NIS2 på vej
I november 2022 blev der vedtaget et EU-direktiv, som omhandler national it- og informationssikkerhed – det såkaldte NIS2-direktiv. Efter planen skal direktivet være implementeret i dansk lovgivning i oktober 2024.
Helt kort er direktivet en udvidelse af et tidligere EU-direktiv, NIS1, hvis formål var at etablere en fælles ramme for at forbedre sikkerheden inden for digitale tjenester og infrastrukturer. Direktivet fokuserede på at identificere og minimere risici ved cyberangreb samt at sikre en effektiv respons på sikkerhedshændelser inden for sektorer, der er afgørende for samfundets funktion, såsom energi, transport, sundhed og finans.
Med NIS2 har man blandt andet udvidet anvendelsesområdet til at omfatte hele forsyningssektoren og dermed også vandbranchen. I Danmark er myndighederne i øjeblikket i gang med at udforme lovgivning på området samt beslutte kriterierne for, hvilke selskaber og foreninger der skal omfattes. Det, vi med sikkerhed ved, er, at forsynings- eller multiforsyningsselskaber med over 50 ansatte og en omsætning, der svarer til over 10 millioner euro, vil blive omfattet. Hvad angår øvrige kriterier, er der endnu ikke klarhed – det kunne for eksempel være, hvis man er eneste leverandør til anden kritisk infrastruktur, såsom fødevare- eller medicinalindustrien eller hospitaler m.m.
Vi afventer derfor stadig den endelige bekendtgørelse for vandområdet, hvilket gør det uklart, om netop din vandforsyning vil være indbefattet. NIS2-direktivet stiller krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne. De overordnede hovedpunkter i direktivet omfatter:
- Politikker for risikoanalyse og informationssikkerhed
- Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
- Forretningskontinuitet (backupstyring, katastrofeberedskab og krisehåndtering)
- Forsyningskædesikkerhed, inklusive leverandørstyring/sikkerhed
- Sikkerhed ved anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer
- Rapportering til myndighederne ved større hændelser
- Ledelses- og bestyrelsesansvar (direkte ansvar for identifikation og håndtering af cyberrisici samt overholdelse af kravene)
- Uddannelse af ledelsen inden for it-sikkerhed.
Selvom det langt fra er alle Danske Vandværkers medlemmer, der forventes at blive omfattet af NIS2-direktivet, er der nogle gode principper, som alle vandværker med OT- og IT-systemer bør tage i betragtning, uanset om de bliver omfattet eller ej. Vi anbefaler som minimum, at jeres vandværk:
- Har en it-sikkerhedspolitik
- Udfører en risikovurdering af jeres OT- og IT-infrastruktur
- Har en back-up-plan for driften og eventuelt en krisehåndteringsplan, hvis uheldet skulle være ude.
Derudover er det vigtigt, at bestyrelsen sætter sig ind i it- og cybersikkerhed generelt eller udpeger én fra bestyrelsen, der er ansvarlig for dette område. Hos Danske Vandværker hjælper vi gerne med skabeloner til jeres it-sikkerhedspolitik og risikovurdering samt vejledning i brugen af dem. Vi tilbyder også kurser inden for it- og cybersikkerhed, hvor bestyrelsen kan opdatere deres viden om emnet.
