EU-direktiv kan bli kostnadsbombe for kommunene

NIS 2-direktivet blir lov i alle EU-land nå i oktober. Norge som EØS-medlem er ventet å innføre direktivet i løpet av 2025. En rekke samfunnskritiske sektorer er underlagt direktivet. Offentlig sektor inklusive kommunene blir omfattet. 

For mange kommuner og kommunalt eide selskaper, vil det medføre betydelige kostnader for å kunne oppfylle direktivet. EU har selv anslått at enkelte sektorer kan få en kostnadsøkning opp mot 22 prosent.

Energi, vann og avløp, digital infrastruktur, avfallshåndtering og IKT-drift er omfattet av direktivet. 

Den allerede dårlige kommuneøkonomien vil få en stor og belastende oppgave å hanskes med i 2025. 

Ingen ting i statsbudsjettet tyder på at det vil følge med penger til kommunene for å oppfylle direktivet.

NIS 2 handler om sikkerhet og sårbarhet. Hensikten er å være forberedt på uforutsette hendelser.

Direktivet pålegger virksomhetene en plikt. Her er det ikke snakk om å vente på neste budsjett. Ledelsen vil bli stilt til ansvar og bøtene for ikke å oppfylle direktivet er skyhøye.

Direktivet omfatter også forsyningskjeden til bedrifter som blir omfattet. En kommune som leverer vann til en næringsmiddelprodusent, må kunne garantere at de oppfyller direktivet. I EU kaller de dette for NIS 2 «compliant».

Aktører innen næringsmiddelindustrien må kunne dokumentere at deres leverandør av VA og strøm, oppfyller direktivet.

I Norge er direktivet av enkelte fremstilt som om det handler kun om datasikkerhet. Det stemmer ikke. Direktivet handler om sikkerhet og sårbarhet generelt. Det hjelper ikke å ha all verdens avanserte sikkerhetsprogrammer i datarommet om det bryter ut brann, eller at fibernettet blir sabotert. 

VA, energianlegg, fiber må sikres mot sabotasje, og det blir innført et restriktivt regime for rapportering og øvelser.

Begrepet nulltoleranse går igjen i direktivet.

Riksrevisjonen påpekte i 2023 at ansvaret for sikkerhet og sårbarhet er alt for fragmentert. Et grelt eksempel på at høyrehånda ikke vet hva venstrehånda gjør, var en forskriftsendring i plan- og bygningsloven av 2021. 

Endringen i paragraf 5 slår fast at enhver med saklig interesse, har rett til å få utlevert kart over kabler i grunnen. 

Begrepet saklig interesse har en bred definisjon. Fremmede makter eller personer med onde hensikter kan enkelt tilegne seg informasjon om hvor VA-nett, fiber- og strømforsyningen går ved å henvende seg til ledningseier. 

Ingen virksomheter som blir underlagt direktivet, kan tillate at kart over samfunnskritisk infrastruktur blir delt ut i øst og vest. 

Hvem tenkte at plan- og bygningsloven hadde noe med sikkerhet å gjøre? 

Vi har en lang vei å gå for å beskytte samfunnskritisk infrastruktur. Men nå skal Brussel tvinge oss. For norske kommuner blir det viktig å sette seg inn i direktivet snarest mulig, for ikke å komme på etterskudd.