§ 10 Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet

Publisert
  • Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet.
  • Dere skal sikre alle styringssystemene mot dataangrep.
  • Forebyggende sikring må ses i sammenheng med andre krav i forskriften.
  • Dere må etablere en sikkerhetskultur.

Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet

Som vannverkseiere har dere ansvar for at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret mot uautorisert tilgang og bruk. Dette gjelder også vanninntak, drikkevannsbasseng og pumpestasjoner. 

Her er eksempler på hva dere bør vurdere behovet for i forbindelse med fysisk sikring av vannforsyningssystemet: 

  • tak på drikkevannsbassenget
  • lås på inngangen til vannbehandlingsanlegg, drikkevannsbasseng og pumpestasjoner
  • oversikt over alle nøklene som gir adgang, og hvem som disponerer disse
  • rutiner for å erstatte nøkler og skifte låser
  • alarm på inngangsdører og vinduer
  • eget skap eller rom for innlåsing av kjemikalier som ikke er koblet på vannbehandlingssystemet for automatisk dosering

Denne listen er ikke fullstendig, og hvilke spørsmål som er relevante, må vurderes for hvert enkelt vannforsyningssystem.

Rapporter utarbeidet av bransjeforeninger og offentlige etater kan hjelpe dere med å vurdere hva som er tilstrekkelig:

Dere skal sikre alle styringssystemene mot dataangrep

Som vannverkseiere har dere ansvar for at digitale styringssystemer er tilstrekkelig sikret mot dataangrep. Nasjonal sikkerhetsmyndighet (NSM) oppfordrer vannverkseiere til å følge generelle sikkerhetstiltak på området. NSM anbefaler derfor flere nødvendige tiltak for å gjøre kritiske samfunnsfunksjoner mer motstandsdyktige. I tillegg skal vannverkseier legge farekartleggingen (§ 6) til grunn for valgte sikringstiltak.

NSM oppfordrer vannverkseiere til å sjekke at tiltakene under er innført i egen virksomhet, og vurdere å innføre tiltak som ikke allerede er på plass.

  • Det bør etableres god logging i digital infrastruktur knyttet til industrielle kontrollsystemer (ICS)1 og operasjonell teknologi (OT).
    • Logger dere aktivitet knyttet til digital infrastruktur knyttet til industrielle kontrollsystemer?
    • Har dere overvåking av loggene som gjøre dere i stand til å oppdage unormale hendelser?
       
  • Komponenter av OT- eller industrielle kontrollsystemer bør ikke ha direkte fjerntilgang over internett. OT- og IT-nettverk bør deles opp i mindre soner for å øke sikkerheten.
    • Har dere etablert muligheten for fjerntilgang til komponenter av OT- eller industrielle kontrollsystemer fra Internett?
  • Det bør være strenge autentiseringskrav og aksesskontroll med bruk av phishingresistent flerfaktor som for eksempel en autentiseringsstandard (FIDO2) og/eller biometri.
    • Har dere tatt i bruk MFA (flerfaktor-autentisering)?
    • Har dere implementert phishingresistent autentisering?
       
  •  Virksomheter bør etablere og øve på planer for hendelseshåndtering for å redusere negative konsekvenser.
    • Har dere etablert en krise- og beredskapsplan knyttet til industrielle kontrollsystemer OT?
    • Har dere gjennomført øvelser der planene kommer til anvendelse?
       
  • Virksomheter som forvalter infrastruktur med industrielle kontrollsystemer og OT bør etablere en plan for å opprettholde tilstrekkelig kompetanse innen fagfeltet industriell cybersikkerhet. 
    • Har dere en plan som sikrer at tilstrekkelig kompetanse innen fagfeltet industriell cybersikkerhet opprettholdes i virksomheten?
       
  • Slike virksomheter bør ha kjennskap til standarder som NEK 820:2021 «Cybersikkerhet for industrielle automatiserings- og kontrollsystemer» og/eller NIST SP 800-82 rev. 3 «Guide to operational technology (OT) security».
  • Vannforsyninger som forvalter verdier som er skjermingsverdig etter sikkerhetsloven må oppdatere risikovurderingen sin, og iverksette nødvendige tiltak for å møte risikoen.
    • Har dere etablerte rutiner for gjennomføring og oppfølging av risikovurderinger?
       
  • Virksomheter skal ha lav terskel for å varsle NSM eller sektorvise responsmiljøer om uønskede cyberhendelser
    • Har dere rutiner for varsling av hendelser til sektorvis responsmiljø (Helse- og kommuneCERT)2?
1Industrielle kontrollsystemer er teknologier og systemer som brukes til å styre og overvåke industrielle prosesser. Disse systemene kan finnes i driften av vannforsynings- og distribusjonssystemer.
2 Helse- og KommuneCERT er sektorvis responsmiljø for helse- og kommunesektoren, inkludert vann- og avløpssektoren. Alle virksomheter som jobber med kommunal vannforsyning og/eller understøtter vannforsyning kan bli medlem hos Helse- og KommuneCERT og få tilgang til deres tjenester. For mer informasjon se: Helse- og kommunecert (nhn.no)
 
Heller ikke denne listen er fullstendig, og hvilke spørsmål som er relevante, må vurderes for hvert enkelt vannforsyningssystem.

Rapporter utarbeidet av bransjeforeninger og offentlige etater kan hjelpe dere med å vurdere hva som er tilstrekkelig:

Rapportene «Veiledning for sikkerhet av driftskontrollsystemer for VA-systemer», «Sikkerhetsstyring for vannbransjen» og «Informasjonssikkerhet og skybaserte tjenester for vannbransjen» fra Norsk Vann kan være eksempler på nyttige rapporter.

Forebyggende sikring må ses i sammenheng med andre krav i forskriften

Når dere arbeider med forebyggende sikring av vannforsyningssystemet, er det viktig at dere tar utgangspunkt i resultatene fra blant annet farekartlegging og farehåndtering og beskyttelsestiltak. Dette vil hjelpe dere til å få en effektiv og god produksjon av nok trygt drikkevann.

Dere må etablere en sikkerhetskultur

Skal de forebyggende tiltakene for sikring få effekt, må alle som gjør oppgaver for vannforsyningssystemet, få opplæring. Nasjonal sikkerhetsmyndighet definerer sikkerhetskultur som summen av de ansattes kunnskap, motivasjon, holdninger og atferd. En forutsetning for å skape den nødvendige sikkerhetskulturen er at alle forstår hva som er grunnlaget for sikkerhetskravene, og handler riktig ut fra dette.

Regelverk

Drikkevannsforskriften § 10

§ 10. Forebyggende sikring

Vannverkseieren skal sikre at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret, og at alle styringssystemer er tilstrekkelig sikret mot uautorisert tilgang og bruk.
Se hele forskriften (lovdata.no)

Kilde: Lovdata.no

Se endringer

Oppdatering av veiledningsteksten til drikkevannsforskriftens § 10 Forebyggende sikring

Nasjonal sikkerhetsmyndighet (NSM) oppfordrer virksomheter til å styrke egen sikkerhet.

Helse- og omsorgsdepartementet og NSM oppfordrer derfor norske virksomheter til å sjekke om deres anbefalninger er innført i egen virksomhet. På grunnlag av gitt oppfordringer har vi opptartet veiledningsteksten til drikkevannsforskriftens § 10 Forebyggende sikring.