Er energi- og forsyningsselskaber omfattet af NIS2?

Ja. Energi er en af NIS2's særligt kritiske sektorer, og selskaber inden for el, gas, fjernvarme og olie over størrelsestærsklen er væsentlige enheder. Drikkevand og spildevand er ligeledes omfattet. Væsentlige enheder er underlagt Artikel 21 og kan idømmes bøder op til 10 mio. EUR eller 2% af omsætningen.

Gælder NIS2 også OT- og SCADA-systemer i forsyningssektoren?

NIS2's risikostyringskrav dækker net- og informationssystemer bredt, herunder OT-miljøer. I praksis er det certifikaterne på de web- og API-grænseflader, der eksponerer eller administrerer OT — fx HMI-portaler, fjernaflæsning og leverandøradgang — der oftest er i scope for TLS-styring. OT-systemer skal håndteres varsomt og uden invasiv scanning.

Hvad er det første skridt for et forsyningsselskab?

Et komplet certifikatregister. Mange forsyningsselskaber har vokset gennem opkøb og har certifikater spredt på kundeportaler, fjernaflæsnings-API'er, leverandørsystemer og OT-nære grænseflader. Uden et samlet overblik kan hverken risikoanalysen efter Artikel 21 eller hændelsesresponsen efter Artikel 23 gennemføres troværdigt.

NIS2 i energi- og forsyningssektoren: Certifikater som kritisk infrastruktur

Få sektorer ligger så tæt på definitionen af kritisk infrastruktur som energi og forsyning. Når strømmen, varmen eller vandet svigter, mærkes det med det samme — og derfor er det blandt de sektorer, NIS2 regulerer strengest. For forsyningsselskaber betyder det, at TLS-certifikater ikke længere er en ren driftsdetalje, men en del af cybersikkerhedsforpligtelsen. For den brede gennemgang af kravene, se NIS2 og certifikatstyring.

Hvilke forsyningsvirksomheder er omfattet?

Energi er en af NIS2's særligt kritiske sektorer. Selskaber inden for energiområdet — el, gas, olie og fjernvarme — klassificeres som udgangspunkt som væsentlige enheder, når de overstiger størrelsestærsklen. Det er den strengeste kategori, med bøder op til 10 mio. EUR eller 2% af den globale årlige omsætning. Drikkevand og spildevand er ligeledes omfattet. Hvad bødeniveauerne betyder i praksis, uddyber vi i NIS2-bøder: hvad koster manglende certifikatstyring.

Som væsentlig enhed er forsyningsselskabet underlagt Artikel 21 om risikostyring og Artikel 23 om hændelsesrapportering — med skærpet, proaktivt tilsyn fra de relevante myndigheder.

Hvilke certifikater er i scope?

Forsyningsselskaber har ofte et certifikatlandskab, der er vokset gennem år og opkøb. De vigtigste kategorier:

Kundeportaler og selvbetjening. Forbrugsoversigt, fakturering og tilmelding. Et udløbet certifikat blokerer kundens adgang og udløser supporthenvendelser — og kan ved samfundsvigtige tjenester kvalificere som en hændelse.

Fjernaflæsning og API'er. Smart metering, dataudveksling med datahubs og integrationer mellem selskaber afhænger af gyldige certifikater. Her fejler en udløbet certifikatkæde ofte lydløst — API-klienter stopper, uden at nogen ser en browseradvarsel.

OT-nære web- og administrationsgrænseflader. HMI-portaler, fjernadgang og administrationsgrænseflader, der eksponerer eller styrer driftsteknologien, bruger TLS. Disse skal håndteres varsomt: målet er at kende og overvåge certifikaternes status, ikke at scanne følsomme OT-systemer invasivt.

Leverandør- og entreprenørsystemer. Meget i forsyningssektoren driftes af eksterne parter. Under Artikel 21's forsyningskædekrav er selskabet ansvarligt for at have overblik over disse certifikater. Se leverandørcertifikat-risiko.

IT/OT-konvergens kræver et samlet overblik

Den særlige udfordring i forsyningssektoren er, at certifikater ligger spredt mellem klassisk IT (kundeportaler, kontor-IT) og OT-nære systemer — ofte med forskellige ejere og processer. Et register, der kun dækker den ene side, efterlader en blind vinkel netop dér, hvor konsekvensen af en fejl er størst. Et komplet, kontinuerligt opdateret overblik er forudsætningen for både risikoanalysen og en troværdig hændelsesrespons.

Scope-tjekliste: hvor certifikaterne typisk sidder

Forsyningsselskaber har sjældent ét samlet overblik, fordi certifikaterne er fordelt på vidt forskellige miljøer. En praktisk kortlægning omfatter som regel:

Kundevendte flader: selvbetjening, forbrugsoversigt, fakturering og tilmelding.
Datadeling og afregning: smart metering, datahub-integrationer og udveksling med andre aktører i sektoren.
OT-nære grænseflader: HMI- og administrationsportaler, fjernadgang og leverandøradgang til driftssystemer.
Klassisk IT: intranet, e-mail-gateways, identitetsstyring og kontorsystemer.
Systemer fra opkøbte enheder, der stadig kører på gamle domæner.
Leverandør- og entreprenørsystemer på selskabets domæner.

OT og certifikater: det, man ikke skal gøre

Driftsteknologi kræver en anden tilgang end klassisk IT. Mange OT-systemer er følsomme over for selv harmløs netværkstrafik, og en aggressiv scanning kan i værste fald forstyrre produktionen. Derfor handler certifikatstyring i OT-miljøer ikke om at scanne driftssystemerne direkte, men om at kende og overvåge certifikaterne på de web- og API-grænseflader, der eksponerer eller administrerer dem.

En passiv, udgående tilgang — hvor en agent bag firewall rapporterer certifikaternes status uden at åbne indgående porte eller probe OT-protokoller — giver overblikket uden risikoen. Målet er synlighed over udløb og konfiguration, ikke en penetrationstest af driftsmiljøet.

Sådan dækker CertControl forsyningssektorens certifikatkrav

NIS2 i forsyningssektoren kræver overblik over et spredt certifikatlandskab på tværs af IT og OT-nære systemer. CertControl er bygget til at samle det:

Komplet register på tværs af domæner. Certificate Transparency-logs og aktiv scanning finder automatisk certifikater på alle selskabets domæner — også dem fra opkøbte enheder og leverandører.
On-premise agent uden invasiv OT-scanning. Agenten kører bag firewall med udgående forbindelser og kortlægger certifikaterne på interne og OT-nære web-grænseflader — uden at åbne indgående porte mod følsomme driftssystemer.
Tidlige alarmer til de rette ejere. Tærskler 60-90 dage frem håndterer forsyningssektorens lange ændrings- og leverandørprocesser, og advarsler routes til navngivne ejere frem for en fælles postkasse.
Revisionsklar dokumentation til tilsyn. Automatiske rapporter og en audit-log leverer det løbende bevis for kontrol, NIS2-tilsyn forventer.

Relaterede artikler

NIS2 compliance software: Fuld oversigt over Artikel 21-dækning → NIS2-bøder: Hvad koster manglende certifikatstyring? → Leverandørcertifikat-risiko: forsyningskædens blinde vinkel →

Se NIS2-dækningen Book en gennemgang