Cybersecurity am Scheideweg

Was Norwegens Lieferketten vor der Ankunft von NIS2 lernen müssen

Am 27. November 2025 versammelte Achilles in Stavanger Branchenführer, Experten für Cybersicherheit und Rechtsexperten, um eine Frage zu erörtern, die das nächste Jahrzehnt der norwegischen Wettbewerbsfähigkeit bestimmen wird:

Sind unsere Lieferketten auf die Cyber-Bedrohungen vorbereitet, denen Norwegen im Jahr 2026 und darüber hinaus ausgesetzt sein wird?

Das Seminar folgte auf den Erfolg unserer ersten großen Industrieveranstaltung in Zusammenarbeit mit Schjødt Anfang des Jahres: Cybersecurity trifft auf Verteidigung und Infrastruktur

Von der Offshore-Infrastruktur bis hin zum Verkehr, den öffentlichen Diensten und der Fertigung sind die digitalen Schwachstellen Norwegens nicht mehr hypothetisch. Sie sind aktuell, aktiv und entwickeln sich weiter. Das Ergebnis der Sitzung mit Schjødt und Orpheus war keine weitere Erinnerung daran, dass „Cybersicherheit wichtig ist“, sondern etwas viel Dringlicheres:

Der nächste große Cybervorfall in Norwegen wird mit ziemlicher Sicherheit seinen Ursprung in der Lieferkette haben.

Und wenn Unternehmen nicht beginnen, Cybersicherheit als strategische Aufgabe auf Vorstandsebene und nicht als IT-Projekt zu behandeln, werden die Auswirkungen in allen Bereichen zu spüren sein, die für die nationale Sicherheit und die wirtschaftliche Stabilität von zentraler Bedeutung sind.

Warum Norwegen zum Hauptziel für Cyberangriffe wird

Mehrere aktuelle Schlagzeilen, die von der Überwachung von Glasfaserkabeln über die Aufklärung mobiler Bedrohungen bis hin zu Sicherheitsbedenken bei der Beschaffung öffentlicher Verkehrsmittel reichen, bestätigen eine Realität, die wir nur selten laut aussprechen:

Norwegen ist ein kleines Land mit einem übergroßen geopolitischen Fußabdruck.

Norwegens Energieexporte versorgen Europa. Seine digitale Verwaltung ist die Grundlage für Wohlfahrt, Steuern, Gesundheitsdienste und Einwanderung. Die industriellen Kapazitäten, von der Schifffahrt bis zur verarbeitenden Industrie, machen Norwegen zu einem Tor zu den europäischen Märkten.

In diesem geopolitischen Umfeld sind Cyberangriffe nicht länger „das Problem von jemand anderem“.
Sie sind die neue Methode der staatlichen Einflussnahme, Sabotage und wirtschaftlichen Störung.

Doch die meisten erfolgreichen Angriffe beginnen nicht bei den großen Playern. Sie beginnen im Stillen, unsichtbar und in der schwächsten Ecke der Lieferkette.

Lieferketten: Unsere größte Stärke und gefährlichste Schwachstelle

Ein Moment des Seminars veranschaulichte dies perfekt. Eine Diskussion über die DolWin Beta Offshore-Netzanbindung zeigte, wie selbst hochtechnisierte, unternehmenskritische Infrastrukturen durchbrochen werden:

Vernetzte IT- und OT-Umgebungen
komplexe Kommunikationssysteme
Energiemanagement-Ebenen
und am wichtigsten: Drittanbieter

Die Sache war einfach und unangenehm: Ein moderner Cyberangriff muss nicht in Fort Knox einbrechen. Er braucht nur eine Tür, die von einem Subunternehmer drei Ebenen tiefer offen gelassen wird.

Dies ist keine Spekulation. Wir haben es bereits in Norwegen gesehen.
PST hat die jüngsten Sabotageakte und Datenschutzverletzungen öffentlich mit einem pro-russischen Bedrohungsakteur in Verbindung gebracht, der genau diese kettenbasierte Schwachstelle ausnutzt.

Das Muster ist klar:

Angreifer identifizieren den schwächsten Anbieter
Sie infiltrieren still und leise
Sie eskalieren
Das Hauptopfer leidet unter den Folgen

Es reicht nicht mehr aus, Ihre eigenen Systeme zu sichern. Sie müssen auch das Ökosystem sichern, von dem Sie abhängig sind.

