2.4 Identifiera vad som ska ingå i det systematiska arbetet

För att förklara innebörden och möjliggöra efterlevnad av lagstiftningen och de processer och analyser som behöver genomföras har myndigheter tagit fram föreskrifter, vägledningar, arbetsmetoder och hjälpmedel. Genom att studera och följa dessa vägledningar blir det tydligare vad en verksamhet faktiskt behöver göra och hur de kan genomföras. Flera av vägledningarna och andra skrifter exemplifieras i handboken. Ett effektivt och systematiskt säkerhetsarbete kräver att processer samordnas och att man funderar över hur man kan arbeta in en kontinuitet i verksamheterna, se kapitel 4.3.

Även om lagstiftningen utgör en legal grund och således minimikrav om att verksamheter måste genomföra olika processer och se över säkerheten, får man inte glömma att världsläget och andra förutsättningar snabbt kan förändras på ett sätt där juridiken inte har någon möjlighet att hänga med. Det blir i de lägena extra tydligt att det som är allra viktigast i säkerhetsarbetet är att etablera en kultur och förståelse för hur säkerhetsarbetet ska bedrivas på ett systematiskt sätt, att rätt kompetenser finns i verksamheten, att bra och tydliga rutiner finns och att man vet vem som har ansvar för vad. Genom intervjuer med Svenskt Vattens medlemmar har tips och lärdomar för hur processerna kan genomföras lagts till i avsnitten.

Illustrationen nedan ska försöka åskådliggöra VA-huvudmannens uppdrag med kärnuppdraget som bas och omvärlden som påverkar. För att klara uppdraget måste man förbereda sig och kontinuerligt analysera läget.

Som framgått i presentationen av lagar, finns det en stor mängd regleringar som har inverkan på kommunala VA-verksamheter. Vi kan från uppräkningen konstatera att det finns krav på följande:

• Analysera om det finns säkerhetskänslig verksamhet eller uppgifter av betydelse för Sveriges säkerhet inom verksamheten samt vidta de åtgärder som behövs för att skydda informationen. Detta görs genom en säkerhetsskyddsanalys. Analysen visar om verksamheten lyder under säkerhetsskyddslagstiftningen och utifrån analysresultatet vidtas behövliga åtgärder, se vidare avsnitt 4.1.
• Ha kunskap om övrig säkerhetskänslig information och de risker och hot som finns mot verksamheten samt vidta de åtgärder som behövs för att göra verksamheten robust med utgångspunkt i identifierade risker. Detta görs genom att göra en risk- och sårbarhetsanalys (RSA) och arbete med åtgärder utifrån den. RSA:n belyser de risker och sårbarheter som verksamheten står inför. Detta görs även genom att arbeta med kontinuitetshantering, där man identifierar delar av verksamheten där det kan uppstå kritiska avbrott och skapar planer för att minimera avbrottstiden. Utifrån RSA och/eller kontinuitetshantering så tar man fram en krisledningsplan, en plan för ledning vid avvikande händelser.
• Ha kunskap och rutiner för hantering av allmänna handlingar och sekretessbelagda uppgifter i handlingar.
• Ha en säker och robust dricksvattenproduktion. Detta uppfylls genom att följa Livsmedelsverkets föreskrifter om dricksvatten gällande hantering av och kvalitet på dricksvatten.
• Ha en tillfredställande hantering av personuppgifter. Detta sker genom att följa dataskyddsförordningen (GDPR) gällande hantering av personuppgifter.
• Se över vilka tillstånd som krävs vid kamerabevakning.

Verksamheter som producerar och distribuerar vatten till minst 20 000 personer eller akutsjukhus ska arbeta med ett systematiskt informationssäkerhetsarbete enligt NIS-regleringen och livsmedelsverkets föreskrifter 2022:2. Krav från NIS är dock inte tillämpliga om säkerhetsskyddslagen gäller.

Kommunala dricksvattenanläggningar som försörjer 2000 personer eller fler med dricksvatten ska arbeta med administrativa och tekniska åtgärder som behövs för att undvika sabotage, skadegörelse eller obehörig åtkomst enligt livsmedelsverkets föreskrifter (LIVSFS 2008:13).