Säkerhetsskyddslagen och NIS
Den 1 april 2019 trädde den nya Säkerhetsskyddslagen (2018:585) i kraft. Lagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet. Ett år innan, den 1 augusti 2018 trädde lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen i kraft. Men när gäller vilken lag?
De två relativt nya lagarna Säkerhetsskyddslagen och NIS-lagen trädde i kraft med knappt ett år i mellan och skapar ibland osäkerheter hos vattenproducenter som ska tillämpa lagarna. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som är av betydelse för Sveriges säkerhet (nationell nivå) medan NIS-lagen reglerar nätverk och informationssystem som en samhällsviktig tjänst är beroende av (lokal nivå).
En del verksamheter träffas av båda regleringarna men de delar som omfattas av säkerhetsskyddslagen är då undantagna från NIS-lagen. Att en leverantör av samhällsviktiga tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav på säkerhetsskydd betyder dock inte nödvändigtvis att all verksamhet är undantagen från NIS-regleringen. Om leverantören även bedriver verksamhet som inte är säkerhetskänslig kan NIS-lagen bli tillämplig i de delarna.
MSB har på sin hemsida på ett enkelt sätt illustrerat hur lagarna fungerar parallellt och visar när enbart NIS-lagen är tillämplig, när enbart Säkerhetsskyddslagen är tillämplig samt hur de båda kan vara tillämpliga i verksamheter.