Dansk Vand- og Spildevandsforening, DANVA, takker for muligheden for at afgive høringssvar vedr. udkast til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau.
DANVAs medlemmer er drikkevands- og spildevandsselskaber, som står for drift af kritisk infrastruktur i vandsektoren. En meget stor del af DANVAs medlemmer vil blive omfattet af loven – og Lov om kritiske enheders modstandsdygtighed.
CFCS har løbende hævet trusselsvurderingen for Danmark. Det samme har SektorCERT, som er CERT indenfor kritisk infrastruktur. SektorCERT har et sensornetværk med sensorer placeret i over 300 forsyningsselskaber indenfor drikkevand, spildevand og energi. Sensornetværket er med til at forhindre cyberangreb og giver et indblik i et – desværre – stigende antal cyberangrebsforsøg og -trusler.
En række danske drikkevands- og spildevandsforsyninger er blevet ramt af cyberangreb – som har haft store konsekvenser. Disse hændelser og trusselssituationen har kaldt på ekstra opmærksomhed, cybersikkerheds- og beredskabsaktiviteter hos DANVAs medlemmer indenfor de senere år.
DANVA hilser derfor loven velkommen og vil arbejde for at implementeringen kan være med til at sikre en fortsat høj forsyningssikkerhed og levering af tjenesteydelser - under hensyntagen til cybertruslerne.
Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau hænger tæt sammen. Derfor vil dette høringssvar i nogen grad gengive kommentarer fra DANVAs høringssvar vedr. Lov om kritiske enheders modstandsdygtighed. Hertil kommer, at en række vandselskaber også bliver omfattet af energisektorens regulering, idet flere af selskaberne er multiforsyningsselskaber med energivirksomhed. DANVA plæderer for en reel sammentænkning på nationalt niveau af Lov om styrket beredskab i energisektoren, Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau.
Herunder har DANVA nogle generelle bemærkninger og derefter nogle bemærkninger til de enkelte paragraffer.
Vi har bemærket, at loven er en meget overordnet rammelov, hvor sektorernes myndigheder får stor indflydelse på den praktiske udmøntning i sektorerne.
De sektorspecifikke bekendtgørelser, administrative bestemmelser mv. og praktisk udmøntning vil kunne afstedkomme, at forsyningssektorerne får forskellige, måske meget forskellige, implementeringer af de to love, hvis der ikke er en effektiv koordinering.
Loven er en rammelov – og det er vigtigt, at udmøntningen i sektorspecifikke bekendtgørelser, vejledninger mv. giver lovgivningsmæssige passende krav for de omfattede selskaber, som fremmer cybersikkerheden, og at indsatsen giver høj værdi i forhold til de økonomiske og administrative omkostninger, loven vil afstedkomme for selskaberne. Det er vigtigt at sikre, at implementeringen bliver smidig, passende, og at omfattede enheder, såvel som sektormyndighederne, får gode rammer og vilkår. Dialog i processen er afgørende.
DANVA er bekymret over, at lovudkastet ikke samtænker forsyningsarterne drikkevand og spildevand med øvrige forsyningsarter som regelsættes i ”Forslag til Lov om styrket beredskab i energisektoren”, der netop har været i høring i perioden fra 12. juni til 10. juli 2024. Drikkevand og spildevand har en lang række fællesnævnere og indbyrdes afhængigheder med de øvrige forsyningsarter, som ikke håndteres i de to udkast til lovforslag fra henholdsvis Energistyrelsen og Forsvarsministeriet.
Vi vurderer ikke, at en almindelig, overordnet koordinering på nationalt niveau er tilstrækkelig. DANVA efterlyser en reel samtænkning på nationalt niveau. En samlet lovgivningspakke indeholdende Lov om styrket beredskab i energisektoren, Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau vil kunne fremme dette.
National strategi på tværs af sektorer (forsyningsarter)
DANVA opfordrer til, at lovbemærkningerne omtaler, at der i den nationale strategi og risikovurdering skal ske en omtale af de forskellige forsyningsarters gensidige afhængighed.
Placering af energisektoren og forsyningerne for vand og spildevand i to forskellige hovedlove finder vi, som nævnt, uheldigt:
Desuden er der tekniske muligheder, som peger i retning af øget samspil mellem fjernvarme- og spildevandsforsyning samt drikkevandsforsyning og kølingsformål.
