NIS 2 direktivet blir lovfestet i alle EU-land i løpet oktober. Det som særlig angår vann og avløp i det nye direktivet er kravet om sikkerhet og å ha kontroll over forsyningskjeden, og dessuten å kunne dokumentere hvordan det ligger an.
– Dette vil dreie seg om flere sider ved vann og avløp, men vannforsyning er helt sentralt, siden det dreier seg om både helse og samfunnssikkerhet. Kommuner og interkommunale virksomheter innen vann og avløp må regne med å måtte ta inn over seg direktivet neste år. I mange tilfeller vil det kunne handle om å gjennomføre sikringstiltak og dokumentasjon. Jeg frykter at dette kan bli kostbart for forbrukerne, men kommer man i gang tidlig kan man slippe hastverk og bøter, sier Per Morten Hoff, samfunnsengasjert kommunepolitiker og tidligere generalsretær i IKT-Norge samt med lang erfaring som representant i SLG (samarbeidsforum for ledninger i grunnen).
Ikke forberedt
Hoff har sittet i flere EU-utvalg og har tidligere observert at flere EU direktiv kommer som julekvelden på kjerringa på norske virksomheter.
– NIS 2 direktivet som nå er innført i EU, blir også norsk lov i 2025. Dette er et svært omfattende og strengt direktiv som handler om sikkerhet og sårbarhet. Hensikten er å sikre utsatt infrastruktur og være forberedt på uforutsette hendelser. Direktivet vil blir kreve innsats både for norsk næringsliv og offentlig forvaltning, sier Hoff til VANytt.
En rekke områder har høyeste prioritet i direktivet: Disse er energi, transport, bank, finansmarked, infrastruktur, helse, vann og avløp, digital infrastruktur, IKT-tjenester, offentlig forvaltning, samt romvirksomhet. I tillegg er post, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, medisinteknisk utstyr, IKT, kjøretøy, elektronikk og forskning regnet som viktige sektorer som er omfattet.
Størrelse
Virksomheter innen disse kategoriene med minimum 50 ansatte, eller en årlig omsetning over 10 millioner euro, er omfattet av direktivet.
– NIS-2 er videreføring av NIS 1, som nå er på høring her til lands. At dette fortsatt er på høring gir en pekepinn på hvor sent det har gått med innføringen. Etter høringen som avsluttes i disse dager vil NIS 1 bli umiddelbart innført, sier Hoff.
Direktivet omfatter også forsyningskjeden til bedrifter som blir omfattet av NIS 2. Personsøkerangrepet rettet mot Hizbollah, viste hvor viktig full kontroll med forsyningskjeden er. Aktører innen næringsmiddelindustrien må f.eks. kunne dokumentere at deres leverandør av råvannn, oppfyller direktivet. EU har selv lagt til grunn at det for enkelte sektorer kan bli en kostnadsøkning på hele 22 prosent.
– Direktivet handler ikke bare som datasikkerhet slik mange synes å tro. Det hjelper ikke å ha all verdens avanserte sikkerhetsprogrammer i datarommet om det bryter ut brann, eller at rørnettet blir sabotert, understreker Hoff.
Aktuelt
VA-nytt skrev i juli om innbrudd i flere vannverk i Finland, der mistanken er sterk om at fremmede makter driver med stresstesting av sikkerhet og legger planer for hvordan man skal de-stabilisere infrastruktur i framtiden.
I Sverige ble vannverket Gimo, utsatt for full leveringsstopp da Tele2 ble utsatt for en uforutsett hendelse ved at fiberkabler ble kappet. Sikkerhet og sårbarhet blir nå satt på dagsordenen i alle land når det gjelder samfunnskritisk infrastruktur.
Sett i lys av Russlands aggressive utenrikspolitikk er dette aktuelt i hele Europa.
Fragmentert
Riksrevisjonen påpekte i 2023 at ansvaret for sikkerhet og sårbarhet er alt for fragmentert i Norge. Et grelt eksempel på at høyrehånda ikke vet hva venstrehånda gjør, var en forskriftsendring i Plan- og bygningsloven av 2021. Endringen i § 5 slår fast at enhver med saklig interesse, har rett til å få utlevert kart over kabler i grunnen. Begrepet saklig interesse har en bred definisjon. Fremmede makter eller personer med onde hensikter kan enkelt tilegne seg informasjon om hvor VA-nett, fiber- og strømforsyningen til nøkkelbedrifter går.
– Hvem tenkte at Plan- og bygningsloven hadde noe med sikkerhet å gjøre? Vi har en lang vei å gå for å beskytte samfunnskritisk infrastruktur. Men nå vil NIS 2 tvinge oss. Bedrifter som blir underlagt direktivet kan ikke tillate at det blir fritt fram for ledningseiere å dele ut kart over infrastrukturen, når direktivet krever at virksomheter sikrer hele sin leverandørkjede. For norske virksomheter innen VA er det viktig å sette seg inn i direktivet snarest mulig, for ikke å komme på etterskudd, sier Per Morten Hoff til VANytt.
