Hvorfor er drikkevandsforsyningsselskaber under NIS 2's cybersikkerhedsmikroskop?
Vandsektoren, der engang blev betragtet som immun over for højprofileret cyberkriminalitet, befinder sig nu under et nyt regulatorisk søgelys. Nationale og regionale drikkevandsforsyningsselskaber bærer et ansvar for både essentiel servicekontinuitet og offentlig sikkerhed - men i den digitale tidsalder er enhver fjernforbindelse, PLC og feltenhed en ny portal for angreb. ENISA's seneste trendrapporter lægger ikke fingrene i hjulet: hackinghændelser, ransomware og brud på forsyningskæden er reelle, hvor nylige afbrydelser påvirker millioner og presser vandforsyningsselskaberne til den yderste grænse for operationel tolerance.
Grænsen mellem informationssikkerhed og vandsikkerhed bliver tyndere dag for dag i dit forsyningsselskab.
I dag betyder "inden for anvendelsesområdet" størstedelen af EU's drikkevandsleverandører – medmindre du opererer under de tærskler, der er fastsat for mikroenheder, kan du forvente nye forpligtelser. NIS 2 efterlader ingen smuthuller: ledelsen er nu direkte ansvarlig (ikke kun IT, men også bestyrelsesmedlemmer, der godkender overholdelse af reglerne). Dette er en gennemgribende ændring fra compliance-æraen efter 2018, hvor isolerede teams eller årlige revisioner var tilstrækkelige. Dit forsyningsselskabs modstandsdygtighed påvirker kontrakter, kundernes tillid og – afgørende – tilsynsmyndighedernes kontrol.
Nylige angreb har ikke blot resulteret i tab af service, men også i advarsler om vandkvalitet, offentlige forbud og alvorlige bøder. Omdømme- og driftsskaden hænger ved: tab af tillid, udelukkelse fra kontrakter og straffende tilsyn kan definere et forsyningsselskabs skæbne i årevis.
At demonstrere integreret cyber- og operationel robusthed er ikke et must – det er nu sektorens overlevelseslinje.
Nyheder: NIS 2 og drikkevandsdirektivet - et korsvej i overensstemmelse med reglerne
Med drikkevandsdirektivet (DWD) i færd med at konvergere med NIS 2, er gamle siloer mellem vandsikkerhed og cybersikkerhed forældede. Overholdelse af reglerne betyder ikke længere at opretholde to "afkrydsningsfelt"-programmer: revisionsberedskab kræver nu ét levende, samlet risikokontrolsystem. I henhold til disse nye regler skal alt fra fjernadgangslogge og firmware til digitale målere til sikkerhedsprotokoller for anlæg og kritisk leverandørgodkendelse eksistere i et synkroniseret, gennemgangsklart evidensøkosystem.
Manglende regeloverholdelse trives, når digital risiko og vandsikkerhed ikke er forbundet med hinanden.
Den mest almindelige fejl? Behandling af digital risiko og vandsikkerhed som separate forhold; forsømmelse af tekniske forsyningskædekontroller; eller ignorering af vigtigheden af nøjagtige, levende risikoregistre. NIS 2 og DWD kræver fælles operationaliserings-kortlægning af cyberhændelser og vandsikkerhed i forhold til kontroller, afbødningsejere og registre i realtid.
Det digitale rørsystemparadoks: Hvor IT møder kildevand
Vandforsyningsdirektivet (DWD) kræver nu digital risikoanalyse – hvilket betyder, at din cybersikkerhedspolitik er uadskillelig fra selve vandkvaliteten. Fabriksledere, IT- og sikkerhedsansvarlige skal koordinere: automatiserede målere, bærbare computere i felten, fjernstyrede sensorer – alt sammen afslører nye angrebsvektorer, der er frit spil for myndighedernes inspektion.
