Polens tredjestørste by var sekunder fra at få manipuleret klordoseringen i drikkevandet. Angrebet skete via SCADA-systemet. Sikkerhedstjenesten opdagede det i sidste øjeblik.
I Danmark vurderer CFCS truslen mod vandsektoren som “MEGET HØJ”.
Angrebet blev stoppet, fordi polske myndigheder havde investeret i realtidsovervågning af OT-systemer. CERT-POL opdagede unormale kommandoer, isolerede det kompromitterede segment og rullede ændringerne tilbage med backup.
Polens vicepremierminister sagde bagefter: “Ingen russiske fly vil flyve ind over Warszawa. I stedet dukker deres digitale modstykker op.”
Det er ikke kun Polen
I 2024 ramte et cyberangreb et vandværk ved Køge. Angriberne fik adgang og manipulerede vandtrykket, så rør sprang, og flere hundrede hjem og familier stod uden vand.
Forsvarets Efterretningstjeneste har siden bekræftet, at den pro-russiske hackergruppe Z-Pentest stod bag. Gruppen har forbindelser til den russiske militære efterretningstjeneste GRU.
Formanden for vandværket sagde bagefter: “Ingen er for små til at blive ramt.”
Reparationerne løb op i flere hundrede tusinde kroner. Vandværket havde ingen cyberforsikring.
Polen reagerede med handling
Cybersikkerhedsbudgettet er nu 1 milliard euro årligt. 80 millioner euro går direkte til vandforsyningssikkerhed. Polske vandværker har dannet et fælles sikkerhedssamarbejde.
I Danmark ser billedet anderledes ud.
Vandsektoren oplever 6.000 hackingforsøg i timen ifølge DANVA. CFCS udgav i 2025 den første trusselsvurdering nogensinde for vandsektoren. Konklusionen var klar: truslen fra cyberkriminalitet er meget høj.
Fra 1. oktober 2025 er de 100 største danske vandforsyninger omfattet af NIS2. De leverer 65% af vores drikkevand. Loven stiller krav om risikovurdering, beredskabsplaner og hændelsesrapportering inden for 24 timer.
Og så er der bestyrelsesansvaret
NIS2 gør ledelsen personligt ansvarlig for cybersikkerhed. Det betyder, at bestyrelsesmedlemmer kan holdes ansvarlige, hvis forsyningssikkerheden svigter på grund af manglende sikkerhedstiltag. Bøder beregnes som op til 2% af omsætningen, og bestyrelsesmedlemmerne kan miste deres poster.
For vandværker, der ikke er omfattet af NIS2, gælder stadig det almindelige bestyrelsesansvar. Forsyningssikkerhed er en kerneopgave.
Tre spørgsmål til næste bestyrelsesmøde
For det første: Hvornår fik vi sidst en uafhængig gennemgang af vores styringssystemer og fjernadgange?
For det andet: Kan vi dokumentere, at vores leverandør lever op til basale sikkerhedskrav? VPN, MFA, logning?
For det tredje: Har vi en beredskabsplan for cyberangreb, og hvornår testede vi den sidst?
Polen afværger 99% af cyberangrebene mod deres kritiske infrastruktur. Det kræver investering, overvågning og øvelse.
Vandværker er ikke alene
Vandværker er ikke de eneste med sårbare styringssystemer. Fjernvarme, spildevand og elforsyninger står i samme situation. Alle forsyningsselskaber med SCADA-systemer og fjernadgang har samme grundlæggende udfordring: systemer designet til driftssikkerhed, ikke cybersikkerhed.
Hvornår fik jeres bestyrelse sidst en audit fra en erfaren ekstern specialist, der hverken er jeres leverandør eller bange for at sige tingene, som de er?
En uafhængig cybersikkerhedsaudit kan give bestyrelsen det overblik, der skal til for at træffe informerede beslutninger. For vandværker og forsyningsselskaber omfattet af NIS2 tilbyder vi specifik NIS2-audit, der dækker både IT og OT-systemer. Vi har også erfaring med leverandøraudit, så I kan dokumentere, at jeres driftsleverandør lever op til kravene.
Har I brug for en uvildig vurdering af jeres cybersikkerhed?
Hos Nielco IT rådgiver vi forsyningsselskaber og kritisk infrastruktur om cybersikkerhed. Vi har ingen leverandørpartnerskaber og siger tingene, som de er.
Kontakt os eller ring direkte på 70 13 63 23 for en uforpligtende snak om jeres situation.
