Mając na celu rozszerzenie, wzmocnienie i zharmonizowanie istniejących ram bezpieczeństwa cybernetycznego UE przyjęła w grudniu 2022 roku nową wersję Dyrektywy NIS. W tym zaktualizowanym dokumencie dotyczącym cyberbezpieczeństwa, usługi wodociągowe
i kanalizacyjne zostały uznane za sektor o wysoce krytycznym znaczeniu. Wraz z Dyrektywą NIS2 nałożono na branżę, a co za tym idzie na podmioty i przedsiębiorstwa świadczące usługi wodociągowe, obowiązki wynikającego ze wspólnych działań i zapobieganiu incydentom oraz cyberatakom w sektorze wod-kan.
Wodociągi dostarczające mieszkańcom, tak potrzebną do życia i codziennego, zdrowego funkcjonowania wodę pitną, będąc jednocześnie nowoczesnymi podmiotami, które w swej codziennej pracy wykorzystują automatyczne systemy informatyczne, stały się w obecnym czasie atrakcyjnym celem dla cyberprzestępców. Interesującym elementem wojny hybrydowej. Dlatego dostosowanie procedur oraz wodociągowej infrastruktury IT do wytycznych NIS2, staje się niezwykle ważnym wyzwaniem z perspektywy przyszłego bezpieczeństwa podmiotów wodociągowych.
W Dyrektywie NIS 2 na nowe sektory nakłada się nowe obowiązki z zakresu zarządzania cyberbezpieczeństwem, polegające na obligatoryjnym stosowaniu konkretnych rozwiązań, w tym rozwiązań z zakresu analizy ryzyka i bezpieczeństwa systemów informatycznych, opracowania polityki zarządzania incydentami, a także opracowania planów ciągłości działania wraz z zapewnieniem bezpieczeństwa łańcucha dostaw. Przedsiębiorstwa objęte dyrektywą będą musiały więc uporządkować i utrzymać w należytym stanie swoją infrastrukturę cyfrową i odpowiednio monitorować bezpieczeństwo. Każde przedsiębiorstwo, wchodzące w zakres dyrektywy NIS2 będzie musiało mieć wdrożone środki techniczne i organizacyjne dotyczące cyberbezpieczeństwa. Natomiast istniejące środki, będzie musiało należycie sprawdzić, czy są zgodne z nowymi przepisami.
Za wprowadzenie powyższych mechanizmów oraz procedur zarządczych odpowiadają bezpośrednio organy zarządcze średnich i dużych przedsiębiorstw, działających w sektorze wod-kan. Mniejsze podmioty są nią objęte, tylko w sytuacji, gdy zakłócenie usługi przez nie świadczonej, mogłoby mieć znaczący wpływ na bezpieczeństwo i zdrowie publiczne.
Na transpozycję wspomnianej Dyrektywy do krajowego porządku prawnego, kraje członkowskie UE, w tym Polska mają termin do 17 października 2024 r.