Ledelsens ansvar: Bestyrelseslokalet er nu kommandocentralen
Med NIS 2 ligger ansvaret direkte i bestyrelseslokalet. Ledelsen skal ikke blot godkende, men aktivt gennemgå og underskrive sikkerhedsforanstaltninger, revisionscyklusser og kontrolkontinuiteter. Revisorer forventer klar rollefordeling, regelmæssige ledelsesgennemgange på bestyrelsesniveau og et dokumentationsspor, der forbinder alle risici og afbødninger med driftslogfiler og leverandørgodkendelse.
Succes i dette reguleringsdrevne miljø betyder ikke blot at vise overholdelse af politikker, men også beslutningsregistreringer - bevis på løbende årvågenhed og forbedringscyklusser, der er logget og kan hentes frem.
Mestre NIS 2 uden regnearkkaos
Centraliser risici, hændelser, leverandører og bevismateriale på én ren platform.
OT/ICS-praktikere: Teknisk revisionssikring for anlægs- og feltoperationer
Overholdelse af regler for anlægsoperatører og ingeniører er blevet udvidet langt ud over det grundlæggende inden for IT. Rutinemæssige aktivopgørelser, adgangskodeudskiftning og hændelseslogfiler er afgørende. Guldstandarden: en altid opdateret database over alle enheder, controllere, firewalls, leverandøradgangspunkter og ældre OT-aktiver. Revisorer markerer rutinemæssigt resultater, når SCADA-controllere eller ikke-listede feltsensorer udelades fra hovedlister.
Alle revisionsklare forsyningsvirksomheder ved: Du er kun så stærk som din langsomste opdateringslog, svageste adgangsregistrering eller ældste leverandøraftale.
Forsyningskæde og OT-respons: Øv, ikke bare dokumentér
Regulatorer kræver nu mere end bare håndbøger til håndtering af hændelser – de forventer kompetence, hvilket er bevist ved rutinemæssige tværfaglige øvelser (felt, fabrik, IT, ekstern leverandør) med loggede resultater. Både dit forsikringsselskab og din regulator ønsker bevis: Hvis en ekstern leverandør med VPN-adgang udløser en alarm, eller en mobiloperatør er langsom til at opdatere, har du logfiler, tests og hurtige responsveje.
En falsk følelse af sikkerhed i regneark er i sig selv en højrisiko.
Vigtige elementer i OT/ICS-anlægsrevision
Nedenfor er de centrale revisionskomponenter, der nu forventes af operatører i drikkevandssektoren:
| Miljø | Forventning | Prøvebevis krævet |
|---|---|---|
| Aktivbeholdning | Komplet, inklusive arv | Kvartalsvis opdateret enhedsregister |
| SCADA-risikovurdering | Hvert endepunkt kortlagt og scoret | Risikologfiler, systemdiagrammer |
| Hændelsesøvelser | Regelmæssige prøver med flere hold | Øvelsesrapporter, fremmødelogge |
| Leverandørrisiko | Aktiv leverandør- og hændelsessporing | Register over eksponeringer og reaktioner |
SoA (Statement of Applicability) bliver dit kort, der binder risiko, kontrol og bevis. De bedst drevne forsyningsselskaber har aldrig problemer; al dokumentation er hurtig, sporbar og sammenkædet.
Forsyningskædesikkerhed: Eliminering af blinde vinkler i vandforsyningsøkosystemet
Forsyningskæden er den nye vektor for brud på sikkerheden. Nylige håndhævelsesforanstaltninger viser, at fejl i leverandørrisikostyring kan udløse sektoromfattende revisioner eller direkte sanktioner. Selv små nicheleverandører - såsom firmwareudviklere eller vedligeholdelsesentreprenører uden for åbningstid - kan blive din forsyningsvirksomheds største faktiske risiko.
Huller skjuler sig sjældent hos store, åbenlyse leverandører – de svage led viser sig normalt hos mindre, højt specialiserede eller lavprofilerede partnere.
