Norsk Vann har avgitt innspill til Justis- og beredskapsdepartementets høring til forskrift om digital sikkerhet (digitalsikkerhetsforskriften), som foreslås hjemlet i datasikkerhetsloven.
Digitalsikkerhetsloven vil, sammen med forslaget til forskrift om digital sikkerhet, gjennomføre NIS1-direktivet og gjennomføringsforordningen i norsk rett.
Bakgrunn
Formålet med digitalsikkerhetsloven er å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverk og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven stiller overordnede krav til digital sikkerhet og varsling ved hendelser som virker betydelig inn på tjenesteleveransen, og angir virkeområdet i form av hvilke sektorer den gjelder for.
Forslag til forskrift om digital sikkerhet presiserer virkeområdet for tilbydere av samfunnsviktige tjenester, og det foreslås at det i særlige tilfeller kan fattes enkeltvedtak om at loven også skal gjelde andre tilbydere av samfunnsviktige tjenester.
Det foreslås blant annet å forskriftsfeste at tilbyder av samfunnsviktig tjeneste skal etablere og vedlikeholde et styringssystem for digital sikkerhet, som beskriver virksomhetens sikkerhetsarbeid, og at dette skal være en del av virksomhetens styringssystem. Styringssystemet for digital sikkerhet vil omfatte både digitale, fysiske og personelle sikkerhetstiltak. Risikostyring skal inngå som en del av styringssystemet og skal sikre at virksomheten oppfyller lovpålagte krav. Styringssystemet skal dokumenteres og jevnlig kontrolleres med sikte på revisjon, og det er virksomhetens leder som har det overordnede ansvaret.
Hele høringsnotatet fra Justis- og beredskapsdepartementet er tilgjengelig her
Norsk Vann mener
Kort oppsummert foreslår Norsk Vann at Helse- og KommuneCERT blir responsmiljø for vannforsyningssystemene, i et tett og forpliktende samarbeid med InfraCERT. Sammen vil disse miljøene kunne ivareta den nødvendige helheten og samtidig ha spisskompetanse på OT.
Det er hensiktsmessig og naturlig at varsling etter digitalsikkerhetsforskriften §17, for vannforsyningssystemer, går til Helse- og KommuneCERT.
Varsling av hendelser som berører leveransesikkerhet og kvalitet på drikkevannet, skal varsles Mattilsynet på ordinær måte etter kravene i drikkevannsforskriften.
