Nytt EU-direktiv om cybersäkerhet

Under slutet av förra året antogs ny lagstiftning för cybersäkerhet inom EU genom det så kallade NIS 2-direktivet. Direktivet publicerades under mellandagarna, men än kvarstår frågor kring tillämpning i svensk lagstiftning där kraven ska vara införda under 2024. Kraven i direktivet berör samhällskritiska sektorer där både dricks- och avloppsvatten omnämns, exakt vilken påverkan det får för VA-branschen är inte klarlagt ännu. Svenskt Vatten bevakar frågan och rapporterar löpande kring utvecklingen.

Den 27 december 2022 publicerade Europeiska kommissionen NIS 2-direktivet som innehåller regler för en hög gemensam cybersäkerhetsnivå inom EU. NIS 2-direktivet kommer att ersätta NIS-direktivet från 2016 som i Sverige framför allt har genomförts i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster med tillhörande förordning och föreskrifter från myndigheter.

NIS 2-direktivet innebär krav för verksamheter som tillhandahåller samhällsviktiga tjänster att vidta åtgärder för att stärka sin motståndskraft mot cyberhot. Det nya direktivet har ett bredare tillämpningsområde än det tidigare och omfattar utöver leverantörer och distributörer av dricksvatten även aktörer som tar emot avloppsvatten. Syftet med NIS 2-direktivet är att harmonisera medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder och innebär bland annat en högre nivå av riskhantering. I det nya direktivet har också rapporteringskraven förenklats för att minska den administrativa bördan för de verksamheter som omfattas. Genom direktivet inrättas formellt det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) som ska bidra till en samordnad hantering av storskaliga cyberincidenter och -kriser.

Hur kraven i direktivet ska genomföras i svensk lagstiftning kommer nu att utredas och Sverige har 21 månader på sig att få lagstiftningen på plats. Svenskt Vatten följer utvecklingen och vilka konsekvenser de nya kraven i direktivet kommer att få för våra medlemmar.