Sporbarhed: Fra udløser til bevis
En sporbarhedstracker er nu afgørende: enhver leverandørhændelse i den virkelige verden (adgang, brud, kontraktgennemgang) skal oprette direkte forbindelse til risikoregisteret, SoA-kontrolpunktet og logget bevismateriale. Manuelle regneark modstår sjældent revisionsundersøgelser.
| Udløser | Risikoopdatering | Kontrol-/SoA-link | Beviser registreret |
|---|---|---|---|
| Leverandør muliggør fjernadgang | Revision af risikoscore (↑) | A.15.1 – Leverandørrel. | Risikoregister, godkendelseslog |
| Firmware-sårbarhed afsløret | Ny risiko, tildelt rolle | A.12.6 – Teknisk vul.styring | Programrettelsesplan, hændelseslog |
| Notifikation om hændelser fra tredjepart | Nødgennemgang | A.5 – Hændelsesrespons | Kommunikationslog, rettelser |
| Kontrakt forlænget/opdateret | Revurder risikoen, opdater | A.15.2 – Outsourcing | Kontraktgennemgang, godkendelsesdokumenter |
Efter hver leverandørudløser, nyt bevis - ikke flere skattejagter ved revision.
Vær NIS 2-klar fra dag ét
Start med et gennemprøvet arbejdsområde og skabeloner – bare skræddersy, tildel og gå i gang.
Fra politik til revisionssikker evidens: Oprettelse af et levende compliance-system
Regulatorer definerer nu "compliance" ikke som hyldepolitikker, men som levende, beslutningsregistreret dokumentation. Det betyder digitale forsyningskædelogge, opdateret historik over risikoreduktioner og bestyrelsesunderskrevne risikobeslutninger – klar med et enkelt klik. Revisorer forventer hyppige "brandøvelser", ikke kun årlige gennemgange.
I dagens reguleringsklima er det i sig selv en manglende overholdelse af reglerne at undlade at levere en dokumentationslog på anmodning.
ISO 27001-overholdelsesbrotabel
En klar bro mellem den operationelle virkelighed og Annex A-kontroller sikrer forsvarlighed:
| Forventning | Operationalisering | ISO 27001 / Bilag A Reference |
|---|---|---|
| Bestyrelsen godkender risikostyring | Dokumenterede risici + godkendelser | 5.4, 5.7, 8.2, 8.3 |
| Register over levende leverandører | Versionsbaserede logfiler, kvartalsvis gennemgang | 5.19, 5.20, 5.21, 5.22 |
| Hurtig indhentning af bevismateriale fra hændelser | Meddelelseslogfiler, automatiske advarsler | 5.24, 5.26, 5.27, 5.28 |
| ENISA + DWD-sporbarhed | Tilknyttede logfiler/registre | 4.1, 6.1.2, 6.1.3, 12, 15 |
Revisionsevnen er bygget på at forbinde forventning til log til kontrol - alt mindre er høj risiko.
Integrering af vandsikkerhed, cyberrisiko og forretningskontinuitet: Sådan opnår du synergi i forbindelse med compliance
Der er behov for et nyt "compliance-operativsystem": separate logfiler, politikker og registre vil kollapse under presset fra NIS 2. Bestyrelseslokaler forventer nu én arbejdsgang, der binder ENISA-, DWD- og ISO-kontroller i et enkelt dashboard. Enhver risiko - uanset om det er fabrik, cyber eller leverandør - skal flyde gennem et samlet bevisregister.
- Sammenlagt risikoregister: Hændelses-, digitale, vandkvalitets- og leverandørrisici registreret ét sted.
- Automatiseret kortlægning: Opdater én gang, og spred på tværs af DWD-NIS 2-ISO-handlingslogfiler med live ejer/godkender.
- Gennemgang af dashboard: Bestyrelse og revisionsteams ser alt med et enkelt blik – risikotendenser, hændelsers underliggende årsag og leverandørstatus.
- Feedback loop: Læring fra virkelige hændelser indgår direkte i live-kontroller og afbødende protokoller.