Sektoransvar
De danske forsyningsarter har ikke samme sektormyndighed, når emnet er cybersikkerhed og beredskab. Dette afspejler efter vores vurdering ikke virkelighedens behov. Der er multiforsyninger, som organiserer flere forskellige forsyningsarter, hvor hver forsyningsart vil være omfattet af dels NIS2, dels CER-direktivet.
Koncerner med flere forskellige forsyningsarter bliver reelt omfattet af forskellige reguleringer, der desuden er udformet af flere ministerier, og som tilmed forventes at have forskellig tilgang til implementeringen (overimplementering contra minimumsimplementering).
Det er afgørende, at der, i tilblivelsen af lovgivningen, sker en prioritering af koordineringen mellem de relevante ministerier, og at der dermed sikres en sammenlignelighed i bl.a. termer, krav, tilsyn og håndhævelse. Det bør være et klart mål, at multiforsyningerne ikke oplever uhensigtsmæssig administration eller ekstra omkostninger grundet det fragmenterede sektoransvar.
At de faktiske rammevilkår for forsyningsarterne er sammenlignelige, kommer bl.a. til udtryk i, at der er et tæt samarbejde i regi af SektorCERT, der er en foreningsaktivitet, der er afgørende for skabelsen af den nødvendige it-sikkerhed for kritisk infrastruktur i Danmark.
Det vil, som ovenstående eksempler illustrerer, være hensigtsmæssigt at samordne forsyningsarterne under samme sektormyndighed. Alternativt bør regelsættene for forsyningsarterne samtænkes.
Da hver sektor ifølge sektoransvaret er ansvarlig for egen modstandsdygtighed, bør der ved kritiske hændelser sikres agilitet via entydig kommandovej fra den pågældende minister til sektorens kritiske enheder og vice versa. Eksempelvis vil nogle erfaringer fra andre sektorer være væsentlig at få distribueret til andre sektorer hurtigt, hvilket ligeledes stiller krav til agilitet i Beredskabsstyrelsens (og Energistyrelsens) koordinering.
Desuden bør det sikres, at kriterierne for iværksættelse af cybersikkerheds- og beredskabsforanstaltninger i relation til kommende beredskabsniveauer er klare, entydige og kommunikeret til enhederne.
Støtte til Miljøministeriet - Sektorbekendtgørelsen for drikkevand og spildevand
DANVA forventer, at Forsvarsministeriet som den tværgående koordinerende myndighed støtter op om Miljøministeriet, så forpligtigelserne tilknyttet sektoransvaret og den fragmenterede organisering kan løftes. Siden udskillelsen af de kommunale vand- og spildevandsselskaber i 2010 har DANVA kunnet notere, at ministeriet kun i begrænset omfang har taget aktion med henblik på at planlægge opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer, hvilket kræves jf. beredskabslovens § 24.
DANVA opfordrer til, at der i lovbemærkningerne angives eksplicit, at Danmark som medlemsland er forpligtiget til at sikre tilstrækkelige midler til, at de kompetente myndigheder kan løfte deres opgaver – herunder lovgivningsarbejdet.
DANVA foreslår, at der i lovbemærkningerne utvetydigt angives, at de respektive kompetente myndigheder snarest muligt påbegynder en dialog om kriterier og de potentielle kritiske enheder.
Udpegning af kritiske enheder, væsentlige og vigtige enheder
Der er tale om en stor og meget kompleks opgave, som har betydning for om samfundskritiske sektorer kan opretholde levering af tjenesteydelser i krisesituationer.
Kritiske enheder bør udpeges af en central myndighed for at sikre ensartethed i udpegningen. Som lovudkastet ligger nu, vil det være Miljøministeriet/Miljøstyrelsen som varetager udpegningen indenfor forsyningsarterne drikkevand og spildevand.
Der lægges i udkastet stor vægt på, at der er tale om en minimumsimplementering af NIS2-direktivet. Det er vigtigt, at dette fokus ikke står i vejen for, at loven bliver operationel og smidig. Forstået således, at der ikke skal udføres dobbeltarbejde i form af produktion og vedligeholdelse af dokumentation, rapportering af de samme informationer til flere myndigheder eller andre aktiviteter, hvor der allerede eksisterer velfungerende processer/rutiner for de pågældende aktiviteter. Konkrete eksempler på dette er risikoanalyser, dokumentation og audits som gennemføres i forbindelse med drift af eksisterende certificerede ledelsessystemer.
