Med NIS2-direktivet skjerpes kravene til sikkerhet – også for vannforsyning, en av våre mest fundamentale tjenester. Spørsmålet er: Er din kommune rustet for dette skiftet?
Cyberangrep mot kritisk infrastruktur har skutt i været de siste årene. Fra sabotasjeforsøk mot vannverk i Florida til målrettede angrep på nordiske energiselskaper – trusselbildet er både reelt og i rask utvikling. Norske kommuner, uavhengig av størrelse, forvalter infrastruktur som kan være attraktive mål for cyberkriminelle.
– Mange kommuner benytter fortsatt vannforsyningssystemer hvor sikkerhet ikke var en sentral del av designet, advarer sikkerhetsmyndigheter. Det etterlater sårbarheter som kan utnyttes.
NIS2-direktivet representerer et paradigmeskifte i kravene til cybersikkerhet for samfunnskritiske tjenester. For vannforsyning betyr det blant annet:
Strengere krav til rapportering ved sikkerhetshendelser
Krav om omfattende risiko- og sårbarhetsvurderinger
Økt ansvar hos kommunens ledelse
Tydelige krav til sikkerhet i leverandørkjeden
Dette forplikter kommunene til å gjennomgå egne rutiner og etablere mer robuste sikkerhetsløsninger – både teknisk og organisatorisk.
9 spørsmål dere bør kunne svare på:
Har vi gjennomført en oppdatert ROS-analyse for vannforsyningens digitale systemer?
Er IT- og OT-nettverkene (driftsteknologi) tilstrekkelig segmentert?
Hvilke autentiseringsløsninger benyttes for tilgang til kritiske systemer?
Har vi evne til å oppdage unormal aktivitet i systemene våre?
Foreligger det en oppdatert beredskapsplan for cyberhendelser?
Stiller vi konkrete sikkerhetskrav til leverandørene våre?
Gjennomfører vi regelmessig sikkerhetsopplæring for ansatte?
Er kommunens ledelse aktivt involvert i cybersikkerhetsarbeidet?
Har vi fungerende backup-løsninger for kritiske vannforsyningsfunksjoner?
Er svaret "usikker" på ett eller flere spørsmål? Da er tiden inne for å ta grep.
1. Kartlegging og risikovurdering
Start med en grundig analyse av dagens situasjon:
Identifiser kritiske systemer (SCADA, PLS, fjernstyring)
Kartlegg avhengigheter og sårbarheter
Vurder både fysiske og digitale trusler
Oppdater beredskapsplaner basert på funnene
2. Nettverkssegmentering og sikring
Del opp nettverket for å redusere risiko:
Etabler brannmurer mellom IT og OT
Begrens trafikk mellom segmenter til det nødvendige
Isoler SCADA-systemer fra internett
Bruk sikre fjernaksessløsninger med VPN og multifaktorautentisering
3. Streng tilgangskontroll
Hvem har tilgang til hva – og hvorfor?
Innfør multifaktorautentisering for alle administrative tilganger
Følg prinsippet om minste privilegium
Revider brukertilganger jevnlig
Fjern gamle kontoer og benytt unike passord
4. Overvåking og hendelsesdeteksjon
Tidlig varsling kan være avgjørende:
Ta i bruk intrusion detection systems (IDS)
Etabler sentralisert logging og analyse (SIEM)
Definer klare varslingsrutiner
Gjennomfør jevnlige beredskapsøvelser
5. Vedlikehold og oppdateringer
Gamle systemer = høy risiko:
Oppdater systemer regelmessig
Bruk virtuelle patcher ved behov for eldre utstyr
Planlegg utskiftning av aldrende teknologi
Å sikre vannforsyningen er ikke lenger bare et teknisk spørsmål – det er et lederansvar. Her er hvordan dere kommer i gang:
Kartlegg nåværende sikkerhetsnivå
Etabler en tverrfaglig gruppe med IT, VA og ledelse
Prioriter tiltak basert på risikobilde og ressurser
Samarbeid med nabokommuner og nasjonale aktører
Last Mile har lang erfaring med sikring av kritisk infrastruktur. Vi tilbyr:
Rådgivning og teknisk veiledning i tråd med NIS2
Implementeringsstøtte for sikkerhetstiltak
Opplæring for både ansatte og ledere
Er din kommune rustet for NIS2 og den nye trusselsituasjonen?
Vi hjelper dere gjerne med en innledende vurdering og konkrete anbefalinger.
👉 Kontakt oss i dag for en tryggere vannforsyning i morgen.