Alle dine NIS 2, samlet ét sted
Fra artikel 20-23 til revisionsplaner – kør og bevis overholdelse af regler fra ende til anden.
Styrkelse af bestyrelsens tillid: Ledelse, kultur og social bevisførelse
Tillidsvalutaen for moderne forsyningsselskaber er "revisionsdokumenteret robusthed". Bestyrelsesgodkendelse, live dashboards og dokumenterede erfaringer danner grundlaget for denne valuta. Benchmarks fra andre konkurrenter, anerkendelse fra branchen og succesfulde udbud følger dem, der demonstrerer en levende compliance-kultur.
Et ry for revisionsbevist robusthed er mere end cyberforsvar. Det er valuta for kontrakter, finansiering og anerkendelse fra andre i hele Europa.
Førende virksomheder udfører regelmæssige stresstest, logger alle større risikoopdateringer og holder deres bestyrelse inden for et enkelt klik fra centrale compliance-dashboards. Data viser færre revisionsresultater, hurtigere hentning af hændelser og højere medarbejderengagement i dem med levende compliance-workflows. Præmien er betydelig: lavere forsikringspræmier, flere succesfulde udbud og isolering mod konsekvenserne af negative revisioner.
Klar til at flytte? ISMS.online understøtter NIS 2 drikkevandsoverholdelse for alle roller
Bestyrelseslokale, sikkerhedskontor, fabrik eller felt - compliance-udfordringen berører nu alle pladser i forsyningsvirksomheden. ISMS.online er udviklet til dette øjeblik: en samlet platform til live kontrolstatus, bevismateriale, risiko- og aktivregistre med roller og ansvarsområder kortlagt for NIS 2, DWD og ISO 27001-compliance (isms.online).
Forsyningsselskaber, der allerede bruger ISMS.online, har halveret de gennemsnitlige revisionsresultater, reduceret tiden for indhentning af bevismateriale fra dage til minutter og strømlinet bestyrelsesrapportering (sektorbenchmarks, isms.online-data). Medarbejdere - fra operatører til compliance-ledere - bruger integrerede arbejdsgange til at forene leverandør-, tekniske og hændelsesresponser, hvilket flytter sektorstandarden fra fragmenteret til revisionsafprøvet.
Lad compliance blive din konkurrencefordel: Nu er det tid til at forvandle modstandsdygtighed til operationel sikring, omdømmevaluta og bevis fra den virkelige verden for alle interessenter. Hvor vil din organisation stå ved den næste revisionscyklus – og hvilken historie vil din bestyrelse fortælle?
Ofte stillede spørgsmål
Hvem skal overholde NIS 2 i drikkevandssektoren, og hvad udløser lovgivningsmæssige forpligtelser?
Under NIS 2, ethvert EU-drikkevandsforsyningsselskab med over 50 medarbejdere, årlig omsætning over € 10 mio, eller en kritisk sektorbestemt rolle er nu "inden for rammerne" af omfattende cybersikkerhedsregulering. Uanset om du er en byvandmyndighed, regional leverandør, outsourcet servicechef eller forsyningskædepartner (som en SCADA-leverandør eller kemikalieleverandør), udløses lovgivningsmæssige forpligtelser, når du overskrider størrelsesgrænser, eller hvis myndighederne udpeger dine tjenester som essentielle for folkesundheden eller den nationale sikkerhed.
Dette skift rammer mange tidligere undtagne forsyningsselskaber – især mindre operatører, hvis systemer eller leverandører understøtter vital vandforsyning i lokalsamfund. Direkte vandoperatører, essentielle entreprenører og forsyningsforvaltere skal forberede sig, da en hændelse, revision eller omklassificering kan aktivere ordningen natten over. NIS 2 udvider de juridiske pligter langt ud over IT og kræver nu ejerskab og operationel ansvarlighed på bestyrelsesniveau i hele virksomheden.
Hvad gør en drikkevandsenhed "inden for rammerne"?
