Säkra nätverk och informationssystem för dricksvatten (NIS)

Kraven på informationssäkerheten hos viktiga samhällsfunktioner ökar. Sedan 2018 är Livsmedelsverket tillsynsmyndighet för inom sektorn leverans och distribution av dricksvatten, vårt viktigaste livsmedel.

NIS-lagen - Lag 2018:1174 om informationssäkerhet för samhällsviktiga och digitala tjänster - ställer krav på hur samhällsviktiga tjänsteleverantörer bedriver sitt informationssäkerhetsarbete. Livsmedelsverket är tillsynsmyndighet för NIS-lagen inom sektorn leverans och distribution av dricksvatten.

NIS-direktivet som trädde i kraft den 10 maj 2018 ställer krav på säkerhet i nätverk och informationssystem inom EU. Målet med NIS-direktivet och den svenska lagstiftningen är att leverantörer av samhällsviktiga tjänster, som produktion och distribution av dricksvatten, ska bli bättre på att förebygga och hantera störningar i nätverk och informationssystem som används för samhällsviktiga tjänster.

Reviderat NIS-direktiv från EU (NIS2)

Hantering av it-incidenter orsakade av angrepp

Från och med 1 oktober 2022 finns en ny rutin för informationsdelning mellan MSB och Polismyndigheten avseende rapporteringspliktiga incidenter med avseende på NIS-lagen. Detta innebär att för incidenter som har orsakats av angrepp kan en polisanmälan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.

Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC:s verksamhet. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC behandlas utifrån tillämpliga sekretessregler.

Nya föreskrifter angående riskanalyser och säkerhetsåtgärder LIVSFS 2022:2

De nya föreskrifterna är framtagna för att komplettera NIS-lagen där Livsmedelsverket har föreskriftsrätt inom sektorn för produktion och distribution av dricksvatten. I stort syftar föreskriften till att leverantörer ska genomföra heltäckande riskanalyser för den dricksvattenproducerande miljön och dess stödsystem samt att vidta några primära men tvingande säkerhetsåtgärder.

Föreskrifterna om riskanalyser träder i kraft 1 september 2022 och föreskrifterna om säkerhetsåtgärder ska vara genomförda 1 juli 2023. I och med dessa föreskrifter ändras även LIVSFS 2008:13 där de anmälningspliktiga leverantörerna enligt anmälningsplikten i MSBFS 2021:9 undantas vissa krav om tekniska och administrativa åtgärder som täcks av de nya föreskrifterna.

Nya föreskrifter för anmälan och identifiering för leverantörer av samhällsviktiga tjänster, MSBFS 2021:9

Nya föreskrifter om anmälan och identifiering träder i kraft den 1 mars 2022 och ersätter MSBFS 2018:7 föreskrifter om anmälan av leverantörer av samhällsviktig tjänst.

Inom sektorn leverans och distribution av dricksvatten kommer anmälningsplikten inte längre enbart vara knuten till VA-huvudmannaskapet enligt 2 § lagen (2006:412) om allmänna vattentjänster. Anmälningsplikten kan i praktiken även omfatta driftsbolag, kommunalförbund eller andra organisationsformer som totalt producerar och/eller distribuerar dricksvatten till minst 20000 personer eller akutsjukhus. Detta kan innebära att organisationsformer eller verksamheter som idag inte är anmälningspliktiga kan behöva anmäla sig till Livsmedelsverket som en leverantör av samhällsviktig tjänst när föreskrifterna träder i kraft.

 

Senast granskad 2023-01-23