Cyber- og informationssikkerhed i vandsektoren (DCIS)

Vejledning til vandsektoren om anvendelsesområde for NIS2-loven

Den 1. juli i år trådte den såkaldte NIS2-lov (Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) i kraft. Loven har til formål højne og ensarte cybersikkerhedsniveauet i de samfundskritiske sektorer, herunder bl.a. vand- og spildevandsforsyninger.

Hvis din forsyning er omfattet af NIS2-loven, så skal du registrere senest den 1. oktober 2025 via selvbetjening på virk.dk. Det følger af NIS2-lovens § 33, stk. 3. Miljøstyrelsen har den 28. august 2025 publiceret en vejledning, der skal hjælpe vand- og spildevandsforsyninger med at afgøre, om de er omfattet af loven. Se vejledningen til vandsektoren om anvendelses områder.

Strategi for cyber- og informationssikkerhed i vandsektoren 2023-2025

Den 15. december 2022 lancerede regeringen en ny National strategi for cyber- og informationssikkerhed 2022-2024 for at styrke indsatsen over for digitale trusler. Som led i udmøntningen af den nationale strategi har Miljøstyrelsen udarbejdet en strategi for cyber- og informationssikkerhed i vandsektoren i samarbejde med interessenter fra den danske vandsektor. Miljøstyrelsens strategi ”Strategi for cyber- og informationssikkerhed i vandsektoren 2023-2025” udkom den 20. december 2022.

Strategien indeholder seks udvalgte selvstændige initiativer, der skal implementeres inden for strategiens tidshorisont 2023-2025:

Initiativ 1: Udarbejde skabelon for it-sikkerhedspolitik til forsyningerne

Initiativ 2: Udarbejde skabelon for it-beredskabsplan til forsyningerne

Initiativ 3: Styrket samarbejde mellem Miljøstyrelsen og vandsektoren

Initiativ 4: Koordinering med EnergiCERT

Initiativ 5: Yderligere kortlægning af kritisk it-infrastruktur

Initiativ 6: Anbefalinger til vandsektoren om konkrete tiltag

Du kan læse nærmere i Strategi for cyber- og informationssikkerhed i vandsektoren 2023-2025.

Skabelon for it-sikkerhedspolitik i vandsektoren

Som udmøntning af initiativ 1 i strategien har Miljøstyrelsen per 3. november 2023 udarbejdet en standardskabelon for it-sikkerhedspolitik for vand- og spildevandsforsyningsselskaber. Skabelonen skal understøtte forsyningernes arbejde med it-sikkerhedspolitik, og skabelonen kan findes her.

Skabelon for it-beredskabsplan til vandsektoren

Som udmøntning af initiativ 2 i strategien har Miljøstyrelsen per 24. oktober 2024 udarbejdet en standardskabelon for en it-beredskabsplan for vand- og spilde-vandsforsyningsselskaber. Skabelonen skal understøtte forsyningernes arbejde med at sikre it-beredskabet, og skabelonen kan findes her: Skabelon til it-beredskabsplan 

Anbefalinger til vandsektoren om konkrete tiltag

Miljøstyrelsens decentrale cyber- og informationssikkerhedsenhed anbefaler, at vand- og spildevandsforsyninger tager udgangspunkt i SektorCERT’s 25 anbefalinger i arbejdet med cyber- og informationssikkerhed. Anbefalinger findes i håndbogen for SektorCERT’s trusselniveauer. Anbefalingerne skal læses i sammenhæng med den aktuelle trusselsvurdering fra SektorCERT. Både håndbog og aktuel trusselsvurdering kan findes her.

Decentral enhed for cyber- og Informationssikkerhed i vandsektoren

Miljøstyrelsen har per 1. januar 2023 oprettet en decentral enhed for cyber- og Informationssikkerhed i vandsektoren (DCIS), som skal forstærke og udbygge vandsektorens modstandsdygtighed over for cybertrusler. Enheden vil kunne kontaktes i åbningstiden i tilfælde af cyberhændelser, der vedrører vandsektoren.

Andre publikationer og links

• Cybertruslen mod vandsektoren (Center for Cybersikkerhed, januar 2025). Formålet med denne trusselsvurdering er at beskrive cybertruslen rettet mod den danske vandsektor. Vurderingen kan blandt andet styrke risikoejeres forståelse af cybertruslen og indgå som en del af grundlaget for risikovurderingsarbejdet i sektoren. Vurderingen er udarbejdet af Center for Cybersikkerhed i dialog med Miljøstyrelsens DCIS.
• Cybertruslen mod energisektoren (Center for Cybersikkerhed, februar 2023). Formålet med denne trusselsvurdering er at beskrive cybertruslen rettet mod den danske energisektor.
• Beskyttelse af OT i vandsektoren (Center for Cybersikkerhed). ”Beskyttelse OT i vandsektoren” er en kort guide til, hvordan vandværker kan komme i gang med at beskytte OT-systemer i vandsektoren. Guiden kommer med anbefalinger til at sikre vandværker mod de mest udnyttede sikkerhedshuller, der bruges til angreb på OT-systemer.
• Hvad er NIS2-direktivet (Net- og Informationssikkerhedsdirektivet)? På sikkerdigital.dk kan du læse nærmere om indholdet af det nye direktiv. Læs om kriterierne for, hvornår en virksomhed er omfattet af direktivet og læs om, hvordan man som virksomhed kan forberede sig på direktivet.
• Tjeklister og skabeloner. På sikkerdigital.dk findes der en oversigt over generelle skabeloner og værktøjer, der kan være nyttige i arbejdet med it-sikkerhed, herunder bl.a. leverandørdialogværktøj og guide målrettet bestyrelser og ledelse.