2.3 Lagar och krav

Kommunallagen ger grundläggande regler för kommunala befogenheter och ansvar. Att kommunerna normalt sköter vatten och avlopp har sin grund i 2 kap. 1 § som anger att kommunen och regioner får ha hand om ”angelägenheter av allmänt intresse”. Vattentjänsterna och säkerhetsfrågorna kring dessa är inte särskilt omnämnt i lagen men räknas till angelägenheter av allmänt intresse. Att VA-verksamheten är kommunal har betydelse för vilka lagar och regler som är tillämpliga. Det gör inte någon skillnad när vattenförsörjningen sköts av ett kommunalförbund. Även ett aktiebolag där kommunen är majoritetsägare omfattas till stor del av den lagstiftning som gäller för kommuner. Som exempel kan nämnas att offentlighetsprincipen som ingår i tryckfrihetsförordningen (1949:105) samt offentlighets- och sekretesslagen (2009:400) är tillämplig i dessa verksamheter.

Kontentan: Kommuner har ansvar för att VA fungerar inom kommunen.

Lagen syftar till att säkerställa att vattenförsörjning och avlopp ordnas i ett större sammanhang, om det behövs med hänsyn till skyddet för människors hälsa eller miljön. Lagen innehåller regler för under vilka förutsättningar kommuner har detta ansvar, vad som gäller för ordnandet och driften av en allmän VA-anläggning, vilken rätt och skyldighet fastighetsägare har att använda anläggningen, vilka skyldigheter som åvilar VA-huvudmannen samt hur avgifter tas ut för allmänna vattentjänster och annat. Lagen innehåller inte några regler om hur anläggningarna ska skyddas mot antagonistiska hot men ger att VA-anläggningar behöver ordnas och underhållas enligt gällande praxis. Att notera är att ansvaret att tillhandahålla och ta emot vatten från/till hushåll enligt denna lag enbart gäller mot fastigheter i de av kommunen utsedda verksamhetsområdena och inte gäller alla fastigheter i hela kommunen.

Kontentan: Hur kommuner och VA-huvudmän ska arbeta med VA-anläggningars säkerhet ur antagonistisk synpunkt regleras inte i denna lag.

Denna lagreglering utgör grunden för kommuners och regioners förberedelser inför och hantering vid en krissituation och ställer upp övergripande utgångspunkter i krishanteringsarbetet. LEH innehåller bestämmelser om kommuners och regioners uppgifter inför och vid extraordinära händelser och vid höjd beredskap, och ställer krav på beredskap att hantera uppkomna kriser inom en mängd sakområden, varav dricksvattenförsörjningen är ett. Kommunen ska göra en risk- och sårbarhetsanalys samt en plan för arbete med extraordinära händelser. Till skillnad från lagen (2006:412) om allmänna vattentjänster som enbart gäller inom kommuners verksamhetsområden så gäller denna lag hela kommunens geografiska område Läs mer om risk- och sårbarhetsanalyser i avsnitt 4.2.

Kontentan: Kommunen ska genomföra en risk- och sårbarhetsanalys och en plan för hantering av extraordinära händelser.

Lagen beskriver statliga myndigheters, kommunens och den enskildes ansvar för olika typer av räddningsinsatser. Lagen ska säkerställa ett tillfredställande skydd mot olyckor, som exempelvis bränder och utsläpp av radioaktiva ämnen. I förordningen (2003:789) om skydd mot olyckor förtydligas lagen. Myndigheten för samhällsskydd och beredskap, MSB, ger ut föreskrifter, stöd och har tillsynsansvar för att se att kommunerna följer lagstiftningen. Det är just olyckor och inte antagonistiska dåd som avses i denna lag.