NIS2: Mehr als nur Regulierung – Ein Reset der Verantwortung

Viele Unternehmen betrachten NIS2 immer noch als ein Projekt zur Einhaltung von Vorschriften. Das ist ein gefährlicher Irrglaube. NIS2 wird von norwegischen Organisationen verlangen, dass sie:

ihre Lieferketten abbilden und bewerten
das digitale Risiko kontinuierlich überwachen
die Aufsicht auf Vorstandsebene durchführen
betriebliche Ausfallsicherheit gewährleisten
und dokumentieren Sie das alles

Die Bandbreite ist groß. Energie, Abfall, Verkehr, Chemikalien, öffentliche Verwaltung, Forschung, digitale Dienstleistungen, Finanzen. Die Liste ist lang und wird immer länger.

Bis Juli 2026 werden Tausende von norwegischen Unternehmen von „Cyber-Bewusstsein“ zu rechtlich durchsetzbarer Cyber-Governance übergehen. Und die Aufsichtsbehörden werden Beweise erwarten, keine guten Absichten.

Das menschliche Element: Demonstrationen, die jede Illusion von Sicherheit zerstörten

Einer der augenöffnendsten Teile des Seminars war überhaupt nicht theoretisch.
Er war physisch:

Ein gefälschtes Ladekabel, das ein Gerät kapern kann. Ein USB-Stick, der sich wie ein Computer verhält. Eine einfache Antenne, die unverschlüsselte Daten aus der Luft holen kann.

Dies sind keine fortschrittlichen nationalstaatlichen Werkzeuge.
Sie sind billig, leicht zu erwerben und schockierend effektiv.

Wenn uns der Angriff auf Norsk Hydro im Jahr 2019 etwas gelehrt hat, abgesehen von 800 Millionen NOK Schaden, 23.000 betroffenen PCs und 3.000 Servern, dann ist es dies:

Die digitale Infrastruktur ist anfällig. Aber das Vertrauen ist noch fragiler. Und Norwegen, eine Gesellschaft mit hohem Vertrauen, ist besonders gefährdet.

Cybersicherheit ist nicht länger eine IT-Aufgabe. Es ist Risiko-Führung.

Der Beitrag von Orpheus Cyber hat die Diskussion auf einen entscheidenden Punkt gebracht: Cyber-Risiken müssen mit der gleichen Disziplin gemanagt werden wie finanzielle, operative und strategische Risiken.

Ihre Bedrohungsdatenmodelle, die bereits von der FCA, der Bank of England und europäischen Verteidigungsakteuren verwendet werden, zeigen dies:

Angriffe sind vorhersehbar
das Risiko kann quantifiziert werden
und Lieferanten können bewertet werden, lange bevor sie zu Verbindlichkeiten werden

In einer Studie des britischen Verteidigungsministeriums zeigte Orpheus eine 94%ige Genauigkeit bei der Vorhersage, welche Lieferanten innerhalb von 10 Tagen angegriffen werden würden.

Dieses Maß an Voraussicht verwandelt die Cybersicherheit von reaktiver Brandbekämpfung in proaktiven Unternehmensschutz. Innerhalb der MyAchilles-Plattform können Unternehmen direkt auf diese prädiktiven Risikobewertungen zugreifen. Damit erhalten Beschaffungs- und Risikoverantwortliche die Werkzeuge, um Vorfälle zu erkennen, zu priorisieren und zu handeln, lange bevor sie auftreten.

Was Unternehmen jetzt tun müssen

Bei allen Rednern kristallisierten sich drei strategische Imperative heraus:

Cybersicherheit muss auf Vorstandsebene angesiedelt sein

Wenn Ihr Jahresumsatz 100 Mio. NOK übersteigt, liegt die Rechenschaftspflicht bereits an der Spitze.

Aufbau einer Sicherheitskultur, die der Bedrohungslandschaft entspricht

Mitarbeiter sind die erste Verteidigungslinie und oft der einfachste Einstiegspunkt.

Behandeln Sie Cyber-Resilienz als kontinuierliche Disziplin

Kleine, tägliche Aktionen sind wichtiger als jährliche Schulungen.

Die häufigste Botschaft aller Referenten:

Organisationen müssen nicht perfekt werden.
Sie müssen schwerer angreifbar werden als die nächste Organisation in der Kette.

Vier Männer stehen zusammen im Büro von Schjødt in Stavanger: Atle Gjertsen von Achilles, neben Jeppe Songe-Møller, Morten Lillesand und Andrew Mitchell von Orpheus. — Branchenführer von Achilles und Orpheus treffen sich im Büro von Schjødt in Stavanger, um über Zusammenarbeit und Innovation zu sprechen.

← Einblicke in die Branche

KUNDENINFORMATIONEN

Moderne Sklaverei im Rampenlicht

E-Learning

CO2-Reduzierung und Erreichen von Netto-Null

Bericht

Bericht über globale Nachhaltigkeitsprioritäten Globales Energieaudit und Berichterstattung

WARUM ACHILLES

Treten Sie dem globalen Netzwerk bei