<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=113343&amp;fmt=gif">
  • Malling.no/Blogg / Hvordan cybersikkerhet påvirker næringseiendom er bransjen klar for nye krav
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Teknologi

Hvordan cybersikkerhet påvirker næringseiendom: Er bransjen klar for nye krav?

Skrevet av Robert Skramstad
12.mar.2025

Robert har jobbet i Eiendomshuset Malling & Co siden 2016 og fikk i 2020 muligheten til å spisse selskapets posisjon innen innovasjon og teknologi da han gikk inn som daglig leder og partner i Malling & Co Technology. Robert har en variert bakgrunn med et særlig fokus på teknologi og kvalitet de siste 20 årene. Dette har han opparbeidet gjennom sin karriere som senioringeniør i oljebransjen og som teknisk driftssjef i Malling & Co forvaltning. Han er utdannet elektriker og ingeniør innen elkraftteknikk fra USN og har i de siste årene vært en bidragsyter hos andre utdanningsinstitusjoner hvor han holder kurs og foredrag innen eiendomsteknologi og innovasjon. Robert brenner for teknologi som virker og som gir merverdi til alle relevante parter i verdikjeden Næringseiendom.

Cyber-sikkerhet dukker stadig oftere opp som en kritisk utfordring på tvers av ulike bransjer, og næringseiendom er ikke et unntak. I møte med en stadig mer digitalisert og regulert verden, har både nasjonale og internasjonale myndigheter økt kravene til sikkerhet – krav som påvirker både gårdeiere og leietakere i næringseiendom. Dette gjelder spesielt gjennom rammeverkene ISO 27001, EUs NIS2-direktiv, samt nasjonale tiltak som gjennomføringen av DORA (Digital Operational Resilience Act), som håndheves av Finanstilsynet i Norge. 

Men er vår bransje egentlig klar for å møte disse kravene? Svaret er trolig nei.

Økte krav gjennom myndigheter og EU-lovgivning

Kravene til cyber-sikkerhet intensiveres på alle nivåer. 

NIS2 (Network and Information Security Directive 2) er en ny lovgivning fra EU som setter strenge krav til cybersikkerhet for kritiske sektorer innen infrastruktur, i tillegg til finans, helse, transport, energi, IKT-leverandører og enkelte offentlige myndigheter. Selv om næringseiendom ikke spesifikt nevnes, påvirkes bransjen indirekte gjennom deres leietakere – spesielt selskaper i kritiske sektorer som er underlagt NIS2. Leietakere vil forvente at byggene de opererer i oppfyller standarder knyttet til.

Dette direktivet har en bred definisjon av hva som utgjør "kritisk infrastruktur" og inkluderer både tradisjonelt IT-utstyr, men også komponenter av bygningsteknologi, som adgangssystemer, heiser eller IoT-enheter knyttet til bygningsdrift.

På nasjonalt nivå innfører DORA, som gjelder finanssektoren, nye forpliktelser for aktører som leverer tjenester til denne sektoren. Gårdeiere som leier ut til banker, finanshus eller teknologiselskaper er dermed indirekte eksponert. Selv om gårdeieren kanskje ikke selv håndterer sensitive forretningsdata, kan svake punkter i eiendommens fysiske og digitale sikkerhet føre til brudd på kravene.

I tillegg bidrar standarder som ISO 27001 til å strukturere hvordan både gårdeiere og leietakere bør nærme seg informasjonssikkerhet. Denne standarden har blitt en referanse, men krever en gjennomtenkt forvaltningsplan også hos aktører i eiendomsbransjen.

Eiendommens fysiske sikkerhet – en undervurdert utfordring

Det som ofte blir glemt i diskusjonen om cyber-sikkerhet er sammenhengen mellom fysisk sikkerhet og digitale trusler. I næringseiendom kan tekniske rom hvor kritisk infrastruktur befinner seg – som serverrom, tekniske rom, inntaksrom, EF-rom eller byggfordelingsrom utgjøre potensielle sikkerhetsrisikoer dersom de ikke står godt nok beskyttet.

