Skærpede IT-krav på vej til vandsektoren fra EU

13. september kl. 05:00
Vanddråbe
Illustration: Bigstock.
Væsentlige og vigtige vandselskaber skal have en række minimums-sikkerhedsforanstaltninger på plads og skal også skrue op for afrapporteringen på IT-området, bestemmer revideret EU-direktiv. Vi er i gang, både på dette og beslægtede områder, forsikrer Danva.

Vandsektoren er omfattet af de såkaldte NIS2-krav til IT-sikkerhed og anmeldelser, som er på vej gennem EU-systemet, og vil træde endeligt i kraft om et par år (NIS2 står for anden udgave af Net- og Informationssikkerhedsdirektivet). 

Kravene er så omfattende, at mange danske vandselskaber allerede nu skal begynde at forberede sig, vurderer Peter Mortensen, Danvas projektleder inden for IT og cybersikkerhed.

»Der er en rimelig frist til at få tingene på plads, men når det er sagt, så bliver der virkelig også noget at arbejde med for mange af selskaberne,« siger han.

Det handler om forsyningssikkerhed og en række minimums-sikkerhedsforanstaltninger, som både det offentlige og private skal have på plads. 

Usikkerhed om bagatelgrænsen

I lovteksten skriver EU-Kommissionen, at et lands centraladministration er underlagt kravene, og det er landets regioner også, hvis de ‘tilbyder en tjeneste, hvor det kan have en væsentlig indvirkning på samfundsmæssig eller økonomisk kritisk infrastruktur, hvis den bliver forstyrret’. Teksten indeholder tillige lister over sektorer, hvis virksomheder skal overholde direktivet, og det er altså her, at både drikkevand og spildevand er nævnt, ifølge bl.a. WaterTechs søstermedie ComplianceTech.

Artiklen fortsætter efter annoncen

Direktivudkastet nævner, at ’væsentlige og vigtige virksomheder’ er omfattet, og her er der stadig usikkerhed om, hvor grænsen skal sættes.

I modsætning til NIS1-reglerne nævnes det her i NIS2 specifikt, at virksomheder med over 50 ansatte er inkluderet. Men det er i vidt omfang op til de danske myndigheder – i vandsektorens tilfælde Miljøstyrelsen – at afgøre, om mindre vandselskaber også er væsentlige eller vigtige. 

»Det kan de måske være, hvis de leverer vand til et hospital, men et eller andet sted kommer der nok en bagatelgrænse,« forklarer Peter Mortensen.

Rapporter om al hacking

De virksomheder der bliver omfattet, skal forholde sig til, hvad man har af IT, og udarbejde en risikovurdering af, hvad der kan være truet. Der skal også lægges dokumentation for, at man arbejder med at nedbringe risiciene. 

Og så bliver der en pligt til at rapportere, hvis man har været udsat for hacking eller andre sikkerhedsrelaterede hændelser. Det har der hidtil kun været for meget centrale brancher som telesektoren.

»Så hvor der tidligere godt kan have været nogle hacking-episoder i vandsektoren, der er gået under radaren, vil der altså være rapporteringspligt fremover,« siger Peter Mortensen. 

En anden forskel er, at det hidtil kun har været et krav, at man arbejdede med it-sikkerhed ud fra bestemmelserne om persondata i Databeskyttelsesloven. Nu skal man i høj grad også arbejde ud fra et fokus på forsyningssikkerhed.

Delstrategi for vandselskabers sikkerhed 

Danva indgav i fjor høringssvar til Energistyrelsen om udmøntningen af EU-reglerne for vandsektoren, hvor en af pointerne var, at man ville afvente de nationale love på området efter, at direktivet officielt er godkendt (formentlig her i sept. 2022). 

Men ifølge Emil Bisgaard fra Kammeradvokaten, bør virksomheder ikke vente på den nationale lovgivning, men i stedet tage udgangspunkt i direktivteksten og komme i gang med arbejdet, siger han til ComplianceTech.

Peter Mortensen fra Danva understreger, at man skam er i gang – og at der også er synergier til og fra beslægtede områder. F.eks. koordinerer og samarbejder Danva med Miljøstyrelsen om den kommende delstrategi for vand – som er et krav i den Nationale strategi for cyber- og informationssikkerhed. Delstrategien skal, efter planen, ud inden jul. 

Fra energiforening til forsyningsforening

Og så bliver Danva også partner i EnergiCERT. En CERT har status til at koordinere med myndighederne, herunder Forsvaret (Center for Cybersikkerhed) og den relevante sektormyndighed, og en CERT fungerer som omdrejningspunkt ift. at sikre den nødvendige overvågning og det rette beredskab. 

»I forhold til vandsektoren vil en CERT kunne bidrage til myndighedssamarbejdet med den ansvarlige sektormyndighed indenfor drikkevand og spildevand. For det enkelte vandselskab vil en fælles CERT-løsning være billigere og samtidig sikre, at der til stadighed er den tilstrækkelige og opdaterede kompetence til rådighed, står der i referatet fra Danvas generalforsamling i maj, hvor det blev besluttet at søge om optagelse

EnergiCERT er en non-profit forening stiftet af Dansk Fjernvarme, Dansk Energi (nu Green Power Denmark) og Energinet, hvor forsyningsvirksomheder indenfor energisektoren i Danmark er medlemmer. Den er ifølge Danva veletableret, og desuden er mange af DANVAs medlemmer multiforsyninger og gør derfor allerede brug af EnergiCERT i dag. Det er derfor ifølge Danva relevant at udvide EnergiCERT til en ”ForsyningsCERT”.

Store bøder ved undladelsessynd

Danske Vandværker opruster også på it-sikkerhed, bl.a. med et samarbejde, der skal forebygge hacking af små og mellemstore vandværker

Det kan koste dyrt at lade være med at opruste. Ifølge NIS2-direktivforslaget risikerer ’væsentlige virksomheder’ en bøde på op til 10 millioner euro eller 2 procent af den globale årlige omsætning. ’Vigtige virksomheder’ risikerer bøder på op til 7 millioner euro eller 1,4 procent af den globale årlige omsætning. 

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger