Udfordringen med overholdelse af forsyningsvirksomhedernes regler

Udfordringen med overholdelse af forsyningsvirksomhederne

Af Kate O'Flaherty • 22 januar 2026

Forsyningsselskaber kæmper med fragmentering og siloer, hvilket forhindrer en strømlinet tilgang til compliance. Der er behov for et mere solidt fundament, men hvordan kan dette gøres?

Af Kate O'Flaherty

Forsyningsselskaber driver adskillige forskellige systemer, hvoraf mange aldrig var beregnet til at være forbundet til internettet. Det er derfor ikke overraskende, at cybersikkerhed — og overholdelse af reglerne på området — er fortsat en af sektorens største udfordringer.

I 2010 den Stuxnet orm demonstrerede den reelle trussel fra et cyberangreb på sektoren, efter at centrifuger, der blev brugt i det iranske atomprogram, blev udslettet. For nylig har krigen mellem Rusland og Ukraine set adskillige statsstøttede cyberforsøg på Ukraines elnetI mellemtiden, i USA, vandsektoren har også været under angreb.

Den voksende risiko for angreb som disse og deres ødelæggende konsekvenser har ført til en række regler, der har til formål at styrke forsyningsvirksomheders sikkerhed, herunder EU's net- og informationsdirektiv 2 (2 NIS) og Storbritannien Lovforslag om cybersikkerhed og modstandsdygtighed.

I takt med at forsyningsvirksomheder bestræber sig på at overholde disse mange regler, har nogle kritiseret branchen for at være langsom til at tilpasse sig. Faktisk har en nylig blog af Ernst & Young fremhæver et behov for kunstig intelligens (AI) teknologi til at styre komplekse risikostyringsstrategier og sikre overholdelse af regler.

Men i en branche, der allerede kæmper med fragmentering og siloer, er det så virkelig løsningen at tilføje flere værktøjer?

Holder trit med reguleringen

Mange eksperter siger nej. I stedet har forsyningsselskaber brug for en samlet, konstrueret compliance-rygrad, der matcher kompleksiteten af de fysiske systemer, de kører. Dette starter med at reparere fundamentet i stedet for at lægge nye teknologier oven på gammel fragmentering.

Nylige cyberhændelser, der påvirker forsyningsselskaber, fremhæver en udfordring, der rækker ud over at holde trit med reguleringen. Det pres, forsyningsselskaber står over for, er reelt, men det er ikke fordi reglerne udvikler sig hurtigere, end organisationer kan reagere.

Det skyldes, at omkostningerne ved fragmenteret, usammenhængende compliance og risikoejerskab "stiger hurtigere, end forsyningsselskaberne kan absorbere", fortæller Darren Guccione, CEO og medstifter af Keeper Security. IO.

Forsyningsselskaber driver nogle af de mest sammenkoblede fysiske systemer i verden. Alligevel er processerne, der styrer cybersikkerhed, operationel robusthed, privatliv, tredjepartsadgang og overholdelse af regler, ofte usammenhængende.

"Cybersikkerhed, driftsteknologi "(OT)-sikkerheds-, privatlivs-, revisions- og regulatoriske teams er ofte organiseret som parallelle funktioner, hver med deres egne kontroller, værktøjer og rapporteringslinjer, men begrænset fælles synlighed eller koordinering," påpeger Guccione. "Denne fragmentering skaber reel eksponering."

Disse siloer fører til "dårlig kommunikation, dobbeltarbejde, misforståelser og langsom beslutningstagning", siger Tracey Hannan-Jones, direktør for informationssikkerhedsrådgivning hos UBDS Digital. "Så når nye regler kommer, fortolker og implementerer hver afdeling ændringerne forskelligt - eller slet ikke - hvilket fører til uoverensstemmelser, ineffektivitet og dårligt udformede compliance-rammer til at imødekomme krav."

Konceptet "teknisk gæld" i software – genveje, der skaber sammensatte fremtidige omkostninger – "passer perfekt i forhold til compliance", siger Rayna Stamboliyska, CEO hos RS Consulting. "Hver gang et forsyningsselskab tilføjer et nyt regulatorisk krav til fragmenterede eksisterende systemer, i stedet for at omstrukturere fundamentet, akkumulerer organisationen 'compliance-gæld'. 'Omkostningerne ved fragmenteret compliance' er faktisk rentebetalinger på 'compliance-gæld' – og britiske forsyningsselskaber betaler renters rente uden at reducere hovedstolen."

Underværktøjet

Ingen mængde ny teknologi kan løse problemet – især hvis det blot boltes oven på fragmenterede systemer.

I 2024 brugte store virksomheder i gennemsnit 45 cybersikkerhedsværktøjer, ifølge GartnerDette indikerer, at det at være "underbemandet med værktøjer" ikke er kerneproblemet, siger Rik Ferguson, vicedirektør for sikkerhedsintelligens hos Forescout. "På papiret kan den værktøjsdybde virke betryggende. I praksis skaber det ofte et andet problem: Et sikkerhedsmiljø, der er travlt, støjende og vanskeligt at drive som en sammenhængende helhed."

Bestyrelser ser ofte omfattende værktøjer og antager, at dækningen er omfattende, siger Ferguson. "Sikkerhedsteams bruger i mellemtiden enorme mængder tid på at sammensætte information, validere advarsler og forfølge aktivitet, der ikke altid resulterer i målbar risikoreduktion."

