NIS-direktivet - Svenskt Vatten Hoppa till huvudinnehåll

NIS-direktivet

NIS-direktivet är en lagstiftning beslutat på EU-nivå som implementerades i NIS-lagen (lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster) den 1 augusti 2018. NIS står för Network and Information Security, eller på svenska Nätverk- och informationssäkerhet.

Regleringen syftar till att stärka hur samhällsviktiga tjänsteleverantörer arbetar med informationssäkerhet inom såväl privat som offentlig verksamhet och minska sårbarheten inom dessa samhällsaktörers system. Man menar att avbrott i den här typen av verksamhet hindrar annan ekonomisk verksamhet, leder till omfattande ekonomiska förluster, undergräver användarnas förtroende och medför allvarliga konsekvenser för Sverige eller EU:s ekonomi. Eftersom digitaliseringen och beroendet av nätverk och informationssystem blir alltmer utbredd ökar också behovet av reglering inom fältet.

Till de i lagen sju utpekade samhällsviktiga sektorerna som omfattas av NIS-lagen räknas leverans och distribution av dricksvatten. I MSB:s föreskrift 2018:7 om identifiering av leverantörer av samhällsviktiga tjänster föreskriften preciseras vilka som omfattas av lagen, nämligen va-huvudmän som tillhandahåller vatten till minst 20 000 personer eller till akutsjukhus.

I NIS- lagen framgår att leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

Anmälan som dricksvattenleverantör

Den som identifierat sig som en leverantör av en samhällsviktig tjänst enligt NIS-lagen ska anmäla det till berörd tillsynsmyndighet. För dricksvattensektorn är det Livsmedelsverket. Blanketter och mer information finns på Livsmedelsverkets hemsida

Incidentrapportera till MSB

Leverantörerna ska rapportera incidenter i verksamheten som har en betydande verkan på kontinuiteten i verksamheten. Inom dricksvattensektorn ska incidenter rapporteras till MSB.

MSB:s roll kopplat till NIS-regleringen innefattar att myndigheten har rätt att ge ut föreskrifter, samordnar det nationella arbetet, mottar incidentrapporter m.m. MSB utgör också kontaktpunkten gentemot andra EU-medlemsstater. Föreskrifterna ger mer omfattande och preciserad information och vägledning än vad lagen ger.

MSB:s föreskrifter och allmänna råd gällande NIS-lagen samt mer information finns på MSB:s hemsida .

Nis 2

I december 2020 lämnade EU-kommissionen ett förslag om ett nytt NIS-direktiv, Directive on Security of Network and Information Systems, NIS2 Directive, kallat NIS 2- direktivet. Förslaget kompletterar och justera NIS-direktivet till att bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna för att möta rådande och framtida säkerhetsbehov.

Förslaget innebär även att tillämpningsområdet utökas så att NIS-reglering ska gälla fler sektorer än idag, exempelvis aktörer som tar emot avloppsvatten samt berörda verksamheters leverantörer och underleverantörer. Hur ett framtida NIS 2-direktiv slutligen kommer att vara utformat, vad det kommer att omfatta och implementeras i svensk lagstiftning återstår att se.