Hoppa till huvudinnehåll

NIS – Vad är specifikt för dricksvatten?

Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, syftar enligt 1 § till att uppnå en hög nivå på säkerheten i nätverk och informationssystem för bland annat leverans och distribution av dricksvatten.

I MSB föreskrifter (8 kap 1 § MSBFS 2018:7) specificeras det att det gäller verksamheten där en incident skulle medföra en betydande störning för tillhandahållandet av tjänsten. De dricksvattenproducenter som omfattas av regleringen är de va-huvudmän som levererar dricksvatten till minst 20 000 personer eller akutsjukhus.

Dricksvattenleverantörer ska vidare, för att omfattas av lagen vara etablerade i Sverige och vara beroende av nätverk och informationssystem.

Generellt för NIS-sektorer är att man ska bedriva ett systematiskt och riskbaserat säkerhetsarbete och ha förmåga att hantera och rapportera säkerhetsrelevanta incidenter. Detta innebär mer konkret att:

  • Risk- och sårbarhetsanalys ska göras årligen och nu även inkludera informationssäkerhet
  • Proaktiva åtgärder ska vidtas för att minimera avbrott vid incidenter
  • Rapportering ska göras om incidenter med betydande påverkan på kontinuitet inträffar

Incidentrapportering ska göras till MSB och där underliggande CSIRT-enhet (Computer Security Incident Response Team). MSB är utpekad som samordnande myndighet för NIS och har mycket information om arbete med NIS på sin hemsida. Livsmedelsverket är tillsynsmyndighet för dricksvattensektorn och utgör ett stöd för dricksvattenleverantörer i deras arbete med informationssäkerhet och information. Vägledning finns att läsa på deras hemsida.

NIS 2-direktivet

I december 2020 lämnade EU-kommissionen ett förslag om ett nytt NIS-direktiv, Directive on Security of Network and Information Systems, NIS2 Directive, kallat NIS 2- direktivet. Förslaget kompletterar och justera NIS-direktivet till att bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna för att möta rådande och framtida säkerhetsbehov.

Förslaget innebär även att tillämpningsområdet utökas så att NIS-reglering ska gälla fler sektorer än idag, exempelvis aktörer som tar emot avloppsvatten samt berörda verksamheters leverantörer och underleverantörer. Hur ett framtida NIS 2-direktiv slutligen kommer att vara utformat, vad det kommer att omfatta och implementeras i svensk lagstiftning återstår att se.