Eftersom VA-verksamhet bedrivs i kommunal regi verkar verksamheterna under offentlighetsprincipen. Offentlighetsprincipen brukar kallas för en av hörnstenarna i ett demokratiskt samhälle och innebär att myndigheternas verksamhet så långt som möjligt ska ske i öppna former. Därför är till exempel domstolsförhandlingar och beslutande församlingars sammanträden normalt offentliga. Offentlighetsprincipen tar sig till uttryck i grundlagen tryckfrihetsförordningen (1949:105). Hur allmänna handlingar ska lämnas ut anges i offentlighets- och sekretesslagen (2009:400) där även regler för hur man ska använda sekretess finns.

I VA-verksamheten gäller som utgångspunkt handlingsoffentlighet. Handlings­offentligheten ger var och en rätt att begära att få del av allmänna handlingar, vanligtvis utan att behöva tala om vem man är eller varför man vill ta del av handlingen vilket framgår ur 1 kap. 1 § TF. Det finns dock undantag som innebär att rätten att ta del av allmänna handlingar får begränsas (med exempelvis sekretess), se 2 kap. 2 § TF. Ett exempel på lag som ger möjlighet att begränsa rätten att ta del av allmänna handlingar är Offentlighets- och sekretesslagen, genom olika bestämmelser om exempelvis sekretess.

Offentlighets- och sekretesslagen reglerar myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. Dessutom finns regler om sekretess, tystnadsplikt och förbud att lämna ut vissa uppgifter ur allmänna handlingar. Det är först när någon begär att få ta del av en handling som den som förvarar den behöver göra en prövning av om uppgifterna i handlingen ska omfattas av någon form av sekretess. Läs mer om arbetet med sekretess under 4.5.5 i avsnitt 4.5.

Kontentan: Handlingar är inom den kommunala VA-verksamheten som utgångspunkt offentliga. Vissa uppgifter i handlingar kan dock beläggas med sekretess.

Säkerhetsskyddslagen syftar till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, till exempel spioneri, sabotage och terroristbrott och andra brott mot verksamheten som kan hota Sveriges säkerhet. Det är därav enbart den för Sveriges säkerhet allra mest känsliga informationen och uppgifterna som behöver behandlas med säkerhetsskyddslagens omfattande skyddsåtgärder. Alla VA-verksamheter är dock samhällsviktiga och behöver genomföra en säkerhetsskyddsanalys enligt lagen. Säkerhetsskyddsanalysen ger svar på om och i så fall hur en verksamhet eller delar av en verksamhet omfattas av och behöver arbeta med säkerhetsskydd utifrån säkerhetsskyddslagen. Hur en säkerhetsskyddsanalys genomförs och vad arbetet med säkerhetsskydd kan innebära utvecklas vidare i avsnitt 4.1.

Hur aktörer omfattas av och ska arbeta med säkerhetsskydd regleras i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) och säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd. För att vidare vägleda aktörer har Säkerhetspolisen tagit fram vägledningar i säkerhetsskydd som finns på Säkerhetspolisens hemsida.

Kontentan: Alla kommuner ska genomföra den första delen i säkerhetsskyddsanalysen - verksamhetsbeskrivningen - där  säkerhetskänslig verksamhet identifieras. De verksamheter som enligt analysen omfattas av lagen ska vidta säkerhetsskyddsåtgärder.

Denna lag reglerar hur man kan vidta åtgärder till förstärkt skydd dels för samhällsviktiga anläggningar som byggnader, områden och andra objekt mot sabotage, terroristbrott, spioneri, dels mot röjande av hemliga uppgifter som rör totalförsvaret med mera, se 1 § skyddslagen. För att tillgodose behovet av skyddet kan det beslutas om att något ska vara skyddsobjekt, sådana beslut fattas av Länsstyrelsen.

Anläggningar som kan beslutas vara skyddsobjekt listas i 4 § skyddslagen och där går det att utläsa att anläggningar för försörjning med bland annat vatten som är av betydelse för Sveriges försörjningsberedskap får beslutas vara skyddsobjekt. Ett beslut om skyddsobjekt innebär att obehöriga inte har tillträde till skyddsobjektet. Tillträdesförbudet får förenas med förbud mot att göra avbildningar, beskrivningar eller mätningar av eller inom skyddsobjektet. Läs vidare under 4.8.1 Civila skyddsobjekt i avsnitt 4.8.

