CER: Forsyningerne er godt med, men der skal styr på dokumentationen

2025 12 10 Nærbillede Af Hegn COLOURBOX28441252

Foto: Colourbox

Vand- og spildevandssektoren er langt med den fysiske sikring af boringer, vandværker og renseanlæg. Men kravene i CER (Critical Entities Resilience) betyder, at indsatsen skal ske mere systematisk og kunne dokumenteres.

Ifølge Carsten Vejergang, seniorkonsulent i DANVA, kommer lovændringer til Vandforsynings- og Miljøbeskyttelsesloven i høring i denne eller næste måned. Ændringerne bemyndiger ministeren til at træffe afgørelser om beredskab i vand og spildevandssektoren – altså der kan udarbejdes bekendtgørelser.

Beredskabsbekendtgørelsen for vand- og spildevandssektorerne forventes at komme i høring januar og februar og at træde i kraft, samtidig med at lovændringerne træder i kraft.

Og ikke mindst er det forventningen, at udpegningen af kritiske enheder i vand- og spildevandssektoren vil ske umiddelbart efter at Ministeriet for Samfundssikkerhed og Beredskab har udarbejdet ‘National strategi for modstandsdygtighed’. I praksis kan det blive allerede i januar eller februar.

“Mange forsyninger arbejder allerede i tråd med CER’s intentioner og krav, og der er ingen grund til at vente med at styrke den fysiske sikring,” siger Carsten Vejergang.

Beredskabskurser til forsyningsselskaber

I samarbejde med DBI tilbyder DANVA to kurser, som klæder forsyninger på til at arbejde systematisk med risikovurdering og beredskab – også i relation til den fysiske sikring, som CER lægger op til.

I januar afholdes kurset Beredskabsplanlægning og -øvelser, hvor deltagerne får praktiske redskaber til at udarbejde, vedligeholde og afprøve deres beredskabsplaner.

Herefter følger Risikoanalyse – bærende element i CER- og NIS2-loven i maj, som går i dybden med metoderne til at kortlægge og vurdere risici som grundlag for både tekniske og organisatoriske tiltag.

Læs mere om kurser vedrørende beredskab

Ny vurdering af risici

Sektoren har i mange år haft krav om aflåsning, alarmer og hegn som en del af kvalitetssikringen af vandforsyningsanlæg. Med CER bliver fokus nu udvidet til at omfatte en samlet plan for, hvordan risici vurderes, og sikringen dokumenteres.

“Nogle risici skal vurderes anderledes, end vi historisk set har gjort. Ganske enkelt ud fra en betragtning om, at nogen vil os det ondt,” konstaterer Carsten Vejergang.

CER stiller krav om tilstrækkelig fysisk sikring, men overlader til virksomhederne at vælge, hvordan det skal gøres. Derfor bliver den lokale risikovurdering og en konkret sikringsplan centrale redskaber.

“CER-lovgivningen siger hvad, men ikke hvordan. Man skal vurdere sine kritiske funktioner og lave en plan for fortsat drift, så man ved, hvem der gør hvad, når systemerne ikke virker. Mange har tekniske tiltag, men mangler for eksempel politikker for tv-overvågning, adgangskontrol og en plan for, hvordan driften opretholdes i en krisesituation,” siger Jesper Florin, chef for samfundssikkerhed, resiliens og forsvar hos DBI (Dansk Brand- og sikringsteknisk Institut).

Fra teknik til adfærd

CER stiller krav om, at man skal kunne opdage uautoriseret adgang.

“Detektering er minimum. Hvis man ikke kan registrere, at nogen har været inde på en lokation, kan man heller ikke håndtere eller dokumentere et sabotageforsøg,” siger Jesper Florin.

Samtidig skal den tekniske sikring have følgeskab af klare arbejdsgange og ansvarsfordeling.

“En dør med adgangskontrol virker ikke, hvis der er sat en kile i den, så den står åben. Ledelsen skal være tydelig kravstiller, og driften skal tage ejerskab. Ellers ender indsatsen bare som en fil i en mappe et sted på et drev,” siger han.

Carsten Vejergang peger på, at mange forsyninger allerede reagerer hurtigt og ansvarligt, når alarmer går.

“Langt de fleste har procedurer for, hvordan de håndterer alarmer, og mange steder stopper pumpningen automatisk, hvis der er tegn på indbrud. Men der skal nu også tages højde for, at nogen kan have onde intentioner. Det skal indgå tydeligere i risikovurderingen,” siger han.

Han understreger, at fysisk sikring også handler om adfærd og kultur.

“Vi skal overføre den systematik, vi allerede har omkring drikkevandssikkerhed, til den fysiske sikring. Det handler om, hvordan vi håndterer entreprenører, samarbejdspartnere og adgange til anlægget – og om at være bevidste om, at truslerne også kan komme indefra,” siger Carsten Vejergang.

Uvildig ekspert finder sårbarhederne

Et godt udgangspunkt er at tjekke den fysiske sikring, man allerede etableret.

“Få en uvildig ekspert til at gennemgå anlægget og pege på, hvor det er mest sårbart. I mange tilfælde fungerer løsningerne allerede godt, men der kan være detaljer, der bør justeres,” siger Carsten Vejergang.

Det er også vigtigt, at man får afprøvet foranstaltningerne, lyder det fra DBI’s Jesper Florin:

“Det er vigtigt at teste den fysiske sikring – for eksempel ved at simulere en alarm og se, om de reaktioner, man forventer, faktisk sker. De erfaringer er vigtige, fordi de hjælper med at gøre fysisk sikring til en del af den daglige drift og ikke bare et projekt,” understreger Jesper Florin.

Yderligere information

5 gode råd til fysisk sikring

1. Lav en risikovurdering
Kortlæg, hvad der er kritisk for jeres drift – fx boringer, pumper og styresystemer – og vurder konsekvenserne, hvis de bliver kompromitteret.

2. Opdater jeres sikringsplan
Beskriv, hvordan anlæg og bygninger er sikret, hvem der har adgang, og hvordan I reagerer på hændelser.

3. Test og øv procedurerne
Tjek jævnligt, at alarmer, adgangskontrol og overvågning fungerer – og at medarbejderne ved, hvad de skal gøre, når noget sker.

4. Lær af hændelser og erfaringer
Brug utilsigtede hændelser og tests til at forbedre jeres sikring. Det giver kontinuerlig læring og hjælper med at holde fokus på, hvor anlægget er mest sårbart.

5. Skab ledelsesopbakning og ejerskab
Fysisk sikring skal forankres i ledelsen og være en del af driften – ikke et projekt, der dør, når rapporten er lavet.