Cybersikkerhed (NIS2)

Til Energistyrelsen

Dansk Vand- og Spildevandsforening (DANVA) takker for muligheden for at afgive høringssvar vedr. nyt NIS-direktiv.

DANVA vil gerne bidrage til at sikre forsyningsselskabernes informationssystemer, der er afgørende for forsyningssikkerheden samt de produkter og services, som vandselskaberne (vand- og spildevandsforsyninger) leverer til kunderne. Kritiske digitale systemer og data skal beskyttes effektivt.

DANVA mener overordnet set, at der skal være de lovgivningsmæssige rammer, der sikrer og understøtter, at danske virksomheder arbejder effektivt med informations- og cybersikkerhed – udfra en risikobaseret tilgang. DANVA finder, at udkastet til direktiv vil være med til at forbedre rammerne for informations- og cybersikkerhedsarbejdet i forsyningsselskaberne.

DANVA har i høringssvaret fokus på principielle og overordnerede forhold, der er afgørende for et velfungerende informations- og cybersikkerhedsarbejde i vandselskaberne samt forhold, der er vigtige for implementeringen i den danske vandsektor. Høringssvaret vil ikke gå i detaljer. Vi ser frem til at bidrage positivt til det lovgivningsmæssige og øvrige arbejde, som implementeringen af direktivet afstedkommer.

Praktisk implementering i vandselskaberne

Det gældende NIS-direktiv og den danske implementering heraf angår vandforsyninger. Da der aktuelt ikke er angivet nogle vandforsyninger på NIS-bekendtgørelsens bilagsliste, er der i praksis ingen danske erfaringer med NIS-direktivet.

Databeskyttelsesloven (GDPR) har været medvirkende til, at der arbejdes mere systematisk og dokumenteret med informations - og cybersikkerheden. Derudover har selskabernes informations- og cybersikkerhedsarbejde dog ikke været reguleret.

Informations- og cybersikkerhedsarbejdet har med andre ord i høj grad været drevet af selskabernes bestræbelser på at sikre forsyningen og en effektiv drift. DANVA har lavet anbefalinger og arbejdet for at forbedre informations- og cybersikkerhedsarbejdet i sektoren.

Det faktiske omfang og praktiske indhold af det arbejde, som vandselskaberne kommer til at stå overfor ved NIS2, er meget svært at vurdere og er uafklaret - og afventer den nationale implementering. DANVA vil kraftigt understrege, at informations- og cybersikkerheds-indsatsen skal være passende og proportional i forhold til risikosituationen og omkostningerne.
Set i lyset af situationen har vandselskaberne naturligt et behov for løbende information, inddragelse og dialog fremadrettet.

Anvendelsesområdet

Som noget nyt er spildevandsområdet – sammen med drikkevandsområdet - nu også omfattet. Da mellemstore og store selskaber bliver omfattet, vil en del danske vandselskaber blive omfattet af direktivet. Det er centralt, at der er krav om passende sikkerhedsforanstaltninger og rapporteringsforpligtelser, der sikrer vigtige og væsentlige samfunds-funktioner. Der skal være en risikobaseret tilgang til informations- og cybersikkerhedsarbejdet, hvilket vil betyde, at det typisk vil være vandselskaber af en vis størrelse, der bliver omfattet. I den forbindelse er det nødvendigt at erindre, at denne form for arbejde kræver stor viden og mange ressourcer.

Der er behov for yderligere uddybning af anvendelsesområdet, da det ikke er velbeskrevet, om en række micro- og små vandselskaber kan blive omfattet i visse situationer.

Velfungerende cybersikkerhedsarbejde i selskaberne og frugtbart samarbejde

Det er afgørende, at der en ansvars- og rollefordeling, der sikrer implementeringen hos de selskaber, som indgår i det fremtidige arbejde. Direktivet er med til at sikre dels topledelsesforankring dels dokumenteret og risikobaseret informations- og cybersikkerhedsarbejde.

Det er også afgørende, at der etableres et frugtbart og velfungerende, dialogbaseret samarbejde mellem regulator, myndigheder og selskaberne. Samarbejdet bør tage udgangspunkt i selskabernes informations- og cybersikkerhedssituation.

Det tværsektorielle samarbejde bydes velkommen, da selskaberne kan lære meget af hinanden.

Proportionalitetsprincippet ved indgreb: I direktivet beskrives en række indgreb, som myndighederne vil kunne foretage overfor vandselskaberne. Tvangsindgreb bør kun anvendes, hvis mindre indgribende foranstaltninger ikke er tilstrækkelige, og hvis indgrebet står i rimeligt forhold til formålet med indgrebet. Der skal også her være en risikobaseret tilgang.

Frister for afrapportering af hændelser: Fristerne for, hvornår hændelser skal afrapporteres, jf. artikel 20, bør genovervejes. Fx om fristen for rapporter efter en måned er praktisk mulig og fornuftig.

Indvirkning på selskabernes økonomi og kompensation

Der er behov for yderligere afklaring af hvilke omkostninger – direkte som indirekte – direktivet vil afstedkomme for vandselskaberne. For mellemstore og store selskaber kan det forventes, at der vil ske en stigning i udgifterne til IKT-sikkerhed primært i de første år efter indførelsen af den nye NIS-ramme. De vandselskaber, der som følge af den nye lovgivning må afsætte ressourcer og økonomi hertil, bør kompenseres, så de samfundsvæsentlige selskabers kunder ikke straffes økonomisk og ressourcemæssigt.

I en dansk kontekst giver det mening, at sammenhængen med den økonomiske regulering for vandsektoren overvejes, således at selskaberne sikres omkostningsdækning.

Videndeling og udsendelse af advarsler og operationel information

Erfaringer, indsamlede data, informationer og viden skal deles til gavn for forsyningsselskaber m.fl. Selskaber bør, på en nem måde, kunne videndele information og viden om cybersikkerhed, herunder trusler, på en sikker måde – uden at selskaberne herved kompromitteres. De nationale myndigheder/organisationer skal have en stor rolle i den forbindelse.

Det anses også for vigtigt, at der løbende tages yderligere initiativer, der skaber gode vilkår for at forbedre informations- og cybersikkerheden. Fx initiativer som krav til leverandører, udarbejdelse af best-practices, vejledninger og guider mv.

DANVA vil anbefale, at der er fortrolighed og en så stor åbenhed som muligt mellem parterne. Dette vil kunne danne et godt udgangspunkt for at parterne - samlet – kan arbejde effektivt med at forbedre informations- og cybersikkerheden.

Det er vigtigt, at det videre arbejde bliver planlagt, og at det sikres, at vandselskaberne og DANVA kan bidrage tidligt i arbejdet, og at der er den fornødne tid til arbejdet.

DANVA står naturligvis til rådighed for en uddybning eller yderligere diskussion af indholdet.

Med venlig hilsen

Carl-Emil Larsen
DANVA