Blogg

Et praktisk veikart til kvantesikker kryptering

Kvanterisiko er ikke lenger en fjern bekymring, men en planleggingsutfordring organisasjoner må ta tak i nå. Denne artikkelen forklarer hvorfor det er viktig med en tydelig plan for postkvantekryptografi, hvordan standarder og regulering påvirker overgangen, og hvilke praktiske grep organisasjoner kan ta de neste tolv månedene for å bygge motstandsdyktighet uten unødvendige forstyrrelser.

Hopp rett til:

• Hvorfor planen er viktig nå
• Standardene kommer på plass, og regulering gir økt momentum
• Slik ser en praktisk plan ut
• Dette bør organisasjoner gjøre de neste tolv månedene
• Målet er ikke panikk, men beredskap

På dette punktet i kvantediskusjonen forstår de fleste organisasjoner hovedrisikoen. Kvantedatamaskiner forventes å kunne svekke mye av dagens offentlige nøkkelkryptografi, og overgangen til postkvantekryptografi vil ta tid. Den egentlige utfordringen er likevel ikke bare å forstå trusselen. Det handler om å finne ut hvordan du skal respondere på en måte som er praktisk, forholdsmessig og tilpasset virkeligheten i eksisterende systemer.

Derfor er det viktig med en plan. For de fleste organisasjoner er ikke kvanteberedskap ett enkelt prosjekt eller en engangsoppgradering. Det er en trinnvis migrering som berører policy, arkitektur, innkjøp, compliance og daglig drift. Den gode nyheten er at retningen blir tydeligere. Standarder er på plass, myndighetene setter forventninger, og organisasjoner kan begynne med praktiske tiltak nå.

Hvorfor planen er viktig nå

En av de største misforståelsene er at overgangen til postkvantekryptografi blir en enkel teknisk oppdatering. Noen steder kan den bli det. Andre steder ligger kryptografien dypt inne i applikasjoner, enheter, sertifikater, VPN-er, identitetssystemer og leverandørplattformer. Den kan være hardkodet, tett koblet til eldre tillitsmodeller eller avhengig av leverandører som ennå ikke er klare. Derfor må overgangen håndteres som et program for kartlegging, prioritering og trinnvis gjennomføring.

Arbeidet må også starte før fristene føles akutte. For organisasjoner som håndterer sensitive data med lang levetid, er risikoen allerede til stede fordi kryptert informasjon kan samles inn nå og dekrypteres senere. Hvis migreringen tar flere år, bør du ikke vente, da kan tiden løpe fra deg.

Standardene kommer på plass, og regulering gir økt momentum

Bransjen venter ikke lenger på at postkvantekryptografi skal defineres. Nye algoritmer er nå standardisert for å erstatte sårbare metoder for offentlig nøkkelkryptografi, som RSA og elliptisk kurvekryptografi, i nøkkelutveksling og digitale signaturer. Det fjerner ikke kompleksiteten i implementeringen, men det betyr at diskusjonen har beveget seg fra teori til gjennomføring.

Det regulatoriske bildet blir også tydeligere. I juni 2025 publiserte EU og medlemsstatene en koordinert plan for overgangen til postkvantekryptografi. På overordnet nivå peker den på tre milepæler: å starte overgangsaktiviteter og nasjonal planlegging innen utgangen av 2026, fullføre overgangen for høyrisikoområder så raskt som mulig og senest innen utgangen av 2030, og arbeide mot bredere migrering på tvers av systemer innen 2035. Den samme planen peker også på hybride tilnærminger i overgangsperioden, der klassiske og postkvantebaserte metoder kombineres der det er praktisk mulig.

For organisasjoner i Europa er dette ikke bare en teknisk trend. Det inngår i en bredere regulatorisk retning. NIS2 øker forventningene til håndtering av cybersikkerhetsrisiko for samfunnsviktige og viktige enheter. Cyber Resilience Act øker presset på at digitale produkter skal være sikre fra starten og kunne støtte fremtidssikre oppdateringer. DORA forsterker behovet for robusthet og god styring av IKT-risiko i finanssektoren. Ingen av disse regelverkene gjør postkvantemigrering til en avkrysningsøvelse, men samlet viser de tydelig at kryptografisk motstandsdyktighet er i ferd med å bli en del av ordinær styring.