Støtte til de udpegede kritiske enheder, væsentlige og vigtige enheder
I DANVA har vi noteret os, at lovbemærkningerne meget kort omtaler medlemslandenes forpligtigelser til at støtte de kritiske enheder med at styrke deres modstandsdygtighed. Se CER-direktivets artikel 10 samt artikel 4 stk. 2 litra e. Vi vil opfordre til, at det også nævnes eksplicit i lovbemærkninger, at medlemsstaterne kan stille finansielle ressourcer til rådighed for kritiske enheder, hvor det er nødvendigt og begrundet i mål af samfundsmæssig interesse.
DANVA forventer, at der ydes støtte til de udpegede kritiske enheder, hvilket skyldes drikke- og spildevandsforsyningens centrale placering i samfundet. Vores forventninger understøttes af udmeldingen af støtteeksempler i artiklen, herunder omtale af finansieringsmulighederne.
Såvel drikkevands- som spildevandsforsyning er baseret på et hvile-i-sig-selv-princip. Dertil kommer at de juridiske enheder er små sammenholdt med enheder i mange andre sektorer med henvisning til listen i EU-forordning 2023/2450 over væsentlige tjenester.
Tilsyn
DANVA efterlyser, at der i lovbemærkningerne angives, at den opfølgende lovgivning skal fremme et dialogbaseret fysisk beredskab, cybersikkerhedsberedskab og tilsyn. Det vil være et vigtigt signal, som vil fremme et hurtigere løft af cybersikkerheds- og beredskabskompetencen hos både myndigheder og selskaberne.
DANVA foreslår, at én central myndighed varetager tilsynet. Herved sikres ensartethed i kvantitet og kvalitet af tilsynet. Der skal i den forbindelse tænkes på tværs af forsyningsarter for ikke at pålægge multiforsyninger unødig administrativ byrde.
Økonomiske konsekvenser
Det skal sikres, at drikkevands- og spildevandsforsyningernes opgaver ifølge dette regelsæt kan håndteres efter de økonomiske regler, givet i vandsektorloven, vandforsyningsloven og betalingsloven. Derudover er det vigtigt for drikkevands- og spildevandsforsyningerne, at omkostningerne afholdt til at opfylde lovens bestemmelser bliver betragtet som en ikke-påvirkelig omkostning, hvilket betyder, at omkostningerne bliver fritaget for effektiviseringskrav. Selskabernes omkostninger til SektorCERT-samarbejdet i den kritiske infrastruktur skal i den sammenhæng ses som en omkostning til at opfylde loven. SektorCert bidrager til NIS2-compliance, øget cybersikkerhed og derudover er SektorCERT en integreret del af Strategi for cyber- og informationssikkerhed i vandsektoren, som er en delstrategi under Den nationale strategi for cyber- og informationssikkerhed. Alternativt vil forsyningernes mulighed for fremadrettet at finansiere de nødvendige tiltag efter lovens bestemmelser være markant svækket.
Som led i udarbejdelsen af sektorbekendtgørelsen efterlyser DANVA, at der foretages en grundig analyse af de økonomiske omkostninger, der følger af implementeringen af NIS2 og CER-direktivet.
Omdrejningspunktet må være, at der skal være proportionalitet mellem omkostningsniveau og merværdi for den konkrete enhed og dens rolle i samfundet. Desuden bør reguleringen, bredt set og i praksis, understøtte, at der er vandforsyninger og/eller spildevandsforsyninger, som vælger at følge de mere vidtgående cybersikkerheds- og beredskabsrelaterede regler kendt fra energisektoren. Dette bør fremgå af såvel lovbemærkninger og den kommende sektorbekendtgørelse.
Lokal cybersikkerheds- og beredskabskoordinering øger sikkerheden og samfundets robusthed
DANVA vil opfordre til at benytte implementeringen af de to beredskabsdirektiver til at fremme lokal cybersikkerheds- og beredskabskoordinering, hvor omdrejningspunktet er den lokale kompetente beredskabsmyndighed/kommunalbestyrelsen, herunder den lokale beredskabsstab (LBS) eller politiet og repræsentanter for de udpegede kritiske enheder, væsentlige og vigtige enheder.
Evaluering
Implementering af NIS2- og CER-direktivet er et pionerarbejde, som fordrer, at der er en politisk vilje til at sikre evaluering af reguleringen inden for rimelig kort tid; 2-3 år. Der kan utvivlsomt ske en optimering af organisering m.m., og dette vil være synligt og mærkbart i praktikken forholdsvist hurtigt. Nogle optimeringstiltag vil kunne ske via ændring af bekendtgørelser, men der vil også være emner, som er lovbaserede og derfor kræver Folketingets involvering.
