Gällande lagstiftning
Syftet med NIS-direktivet och den svenska lagstiftningen är att förbättra säkerheten i system och nätverk som används för att leverera samhällsviktiga tjänster. På denna sida finns information om gällande lag, förordning och föreskrifter som ställer krav på säkerhetsarbetet hos dricksvattenproducenter som omfattas av lagstiftningen.
NIS-lagstiftningen i Sverige utgår ifrån EU-direktiv 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Direktivet har införts i svensk lagstiftning med lagen 2018:1174 om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, samt förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
Till NIS-lagen har Myndigheten för samhällsskydd och beredskap (MSB) meddelat föreskrifter som anger vilka leverantörer som omfattas, samt hur incidentrapportering ska ske. Livsmedelsverket har också meddelat föreskrifter om informationssäkerhetsåtgärder för samhällsviktiga tjänster specifikt för leverantörer inom sektorn leverans och distribution av dricksvatten.
Identifiering och incidentrapportering
Leverantörer av samhällsviktiga tjänster ska själva identifiera huruvida de omfattas av NIS-regleringen och själva göra en anmälan till relevant tillsynsmyndighet. MSB:s föreskrifter används för att identifiera samhällsviktiga tjänster. Kapitel 8 i MSBFS 2024:4 anger kraven för leverantörer inom sektorn leverans och distribution av dricksvatten.
Rapportering av incidenter som påverkar kontinuiteten i samhällsviktiga tjänster ska rapporteras utan dröjsmål. MSB har även meddelat föreskrifter som detaljerar krav på vilka incidenter som ska rapporteras och hur. Se kap 2 §3 och §4 i MSBFS 2018:9 för krav på när incidenter ska rapporteras samt vad rapporten ska innehålla. Kapitel 8 detaljerar krav på vilka incidenter som är rapporteringspliktiga inom sektorn leverans och distribution av dricksvatten.
MSB har även publicerat en vägledning till föreskrifterna som ger användbara förtydliganden kring kraven i kap 2.
Livsmedelsverkets föreskrifter
Inom ramen för NIS är det primärt driftsäkerheten och förmågan att kontinuerligt tillhandhålla dricksvatten som avses med hög säkerhet inom tjänsten leverans och distribution av dricksvatten. Denna kontinuitet säkerställs genom att införa åtgärder för att förebygga störningar samt skapa en förmåga att hantera och lära sig av de störningar som, trots åtgärder, ändå uppstår. NIS inriktar sig på störningar som har sin orsak i att nätverksansluten utrustning inte är tillgänglig eller inte fungerar korrekt – oavsett om det skett av misstag, naturfenomen eller genom angrepp.
NIS-lagen ställer inte upp specifika krav på säkerhetsåtgärder i system och nätverk utan tar sin utgångspunkt i att säkerhetsarbetet hos leverantörer av samhällsviktiga tjänster ska vara riskbaserat och systematiskt. Livsmedelsverket har detaljerat vissa aspekter av hur en riskanalys ska genomföras samt föreskrivit ett antal tekniska åtgärder som samtliga leverantörer inom sektorn ska införa. Kraven går att läsa i Livsmedelsverkets föreskrifter om informationssäkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten (LIVSFS 2022:2).
Till föreskrifterna har Livsmedelsverket publicerat en vägledning som förklarar hur kraven ska tolkas.