Høringsvar til krav til sikkerhed i vissevandforsyningers net- og informationssystemer. j.nr. MST-021-00039

Til Miljø- og Fødevareministeriet 

EU direktiv 2016/1148, også kaldet NIS-direktivet, skal implementeres i Danmark, og i den forbindelse er der høring på udkast til ny bekendtgørelse om krav til sikkerheden i visse vandforsyningers net- og informationssystemer.

DANVA har noteret, at der for indeværende ikke vil være oplistet nogen almene vandforsyninger som operatør af væsentlige tjenester, og at der dermed ikke stilles krav om, at nogen danske almene vandforsyninger træffer foranstaltninger for dels at styre risici dels for at forebygge og minimere konsekvenser af hændelser.

Foreningen har ligeledes noteret sig, at ministeriet tilkendegiver, at det senest i 2020 vil genvurdere situationen. DANVA vil i den forbindelse understrege behovet for, at de relevante aktører med centralforvaltningen som initiativtager etablerer et formelt samarbejde mhp. at udarbejde de nødvendige analyser og evt. vejledning, såfremt at almene vandforsyninger forventes at blive udpeget som operatør af væsentlige tjenester (bilag 1 udpegning).

Bemærkninger af general karakter

NIS direktivet angiver i artikel 5 nr. 2, at leverancen af den væsentlige tjeneste – dvs. drikkevand i nærværende sammenhæng – skal være afhængig af net- og informationssystemer. Miljøstyrelsens undersøgelse i 2017 afdækker, at leverance af drikkevand i Danmark i dag er muligt uden IT-styring. I tilknytning hertil vil DANVA gerne tilkendegive, at foreningen vil opfordre sine medlemmer til at vurdere, om det – ud fra de specifikke forhold for deres forsyning – er betimeligt at tage hensyn til kravene i bekendtgørelsen/NIS-direktivet.

Der sker en teknisk udvikling, som kan tale for, at udvalgte almene vandforsyninger indstiller sig på de nævnte krav – herunder at de forholder sig til ISO 27001. For at fremme de nødvendige overvejelser m.m. vil DANVA kraftigt opfordre til, at der allerede nu igangsættes et vejledningsarbejde som opfølgning på bekendtgørelsen.

Et centralt element i vejledningen skal være elementer, der indgår i vurderingen af, om leverancen af den væsentlige tjeneste (drikkevand) er afhængig af net- og informationssystemer.

Et grundlæggende spørgsmål er, hvor mange beredskabsrelaterede problemer, der skal håndteres via NIS-direktivet og dets implementering. Skal det blot sikres, at der er tilstrækkelig forsyning mhp. at tørsten bliver slukket – eller er der et højere niveau?

Der er flere EU retsakter, der angår beredskab og it-sikkerhed bl.a. persondataforordningen og NIS-direktivet. Der er også forventning om, at direktivet om europæisk, kritisk infrastruktur kan komme til at omfatte vandsektoren. Det aktuelle samarbejde mellem EU og NATO kan ligeledes resultere i flere EU krav på beredskabsområdet – herunder it-siden.

I vandsektoren gøres der tanker om mulighederne for at opstille anvisninger til en form for ”baseline” it-mæssigt, som kan honorere flere retsakter. Dette ville evt. kunne indgå i det efterlyste formelle samarbejde (udvalg).

Det er endvidere yderst centralt, at der analyseres på de økonomiske konsekvenser af at opstille obligatoriske krav, som NIS-direktivet gør. Ved at implementere direktivet som en bekendtgørelse sker dette desværre ikke automatisk i forbindelse med implementeringen – men dette bør ske i forbindelse med førnævnte centrale analyse- og vejledningsarbejde. Emnet er vigtigt, da talrige almene vandforsyninger er omfattet af økonomisk rammestyring og effektivitetskrav. I det regi skal der med andre ord gøres overvejelser om mulighederne for at anse omkostningerne til at honorere sikkerhedskravene i NIS-direktivet som værende ”ikke-påvirkelige-omkostninger” (IPO).

Bemærkninger af specifik karakter

De følgende bemærkninger kan muligvis inspirere til præcisering i udkastet og til uddybning i et efterfølgende analyse- og vejledningsarbejde.

Begreberne vandforsyning og vanddistributør bør defineres i § 2. Udover blot at afskrive direktivteksten kan der skeles til VFL § 3 og flere vejledninger, og i den forbindelse skal det erindres, at der findes almene vandforsyninger, der alene er vanddistributører.

  • 6 omtaler væsentlige konsekvenser, men der er behov for supplerende forklaring af væsentlighedsvurderingen, som bestemmelsen lægger op til.

”Kommunalbestyrelsen skal, hvis omstændighederne tillader det, give relevante oplysninger til vandforsyningen vedrørende opfølgningen på forsyningens underretning  …” Denne bestemmelse, § 8, skal ligeledes uddybes.

Oplysninger, der skal bruges i forbindelse med kommunalbestyrelsens tilsyn, er emnet i § 9. Dette skal ligeledes uddybes mhp. bl.a. forventningsafstemning.

Med venlig hilsen

Carl-Emil Larsen