I en tid, hvor digitale og fysiske trusler smelter sammen, stiller de nye EU-krav for kritisk infrastruktur stærkere krav til forsyningsbranchen. Forvandlingen er i fuld gang: Det handler ikke længere blot om at beskytte servere, men også at sikre adgangsporte, bygninger og tekniske anlæg mod sabotage og uautoriseret adgang. NIS2 i forsyningssektoren ændrer både ansvar og forventninger.

En ny æra for sikkerhed

Med direktiverne NIS2 og CER skal forsyningsvirksomheder kunne dokumentere, hvordan de beskytter både netværk og fysiske anlæg. Hvor tidligere regler primært dækkede it-systemer, går de nye krav længere: de omfatter fysisk adgang, overvågning, logning og bygningers sårbarheder. Det er en markant udvidelse af, hvad der regnes som “sikkerhed” i kritisk infrastruktur.

I praksis betyder det, at mange vandværker og forsyningsenheder automatisk bliver omfattet af reglerne ud fra størrelse, funktion og samfundskritisk betydning. De kan ikke længere vælge at stå udenfor – kravene gælder for enheder, der anses for kritiske ved drift og offentlig forsyning.

Truslerne spænder bredt

Forsyningssektoren står i dag over for et trusselsbillede, der rækker langt ud over hackerangreb. Ud over cyberangreb kan hændelser som sabotage, nedbrydning eller ekstreme vejrbegivenheder true infrastrukturen fysisk. Med stigende digital kobling af netværk og styresystemer er det ikke længere muligt at adskille de to ting fuldstændigt — én sårbarhed kan lede til både digital og fysisk påvirkning.

Derfor lægger NIS2 i forsyningssektoren vægt på både overblik og dokumentation. Sikkerhed er ikke længere kun en teknisk opgave — den er organisatorisk, procedurebaseret og kan ikke adskilles fra drifts- og ledelseslaget.

Dokumentation og ansvarsplacering

Et centralt element i NIS2 er krav om dokumentation. Forsyninger skal ikke blot beskytte, men kunne redegøre for, hvordan beskyttelsen foregår: hvilke risici der er vurderet, hvilke foranstaltninger der er sat igennem, hvordan adgange er styret, og hvordan hændelser håndteres.

Det stiller krav om formelle procedurer, løbende audit, beredskabsplaner og logning — ikke kun i it-systemerne, men også i de fysiske installationer. Hvem der er ansvarlig, skal være klart defineret — og den ansvarlige skal kunne dokumentere overholdelse overfor tilsyn og myndigheder.

Integration af fysisk og digital sikkerhed

Et vandværk kan ikke tilfredsstille NIS2 i forsyningssektoren ved at fokusere isoleret på cybersikkerhed. De nye regler kræver, at de fysiske installationer og it-systemerne ses som en sammenhængende helhed. En kompromitteret dør kan åbne vejen for digitale angreb — og et kompromitteret IT-system kan gøre fysisk adgang mulig.

Derfor er den moderne tilgang at integrere adgangskontrol, overvågning, logning og alarm i ét samlet styringssystem. Hændelser kan registreres, udløse alarmer og give driftspersonalet et samlet overblik — også når de foregår på afsides anlæg.

Løbende proces frem for engangsprojekt

Da trusler og teknologier konstant ændrer sig, må sikringsarbejdet være løbende. Selv robuste løsninger kan blive forældede, hvis de aldrig evalueres, testes og justeres.

Mange forsyninger har allerede taget skridtet og indarbejdet sikkerhed i deres daglige driftsmodel – med faste tjek, opdatering af adgangsrettigheder og test af alarmer og systemer. Det er ikke længere nok at “sætte noget op og glemme det” — under NIS2 i forsyningssektoren kræves en aktiv og systematisk tilgang.

Forventninger og ansvar

I sidste ende handler NIS2 i forsyningssektoren ikke bare om at overholde regler. Det handler om at beskytte samfundets vitale ressourcer. Når vandforsyning, energi og spildevand betragtes som kritisk infrastruktur, hviler der et stort ansvar på dem, der driver dem og de må ikke bare reagere, men agere proaktivt i den nye virkelighed.