Eksempler på utfordringer:

  1. Manglende tilgangskontroll og overvåking: Mange tekniske rom har utilstrekkelig sikring mot uautorisert tilgang. Et fysisk angrep eller sabotasje på nettverksutstyr eller servere vil være like effektivt som et digitalt angrep.
  2. Eldre bygningsmasse uten oppgraderinger: Bygninger som leies ut til teknologitunge virksomheter, kan være modne for oppgraderinger. Dette gjelder spesielt i bygninger hvor IoT-komponenter eller annen bygningsautomatikk integreres uten nødvendige nettverkssikkerhetstiltak.
  3. Delvis ansvar mellom gårdeier og leietaker: Det er ofte uklart hvem som har ansvaret for sikkerheten i ulike deler av eiendommen. For eksempel kan gårdeieren være ansvarlig for byggets adgangssystemer, mens leietakeren må sikre eget IT-utstyr. Dersom ikke dette samarbeidet og kravene er godt definert, oppstår det risikable sikkerhetshull.

En bransje som ikke er forberedt

Næringseiendomsbransjen i Norge har lenge fokusert på tradisjonelle utfordringer som energieffektivitet, BREEAM-sertifiseringer, leietakertilpasninger og sirkulærøkonomi. Imidlertid viser mange eiendomsaktører manglende forståelse og kunnskap for kravene som nå implementeres innen cybersikkerhet. Noen av hovedutfordringene inkluderer:

  • Manglende kompetanse: De fleste eiendomsforvaltere er ikke kjent med hva cyber-sikkerhet faktisk innebærer for bygninger – spesielt i sammenheng med komplekse EU-krav som NIS2.
  • Sikkerhet som “ekstrautgifter”: Sikkerhetstiltak rundt tekniske rom nettverksutstyr eller strømforsyning prioriteres ofte ikke før en hendelse oppstår. Investeringene er for lave. Et ubevoktet serverrom kan være en inngangsport for både fysiske trusler og digitale angrep.
  • Deling av ansvar mellom gårdeiere og leietakere: Det er ofte uklart hvem som bærer ansvaret for cybersikkerheten i et bygg. For leietakere som er underlagt krav som NIS2 og DORA, kan mangel på sikring fra gårdeierens side føre til brudd på kravene. Dette kan resultere i økte kostnader eller i verste fall juridiske problemer for begge parter.
  • Moderne bygg = økte trusler: Smarte bygg med utstrakt bruk av sensorer og IoT-enheter har gjort næringseiendommer mer effektive, men også mer sårbare for cybertrusler. Eksempler inkluderer digitale adgangssystemer, SD-anlegg, lysstyring og nettverkstilkoblede kameraer. Dårlig sikret bygningsautomatikk kan bli hacket og brukt som inngangsportal for cyberkriminelle.

Hva må til for at vår bransje kan innfri kravene?

For å møte kravene og sikre både digitale og fysiske aspekter ved cybersikkerhet, må næringseiendomsbransjen ta følgende skritt:

  1. Gjennomføre risikovurdering: En kartlegging av både fysiske og digitale trusler bør foretas for alle kritiske rom i en bygning. Dette inkluderer behovet for oppgradering av låser, overvåkning og nettverksinfrastruktur. Kartlegg hvilke leietakere som har særskilte krav til sin virksomhet.
  2. Etablere en klar ansvarsfordeling mellom gårdeier og leietaker: Dette bidrar til å fylle hullene i samsvar med NIS2 og liknende forskrifter.
  3. Opplæring: Kompetansebygging innen sikkerhet – både for eget personell og hos leietakere – er essensielt. Kurs og retningslinjer bør inkludere tenkning rundt både fysisk og digital sikkerhet.
  4. Investere i fysisk sikkerhet: Sikre at kritiske og tekniske rom har begrenset og overvåket tilgang. Bytt ut OLH-nøkkelen med elektronisk adgangskontroll med logging og varsling.  
  5. Sertifisering og samarbeid: Vurder å oppnå ISO 27001-sertifisering for å dokumentere at eiendommen oppfyller kravene til informasjonssikkerhet. Å tilby et leieareal som oppfyller ISO-standarder kan bli et konkurransefortrinn. Gårdeiere bør også samhandle med sikkerhetseksperter for å holde seg oppdatert på relevant lovgivning.

Tid for handling

Gårdeiere og eiendomsforvaltere må nå ta cybersikkerhet på alvor, ikke bare for å møte regulatoriske krav, men også for å beskytte sine leietakere og seg selv. Eiendommer som kan demonstrere både fysisk og digital robusthet, vil ha en betydelig fordel i et stadig mer teknologifokusert marked.

Ønsker du en sparringspartner på hvordan din eiendom kan tilpasses fremtidens krav, ta gjerne kontakt med oss for en uforpliktende samtale. Vi er her for å hjelpe.