Så blir Sörmland Vatten och Avfall NIS2- och CER-kompatibelt

Där NIS2 handlar mycket om it- och informationssäkerhetsfrågor handlar CER mer om att bygga en robusthet kring kritiska verksamhetsprocesser.

Redan idag berörs bolaget av det ursprungliga NIS-direktivet, men med uppgraderingen intensifieras arbetet ytterligare. 

– Endast vår vattenförsörjning berördes av NIS1, med NIS2 berörs hela vår verksamhet med avlopp, renhållning och så vidare. Alla kärnprocesser omfattas. NIS2 slår bredare och ställer även högre krav på att rapportera till myndigheter, säger Michael Caldevi, IT/OT-strateg på Sörmland Vatten och Avfall.

I oktober i år ska NIS2 klubbas igenom i EU, och därefter tillämpas i svensk lag. Hur denna tillämpning kommer att se ut är inte klart än, vilket försvårar arbetet en aning. 

– Vi har vissa riktlinjer över vad som kommer att innefattas, men inte på en så detaljerad nivå. I runda slängar har vi koll på runt 90 procent av vad som kommer att krävas av oss. Här försöker vi angripa frågan genom att följa ISO-standarden 27 000 för informationssäkerhet. 

Även i CER-förberedelserna använder Sörmland Vatten och Avfall en specifik certifiering. 

– Här följer vi certifieringen IEC 62433, som är en standard mer anpassad för OT-nätverk, vattenverk, reningsverk och pumpstationer.

Människa, teknik, organisation

Utöver certifieringarna försöker Sörmland Vatten och Avfall att angripa de två direktiven via ett holistiskt synsätt som kallas MTO (människa, teknik, organisation).

Enligt Michael Caldevi är det lika viktigt att ha en säkerhetsmedveten organisation som att ha bra teknik på plats. 

– Enligt NIS2-direktivet är organisationen väldigt viktig. Blir det revision kommer de att titta på hur vi fördelar ansvaret, vilka incidentrapporteringsrutiner vi har, hur vi dokumenterar och så vidare. 

Här gäller det därför att bygga upp robusthet även i de mänskliga resurserna, ett arbete som inleds med att bygga bort personberoendet. 

– Och hur gör man då det? Jo, genom dokument och mallar. Det är varken sexigt eller roligt med dokumentation men det är högst nödvändigt, och man måste sänka tröskeln för det. Vi behöver kratta manegen så att olika roller får tillgång till rätt information och kan täcka upp för varandra, då skapas robusthet. 

– Jag försöker även säkra mänskliga resurser för större kriser och i värsta fall – krig. Här försöker jag arbeta bort den svenska naiviteten, det vill säga att krig inte skulle kunna hända här. Det ska väl dock sägas att det inte finns oändliga resurser på området, så det gäller att jobba smart. 

2022 drabbades Norrköpings kommun av en cyberattack. Då arbetade du på Räddningstjänsten Östra Götaland och hade kommunen som it-driftpartner. Vilka lärdomar kan du dra från det? 

– En lärdom är att man står relativt ensam i en sådan situation. Kommunen fokuserade på sina förvaltningsområden och vi hamnade lite vid sidan av. Då gäller det att ha robusthet inhouse, så att man kan klara sig på egen hand i en sådan typ av kris.

En annan lärdom blev att implementera en SOC-tjänst. Såsom kraven i NIS2 är skrivna kan SOC lösa många delar, menar Michael Caldevi. 

– Vi kan inte ha dygnet runt-tillgänglighet på våra interna it-resurser, men om vi kopplar på en SOC-tjänst och ger operatörspersonal mandat att agera, exempelvis genom att stänga av system, kan det lösa mycket. Vid en lyckad attack kan det ibland bara ta några timmar för en verksamhet att helt tappa kontrollen över sina system. 

– En viktig del är också att öva på cyberattacker. På Räddningstjänsten jobbade vi med kriser varje dag, men cyberattack-scenariot hade organisationens chefer inte hunnit träna på innan den riktiga attacken inträffade. Så även om verksamheten i övrigt är duktig på kriser, är det viktigt att öva på just cyberattacker. Övning är också något som NIS2-direktivet ställer krav på. 

Ha koll på leverantörer

Nytt för NIS2 är även att berörda aktörer behöver hantera tredjepartsrisker. Därmed behöver Sörmland Vatten och Avfall ställa krav på hur deras leverantörer arbetar med sin säkerhet. Något som kan vara lätt att göra vid en upphandling, men svårare med redan existerande leverantörer. 

– Ett dilemma när det gäller leverantörer av nischade verksamhetssystem är att de ibland kan ha nästintill monopolställning. De har kanske runt 90 stora kommuner som kunder men fokuserar inte på säkerhetsfrågor. Det blir då en stor fälla att alla tänker att det är säkert för att andra kommuner använder systemet.  

– Med NIS2 måste dessa leverantörer ta sig i kragen. De kommer behöva redovisa för sina kunder att de arbetar kontinuerligt med säkerhet, att de har gjort tester, och att de vidtagit åtgärder ifall sådana behövs. Om leverantörerna inte gör detta kommer de att bli synade, både av oss kunder och av svenska myndigheter, avslutar Michael Caldevi.