Kontentan: Denna lag ger verksamheter möjlighet att skydda anläggningar som skyddsobjekt.

NIS står för Network and Information Security, eller Nätverk- och informationssäkerhet på svenska. Regleringen syftar till att höja nivån på informationssäkerheten i nätverk och offentliga IT-system för utövare av samhällsviktiga tjänster. De som omfattas av lagen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Aktörer som bedriver verksamhet för produktion och distribution av dricks­vatten till  minst 20 000 personer eller akutsjukhus omfattas av lagen. Aktörer som genom samarbete distribuerar vatten till minst 20 000 personer kan också omfattas, se mer under 4.5.2 i avsnitt 4.5

NIS-lagen gäller inte för verksamhet som omfattas av säkerhetsskyddslagen men en verksamhett kan i vissa delar lyda under säkerhetsskyddslagen och i vissa delar under NIS. Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram en exempelguide för hur säkerhetsskyddslagen och NIS-lagen förhåller sig till varandra.

Kontentan: De verksamhetsutövare som omfattas av NIS-lagen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete som omskrivs i NIS-regleringarna.

Föreskrifterna kompletterar NIS-lagen och NIS-förordningen gäller sektorn leverans och distribution av dricksvatten. Genom föreskrifterna fastställs bestämmelser om leverantörers riskanalyser och informationssäkerhetsåtgärder. Föreskrifterna gäller de leverantörer inom sektorn som identifieras genom Myndigheten för samhällsskydd- och beredskaps föreskrifter.

Kontentan: De som omfattas av NIS behöver genomföra en riskanalys och vidta informationssäkerhetsåtgärder.

En komplettering av NIS-direktivet godkändes av Europaparlamentet och EU-rådet i slutet av 2022. Kompletteringen justerar och ersätter NIS-direktivet till att bli mer ­
detaljerat­ angående informationssäkerhetsåtgärder i EU-länderna för att möta rådande och framtida säkerhetsbehov. Tillämpningsområdet för NIS utökas så att NIS-reglering gäller för fler sektorer än i dag, för VA-sektorn innebär förändringarna att även aktörer som tar emot avloppsvatten omfattas. Läs mer om NIS 2 i kapitlet om Informationssäkerhet.

Ytterligare ett direktiv är godkänt i EU, det så kallade CER-direktivet. Direktivet ska ge ett ramverk som ska ge stöd till medlemsstaterna avseende säkerställande av samhällsviktig verksamhets förmåga att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Det gäller oavsett om störningen eller avbrottet har orsakats av till exempel naturolyckor, terroristattacker, pandemier eller andra allvarliga händelser.

Syftet med EU:s dataskyddsförordning (General Data Protection Regulation, GDPR) är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd vid behandling av personuppgifter, samt att genom en likvärdig skyddsnivå i EU:s medlemsstater säkerställa ett fritt flöde av personuppgifter inom unionen. Dataskyddsförordningen gäller i Sverige som om den vore en lag antagen av riksdagen. Förordningen kompletteras i svensk lag av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Mer om reglerna om dataskydd finns i kapitlet Informationssäkerhet.

Kontentan: Denna reglering anger hur verksamheter får och ska hantera personuppgifter.

Denna lag reglerar verksamheters möjligheter att använda kamerabevakning och ska skydda personer mot otillbörligt intrång i den personliga integriteten vid kamerabevakning. Regleringarna beskriver vid vilka tillfällen tillstånd krävs och när det finns krav på skyltning. Undantag från tillståndsplikten och skyltningskravet kan gälla om anläggningen är klassad som skyddsobjekt, enligt 16 § kamerabevakningslagen. I andra fall måste allmänheten upplysas om att kamerabevakning sker även om tillstånd inte behövs. Påpekas bör vidare att även tillståndsfri kamerabevakning måste bedrivas i enlighet med dataskyddsförordningens och dataskyddslagens bestämmelser. Läs mer i kapitlet 4.8, Fysisk säkerhet.