- ≥ 50 ansatte: or €10+ millioner årlig omsætning
- Sektorbetegnelse som "essentiel" (via folkesundheds-, økonomiske eller sikkerhedsmæssige konsekvenser)
- Outsourcet administration, SCADA/cloud-leverandører og nøgleleverandører, der påvirker vandforsyning eller -sikkerhed
I NIS 2's verden defineres robusthed fra bestyrelseslokale til tap-ingen undtagelser for udbyderens størrelse eller struktur.
Hvad er de vigtigste skridt for at opnå og opretholde NIS 2-overholdelse for et vandforsyningsselskab?
Overholdelse af NIS 2-kravene for drikkevandsforsyninger er en levende driftsdisciplin, ikke et engangsfelt. Nøglekrav:
Etabler et robust informationssikkerhedsstyringssystem (ISMS)
Vedtag bestyrelsesgodkendte politikker og kontroller – ideelt set kortlagt til ISO 27001-med klar risikokortlægning, dokumenteret ansvar og regelmæssige effektivitetsvurderinger. Politikken skal kunne føres ud i livet og spores, ikke blot arkiveres.
Løbende risikovurdering og trusselsovervågning
Vedligehold et dynamisk risikoregister, der ikke blot dækker klassiske cybertrusler (ransomware, phishing), men også operationelle risici for feltenheder, nedbrud i forsyningskæden, sabotage og samspil mellem digitale/fysiske hændelser.
Opgørelse over aktiver og livscyklussporing
Log, gennemgå og opdater løbende alle aktiver – fysiske (PLC'er, servere), digitale (SCADA, cloud, målere) og mobile. Inkluder nye implementeringer, udfasninger og leverandørejet infrastruktur.
Scenariebaseret hændelsesrespons
Kør og log simulerede øvelser (IT, OT, leverandørdrevet), med inddragelse af alle relevante interessenter. Gennemgå og spor indhøstede erfaringer for at kontrollere forbedringer og ledelsestiltag.
Versionsbaseret, kortlagt dokumentation
Enhver politikgodkendelse, risikoopdatering, leverandørgennemgang og hændelse skal have tidsstemplet, versionskontrolleret dokumentation med links til SoA/bilag A-kontroller og eksplicit bestyrelsesgodkendelse.
Leverandør- og tredjepartstilsyn
Før et levende leverandørrisiko-/kontraktregister med integrerede cyberklausuler, formuleringer om ret til revision og hændelseslogfiler for øvelser, brud og kontraktændringer.
Løbende ledelsesevaluering og læring
Kvartalsvise evalueringer af C-suite/bestyrelsesledelse, ad hoc efter behov, med logføring af lærings- og tilpasningsevner.
Daglig beredskab skabes ikke af statiske dokumenter – det er live-kontrol, synlig i hver log, ikke kun på revisionstidspunktet.
Hvordan har NIS 2 (med drikkevandsdirektivet) ændret revision og rapportering for vandforsyningsvirksomheder?
De dage med isolerede "IT"- eller "sikkerheds"-revisioner er forbi – NIS 2 og drikkevandsdirektivet kræver sammenhængende styring og dokumentation. Regulatorer og forsikringsselskaber forventer nu:
- Ensartede risikoregistre på tværs af standarder: Enhver nøglerisiko skal kortlægges til NIS 2- og DWD-rammeværk, ideelt set i et enkelt live-system.
- Øjeblikkelig, omfattende bevisindhentning: Revisorer anmoder ofte om en gennemgang/udtrækning af alle hændelses-, leverandør- og risikoregistre i løbet af timer, ikke uger.
- Ledelsens gennemgang og bestyrelsens godkendelsesprotokoller: Demonstration af reelt engagement - minutter, logfiler, korrigerende handlinger.
Brancheledere udfører nu komplette "dry run"-audits, der benchmarker hentning og tværfunktionel sporbarhed. Manglende evne til at integrere cyber-, anlægs- og leverandørdokumentation betyder nu øjeblikkelige bøder og tvivl hos købere.
