Hoppa till huvudinnehåll

Specifikt för dricksvatten

Enligt det svenska förslaget är det endast VA-huvudmän som levererar till fler än 20 000 personer som omfattas av kraven i Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Exakt vad detta kommer att innebära för dessa huvudmän kommer att specificeras i myndighetsföreskrifter som sannolikt blir klara under hösten 2018. Generellt för att NIS-sektorer är att man ska bedriva ett systematiskt och riskbaserat säkerhetsarbete och ha förmåga att hantera och rapportera säkerhetsrelevanta incidenter. Detta innebär mer konkret att:

  • Risk- och sårbarhetsanalys ska göras årligen och nu även inkludera informationssäkerhet
  • Proaktiva åtgärder ska vidtas för att minimera avbrott vid incidenter
  • Rapportering ska göras om incidenter med betydande påverkan på kontinuitet inträffar

Incidentrapportering ska göras till Myndigheten för samhällsskydd och beredskap (MSB) och där underliggande CSIRT-enhet (Computer Security Incident Response Team). MSB är utpekad som samordnande myndighet för NIS medan Livsmedelsverket är föreslagen tillsynsmyndighet för dricksvatten. 

Som VA-huvudman kan man redan nu förbereda sig genom att sätta upp en handlingsplan som inkluderar ett riskbaserat säkerhetsarbete och incidenthantering.

Förslag till handlingsplan:

  • Gör en risk- och sårbarhetsanalys som inkluderar säkerhet (nu)
  • Genomför workshop för incidenthantering (när föreskrifter finns)
  • Genomför workshop för tekniska och organisatoriska åtgärder
  • Gör en handlingsplan för prioriterade åtgärder

Länkar:

Regeringens sida om NIS-direktivets införande i svensk lagstiftning 

Livsmedelsverkets handbok om risk- och sårbarhetsanalys för dricksvatten (pdf)