Kontentan: Verksamhetsutövare behöver se över vilka tillstånd som krävs vid kamerabevakning.

Livsmedelsverkets föreskrifter om dricksvatten gäller hanteringen av och kvaliteten på dricksvatten. Dricksvatten som tillhandahålls eller används som en del av en kommersiell eller offentlig verksamhet omfattas alltid av föreskrifterna, oavsett verksamhetens storlek. Nu gällande föreskrifter är från 2023-01-01 och grundar sig på EU:s dricksvattendirektiv från den 12 januari 2021.

Föreskrifterna kallas i folkmun för ”Lås- och bom-föreskrifter”. Det namnet kan vara missvisande då det främst för tankarna till fysisk skydd. En stor del av det skydd som krävs utgörs dock av mjukvarusystem i datasäkerhet och säkerhet i styrsystem. Föreskrifterna innehåller regler om att förebygga och avhjälpa skadeverkningar till följd av sabotage eller annan skadegörelse som kan påverka kvaliteten på dricksvatten. Föreskrifterna gäller för kommunala dricksvattenanläggningar som försörjer 2000 personer eller fler med dricksvatten. Producenter eller distributörer av dricksvatten ska vidta de administrativa och tekniska åtgärder som behövs för att säkerställa obehörig åtkomst. I föreskrifterna finns krav på att dricksvattenanläggningar ska skyddas mot obehörigt tillträde och att dricksvattnet ska skyddas mot obehörig åtkomst. Det finns också krav på att viktig information ska skyddas mot obehörig åtkomst. Hur detta kan genomföras står mer att läsa om i kapitlen om fysisk säkerhet, informationssäkerhet.

Kontentan: De verksamhetsutövare som berörs av föreskrifterna behöver arbeta med skydd mot obehörig åtkomst och tillträde för att undvika negativ påverkan på dricksvattenkvaliteten.

I smittskyddslagen regleras preventiva åtgärder för att förhindra att människor smittas av allmänfarliga sjukdomar. Regionen har ansvaret för att nödvändiga smittskyddsåtgärder vidtas inom regionen. Ansvaret för direkta smittskyddsåtgärder vilar på smittskyddsläkarna och de behandlande läkarna.

Smittskyddslagen fastslår att var och en genom uppmärksamhet och rimliga försiktighetsåtgärder ska medverka till att förhindra spridning av smittsamma sjukdomar. Lagen beskriver vissa rättigheter och skyldigheter för den som är smittad eller misstänks bära på smitta. De smittskyddsåtgärder som rör djur, livsmedel eller andra objekt regleras i andra lagar. För livsmedel finns regler i Europaparlamentets och rådets förordning (EG) nr 2160/2003 om bekämpning av salmonella och vissa andra livsmedelsburna zoonotiska smittämnen.

I brottsbalken behandlas Sveriges allmänna straffrätt, det vill säga vad som i Sverige utgör brott och vad påföljderna för brottet kan bli. Brott som kan bli aktuella inom VA-branschen är exempelvis störning eller sabotage av vattenförsörjningen, 13 kap. 4 § 2 st. Det är också straffbart att framkalla fara för människors liv eller hälsa genom att förgifta eller infektera vatten (13 kap. 7 §) och att störa datasystem, exempelvis att störa vattenförsörjningen genom dataintrång (2 kap. 3 § och 4 kap. 9 c § BrB).

Kontentan: Det är straffbart att störa VA-verksamheten eller framkalla fara genom att förstöra för verksamheten. Det är även straffbart att störa kommunala datasystem.