Skip to main content
Portal
Under angrep?

    Riksrevisjonen avdekker alvorlige svakheter i norske havner

    Riksrevisjonen avdekker alvorlige svakheter i norske havner

    Riksrevisjonens nye undersøkelse avdekker alvorlige svakheter i norske havner, både fysisk og digitalt. Myndighetene mangler oversikt over hvilke havner som har betydning for samfunnssikkerheten og sørger i liten grad for å gjøre nye vurderinger når trusselbildet endres. Rapporten peker dessuten på at myndighetene i liten grad er oppmerksomme på hvor viktig cybersikring er for havneanleggene. 

    Norge er en kystnasjon med over 3000 havner og kaianlegg, og havnene fungerer som en ryggrad i Norges forsyningskjeder: De står for 90 prosent av alt gods som transporteres mellom Norge og utlandet og nær halvparten av innenlands godstrafikk. Manglende sikkerhet i havnene kan true både økonomi, energiforsyning og ikke minst samfunnssikkerhet. Hans Lie Sirkel 2

    - Funnene er en vekker for alle som jobber med samfunnskritisk infrastruktur, og reiser viktige spørsmål om hvordan vi forstår og håndterer risiko i en tid med skjerpede trusler, sier seniorrådgiver Hans Lie i Netsecurity. 

    Når den nye digitalsikkerhetsloven trer i kraft 01.oktober 2025, følger et nytt sett med krav og forventninger til virksomheter som leverer samfunnsviktige og digitale tjenester. For mange havneanlegg betyr dette en ny virkelighet.

     

     

    Hovedfunn i rapporten – og hvorfor de betyr noe

    1. Manglende oversikt over samfunnskritiske havneanlegg
      Myndighetene vet ikke hvilke havner som er mest kritiske for forsyningssikkerhet og beredskap. Uten oversikt – ingen målrettet sikring. 

    2. Cybersikkerhet er underprioritert
      Mange havneanlegg vurderer ikke IT/OT-systemer i sine risikoanalyser. Dette til tross for at cyberangrep har stengt ned havner internasjonalt.

    3. Lite samspill mellom regelverk
      Det maritime sikringsregelverket og sikkerhetsloven brukes parallelt, men ikke koordinert. Resultatet er overlapp, hull og ineffektiv sikring.

    4. Trusselbildet endres – men analysene står stille
      De fleste havneanlegg oppdaterer ikke sine sikringsrisikoanalyser før 5-årsfristen. Det er for lenge i dagens sikkerhetspolitiske klima.

    5. Usikrede innenlandske havner
      Havner som betjener innenlandsk passasjertrafikk mangler ofte obligatoriske sikkerhetstiltak, noe som gjør dem sårbare for terror eller sabotasje.

     

    Hva må virksomheter tenke på når digitalsikkerhetsloven trer i kraft?

    Den nye digitalsikkerhetsloven og tilhørende forskrift stiller krav til virksomheter som leverer samfunnsviktige og digitale tjenester.  

    For havneanlegg og tilknyttede aktører betyr dette: 

    1. Alle må etablere et styringssystem for digital sikkerhet
      Virksomheten må ha et dokumentert system for å identifisere, vurdere og håndtere digitale risikoer – både for IT- og OT-sikkerhet.

    2. Alle må gjennomføre jevnlige risikovurderinger og tiltak
       Tiltak må være proporsjonale med risiko og dokumenteres.

    3. Alvorlige hendelser skal varsles innen 24 timer
      Varslingsplikten gjelder både til tilsynsmyndighet og NSM. Full rapport skal leveres innen én måned.

    4. Virksomheten må sikre at også underleverandører følger kravene
      Dette gjelder særlig for IT-drift, skytjenester og teknisk infrastruktur.

    5. Cybersikkerhet må fungere som del av totalberedskap
      Digitale trusler må sees i sammenheng med fysisk sikring og beredskap. Det krever tverrfaglig samarbeid og øvelser.
     nathan-van-de-graaf-hG5s3QZ5tJ4-unsplash

     

    Hvordan komme i gang?

    For alle virksomheter som omfattes av digitalsikkerhetsloven og/eller det maritime sikringsregelverket anbefaler vi følgende steg: 

    1. Kartlegg virksomhetens verdier og avhengigheter.  

    2. Oppdater virksomhetens risikovurderinger – det som var utenfor risiko i går, kan være risiko i dag. 

    3. Etabler hendelseshåndtering og varsling for alvorlige hendelser. 

    4. Se regelverkene i sammenheng. Det maritime sikringsverket, digitalsikkerhetsloven og sikkerhetsloven har krav som sammenfaller. 

    5. Øv på beredskapsplanene og ta med forbedringer inn i videre arbeid.
     

    Riksrevisjonens undersøkelse og digitalsikkerhetsloven peker i samme retning:

    - Vi må tenke helhetlig om sikkerhet. Det handler ikke bare om gjerder og adgangskontroll – men om datasystemer, forsyningslinjer og evnen til å stå imot sammensatte trusler.


    Riksrevisjonen tydeliggjør behovet for å styrke sikkerheten i norske havneanlegg, mens digitalsikkerhetsloven med den kommende forskriften gir et rammeverk for å møte digitale trusler.  

    - Virksomheter må investere i tiltak som både treffer mennesker, teknologi og organisasjon. Det viktigste er å ha en risikobasert tilnærming til det en foretar seg, beredskap for å oppfylle kravene, samt tiltak for å beskytte samfunnskritiske funksjoner, forklarer Hans Lie 

    Ved å handle nå vil man ikke bare etterleve loven, men også bidra til en mer robust nasjonal infrastruktur.  

    - Myndigheter og virksomheter må samarbeide tett for å lukke gapene som Riksrevisjonen har avdekket, og for å sikre at Norges forsyningskjeder forblir trygge i et stadig mer kompleks trussellandskap, avslutter Hans Lie. 

     

    Publisert 23.06.2025
    Skrevet av Hans Lie
    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm