Tillæg til økonomiske rammer for cybersikkerhed og SektorCERT

Vandselskaber har med de seneste ændringer af vandsektorloven og bekendtgørelsen om økonomiske rammer muligheden for at få tillæg til de økonomiske rammer for udgifter til SektorCERT, hvis dette sker som led i et statsligt eller kommunalt mål. Foto: Colourbox

Vandselskaberne kan modtage tillæg for afholdte omkostninger til opfyldelsen af et statsligt eller kommunalt fastsat, pålagt eller godkendt mål, hvis følgende betingelser er opfyldt:

Målet skal ligge inden for hovedvirksomheden og være relateret til miljø og natur, sundhed, energieffektivitet, klima eller forsyningssikkerhed.
Omkostningerne skal være afholdt til konkrete aktiviteter, der er direkte forbundet med opfyldelse af målet.

Cybersikkerhed som tillægsberettiget omkostning

Cybersikkerhed er en del af vandselskabernes forsyningssikkerhed og dermed en del af hovedvirksomheden. Derfor kan omkostninger til øget cybersikkerhed være tillægsberettigede, hvis de er afholdt på baggrund af et statsligt eller kommunalt mål.

Tillæg til cybersikkerhed som statsligt mål

Der er på nuværende tidspunkt ikke et specifikt statsligt mål for øget cybersikkerhed i vandsektoren. NIS2-direktivet, der stiller skærpede krav til cybersikkerheden for samfundskritiske sektorer – herunder drikkevand og spildevand – er endnu ikke implementeret i dansk lovgivning.

Indtil NIS2 er en del af dansk ret, vil vandselskabernes omkostninger til cybersikkerhed som udgangspunkt ikke være tillægsberettigede. Direktivet forventes implementeret i 2025, og når det træder i kraft, vil det udgøre et statsligt mål for de vandselskaber, der omfattes af lovgivningen. Det er dog endnu usikkert, præcis hvilke vandselskaber der vil blive omfattet af direktivet.

Tillæg til cybersikkerhed som kommunalt mål

De fleste vandselskaber har ikke et eksisterende kommunalt mål for cybersikkerhed. Skal selskabet opnå tillæg skal kommunalbestyrelsen først godkende et sådan mål.

I den forbindelse er det ikke tilstrækkeligt, at kommunalbestyrelsen blot vedtager et generelt mål om bedre cybersikkerhed. Målet skal være konkret beskrevet, så der er tydelig sammenhæng mellem valgte tiltag og opfyldelse af målet. Beskrivelsen kan med fordel tage udgangspunkt i NIS2-direktivets krav og suppleres med selskabets eller kommunens egne behov.

Det er i denne forbindelse, at tillæg til SektorCERT bliver relevant.

Tillæg til SektorCERT

SektorCERT er en nonprofit-forening, der yder cyberbeskyttelse til selskaber med ansvar for kritisk infrastruktur. DANVA er partner i SektorCERT, og vandselskaber har derfor adgang til SektorCERTs ydelser, herunder 24/7 netværksmonitorering af cybertrusler.

Vandselskaber betaler ikke direkte for SektorCERTs basisydelser, da finansieringen sker via medlemskontingenter til DANVA og øvrige partnere. DANVA opkræver kontingentet via et særskilt portionstillæg for aktiviteter vedrørende cyber- og informationssikkerhed, som lægges på alle medlemskontingenter. Den samlede opkrævning modsvarer dermed kontingentbetalingen til SektorCERT.

Tidligere var det ikke muligt at få tillæg for indbetalinger til en forening, uanset om betalingen skete som led i et statsligt eller kommunalt mål. Denne begrænsning er fjernet i den gældende ØR-bekendtgørelse, hvilket åbner op for, at vandselskabernes omkostninger til SektorCERT kan blive tillægsberettigede.

For vandselskaber, der søger om tillæg på baggrund af et kommunalt mål for cybersikkerhed, kan det være relevant at inkludere krav om 24/7 netværksmonitorering og beredskab for cyberhændelser i målbeskrivelsen. Det vil sikre, at betalingen til SektorCERT er en identificerbar og direkte forbundet aktivitet til opfyldelsen af det kommunale mål.

DANVA vurderer derfor, at det bør være muligt at opnå tillæg for betaling til SektorCERT, hvis det sker på baggrund af et konkret kommunalt eller statsligt mål.