Ansvar uden facitliste: Bygherrer bag vandværker, hospitaler og anden kritisk infrastruktur skal sikre byggeprojekter mod cybertrusler, men fælles retningslinjer mangler fortsat
For et år siden trådte en ny lov i kraft, der skal gøre samfundskritiske funktioner mere robuste over for cyberangreb. I byggebranchen har bygherren ansvaret for at overholde loven. Bygherrerne har dog fortsat ikke klare retningslinjer at arbejde ud fra.
Cybersikkerhed skal meget højt på dagsordenen i alle virksomheder og organisationer, der varetager kritiske funktioner i samfundet. Det er konsekvensen af ny lov inden for cybersikkerhed, der trådte i kraft sidste sommer.
Loven omfatter ikke blot få udvalgte virksomheder og organisationer, men alle der varetager såkaldt kritiske funktioner i samfundet. Det vil sige vandværker, hospitaler, banker, kommuner, og mange flere.
Byggebranchen bygger både vandværker, hospitaler mm. men loven er ikke direkte målrettet byggebranchen.
Helt præcis hvordan byggebranchen påvirkes af den nye lovgivning, hersker der forvirring om.
Omfattende lovgivning rækker langt ud over traditionel it-sikkerhed
Lovgivningen er et EU-direktiv kaldet NIS 2. Det har til formål at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for samfundet og økonomien.
Sådan beskrives loven i vejledninger fra Styrelsen for Samfundssikkerhed. I vejledningerne beskrives yderligere, hvad virksomhederne, der er omfattet af loven, skal gøre for at overholde loven. Listen tæller 20 forhold som skal bringes i orden.
Der er delvis tale om en række traditionelle IT-sikkerhedsforanstaltninger som kryptering, backup af data og at uddanne sine medarbejdere i ikke at trykke på utroværdige links i en e-mail.
Der er dog i høj grad også tale om at udarbejde beredskabsplaner i tilfælde af, at virksomheden rammes af cyberangreb. Virksomheden bør være i stand til, så vidt muligt, at fortsætte sit virke selv hvis den angribes af hackere. I hvert fald den del af virksomheden som er kritisk for samfundet, og som er årsagen til, at virksomheden er omfattet af NIS 2.
Det handler om at holde samfundet kørende
Pointen er at undgå, at borgere for eksempel skal undvære vand i vandhanerne, hvis et vandværk udsættes for cyberangreb.
Som dengang Tureby-Alkestrup Vandværk syd for Køge blev udsat for cyberangreb. Først skruede hackerne ned for vandtrykket, så 450 husstande stod uden vand i en time. Derefter skruede hackerne så højt op for trykket, at et vandrør sprang. Det betød, at 50 husstande stod uden vand i hele syv timer, imens vandrøret blev repareret.
Danske myndigheder har i flere år vurderet truslen fra cyberkriminalitet som meget høj. I den seneste trusselsvurdering fremhæves, at ”Danmark står over for det mest alvorlige risiko- og trusselsbillede siden anden verdenskrig”, og at ”cyberangreb kan undergrave samfundets sammenhængskraft ved at forstyrre eller standse kritiske samfundsfunktioner”, skriver Styrelsen for Samfundssikkerhed i rapporten Cybertruslen mod Danmark 2025.
Forvirring i byggebranchen
Tilbage til forvirringen i byggebranchen. Nej, byggebranchen er ikke direkte omfattet af NIS 2. I bilag til loven oplistes alle de berørte sektorer, og byggebranchen er ikke iblandt. Managing partner i Rethink Cybersecurity Advisory, Frederik Helweg-Larsen, er heller ikke bekendt med hverken arkitekter, entreprenører eller håndværkere, der er omfattet af NIS 2.
Til gengæld kan en virksomhed, der skal renovere sin egen ejendom eller bygge nye bygninger eller anlæg, sagtens være omfattet af NIS 2. Som et forsyningsselskab der bygger et nyt vandværk. Det er på denne måde byggebranchen bliver involveret i NIS 2.
Bygherreforeningen, der er en interesseorganisationen for professionelle bygherrer i Danmark, efterlyser mere vejledning fra myndighederne målrettet bygherrer.
”Det er bestemt rimeligt, at der skal være styr på cybersikkerheden, men vores medlemmer er generelt noget forvirrede over, hvad de konkret bør gøre”, udtrykker Jesper Malm, områdechef kommunikation og udvikling fra Bygherreforeningen.
Styrelsen for Samfundssikkerhed er forelagt kritikken fra Bygherreforeningen og svarer, at de har udarbejdet fire tværgående vejledninger til NIS 2-loven, og at de yder generel rådgivning om NIS 2. Yderligere henviser de til, at sektorspecifikke spørgsmål kan stilles til den relevante sektoransvarlige myndighed.
Medlemmerne i Bygherreforeningen tæller en række kommuner, regioner og boligforeninger samt større organisationer som Banedanmark, Danmarks Nationalbank og HOFOR.