Slik ser en praktisk plan ut

Det første steget er organisatorisk beredskap. Noen må eie problemstillingen. I mange organisasjoner havner postkvantemigrering mellom sikkerhet, infrastruktur, virksomhetsarkitektur, etterlevelse og innkjøp. Uten tydelig forankring og klart eierskap er det lett at temaet forblir viktig i prinsippet, men i virkeligheten ikke tas tak i.

Derfra trenger organisasjoner oversikt. En kryptografisk kartlegging bør vise hvor algoritmer, sertifikater, nøkkelutveksling, biblioteker og maskinvarebaserte sikkerhetsmoduler brukes i miljøet. Dette omfatter infrastruktur, skytjenester, applikasjoner, partnerkoblinger, innebygde systemer og eldre plattformer. Kartleggingen kan baseres på system- og applikasjonslogger, nettverkssensorer, kodeanalyse og strukturerte samtaler med eiere av applikasjoner og tjenester. Prinsippet er enkelt: Du kan ikke migrere det du ikke ser.

Når oversikten finnes, er neste steg prioritering. Ikke alle systemer må flyttes samtidig. Prioritet bør gis til høyrisikoområder som internetteksponerte tjenester, identitets- og tilgangssystemer, digitale signeringsprosesser, regulerte miljøer, leverandøravhengigheter og data som må forbli konfidensielle i mange år. Det er her den regulatoriske planen og organisasjonens egne veikart bør møtes: Start med det som vil gi størst operasjonell, juridisk eller omdømmemessig konsekvens hvis tilliten svikter.

Det neste som kreves, er kryptografisk smidighet. I praksis betyr det å skille kryptografi fra tett koblet applikasjonslogikk, slik at algoritmer kan endres uten at hele systemer må bygges på nytt. I overgangsperioden vil dette ofte innebære hybride implementeringer, der klassiske og postkvantebaserte tilnærminger brukes sammen, mens standarder, verktøy og leverandørstøtte fortsetter å modnes. Hybride modeller er ikke sluttmålet, men de kan være en realistisk overgang mellom dagens avhengigheter og morgendagens krav.

Dette bør organisasjoner gjøre de neste tolv månedene

Det neste året trenger de fleste organisasjoner ikke å fullføre en full migrering. De må derimot etablere et team, definere migreringsmål, gjennomføre en kvantetrusselvurdering og begynne å bygge en kryptografisk oversikt. De bør også vurdere hvilke leverandører og produkter som kan støtte en kvantesikker oppgraderingsvei, og hvor det kan være behov for kontraktsmessige eller arkitektoniske endringer.

Samtidig er det klokt å starte med pilotområder. Internetteksponerte applikasjoner, nettleserbaserte tjenester, VPN-tilgang, klientenheter og kritiske leverandørintegrasjoner er ofte gode steder å begynne, fordi de kombinerer reell eksponering med en relativt tydelig forretningsmessig begrunnelse. Organisasjoner bør også begynne å stille leverandører konkrete spørsmål om postkvanteberedskap, kryptografisk smidighet og støtte for hybride utrullinger. Hvis leverandørene ikke kan svare på disse spørsmålene nå, er det i seg selv nyttig informasjon.

Målet er ikke panikk, men beredskap

Postkvantemigrering er ikke en grunn til panikk, og det er heller ikke en spådom om at alle organisasjoner må erstatte alt umiddelbart. Det handler om å erkjenne at tillit avhenger av forberedelser. Standardene er i ferd med å komme på plass, den regulatoriske retningen blir tydeligere, og organisasjoner som handler tidlig, vil stå bedre rustet til å bevege seg kontrollert i stedet for under press. Slik sett handler en praktisk plan for kvantesikker sikkerhet ikke bare om å møte et fremtidig krav.

Det handler om å bygge den oversikten, smidigheten og motstandsdyktigheten som moderne cybersikkerhet i økende grad krever.

Lær om kvantedatamaskiner og post-kvantum kryptografi på bare 6 e‑poster

En praktisk innføring i hva kvantetrusselen betyr, hvorfor den er relevant for din organisasjon, og hvilke grep som er viktige å begynne med allerede nå

Om våre eksperter