Frågor och svar om NIS

På denna sida finns svar på vanliga frågor kring NIS-regleringen och regelefterlevnad. Leverantörer är också välkomna att kontakta Livsmedelsverket direkt via e-post för rådgivning kring specifika aspekter av NIS-regleringen.

Hur vet vi om vi omfattas av NIS-lagen?

NIS-direktivet definierar ett antal sektorer med samhällsviktiga tjänster, bland annat leverans och distribution av dricksvatten. I svensk lagstiftning har det förtydligats att det, för den svenska marknaden, inte ska inkludera leverans och distribution av dricksvatten på flaska.

Myndigheten för samhällsskydd och beredskap, MSB, har meddelat föreskrifter som anger vilka kriterier som gäller för att en leverantör ska omfattas av NIS-lagen inom respektive sektor. Inom sektorn leverans och distribution av dricksvatten gäller att samtliga leverantörer som förser mer än 20 000 personer eller ett akutsjukhus med vatten ska omfattas av lagen.

Om leverantörens verksamhet omfattas av säkerhetsskyddslagstiftningen behöver en särskild bedömning göras.

Se 8 kap i MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2021:9) för gällande krav.

Hur gör jag för att anmäla eller avanmäla vår organisation som NIS-leverantör?

Leverantörer inom sektorn leverans och distribution av dricksvatten ska anmäla sig till Livsmedelsverket som är tillsynsmyndighet för sektorn. Anmälan och avanmälan sker med en blankett som skickas med rekommenderat brev till Livsmedelsverket.

Vad är ”NIS2”?

NIS-direktivet antogs 2016 och har sedan dess införlivats i lag i EU:s respektive medlemsstater. I slutet av 2022 antogs ett nytt direktiv som ska ersätta det nuvarande, i dagligt tal brukar direktivet kallas för ”NIS2”. Ambitionen med NIS2 är att hantera vissa brister i det ursprungliga direktivet, bland annat genom att försöka få till stånd ett mer likvärdigt införande i samtliga medlemsstater och därmed en jämn nivå av säkerhet i samhällsviktiga tjänster i hela unionen.

I NIS2 tillkommer även nya sektorer för samhällsviktiga tjänster, bland annat produktion och distribution av livsmedel och hantering av avloppsvatten samt en del förtydligade krav på säkerhetsarbetet hos de leverantörer som omfattas och utökade sanktionsbelopp.

En utredning pågår för att avgöra vad NIS2 innebär för Svensk del och hur svensk lagstiftning behöver anpassas till det nya direktivet.

Vad är CER?

I slutet av 2022 antog EU ett nytt direktiv som kallas ”Directive on the Resiliance of Critical Entities”, i vardagligt språk ofta kallat CER-direktivet (CER = Critical Entities’ Resiliance). Direktivet är tänkt att komplettera NIS2-direktivet genom att ställa krav på åtgärder inom områdena fysisk säkerhet och hantering av incidenter som inte påverkat IT-system för leverantörer av samhällsviktiga tjänster.

CER-direktivet definierar likt NIS2 ett antal sektorer för samhällsviktiga tjänster, där bland annat leverans och distribution av dricksvatten samt hantering av avloppsvatten ingår. Bland de nya sektorerna finns även hantering av avloppsvatten, avfallshantering samt produktion och distribution av livsmedel.

Hur rapporterar jag en incident?

Rapportering ska i första hand ske via MSB:s rapporteringsverktyg, men det går också bra att ringa till MSB för att rapportera en incident om behov av stöd finns. CERT-SE som är ansvariga för att ta emot incidentrapporter från leverantörer av samhällsviktiga tjänster nås på telefonnummer 010-240 40 40

Ytterligare information finns på MSB:s hemsida:

Vilka incidenter ska rapporteras?

Leverantörer av samhällsviktiga tjänster är ålagda att rapportera incidenter som orsakar störningar som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst de levererar. Rapportering sker till CERT-SE som är en del av Myndigheten för samhällsskydd och beredskap, MSB.

MSB: föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster (MSBFS 2018:9) anger kriterier för vilka incidenter som ska rapporteras, samt hur och när de ska rapporteras.

