Det starter med noe ganske grunnleggende: å forstå hva man faktisk har, og hva som faktisk skjer.

Først da er det mulig å håndtere både mulighetene og kompleksiteten som følger med.

‍