Det er ikke alle Bygherreforeningens medlemmer, der er omfattet af loven, men flere er. Blandt dem der er omfattet af loven, vurderer Jesper Malm, at enkelte er rimelig langt fremme inden for cybersikkerhed, imens flertallet er usikre på hvad der forventes af dem.
Bygherren har ansvaret
Publikationen Sikkert Digitalt Samarbejde i byggeriet, udgivet af ConTech Lab i januar, beskriver en række forslag til, hvad man kunne gøre for at højne cybersikkerheden på byggeprojekterne.
Det nævnes at tydeliggøre, hvem der har ansvar for hvad, når byggetegninger deles via online platforme.
Det nævnes også at anvende adskilte netværk på byggepladsen, så der er et gæstenetværk, et administrativt netværk og et teknisk/OT-netværk (Operational Technology, styring af fysiske systemer som maskiner, kraner og sensorer).
Frederik Helweg-Larsen, fremhæver dog, at det er bygherren som skal forklare hvilke foranstaltninger inden for cybersikkerhed, der skal tages på byggeprojektet. ”Arkitekter og entreprenører skal ikke stå og gætte på, hvad de skal gøre for, at bygherren kan overholde NIS 2 loven”.
Styrelsen for Samfundssikkerhed beskriver dette som forsyningskædesikkerhed. Dermed placeres der et stort ansvar hos bygherren, som ”skal foretage en vurdering af sikkerhedsrelaterede aspekter i forholdet mellem dem selv og deres leverandører eller tjenesteudbydere.” Det beskrives videre, at ”på den baggrund kan der blive stillet krav til leverandører eller tjenesteudbydere, der leverer ydelser til virksomheder, som er omfattet af NIS 2.”
”Det er selvfølgelig forståeligt, at byggebranchen gerne vil tilbyde deres kunder en god service, ved selv at foreslå hvilke sikkerhedstiltag der kunne tages”, udtaler Frederik Helweg-Larsen, ”men ansvaret ligger hos bygherren”.
Ingen almen praksis for cybersikkerhed på byggeprojekter
Jesper Malm udtrykker, at de i Bygherreforeningen er i tvivl om, hvor langt de skal gå, når de skal begynde at skærpe cybersikkerheden på byggeprojekterne. ”Der er ingen almen praksis omkring det. Det er en ny disciplin der skal bygges op. Både blandt bygherrer og i hele byggebranchen.”
Han nævner, at branchen er vant til at tage en bygnings fysiske sikring i betragtning, men at det er uvant at indtænke cybersikkerhed. Byggeprojekter er i øvrigt i forvejen komplicerede, fremhæver han. Der indgår rigtig mange hensyn, og de skal alle afvejes, både når et byggeri planlægges, designes og bygges. Blandt andet arkitekturen, bæredygtighed og nu også cybersikkerhed.
”Jeg ser yderligere et dilemma,” fortsætter Jesper Malm og udtrykker, at bygherrerne normalt gerne vil være meget åbne omkring de byggerier, de arbejder på i folks baghaver. Fokus på sikkerhed kan måske betyde, at den demokratiske åbenhed på borgermøder bliver begrænset. ”Man taber måske en lille smule af det, man egentlig godt kunne tænke sig at beskytte”.
Over 400 cyberangreb mod samfundskritiske virksomheder på ét år
Alle virksomheder, der er omfattet af NIS 2, skal fortælle til myndighederne, når de oplever cyberangreb. De skal oplyse om alle såkaldt væsentlige hændelser. Det vil sige, hændelser der påvirker, eller kan påvirke, virksomhedens evne til at levere sine tjenester, fordi virksomhedens net- og informationssystemer bliver angrebet.
Siden loven trådte i kraft, for et år siden, er der indmeldt over 400 væsentlige hændelser. Det oplyser Forsvarets Efterretningstjeneste, der er den myndighed, som modtager alle underretninger.
”Jeg synes ikke, at det virker som mange, sammenholdt med antallet af virksomheder, som er omfattet og deres leverandører. Så der er nok mange, der ikke melder ind,” er reaktionen fra Frederik Helweg-Larsen. Hvormed han hentyder, at der er et mørketal.
Risikostyring er nøglen
En virksomhed, der er omfattet af NIS 2, skal tage højde for alle de trusler, den står over for, og alle de sårbarheder, den har, hvilket kaldes all-hazards approach. Derudover beskrives det, af Styrelsen for Samfundssikkerhed, at virksomheden skal vurdere, hvad der er nødvendigt, for at opnå et passende niveau af sikkerhed.
Der skal altså prioriteres og arbejdes med risikostyring, nævner Frederik Helweg-Larsen. Man ved godt, at man ikke kan gøre alting lige godt. Han uddyber, at man skal fokusere på det, der er vigtigt og så opbygge høj sikkerhed omkring netop det.
Jesper Malm oplyser, at Bygherreforeningen snart vil køre et master class forløb for deres medlemmer, hvor der skabes et fortroligt rum til at dele erfaringer og til at blive klogere på NIS 2 loven og cybersikkerhed.
Han er fortrøstningsfuld over, at hans egne medlemmer, og resten af byggebranchen, vil finde ud af at leve op til NIS 2 og at højne cybersikkerheden.