Specifikt för dricksvatten
Enligt det svenska förslaget är det endast VA-huvudmän som levererar till fler än 20 000 personer som omfattas av kraven i Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Exakt vad detta kommer att innebära för dessa huvudmän kommer att specificeras i myndighetsföreskrifter som sannolikt blir klara under hösten 2018. Generellt för att NIS-sektorer är att man ska bedriva ett systematiskt och riskbaserat säkerhetsarbete och ha förmåga att hantera och rapportera säkerhetsrelevanta incidenter. Detta innebär mer konkret att:
- Risk- och sårbarhetsanalys ska göras årligen och nu även inkludera informationssäkerhet
- Proaktiva åtgärder ska vidtas för att minimera avbrott vid incidenter
- Rapportering ska göras om incidenter med betydande påverkan på kontinuitet inträffar
Incidentrapportering ska göras till Myndigheten för samhällsskydd och beredskap (MSB) och där underliggande CSIRT-enhet (Computer Security Incident Response Team). MSB är utpekad som samordnande myndighet för NIS medan Livsmedelsverket är föreslagen tillsynsmyndighet för dricksvatten.
Som VA-huvudman kan man redan nu förbereda sig genom att sätta upp en handlingsplan som inkluderar ett riskbaserat säkerhetsarbete och incidenthantering.
Förslag till handlingsplan:
- Gör en risk- och sårbarhetsanalys som inkluderar säkerhet (nu)
- Genomför workshop för incidenthantering (när föreskrifter finns)
- Genomför workshop för tekniska och organisatoriska åtgärder
- Gör en handlingsplan för prioriterade åtgärder
Länkar:
Regeringens sida om NIS-direktivets införande i svensk lagstiftning
Livsmedelsverkets handbok om risk- och sårbarhetsanalys för dricksvatten (pdf)