Nya regler om cybersäkerhet

I slutet av 2022 antogs det nya NIS2-direktivet. Det ersätter NIS-direktivet som i dag genomförs i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, även kallad NIS-lagen. NIS2-direktivet innebär en rad nya krav för VA-organisationerna vilket Svenskt Vatten tidigare skrivit om. Bland annat omfattas numera omhändertagande och rening av avloppsvatten, utöver sedan tidigare berörd produktion av dricksvatten. 

I det bestänkande som utredningen presenterat föreslår man att NIS-lagen ska ersättas av en ny cybersäkerhetslag vars syfte är att uppnå en hög cybersäkerhetsnivå. Utredningens förslag innebär bland annat att:

• verksamheter som producerar dricksvatten eller omhändertar avloppsvatten omfattas som huvudregel av cybersäkerhetskraven om de sysselsätter minst 50 personer eller har en årsomsättning som överstiger 10 miljoner euro,
• alla kommuner omfattas av de nya kraven, 
• verksamhetsutövare ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter, vilket bland annat innefattar krav på incident-, och kontinuitetshantering samt säkerhet i leveranskedjan,  
  ett systematiskt säkerhetsarbete ska bedrivas, 
• nya krav och ansvar för ledningsfunktioner i cybersäkerhetsarbetet ska införas, 
• tydligare krav gällande incidentrapportering ska införas, 
• att Livsmedelsverket ska vara tillsynsmyndighet för både dricksvatten och avloppsvatten, 
• nya verktyg för tillsynsmyndigheten och högre sanktionsavgifter ska införas. 
   

Den nya cybersäkerhetslagen föreslås träda i kraft den 1 januari 2025. Den statliga utredning som lämnat förslaget kommer nu att fortsätta sitt arbete och titta på vilka regler som är nödvändiga för att genomföra CER-direktivet (som innehåller krav på samhällsviktiga verksamheter att förebygga, motstå och hantera störningar eller avbrott i verksamheten) som också berör dricksvatten och avlopp.