Proaktive teams behandler revisioner som forretningsbeviser i praksis – ikke et sidste-øjebliks-kavaleri.
Hvilke risici i forsyningskæden og leverandørkæden er mest kritiske, og hvordan kan forsyningsselskaber demonstrere robust styring af disse risici?
Efter NIS 2 er forsyningsselskaber direkte ansvarlige for risiko i forsyningskæden. Vigtigste krav:
- Cyberklausuler i alle kontrakter: Tydelig meddelelse om brud, ret til revision og forventninger til deltagelse i øvelser.
- Digitalt leverandørrisikoregister: Live, versionsbaseret, viser ejerskab og links til kontroller for hver anmeldelse, brud eller opdatering.
- Fuld engagement i hændelsesøvelser: Mindre leverandører eller SaaS-udbydere er "reviderbare" - skal deltage i tests, opdatere protokoller og levere logfiler efter behov.
- Sammenkobling mellem hver leverandørhændelse og systemkontrol: F.eks. er brud hos cloududbydere kortlagt til SoA/bilag A, inklusive logget afhjælpning og opfølgning.
Et enkelt ufuldstændigt register eller manglende sporbarhed af kontrakter er nu et advarselssignal i forbindelse med revisioner.
Din mindste leverandør kan udløse sektorens største efterforskning – dokumenter hver eneste handling, fra bestyrelseslokalet til bagdøren.
Hvilken dokumentation og bestyrelsesinddragelse er nødvendig for at bestå en hastende NIS 2-revision eller -undersøgelse?
Forvent at præsentere:
- Risikoregistre og opdaterede aktivfortegnelser, der spænder over IT-, fabriks- og leverandørmiljøer
- Signerede, versionskontrollerede logfiler: detaljeret beskrivelse af politikgodkendelser, leverandør-/hændelser, kortlagt til SoA/bilag A
- Hændelseslogge med eksplicit gennemgang, godkendelse og læring efter døden fra C-suite/bestyrelse
- Bevis for kvartalsvise ledelsesgennemgange og rollebaseret engagement (bestyrelse, drift, leverandør)
- Godkendelsesspor for hver ændring eller opdatering af risikostyring
- Revisorer, der kan påvise bevisindhentning, kan simulere "brandøvelser" og forvente resultater i timer, ikke uger
Revisorer og tilsynsmyndigheder vil ikke tilgive manglende, pseudo- eller forældet bevismateriale - levende dokumentation i realtid er ikke til forhandling.
Hvor hurtigt skal rapportering af hændelser ske, og hvad er på spil, hvis et vandforsyningsselskab ikke overholder NIS 2-fristerne?
NIS 2-mandater:
- Indledende hændelsesrapport: Inden for 24 timer til den nationale CSIRT/regulator, selv før alle fakta foreligger.
- Fuld opdatering: Inden for 72 timer, viser effekt og handlinger.
- Sidste rapport: Inden for en måned, dækning af den grundlæggende årsag og forbedringer.
Misser du en deadline? Bøder kan ramme 10 millioner euro eller 2 % af den globale omsætning, plus myndighedspåbud, udelukkelse fra kontrakter og højere forsikringspræmier. Betragt enhver hændelse som en test - ikke kun af dokumentation, men af reel, praktiseret beredskab.
I NIS 2-æraen måles beredskab i timer, ikke uger - og lederskab er i søgelyset.
Hvilke praktiske strategier forener vandsikkerhed, cybersikkerhed og operationel robusthed i et NIS 2-program?
- Enkelt, live risiko- og bevislog: Dækning af cyber-, OT-, fabriks- og leverandørarrangementer.
- Rutinemæssige øvelser i ledscenarier: Koordinering af alle afdelinger og entreprenører, registrering af erfaringer og handlinger.
- Tildelte ejere for hvert fund: Med dokumentation for opfølgning og godkendelse.