Lov om kritiske enheders modstandsdygtighed (CERD-loven) afstedkommer en række krav til selskaberne. Der er en klar kobling mellem de to love – fx bliver enheder, der er identificeret som kritiske enheder i henhold til lov om kritiske enheders modstandsdygtighed anset som væsentlige enheder. Denne kobling (Hvor en kritisk enhed i CERD-loven ses som en væsentlig enhed i NIS2-loven) giver umiddelbart god mening. I den sammenhæng er det vigtigt at sikre, at udmøntninger af beredskabslovene bliver koordineret – så udmøntningen på ’beredskabsområdet’, samlet set, gøres operationel, brugbar, ikke-bureaukratisk, og at enhederne får klarhed over hvilke krav, der stilles til dem – uanset om enheden er en multiforsyningsvirksomhed.
Sektoransvarsprincippet betyder, at hvert ministerområde har ansvaret for egen sektor, fx. ift. beredskab og cybersikkerhed. Erfaringerne fra implementeringen af NIS1-direktivet fra 2018 viser, at der kunne have været en bedre koordinering mellem ressortministerierne. Fx fungerer tilsynet forskelligt på tværs af de omfattede sektorer, og mængden af ressourcer, myndighederne har til opgaverne, varierer meget. Når NIS2 skal implementeres i dansk lovgivning, opfordrer vi til, at der sker koordination mellem ressortområderne, så tiltag er sammenlignelige, afspejler sammenhængen mellem sektorerne og kan rapporteres på en fælles form.
I § 6 gengives NIS2-diretivets (artikel 21) overordnede krav i punktform. For hvert nævnt overordnede krav bør der være operationelle, veldefinerede underliggende, ensartede fælles krav for forsyningssektorerne.
Hvis det ikke defineres klart, gældende for alle forsyningssektorer (hvoraf en del har flere forsyningsarter) vil det kunne afstedkomme misforståelser, når myndighederne på et tidspunkt begynder at gennemføre tilsyn. Som eksempel kan nævnes, at der bør være ensartethed på tværs af sektorerne mht. adressering af forsyningskædesikkerhed.
Sektorspecifikke bekendtgørelser, vejledninger, guidelines, skabeloner mv. kan der i nogen grad samarbejdes om. DANVA er klar over, at nogle sektorer er meget forskellige og i nogen grad har særlige forhold og behov, men en række forhold/vilkår og behov er bredt gældende for enhederne, som er omfattet af loven. Det bør fremgå tydeligligt, at der skal samarbejdes og videndeles mellem sektorerne.
I henhold til paragraffen skal foranstaltninger, som en væsentlig eller vigtig enhed træffer på baggrund af forpligtelserne i § 6, være godkendt af enhedens ledelsesorgan, og ledelsesorganet skal føre tilsyn med foranstaltningernes gennemførelse og sikre, at foranstaltningerne virker.
Begrebet ’enhedens ledelsesorgan’ er ikke klart defineret, og det er uklart hvilken rolle fx bestyrelserne har i forbindelse med godkendelsen af foranstaltningerne og tilsynet.
Det fremgår også af paragraffen, at medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan skal deltage i relevante kurser om styring af cybersikkerhedsrisici. Det er her igen uklart, hvad der menes. Menes der fx, at alle bestyrelsesmedlemmer og ledere skal have gennemført en uddannelse (med et særligt indhold), og at medlemmerne løbende skal uddannes? Uddannelseskravet bør beskrives nærmere.
Der er ikke i § 12, som det er i § 14 stk. 3 vedr. frivillige underretninger, beskrevet, at underretningerne er fritaget for aktindsigt. Det konkrete indhold i en underretning vil oftest være at betragte som fortroligt for enheden, idet det indeholder informationer om sårbarheder i enheden. Ved at beskytte den konkrete underretning mod aktindsigt, vil enheden sandsynligvis være mere tilbøjelig til at dele informationer, som ikke nødvendigvis er påkrævet men som kan have stor værdi for CSIRT’en (CFCS).
Det er i forvejen en mulighed for kompetente myndigheder, bl.a. i § 16 & § 22 stk. 6, at vurdere om en konkret hændelse skal deles videre eller offentliggøres.