I dette komplekse miljø kan organisationer se på AI som "redningsmanden". Dette vil dog aldrig fungere, fordi AI trives med "integrerede data af høj kvalitet", siger Hannan-Jones fra UBDS Digital. "I fragmenterede forsyningsvirksomheder er data ofte af dårlig kvalitet, spredte, inkonsekvente eller utilgængelige. Uden ensartede data kan AI-modeller kun producere begrænsede eller upålidelige indsigter."

En anden faktor at overveje er, at AI ikke kan løse organisatoriske siloer, siger Hannan-Jones. "AI kan automatisere opgaver eller generere anbefalinger, men den kan ikke tvinge afdelinger til at samarbejde eller dele information."

Strømlinet tilgang

I stedet for blot at tilføje nye værktøjer, bør forsyningsvirksomheder arbejde ud fra en strømlinet tilgang til compliance. Dette kan bidrage til at fremme central orkestrering, lokal ansvarlighed, ensartede kontroller, løbende overvågning og et integreret overblik over risici.

Som en del af dette giver standardisering "et samlet ordforråd og et sæt procedurer" for risiko, sikkerhed, privatliv og kunstig intelligens, siger Hannan-Jones. For eksempel, ISO 27001 dækker informationssikkerhed, ISO 22701 om privatliv, og ISO 42001 styring af AI.

Disse rammer kræver en klar fordeling af roller og ansvar gennem en centraliseret tilgang. Dette sikrer, at alle ved, hvem der er ansvarlig for hvad, hvilket vil forbedre koordinering og kommunikation og reducere huller, siger Hannan-Jones. "Organisationer kan derefter håndhæve dokumenterede, gentagelige processer for risikovurdering, hændelsesrespons og drive løbende forbedringer," forklarer hun.

Samtidig kræver ISO-standarder, da de er risikobaserede, at organisationer betragter risici holistisk snarere end som en silo. Afstemningen af risikostyring med forretningsmål sikrer, at alle afdelinger "arbejder hen imod de samme mål med en ensartet tilgang", siger Hannan-Jones.

Når du ønsker at strømline din organisation, er det første skridt at kortlægge og standardisere dine kerneprocesser, råder Hannan-Jones. "Dokumenter alle vigtige arbejdsgange på tværs af organisationen, herunder aktivstyring, vedligeholdelse, hændelsesrespons og risikostyring. Dette vil skabe klarhed, afdække overlapninger, identificere huller og give et stærkt grundlag for standardisering."

Det er vigtigt at sikre, at alle, inklusive ledelsen, er med på laget, siger Hannan-Jones. "Som ledende medarbejdere skal de kæmpe for den samlede compliance-tilgang, kommunikere dens værdi og allokere ressourcer. Vedvarende forandring kræver synlig støtte fra toppen med klare budskaber på tværs af hele organisationen."

Fordele ved overholdelse

Selvom der fortsat er udfordringer, bliver reguleringen ikke mere kompleks. I stedet afslører den, hvor rodede og skrøbelige interne strukturer er blevet. Risiko i forsyningsvirksomheder bliver kun et aktiv, når den behandles som selve elnettet: Et fungerende system, der er forbundet, løbende overvåget og konstrueret til at være robust.

Fordelene er klare: Når compliance bliver koordineret og integreret, får forsyningsselskaber hurtigere regulatorisk reaktion, en stærkere cyberposition, mere troværdige AI-modeller, bedre bestyrelsessikkerhed og reduceret dobbeltarbejde og omkostninger.

Koordineret, integreret compliance giver virksomheder mulighed for at "genvinde operationel kapacitet", så de kan omdirigere deres energi til at forbedre sikkerhedsresultaterne, siger Conor Sherman, CISO hos Sysdig. "Du kan derefter bruge din tid på at forbedre nettets robusthed i stedet for at diskutere oprindelsen af et skærmbillede til en revisor."

Kate O'Flaherty

Kate er journalist inden for cybersikkerhed og privatliv med mere end et årtis erfaring med at dække emner, der er vigtige for brugere, virksomheder og regeringer. Udover ISMS.online kan hendes arbejde findes i Forbes, Wired, The Guardian, The Observer, The Times og The Economist.

Læs mere fra Kate O'Flaherty

Cyber sikkerhed 29 januar 2026

Risici ved 700credit-brud på API'en sætter fokus på finansiel forsyningskædestyring blog

700Kreditbrud: API-risici sætter fokus på finansiel forsyningskædestyring

Hvad viser 700Credit-bruddet om det finansielle datasystem og risici i forsyningskæden, og hvilke erfaringer kan vi drage? Af Kate O'Flaherty i ...

Kate O'Flaherty

Cyber sikkerhed 16 December 2025

Cyberangreb påvirker BNP: Her er hvad det betyder for virksomheder

I takt med at modstandsdygtighed er påkrævet af et stigende antal regler, hvordan kan alle organisationer så gøre deres del? Af Kate O'Flaherty Virksomheder i hele Storbritannien...

Kate O'Flaherty

Cyber sikkerhed 25. November 2025

AWS-nedbruddet og banneret med rippleeffekter inden for cybersikkerhed

AWS-nedbruddet og cybersikkerhedens ringvirkninger

Hvad kan virksomheder gøre for at håndtere cybersikkerhedens ringvirkninger, såsom phishing og social engineering, i takt med at risikoen for strømafbrydelser stiger? Af Kate O'Flah...

Kate O'Flaherty