Ova stranica je namijenjena upraviteljima infrastrukture vodoopskrbe, direktorima sigurnosti informacijskih sustava i operatorima control sustava u Hrvatskoj koji spadaju u esencijalne operatore prema NIS2/ZKS. Saznajte konkretne zahtjeve za zaštitu SCADA sustava, kemijskih dozatora i obvezu izvještavanja incidenta.
Opskrbnici pitnom vodom sa više od 100.000 ekvivalentnih stanovnika opsluženog područja, operatori čistioća otpadnih voda sa više od 100.000 ekvivalentnih stanovnika, te operatori mreža za distribuciju vode. Također, svi operatori koji pružaju javnu uslugu opskrbe vodom ili čišćenja otpadnih voda koji bi prekidom svojih usluga ugrozili značajnu populaciju u Republici Hrvatskoj.
Morali ste implementirati tehničke mjere zaštite za SCADA/ICS sustave korištene u tretmanu vode i distribuciji. To uključuje instalaciju vatrozida između industrijskih kontrolnih mreža i interneta, primjenu autentifikacije temeljene na više čimbenika za pristup upravljačkim sustavima, redovite sigurnosne audite industrijske opreme te monitoring svih kritičnih procesa tretmana vode.
Sistemi doziranja kemikalija (klor, koagulanti, adjustment pH-a) moraju biti zaštićeni od neovlaštene manipulacije. Zahtjev uključuje izmjenu svih zadanih lozinki na dozatorima, implementaciju fiziologijske kontrole pristupa pumpnim stanicama, enkriptiranje signala upravljanja od kontrolnog centra prema dozatorima te logiranje svih pokušaja pristupa i promjena parametara.
Svaki sigurnosni incident ili operativni poremećaj koji dovede do prekida ili smanjenja kvalitete opskrbe vodom za značajan dio populacije mora biti prijavljen Agenciji za zaštitu konkurencije i vatrogasnim vlastima bez odgode, prema postupku definiranom u NIS2/ZKS. Izvještaj mora sadržavati vremenske podatke incidenta, broj pogođenih osoba, opis napada ili greške te mjere remedijacije.
Pumpne stanice i kritične točke mreže trebaju biti zaštićene kombinacijom fizičke kontrole pristupa (ključane čeličnih vrata, video nadzor, alarmni sustavi) i cyber mjera. Morali ste osigurati da su sve komunikacije od pumpne stanice do control centra autentizirane i šifrirane, također implementirati mogućnost lokalnog rudnog rada pumpne stanice u slučaju prekida konekcije sa control centrom.
Operativne tehnologijske mreže (OT) korištene za upravljanje tretmanom vode moraju biti fizički i logički odvojene od poslovnih mreža (IT). To zahtjeva instalaciju demilitariziranog dijela (DMZ) sa zaštitnim vratima, primjenu pravila minimalne privilegije za pristup između IT i OT segmenata, redovit pregled svih konekcija između segmenata te dokumentiranje svih integracijskih točaka.
Prema NIS2/ZKS, prekid opskrbe koji utječe na više od 20.000 osoba ili na više od 50% populacije opsluženog područja smatra se incidentom sa značajnim utjecajem na javnu sigurnost i zdravlje. Ako je prekid trajao više od 4 sata ili ako je doista do gubitka pristupa čistoj vodi, trebali ste prijaviti Agenciji za zaštitu konkurencije bez odgode, najčešće između 24 i 72 sata.
Da, NIS2 zahtjeva da su svi industrijski kontrolni uređaji (PLC, RTU, IED) redovito ažurivani sa sigurnosnim zakrpama. Trebali iste testirati zakrpe u test okruženju prije primjene na produkciji kako biste izbjegli prekide u pumpanju. Trebali iste održavati inventar svih industrijskih uređaja sa verzijama softvera i datumima posljednje aktualizacije.
Agencija za zaštitu konkurencije može izdati rješenje o prilagodbi sa rokom od 6 mjeseci ili izdati upravnu kaznu od 30.000 do 100.000 EUR (ili do 2% godišnjeg prometa za veće operatore). Dodatno, ako je incident nastao kao rezultat nesukladnosti sa NIS2, operater je odgovoran za naknade štete pogođenim osobama i lokalnim zajednicama.