Beskrivelsen af hvornår en hændelse anses for væsentlig bør i højere grad referere til, om hændelsen forårsager, eller er i stand til at forårsage, alvorlige driftsforstyrrelser i relation til den tjeneste, enheden leverer som er kritisk for samfundet. I den nuværende formulering kan det forstås som, at enhver alvorlig hændelse for enheden skal afføde en underretning – også selvom hændelsen ikke har eller kunne have en påvirkning af den tjeneste der er kritisk for samfundet.
Det bør præciseres, hvornår en hændelse, der ikke fik nogen konsekvenser, men var i stand til at forårsage alvorlige konsekvenser, skal anmeldes, da organisationer løbende rammes af mange hændelser, som har potentiale til at være alvorlige, men som de afværger.
Essensen i kravet om tidlig underretning fra enheden til CSIRT (§13 stk. 1) understøtter værdien af tidlig vidensdeling i en krisesituation. Men hvor tidsgrænsen for enheden i §13 stk.1 er defineret som et absolut krav (”under alle omstændigheder inden for 24 timer…”), er der for CSIRT’en ikke defineret et krav om, hvor hurtigt en tilbagemelding skal ske, men der er en mere blød formulering: ”hvor det er muligt, inden for 24 timer”. Dette er uhensigtsmæssigt, da enheden i den givne situation skal bruge kostbar energi og fokus på at forholde sig til, hvornår der kan ventes en tilbagemelding og evt. på at rykke for svar. Loven bør fastsætte samme krav - altså et krav om, at tilbagemelding skal ske (”under alle omstændigheder inden for 24 timer…”).
De vigtige og væsentlige enheder leverer flere forskellige tjenester, hvor kun nogle af dem kan betragtes som værende kritiske. Det bør derfor præciseres i sætningen ”… påvirke leveringen af deres tjenester negativt”, at der her alene er tale om ”kritiske tjenester”.
Der benyttes her termen ”it-sikkerhed”, mens der generelt andre steder, herunder i definitionen, omtales ”Cybersikkerhed”. Hvis det forståelsesmæssigt tænkes at være det samme, bør samme term bruges. Hvis der er tale om forskellige forståelser, bør ”it-sikkerhed” defineres i §3
Beskrivelsen her er meget bred og målet er uklart, i forhold til hvilke områder det dækker. Paragraffen har potentiale til at kunne række langt videre end forhold der er relevante ift. cybersikkerhed.
Det fremgår af ”Bemærkninger til lovforslagets enkelte bestemmelser”, at paragraffen er tiltænkt at have betydning i forhold til, hvordan kommunikation mellem enheden og CSIRT (ex. Virk.dk) skal ske. Dette kan med fordel præciseres i §31
3.1.2 Forsvarsministeriets overvejelser (s.152)
I en virksomhed med moder-/ datterselskaber, har moderselskabet og hver underenhed eget CVR-nr. Dette kan give et unødigt komplekst scenarie i forbindelse med en hændelse, da flere vandselskaber har oprettet en holding-struktur med flere CVR-nr. alene for at efterleve krav til regnskabsstruktur og økonomisk adskillelse. I praksis er mange selskaber driftsmæssigt struktureret som én digital enhed, og en cyber-hændelse vil have samtidig og ensartet effekt på tværs af flere datterselskaber (f.eks. vand og spildevand). Det it-beredskab der er aktiveret for at imødegå hændelsen vil i mange tilfælde operere på moderselskabsniveau. Det er derfor ikke hensigtsmæssigt, hverken for CSIRT eller enheden, at hændelsen skal håndteres parallelt som flere identiske sager for flere individuelle CVR-nr. Dette vil mere hensigtsmæssigt kunne håndteres, hvis en hændelse kan håndteres under moderselskabets CVR-nr., hvor det så blot anføres, hvilke øvrige CVR-nr. der er omfattet af hændelsen.
Vi ser frem til at bidrage positivt til det lovgivningsmæssige og øvrige arbejde, som implementeringen af loven afstedkommer.
DANVA imødeser en yderligere dialog om implementering af loven og står gerne til rådighed med yderligere dokumentation og viden, der kan belyse høringssvaret yderligere.
Eventuelle spørgsmål eller kommentarer bedes rettet til Peter Mortensen på telefon 8793 3502 eller på mail pm@danva.dk.
Med venlig hilsen
Carl-Emil Larsen
DANVA
Kopi til: Miljøministeriet, Miljøstyrelsen, Energistyrelsen, Green Power Denmark, Dansk Fjernvarme og Danske Vandværker