NIS2-direktivet skærper cybersikkerhedsforpligtelserne for danske vandselskaber og kræver omfattende ændringer i både ledelse og operationelle procedurer.
Lars FischerMed implementeringen af NIS2-direktivet står danske vand- og spildevandsselskaber over for en række nye krav, der skal styrke cybersikkerheden.
Direktivet kræver blandt andet, at selskaberne gennemfører risikovurderinger og implementerer relevante sikkerhedsforanstaltninger for at beskytte kritisk infrastruktur mod cyberangreb. Derudover skal ledelsen nu spille en mere aktiv rolle i cybersikkerheden, herunder deltagelse i kurser om styring af cybersikkerhedsrisici.
NIS2-direktivet lægger op til en strammere koordinering mellem sektorerne for at sikre, at vand- og spildevandsselskaberne arbejder på linje med andre kritiske sektorer som energiforsyning.
Direktivet om cybersikkerhed kræver, at ledelsen i vandselskaber skal fokusere på risikostyring, opretholdelse af drift og rapportering til myndigheder. DANVA tilbyder fra 12. november 2024 et kursus for bestyrelser og topledelse i vandselskaber, som hjælper med at opfylde disse krav.
CER-direktivet og NIS2-direktviet baserer sig på risikoanalyse, hvor der tages afsæt i det nationale risikobillede.
DANVA har peget på nødvendigheden af en samlet strategi, der sikrer ensartethed i tilsyn og regulering på tværs af sektorer for at undgå uhensigtsmæssig administration og unødige omkostninger for multiforsyningsselskaber.
Implementeringen af NIS2-direktivet betragtes som pionerarbejde, og der forventes en evaluering af reguleringen inden for de næste 2-3 år.
Denne evaluering vil fokusere på, om de nye cybersikkerhedstiltag reelt har forbedret beskyttelsen af kritisk infrastruktur, og om der er behov for justeringer i lovgivningen.