Nya regler om cybersäkerhet - Svenskt Vatten Hoppa till huvudinnehåll

Nya regler om cybersäkerhet

Ett förslag till nya regler om cybersäkerhet har presenterats av en statlig offentlig utredning. Reglerna syftar till att genomföra EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, det så kallade NIS2-direktivet. Regeringen har skickat förslaget på remiss och föreslår att reglerna träder i kraft den 1 januari 2025.

I slutet av 2022 antogs det nya NIS2-direktivet. Det ersätter NIS-direktivet som i dag genomförs i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, även kallad NIS-lagen. NIS2-direktivet innebär en rad nya krav för VA-organisationerna vilket Svenskt Vatten tidigare skrivit om. Bland annat omfattas numera omhändertagande och rening av avloppsvatten, utöver sedan tidigare berörd produktion av dricksvatten. 

I det bestänkande som utredningen presenterat föreslår man att NIS-lagen ska ersättas av en ny cybersäkerhetslag vars syfte är att uppnå en hög cybersäkerhetsnivå. Utredningens förslag innebär bland annat att:

  • verksamheter som producerar dricksvatten eller omhändertar avloppsvatten omfattas som huvudregel av cybersäkerhetskraven om de sysselsätter minst 50 personer eller har en årsomsättning som överstiger 10 miljoner euro,
  • alla kommuner omfattas av de nya kraven, 
  • verksamhetsutövare ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter, vilket bland annat innefattar krav på incident-, och kontinuitetshantering samt säkerhet i leveranskedjan,  
    ett systematiskt säkerhetsarbete ska bedrivas, 
  • nya krav och ansvar för ledningsfunktioner i cybersäkerhetsarbetet ska införas, 
  • tydligare krav gällande incidentrapportering ska införas, 
  • att Livsmedelsverket ska vara tillsynsmyndighet för både dricksvatten och avloppsvatten, 
  • nya verktyg för tillsynsmyndigheten och högre sanktionsavgifter ska införas. 
     

Den nya cybersäkerhetslagen föreslås träda i kraft den 1 januari 2025. Den statliga utredning som lämnat förslaget kommer nu att fortsätta sitt arbete och titta på vilka regler som är nödvändiga för att genomföra CER-direktivet (som innehåller krav på samhällsviktiga verksamheter att förebygga, motstå och hantera störningar eller avbrott i verksamheten) som också berör dricksvatten och avlopp.