-
Utbildning & konferens
-
Nätverk & medlemskap
-
Om oss
Fortlöpande arbete med EU:s säkerhetsdirektiv och dess konsekvenser för VA-sektorn
Två nya EU-direktiv som rör säkerhet, NIS2-direktivet och CER-direktivet, antogs under slutet av 2022. Syftet är att stärka digital och fysisk motståndskraft i unionen med särskild tyngdpunkt på samhällsviktiga tjänster. VA-sektorn är ett av de berörda områdena och direktiven kommer att ha inverkan på verksamheter som tillhandahåller dricksvatten och avloppstjänster. För närvarande pågår en utredning rörande anpassning av svensk lagstiftning där Svenskt Vatten medverkar i en referensgrupp. – Vi vet redan att de nya direktiven kommer innebära utökade krav för bland annat leveranskedjor, riskbedömningar och incidentrapportering. Dessutom innefattas nu även avlopp bland berörda infrastrukturer, därför är det av stor vikt att vi bevakar införandet i svensk lag, säger Birger Wallsten, dricksvattenexpert på Svenskt Vatten.
I slutet av 2022 antog EU två nya direktiv på säkerhetsområdet: direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och direktivet om kritiska entiteters motståndskraft (CER-direktivet). Direktiven är en del i ett paket av åtgärder inom EU som syftar till förbättrad resiliens i både den digitala och fysiska infrastrukturen inom offentlig och privat sektor.
Regeringen har tillsatt en utredning som ska föreslå de anpassningar av svensk lagstiftning som är nödvändiga för att de två direktiven ska kunna genomföras. Som särskild utredare har Annette Norman från Post- och telestyrelsen utsetts och utredningen ska presentera sina förslag senast den 24 februari 2024. Enligt direktiven behöver svensk lagstiftning vara på plats senast den 17 oktober 2024. Svenskt Vatten sitter med i en referensgrupp till utredningen och arbetar aktivt med frågan om hur det nya regelverket kommer att påverka våra medlemmar.
– Syftet med direktiven – att stärka skyddet av samhällsviktiga tjänster, är en av våra viktigaste frågor och många av våra medlemmar har redan kommit långt i sitt säkerhetsarbete. Vi bevakar frågan om anpassning av svensk lagstiftning nära för att kunna hålla våra medlemmar informerade, säger Sarah Berwick, jurist på Svenskt Vatten som medverkar i referensgruppen.
Både NIS2-direktivet och CER-direktivet innehåller en rad nyheter som är relevanta för Svenskt Vattens medlemmar. Bland annat räknas numera både dricksvattenförsörjning och avlopp till de sektorer som omfattas av kraven i direktiven. Direktiven innefattar också nya krav på riskbedömningar och hantering av incidenter samt mer detaljerade bestämmelser om ingripanden och sanktioner.
Även om det kommer att dröja innan svensk lagstiftning är på plats är det viktigt att vara medveten om att det kan komma nya krav kring säkerhet och att detta exempelvis kan få betydelse för offentliga upphandlingar som sträcker sig över flera år.
NIS2-direktivet
NIS2-direktiver ersätter det nuvarande NIS-direktivet och innebär i korthet krav på att leverantörer av samhällsviktiga tjänster ska vidta säkerhetsåtgärder för att hantera risker och incidenter i nätverk och informationssystem som de är beroende av för att kunna tillhandahålla tjänsterna.
Kraven innebär bland annat rutiner för riskanalys och säkerhet i informationssystem och rapportering och hantering av incidenter som har en betydande eller avsevärd påverkan på kontinuiteten i tjänsterna. Åtgärderna ska även innefatta säkerhet i leveranskedjor.
CER-direktivet
Det nya CER-direktivet (på engelska Directive on the Resilience of Critical Entities) innebär nya krav på att säkerställa förmågan hos vissa samhällsviktiga verksamheter, såsom vatten och avlopp, att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Kraven gäller oavsett om störningen eller avbrottet orsakats av exempelvis naturolyckor, pandemier, terrorhandlingar eller andra allvarliga händelser. Det nya direktivet innebär krav på de verksamheter som omfattas att bland annat göra en riskbedömning som omfattar alla relevanta risker som skulle kunna
leda till incidenter, att vidta åtgärder för att säkerställa sin motståndskraft samt rapportera incidenter. Det innehåller även bestämmelser om tillsyn och sanktioner.