Beredskap krever mer enn barrierer og kontrolltiltak
Et motstandsdyktig energisystem kan ikke bare handle om å forebygge, men også å håndtere det uforutsette, skriver Jannie de Grijs og Halle Grønli i Afry.
Av Jannie de Grijs og Helle Grønli, Afry
Det siste halve året har fysiske og digitale angrep på strømforsyningen økt i omfang og alvorlighetsgrad. Hvordan kan vi sikre et motstandsdyktig energisystem samtidig som samfunnet etterspør mer nettkapasitet og fornybar kraft?
Symptomer på en ny normal
Uønskede hendelser treffer i økende grad energiforsyningen – og rammer hardere.
I januar ble strømnettet i Berlin satt i brann av en venstreekstrem gruppe, og 45.000 husstander mistet strømmen i inntil fire dager. Russland antas å stå bak.
I oktober 2025 stjal hackere 260–280 gigabyte data fra Svenska Kraftnät. Hackergruppen Everest er kjent for økonomisk utpressing.
I august 2025 sto prorussiske hackere bak et cyberangrep på en demning i Bremanger, noe som førte til at vann ble sluppet ut i flere timer.
Dette er ikke enkelthendelser. Det er symptomer på en ny normal.
Evne til å tåle uønskede hendelser må bygges
Energisektoren står i et trusselbilde der fysiske og digitale angrep i økende grad opptrer samtidig, og der hendelser forsterker hverandre.
Utfordringen er at mange virksomheter fortsatt behandler etterlevelse som en dokumentøvelse, fremfor et virkemiddel for å styrke reell motstandskraft.Norsk sikkerhetsmyndighets rapport Risiko 2025 peker på et nødvendig skifte: Hendelser skal ikke bare forhindres – de må også kunne håndteres.
Likevel er mye av sikkerhetsarbeidet i energisektoren fortsatt preget av en forebyggingslogikk. Det investeres i barrierer og kontrolltiltak, men i mindre grad i evnen til å opprettholde drift når barrierene svikter.
Det er et problem.
Energisektoren må utvikle systemer og organisasjoner som lærer, tilpasser seg og opprettholder kritiske funksjoner under press.
Det innebærer å sikre kortsiktig stabilitet, samtidig som man bygger langsiktig motstandskraft gjennom nye samarbeidsflater, en ny sikkerhetstenkning og fleksibilitet i hvordan risiko og beredskap planlegges og ivaretas.
Fra fragmentert til helhetlig strategi
Energiselskaper må legge til grunn at uønskede hendelser er overlappende, uforutsigbare og sammensatte. Likevel håndteres risiko fortsatt fragmentert.
Motstandskraft er en evne som må bygges og kontinuerlig vedlikeholdes over tid. Det skjer i prioriteringene som tas i hverdagen.IT, OT, fysisk sikring, beredskap og etterlevelse styres ofte i separate spor – med ulike eiere, ulike begreper og ulike prioriteringer. Resultatet er blindsoner i de områdene hvor risikoen faktisk oppstår.
Tradisjonelle, silo-baserte risikotilnærminger er ikke tilstrekkelig når uønskede hendelser opptrer samtidig og med større kompleksitet.
Nye regulatoriske krav som NIS2 og CER forsterker behovet for en ny tilnærming. De stiller ikke bare krav til kontroll – men til helhetlig styring, ansvarliggjøring og evne til å håndtere hendelser på tvers av organisatoriske grenser.
Utfordringen er at mange virksomheter fortsatt behandler etterlevelse som en dokumentøvelse, fremfor et virkemiddel for å styrke reell motstandskraft.
Motstandskraft må bygges i hverdagen
I realiteten handler motstandskraft om styring, prioritering og organisering. Motstandskraft er en evne som må bygges og kontinuerlig vedlikeholdes over tid. Det skjer i prioriteringene som tas i hverdagen. I hvordan investeringer vurderes. I hvordan ansvar plasseres. Og i hvordan organisasjonen trener på det den håper aldri skal skje.
Virksomheter som lykkes kjennetegnes av at de:
- har et helhetlig risikobilde på tvers av IT, OT og fysisk infrastruktur
- integrerer cyberhendelser i beredskap og kontinuitetsplanlegging
- forstår og håndterer risiko i leverandørkjeder
- trener organisasjonen i å håndtere komplekse og samtidige hendelser
- har ledelse som evner å ta beslutninger under usikkerhet
Dette er klassiske GRC-disipliner – men i en ny kontekst, der tempoet er høyere og konsekvensene større.
For energisektoren betyr dette å integrere sikkerhet, beredskap og etterlevelse i kjernevirksomheten – ikke som støttefunksjoner, men som forutsetninger for drift.
Jannie de Grijs er seksjonsleder cybersikkerhet Afry og Helle Grønli er senior principal Afry Management Consulting
Ledige stillinger
Les mer:
Norge har mindre regulerbar vannkraft enn vi tror, men har fortsatt plass til mer vind og sol, skriver Katrin Lervik, bransjedirektør for vannkraft i Fornybar Norge.
Lyses konsernsjef vil at politikerne skal hjelpe henne med konsernets ønske om å vokse ved å gjøre kommunalt eide nettselskaper til billige oppkjøpsobjekter, skriver Knut Lockert i Distriktsenergi.
Det er mulig å innføre tiltak som ikke innebærer økonomisk straff, men likevel gir nettselskapene insentiver for å jobbe raskt og smart, skriver daglig leder Knut Lockert i Distriktsenergi.
Spørsmålet er om reguleringen gir riktige insentiver til å utvikle smartere arbeidsmetoder og mer effektiv nettforvaltning, skriver Petter Fyksen i REN.
De neste årene vil skille mellom dem som har orden i dokumentasjonen – og dem som må begynne å lete når tilsynet kommer, skriver Ferdinand Solberg i Onix.
Det er en rekke hensyn som må vurderes i en konsesjonssak om nettutbygging, men alt kan ikke være like viktig, skriver Jonas Løvdal i Distriktsenergi.
I 2026 er den reelle risikoen for nettselskapene ikke feilinvesteringer, men manglende investeringer, skriver Ronny Micalesen i Schneider Electric
Norge solgte kraft til naboland for rundt dobbelt så høy pris som vi kjøpte for i fjor. Forskjellen kan bli enda gunstigere framover, skriver produksjonsplanlegger Marius Slette i Hafslund.
