OT-säkerhet, det vill säga skyddet av industriella styrsystem och driftsteknologi, har blivit en fråga som når ända upp till styrelsenivå. Det visar 2026 års utgåva av Fortinets State of Operational Technology and Cybersecurity Report, som kartlägger hur industriella organisationer hanterar den växande risken när IT och OT-miljöer kopplas ihop allt mer.

Rapporten slår fast att organisationer är mer medvetna om hoten än tidigare, med ransomware-grupper, statliga aktörer och geopolitiska spänningar som drivkrafter. Trots det kvarstår betydande brister.

Var fjärde organisation ser bara halva sin OT-miljö

En av de mest oroande siffrorna i rapporten är att 23 procent av de tillfrågade bara har insyn i hälften av sin OT-miljö. Det innebär att säkerhetsteamen försvarar kritiska system utan att ha full bild av vad de skyddar.

Louis Eichenbaum, federal CTO på ColorTokens, pekar på ett strukturellt problem: "Många OT-system byggdes för driftsäkerhet och tillgänglighet, inte för att stå emot moderna cyberhot. Tyvärr är många fortfarande internetuppkopplade, dåligt segmenterade och otillräckligt övervakade."

I miljöer som vattenverk, pipelines, tillverkningsanläggningar eller energiinfrastruktur kan manipulerade data i styrningssystem leda till farliga beslut med allvarliga konsekvenser, från driftstopp till miljöskador.

IT och OT-konvergens ökar attackytan

Sammankopplingen av IT och OT ger effektivitetsvinster men skapar samtidigt nya ingångspunkter för angripare. Traditionellt har OT-miljöer varit isolerade från internet, men den trenden har vänt i takt med digitaliseringen av industrin.

Rapporten lyfter fram microsegmentering och proaktiv hotförebyggande som centrala strategier. Att dela upp nätverket i mindre zoner begränsar hur långt en angripare kan röra sig när de väl tagit sig in, vilket minskar skadan vid ett intrång.

Regulatoriska krav driver förändring

En positiv trend i rapporten är att organisationer i allt högre grad tar regulatoriska krav på allvar. EU:s NIS2-direktiv och liknande regelverk ställer tydliga krav på skydd av kritisk infrastruktur, vilket driver investeringar i OT-säkerhet framåt.

För svenska företag med industriella system är budskapet tydligt: synlighet och segmentering är grundförutsättningar. Utan full insyn i OT-miljön går det inte att veta vad som behöver skyddas, och utan segmentering sprider sig ett intrång okontrollerat.

Fortinets rapport understryker att OT-säkerheten mognar, men att takten behöver öka. Gapet mellan medvetenhet och faktisk synlighet är fortfarande för stort för att organisationer ska kunna luta sig tillbaka.