-
Våra sakområden
Våra sakområden
Dricksvatten
VA-infrastruktur
Avlopp och miljö
Klimat och hållbarhet
Säkerhet och beredskap
Kommunikation och samverkan
Organisation och styrning
-
Utbildning & konferens
-
Forskning
-
Nätverk & medlemskap
-
Om oss
Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, syftar enligt 1 § till att uppnå en hög nivå på säkerheten i nätverk och informationssystem för bland annat leverans och distribution av dricksvatten.
Regleringen syftar till att stärka hur samhällsviktiga tjänsteleverantörer arbetar med informationssäkerhet inom såväl privat som offentlig verksamhet och minska sårbarheten inom dessa samhällsaktörers system. Lagen tar avstamp i att avbrott i den här typen av verksamhet hindrar annan ekonomisk verksamhet, leder till omfattande ekonomiska förluster, undergräver användarnas förtroende och medför allvarliga konsekvenser för Sverige eller EU:s ekonomi. Eftersom digitaliseringen och beroendet av nätverk och informationssystem blir alltmer utbredd ökar också behovet av reglering inom fältet.
Till de utpekade samhällsviktiga sektorerna som omfattas av NIS-lagen räknas leverans och distribution av dricksvatten. I MSB:s föreskrift 2018:7 om identifiering av leverantörer av samhällsviktiga tjänster preciseras vilka som omfattas av lagen; VA-huvudmän som tillhandahåller vatten till minst 20 000 personer eller till akutsjukhus. Dricksvattenleverantörer ska för att omfattas av lagen vara etablerade i Sverige och vara beroende av nätverk och informationssystem.
Incidentrapportera till MSB
Den som identifierat sig som en leverantör av en samhällsviktig tjänst enligt NIS-lagen, ska anmäla det till berörd tillsynsmyndighet. För dricksvattensektorn är det Livsmedelsverket.
Generellt för NIS-sektorer är att verksamheten ska bedriva ett systematiskt och riskbaserat säkerhetsarbete och ha förmåga att hantera och rapportera säkerhetsrelevanta incidenter. Detta innebär mer konkret att:
- Risk- och sårbarhetsanalys ska göras årligen och nu även inkludera informationssäkerhet
- Proaktiva åtgärder ska vidtas för att minimera avbrott vid incidenter
- Rapportering ska göras om incidenter med betydande påverkan på kontinuitet inträffar.
Leverantörerna ska rapportera incidenter i verksamheten som har en betydande verkan på kontinuiteten i verksamheten. Inom dricksvattensektorn ska incidenter rapporteras till MSB.
MSB:s roll kopplat till NIS-regleringen innefattar att myndigheten har rätt att ge ut föreskrifter, samordnar det nationella arbetet, mottar incidentrapporter med mera. MSB utgör också kontaktpunkten gentemot andra EU-medlemsstater. Föreskrifterna ger mer omfattande och preciserad information och vägledning än vad lagen ger.
NIS 2-direktivet
I december 2020 lämnade EU-kommissionen ett förslag om ett nytt NIS-direktiv, Directive on Security of Network and Information Systems, NIS2 Directive, kallat NIS 2- direktivet. Förslaget kompletterar och justera NIS-direktivet till att bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna för att möta rådande och framtida säkerhetsbehov.
Förslaget innebär även att tillämpningsområdet utökas så att NIS-reglering ska gälla fler sektorer än i dag, exempelvis aktörer som tar emot avloppsvatten samt berörda verksamheters leverantörer och underleverantörer. Hur ett framtida NIS 2-direktiv slutligen kommer att vara utformat, vad det kommer att omfatta och hur det implementeras i svensk lagstiftning återstår att se.
Den 5 mars 2024 publicerades delbetänkandet Nya regler om cybersäkerhet, som innehåller ett förslag till lag om cybersäkerhet. Här kan du läsa Svenskt Vattens remissvar. Utredningen fortsätter under 2024 med hanteringen av CER-direktivet.
Säkerhetsskyddslagen och NIS
De två relativt nya lagarna säkerhetsskyddslagen och NIS-lagen trädde i kraft med knappt ett års mellanrum och skapar ibland osäkerheter hos vattenproducenter som ska tillämpa lagarna. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som är av betydelse för Sveriges säkerhet (nationell nivå) medan NIS-lagen reglerar nätverk och informationssystem som en samhällsviktig tjänst är beroende av (lokal nivå).
En del verksamheter träffas av båda regleringarna, men de delar som omfattas av säkerhetsskyddslagen är då undantagna från NIS-lagen. Att en leverantör av samhällsviktiga tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav på säkerhetsskydd betyder dock inte nödvändigtvis att all verksamhet är undantagen från NIS-regleringen. Om leverantören även bedriver verksamhet som inte är säkerhetskänslig, kan NIS-lagen bli tillämplig i de delarna.
MSB illustrerar på ett enkelt hur lagarna fungerar parallellt och visar när enbart NIS-lagen är tillämplig, när enbart säkerhetsskyddslagen är tillämplig samt hur de båda kan vara tillämpliga i verksamheter.