NIS2 på vej
Bedre beskyttelse af kritiske og følsomme data.
Hvad går NIS2 ud på?
Kort fortalt er direktivet en udvidelse af det tidligere NIS1-direktiv fra EU. Formålet med NIS1 var at skabe en fælles ramme for at forbedre sikkerheden inden for digitale tjenester og infrastrukturer.
Direktivet fokuserede på at finde og minimere risici ved cyberangreb og sikre en effektiv reaktion på it-sikkerhedshændelser inden for samfundsmæssigt vigtige sektorer, såsom energi, transport, vand, sundhed og finans.
I og med at vores hverdag bliver mere og mere digital, og at truslen fra cyberkriminelle vokser støt, stilles der endnu større krav til virksomheders og organisationers it-sikkerhed. Det betyder, at det er nødvendigt at arbejde struktureret og professionelt med it-sikkerheden.
Med implementeringen af NIS2-direktivet kommer der omfattende it-sikkerhedskrav, som skal forbedre beskyttelsen af virksomheders og organisationers kritiske og følsomme data.
Hvad betyder det for vandbranchen?
I november 2022 blev der vedtaget et EU-direktiv, som handler om national it- og informationssikkerhed – det såkaldte NIS2-direktiv.
Efter planen skal direktivet være implementeret i dansk lovgivning i oktober 2024.
I Danmark er myndighederne i øjeblikket i gang med at udarbejde lovgivningen. De arbejder også med at fastsætte kriterierne for, hvilke af vandbranchens selskaber og foreninger, der skal omfattes af det nye NIS2-regelsæt.
Forsynings- og multiforsyningsselskaber med over 50 ansatte og en omsætning på over 10 millioner euro bliver omfattet af reglerne – det fremgår af direktivet.
Men det er endnu uklart hvilke øvrige kriterier, der kommer i spil. Eksempelvis hvis et vandværk er eneste leverandør til anden kritisk infrastruktur såsom hospitaler og fødevare- eller medicinalindustrien.
Derfor venter vi på bekendtgørelsen for vandområdets it-sikkerhed.
Kravene i NIS2-direktivet
NIS2-direktivet stiller krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne. De overordnede hovedpunkter i direktivet omfatter:
- Politikker for risikoanalyse og informationssikkerhed
Der skal laves en risikovurdering, som løbende opdateres, og en handleplan for nødvendige indsatser, der skal igangsættes. - Håndtering af it-sikkerhedshændelser
Beredskab: Forebyggelse, opdagelse og reaktion på hændelser. - Forretningskontinuitet – måden, man håndterer og reagerer på risici
Beredskabsplan: Backupstyring, katastrofeberedskab og krisehåndtering. - Forsyningskædesikkerhed, inklusive leverandørstyring og -sikkerhed
Der skal stilles krav til leverandørerne i forhold til it-sikkerhed i deres produkter og ydelser. - Sikkerhed ved anskaffelse, udvikling
og vedligeholdelse af netværk og informationssystemer. - Rapportering til myndighederne ved større hændelser
Hvis vandværket er udsat for et cyberangreb, skal myndighederne informeres. - Ledelses- og bestyrelsesansvar
Direkte ansvar hos bestyrelsen for at identificere og håndtere cyberrisici samt leve op til kravene. - Uddannelse af ledelse og bestyrelse inden for it-sikkerhed
Hvad kan vandværket gøre nu?
Det er uvist om alle Danske Vandværkers medlemmer bliver omfattet af NIS2-direktivet.
Men uanset om man bliver omfattet af reglerne, er der nogle gode principper, som alle vandværker med OT-tekniske operative systemer f.eks. SRO og administrative it-systemer bør overveje.
Vi anbefaler, at I som minimum arbejder hen mod:
- Får overblik over jeres netværk – f.eks. en tegning af, hvordan jeres it er koblet sammen.
- Udfører en risikovurdering af jeres operative og administrative it-systemer (OT- og it-infrastruktur), og iværksætter nødvendige indsatser.
- Sikrer, at alle systemer og firewalls er opdaterede.
- Udarbejder en it-sikkerhedspolitik med beskrivelse af det sikkerhedsniveau, I ønsker.
- Udarbejder en it-sikkerhedsbered- skabsplan, hvor I beskriver, hvordan I sikrer vandforsyningen til forbrugerne.
Bestyrelsens fokus
Derudover er det vigtigt, at bestyrelsen sætter sig ind i it- og cybersikkerhed generelt – eller udpeger en fra bestyrelsen, der er ansvarlig for dette område. Arbejdet kan udliciteres til en ekstern ekspert.
Rådgivning og vejledning
I øjeblikket følger vi myndighedernes arbejde med kravene i NIS2-direktivet nøje. Frem til slutningen af november gennemfører Miljøstyrelsen en analyse af hvilke vandværker, der kan kategoriseres som kritisk infrastruktur.
Sideløbende arbejder Miljøministeriet med NIS2-bekendtgørelsen og koordinerer niveauet af de krav, der skal stilles til it-sikkerhed med andre sektorer. Det arbejde har trukket ud, hvorfor det forventes, at implementeringsfasen bliver meget kort, da bekendtgørelsen først kan vedtages kort tid før, direktivet skal være implementeret på vandværkerne.
Vi vil informere i takt med, at vi får adgang til mere viden på området.