- Kvartalsvise evalueringer af bestyrelsen/C-suiten: Registrering af læring og tilpasning, ikke kun godkendelser.
- Dedikerede compliance-dashboards: Automatiseret rapportering og klik-og-hent-dokumentation for revisorer og bestyrelsen efter enhver vigtig begivenhed.
Benchmark mod ENISA, drikkevandsdirektivet, ISO 27001 og sektorrevisioner for at forblive på forkant.
Hvorfor er engagement i bestyrelser og ledelse afgørende for NIS 2-revisioner (vandsektoren)?
Dagens tilsynsmyndigheder vurderer mere levet, kontinuerligt lederskabsengagement end statisk dokumentation. Compliance defineres nu af:
- Kvartalsvise bestyrelses-/direktørevalueringer af live dashboards: Aktiv diskussion af store risici, hændelseslogge og afhjælpende handlinger – ikke blot godkendelse af dem.
- Personlig deltagelse i øvelser i beredskabshåndtering: Med implementerede og opfølgte lektioner.
- Kontinuerlig, tilgængelig evidens: Revisionslogfiler, versionsgodkendelser, live-målinger - synligt bevis, ikke kun signaturer.
De mest robuste forsyningsselskaber signalerer "compliance-kapital" til forsikringsselskaber, tilsynsmyndigheder og kunder ved at vise, at styring er integreret på alle niveauer.
Hvordan udstyrer ISMS.online vandforsyningsvirksomheder til at overholde NIS 2-kravene fra start til slut, fra bestyrelseslokale til operatør?
ISMS.online følgende ordlyd:
- Live rollebaserede dashboards: for bestyrelsen, CISO og driften – tilpasset mandat og status
- Automatiserede arbejdsgange for alarmer, eskalering og rapportering: til kontrakter, hændelser, leverandørgennemgange og kvartalsvise ledelsesgennemgange
- Digitale, versionerede bevisbanker: kortlagt til NIS 2, drikkevandsdirektivet og ISO 27001-klik-hentning for hvert revisionsscenarie
- Integrerede godkendelser, underskrivelser og ledelsesgennemgange: - beviser der er levet, ikke fiktive
- Sektorbenchmarking: - sammenlign dine data med de bedste i branchen, og marker mangler, før du bliver revideret
Når alle kontroller, kontrakter og hændelser dokumenteres live ét sted, bliver revisioner en demonstration af operationel styrke – ikke en brandøvelse.
Forsyningsselskaber, der søger ensartet, revisionsklar overholdelse af NIS 2, DWD og ISO 27001, bør planlægge en bestyrelsesdemonstration og peer gap-analyse – før tilsynsmyndigheder eller købere gør det.
Drikkevandsforsyninger: ISO 27001 / Anneks A Overholdelsesbro
| Forventning om overholdelse | Operationalisering | ISO 27001 / Bilag A Ref. |
|---|---|---|
| Ensartet risikoregister | Live-system, kontroller/SoA-kortlægning | 6.1.2, 8.2, bilag A 5.12 |
| 24/72 timers rapportering af hændelser | Automatiserede logfiler, testede svar | 5.25-5.28, 5.26 |
| Bestyrelsesevalueringer | Kvartalsvis dokumenterede referater | 9.3, 5.4, 5.36 |
| Leverandørsporbarhed | Versionsbaserede kontrakter/øvelsesregistreringer | 5.19–5.22, 5.21, 5.30 |
Mini-tabel for sporbarhed af bevismateriale
| Udløser | Risikoopdatering | SoA/Kontrollink | Beviser registreret |
|---|---|---|---|
| Nedbrud hos cloud-udbyder | Leverandørhændelseslog | 5.21, 5.22 | Hændelsesnotat, kontrakt, godkendelse |
| Kontamineringshændelse | Opdatering af registrering/soA | 6.1.2, 8.2, 9.2 | Gennemgang af brættet, borelogfiler, leverandørnotat |
