Fagblogg | Netsecurity

Riksrevisjonen avdekker alvorlige svakheter i norske havner

Skrevet av Hans Lie | 23. juni 2025 13:30:18 Z

Riksrevisjonens nye undersøkelse avdekker alvorlige svakheter i norske havner, både fysisk og digitalt. Myndighetene mangler oversikt over hvilke havner som har betydning for samfunnssikkerheten og sørger i liten grad for å gjøre nye vurderinger når trusselbildet endres. Rapporten peker dessuten på at myndighetene i liten grad er oppmerksomme på hvor viktig cybersikring er for havneanleggene. 

Norge er en kystnasjon med over 3000 havner og kaianlegg, og havnene fungerer som en ryggrad i Norges forsyningskjeder: De står for 90 prosent av alt gods som transporteres mellom Norge og utlandet og nær halvparten av innenlands godstrafikk. Manglende sikkerhet i havnene kan true både økonomi, energiforsyning og ikke minst samfunnssikkerhet.

- Funnene er en vekker for alle som jobber med samfunnskritisk infrastruktur, og reiser viktige spørsmål om hvordan vi forstår og håndterer risiko i en tid med skjerpede trusler, sier seniorrådgiver Hans Lie i Netsecurity. 

Når den nye digitalsikkerhetsloven trer i kraft 01.oktober 2025, følger et nytt sett med krav og forventninger til virksomheter som leverer samfunnsviktige og digitale tjenester. For mange havneanlegg betyr dette en ny virkelighet.

 

 

Hovedfunn i rapporten – og hvorfor de betyr noe

  1. Manglende oversikt over samfunnskritiske havneanlegg
    Myndighetene vet ikke hvilke havner som er mest kritiske for forsyningssikkerhet og beredskap. Uten oversikt – ingen målrettet sikring. 

  2. Cybersikkerhet er underprioritert
    Mange havneanlegg vurderer ikke IT/OT-systemer i sine risikoanalyser. Dette til tross for at cyberangrep har stengt ned havner internasjonalt.

  3. Lite samspill mellom regelverk
    Det maritime sikringsregelverket og sikkerhetsloven brukes parallelt, men ikke koordinert. Resultatet er overlapp, hull og ineffektiv sikring.

  4. Trusselbildet endres – men analysene står stille
    De fleste havneanlegg oppdaterer ikke sine sikringsrisikoanalyser før 5-årsfristen. Det er for lenge i dagens sikkerhetspolitiske klima.

  5. Usikrede innenlandske havner
    Havner som betjener innenlandsk passasjertrafikk mangler ofte obligatoriske sikkerhetstiltak, noe som gjør dem sårbare for terror eller sabotasje.

 

Hva må virksomheter tenke på når digitalsikkerhetsloven trer i kraft?

Den nye digitalsikkerhetsloven og tilhørende forskrift stiller krav til virksomheter som leverer samfunnsviktige og digitale tjenester.  

For havneanlegg og tilknyttede aktører betyr dette: 

  1. Alle må etablere et styringssystem for digital sikkerhet
    Virksomheten må ha et dokumentert system for å identifisere, vurdere og håndtere digitale risikoer – både for IT- og OT-sikkerhet.

  2. Alle må gjennomføre jevnlige risikovurderinger og tiltak
     Tiltak må være proporsjonale med risiko og dokumenteres.

  3. Alvorlige hendelser skal varsles innen 24 timer
    Varslingsplikten gjelder både til tilsynsmyndighet og NSM. Full rapport skal leveres innen én måned.

  4. Virksomheten må sikre at også underleverandører følger kravene
    Dette gjelder særlig for IT-drift, skytjenester og teknisk infrastruktur.

  5. Cybersikkerhet må fungere som del av totalberedskap
    Digitale trusler må sees i sammenheng med fysisk sikring og beredskap. Det krever tverrfaglig samarbeid og øvelser.
 

 

Hvordan komme i gang?

For alle virksomheter som omfattes av digitalsikkerhetsloven og/eller det maritime sikringsregelverket anbefaler vi følgende steg: 

  1. Kartlegg virksomhetens verdier og avhengigheter.  

  2. Oppdater virksomhetens risikovurderinger – det som var utenfor risiko i går, kan være risiko i dag. 

  3. Etabler hendelseshåndtering og varsling for alvorlige hendelser. 

  4. Se regelverkene i sammenheng. Det maritime sikringsverket, digitalsikkerhetsloven og sikkerhetsloven har krav som sammenfaller. 

  5. Øv på beredskapsplanene og ta med forbedringer inn i videre arbeid.
 

Riksrevisjonens undersøkelse og digitalsikkerhetsloven peker i samme retning:

- Vi må tenke helhetlig om sikkerhet. Det handler ikke bare om gjerder og adgangskontroll – men om datasystemer, forsyningslinjer og evnen til å stå imot sammensatte trusler.


Riksrevisjonen tydeliggjør behovet for å styrke sikkerheten i norske havneanlegg, mens digitalsikkerhetsloven med den kommende forskriften gir et rammeverk for å møte digitale trusler.  

- Virksomheter må investere i tiltak som både treffer mennesker, teknologi og organisasjon. Det viktigste er å ha en risikobasert tilnærming til det en foretar seg, beredskap for å oppfylle kravene, samt tiltak for å beskytte samfunnskritiske funksjoner, forklarer Hans Lie 

Ved å handle nå vil man ikke bare etterleve loven, men også bidra til en mer robust nasjonal infrastruktur.  

- Myndigheter og virksomheter må samarbeide tett for å lukke gapene som Riksrevisjonen har avdekket, og for å sikre at Norges forsyningskjeder forblir trygge i et stadig mer kompleks trussellandskap, avslutter Hans Lie. 

 

Publisert 23.06.2025
Vis hele posten