Fokus på sikkerheden i vandsektoren skærpes

Energi & Forsyning artikel
Published: 
Denne artikel er en del af vores serie om NIS 2 med særligt fokus på forsyningssektoren. Her ser vi nærmere på vandsektoren, hvor kravene til robusthed, sikkerhed og kontinuitet er stigende. Formålet er at give ledelse og beslutningstagere et klart overblik over, hvad NIS 2 og CER betyder i praksis – og hvordan kravene kan bruges til at styrke organisationens samlede modstandsdygtighed.
 

Fokus på sikkerheden i vandsektoren skærpes

Trusselsbilledet mod vandsektoren er alvorligt og stigende. Center for Cybersikkerhed offentliggjorde i januar 2025 en trusselsvurdering for vandsektoren, som peger på en høj cybertrussel fra blandt andet statslige aktører, ransomware-grupper og hacktivister. Samtidig har konkrete hændelser i Danmark vist, at truslen er reel. Et hackerangreb mod et vandværk i Køge i december 2024 førte blandt andet til driftsforstyrrelser og sprængte vandrør.

Kilde: Russiske hackere angreb dansk vandværk – nu strammer myndighederne kravene | TV 2 Kosmopol

Hvis du skulle være interesseret i at dykke yderligere ned i trusselsvurderingen, så klik på linket: Cybertruslen mod vandsektoren

Cybertruslen er i dag et grundvilkår. Vandsektoren er særligt sårbar, blandt andet på grund af ældre OT-systemer, begrænset netværkssegmentering og få dedikerede cybersikkerhedsressourcer. Det er en væsentlig del af baggrunden for de skærpede krav i NIS 2.

 

Hvem er omfattet?

NIS 2 omfatter vand- og spildevandsforsyninger, der vurderes som kritiske for samfundet. Som udgangspunkt vil mellemstore og store forsyninger kunne være omfattet på baggrund af størrelse, herunder antal ansatte og økonomi. Derudover gælder en vigtig undtagelse: Nogle enheder er omfattet uanset størrelse, hvis de har en særlig samfundskritisk funktion.
 

Faktaboks

En vigtig enhed skal desuden opfylde mindst én af følgende betingelser: 

  1. enheden beskæftiger mindst 50 årsværk 
  2. enheden har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR. 


En væsentlig enhed skal opfylde én af følgende betingelser: 

  1. enheden beskæftiger 250 personer eller derover 
  2. enheden har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR.


Kilde: Vejledning til vandsektoren om anvendelses områder


Spildevandsforsyninger

Miljøstyrelsen vurderer, at alle spildevandsforsyninger, der er omfattet af vandsektorlovens § 2, stk. 1, også er omfattet af NIS2-loven. Det betyder i praksis, at langt størstedelen af de danske spildevandsforsyninger er underlagt de nye krav til cybersikkerhed og robusthed.


Drikkevandsforsyninger (vandværker)

Jo større mængde drikkevand et vandværk leverer, desto større er sandsynligheden for, at det er omfattet af NIS2-loven. Som tommelfingerregel vurderer Miljøstyrelsen, at vandværker, der leverer over 800.000 m³ vand årligt i to på hinanden følgende år, bør være omfattet.

Derudover kan en drikkevandsforsyning også være omfattet, hvis den leverer vand til særligt kritiske funktioner, herunder:

  • Hospitaler med mere end 200 ansatte
  • Plejehjem med samlet over 200 beboere
  • Fængsler eller arresthuse med over 200 pladser
  • Øer, hvor vandværket forsyner mere end 2.000 indbyggere


Kort sagt er det både vandmængden og betydningen af de kunder, der forsynes, som afgør, om en drikkevandsforsyning er omfattet af NIS 2.

Omfattet – uanset størrelse

Nogle vand- og spildevandsforsyninger er omfattet af NIS 2, uanset hvor store de er. Det gælder især, hvis de bliver vurderet som kritiske enheder eller har særlig betydning for samfundet. En forsyning kan blandt andet være omfattet, hvis et nedbrud kan påvirke den offentlige sikkerhed eller folkesundheden, få konsekvenser for andre sektorer eller hvis forsyningen har en central regional rolle og ikke umiddelbart kan erstattes af andre.

Hvis du vil vide mere om anvendelsesområdet for vandsektoren kan du læse vejledningen fra Miljøstyrelsen ved at klikke på linket: Vejledning til vandsektoren om anvendelses områder


Hvad betyder CER for vandsektoren?

Parallelt med NIS 2 er CER-direktivet trådt i kraft. Hvor NIS 2 har fokus på cybersikkerhed, handler CER om den bredere modstandsdygtighed i samfundskritisk infrastruktur. Hvis en vand- eller spildevandsforsyning bliver omfattet af CER-loven, vil den som udgangspunkt også være omfattet af NIS 2.

Myndighederne skal senest den 17. juli 2026 identificere de kritiske enheder i sektoren. I den forbindelse vil Miljøstyrelsen udpege de forsyninger, der anses som kritiske, og som dermed skal leve op til kravene i både CER- og NIS 2-lovgivningen.

CER stiller krav om, at kritiske enheder arbejder systematisk med at forebygge, håndtere og hurtigt komme sig efter alvorlige hændelser. Det gælder både fysiske hændelser som naturkatastrofer og tekniske fejl samt trusler som cyberangreb og terror.

Hvis en forsyning bliver udpeget som kritisk enhed, indebærer det blandt andet krav om risikovurderinger, beredskabs- og kontinuitetsplaner, forebyggende foranstaltninger, evne til hurtig genopretning og underretning af myndighederne ved væsentlige hændelser.


Tidslinje for CER

Herunder kan I se tidsramme for implementering af CER.

  • 17. juli 2026: Myndigheder identificerer kritiske enheder. 
  • 1 måned: De kritiske enheder skal være underrettet.
  • 9 måneder: Risikovurdering skal være på plads.
  • 10 måneder: Kravene i CER-loven skal være opfyldt. 

Kilde: Hvornår træder CER-loven i kraft? – Tidsplan for implementering

Når man først er udpeget, går der under ét år, før kravene skal være fuldt implementeret. 


Hvad bør forsyninger gøre nu?

Miljøstyrelsens vejledning fra april 2026 giver konkrete anbefalinger til, hvordan vand- og spildevandsforsyninger kan leve op til NIS 2-lovens krav til cybersikkerhed. Vejledningen peger også på, at anerkendte sikkerhedsstandarder kan bruges som ramme for arbejdet. Det gør det lettere at omsætte lovkrav til praksis og arbejde mere struktureret med sikkerhed og efterlevelse.

Find vejledning til vandsektoren om foranstaltninger her.


Hvordan kan BDO hjælpe?

Kravene i NIS 2 og CER handler ikke kun om compliance. De handler også om at styrke robustheden i en sektor, som er afgørende for samfundet. Jo tidligere arbejdet sættes i gang, desto bedre er forudsætningerne for at prioritere de rigtige indsatser og skabe et solidt grundlag for både sikkerhed og drift.

Kontakt os gerne for en uforpligtende dialog om, hvordan I kan arbejde struktureret med NIS 2 og CER – og omsætte kravene til konkrete initiativer i jeres egen organisation.

Forfattere