Rapporteringspliktiga incidenter

MSBFS 2018:9, 8 kap, 1§ anger följande avseende rapporteringspliktiga incidenter för aktörer inom sektorn leverans och distribution av dricksvatten:

Leverantörer inom leverans och distribution av dricksvatten ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som

1. har pågått i minst två timmar och som

a) kan antas ha påverkat minst 2 000 personer,

b) har påverkat akutsjukhus, eller

2. har påverkat styrning och övervakning av tjänsten.

Kravet i punkt 2 om att rapportera incidenter som har påverkat styrning och övervakning av tjänsten kan läsas som att samtliga upptäckta avbrott i system för styrning och övervakning, oavsett hur kort tid de pågått, ska rapporteras. Dricksvattenproducenter behöver för dessa fall göra en bedömning huruvida avbrottet fick en faktisk påverkan på styrning och övervakning. En indikation på att en incident ledde till en påverkan är om någon slags avvikande rutin behövde användas, exempelvis att det krävdes manuell styrning eller avläsning av instrument.

Vad händer med en incidentrapport efter att den skickats in?

Incidentrapporter som lämnas till CERT-SE vidarebefordras till den myndighet som har tillsynsansvar för rapportörens sektor. För dricksvattensektorn innebär det att rapporten skickas till Livsmedelsverket.

Eftersom rapporter kan innehålla känsliga uppgifter skickas de med rekommenderat brev till Livsmedelsverket. Det innebär att det kan dröja några dagar efter rapporteringstillfället innan rapporten kommer fram. När rapporten inkommit till Livsmedelsverket sker en återkoppling via telefon till den rapporterande leverantören för att bekräfta att rapporten är mottagen. Inga detaljer kan diskuteras vid det samtalet i och med att uppgifter om incidenten kan vara sekretessbelagda, syftet med samtalet är att bekräfta att rapporten är mottagen samt att påminna leverantören om ytterligare rapportering inom de föreskrivna tidsramarna.

Livsmedelsverket granskar och diarieför samtliga inkomna incidentrapporter och det görs en löpande bedömning om kvalitet och om rapporterna följer gällande krav.  

När måste vi rapportera incidenter som inträffar på helger när endast jourpersonal är på plats?

Rapportering ska i första hand ske via MSB:s rapporteringsverktyg, men det går också bra att ringa till MSB för att rapportera en incident om behov av stöd finns. CERT-SE som är ansvariga för att ta emot incidentrapporter från leverantörer av samhällsviktiga tjänster nås på telefonnummer 010-240 40 40

MSBFS 2018:9, 2 kap. 3 § detaljerar krav på när en incident ska rapporteras.

”3 § Leverantören ska

1. senast inom sex timmar från det att leverantören har identifierat att en incident är rapporteringspliktig, rapportera uppgifter enligt 4 § punkt 1-8 till Myndigheten för samhällsskydd och beredskap.

2. senast inom 24 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig rapportera uppgift enligt 4 § punkt 9, samt vid behov ändra eller komplettera tidigare rapportering.

3. inom fyra veckor från det första rapporteringstillfället rapportera uppgift enligt 4 § punkt 10-11, samt vid behov ändra eller komplettera tidigare rapportering.”

För att möjliggöra rapportering behöver en leverantör av samhällsviktiga tjänster ha en incidenthanteringsprocess som innefattar ett bedömningsmoment där det avgörs huruvida incidenten är rapporteringspliktig eller inte. MSB:s vägledning till föreskriften ger ett ytterligare förtydligande till hur rapporteringsplikten ska tolkas.

Avsnitt 4.3 i Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen:

"Leverantören ska ha interna regler och arbetssätt på plats för att upptäcka incidenter. Dessutom bör interna regler och arbetssätt tydliggöra hur arbete ska ske med att identifiera vilka incidenter som är rapporteringspliktiga enligt MSBFS 2018:8.

Föreskriftskravet ska inte tolkas som krav på ökad bemanning. NIS-lagen ställer krav på att leverantören ska rapportera incidenter utan onödigt dröjsmål. Tidsfristen för rapportering räknas från den tidpunkt då leverantören med stöd av sina interna regler och arbetssätt identifierat en incident som rapporteringspliktig. En verksamhet kan t.ex. vara obemannad och en incident som inträffar under helgen identifieras inte förrän på måndagen, rapporteringsplikten inträffar då sex timmar senare. Det bör dock betonas att arbetet med identifieringen, även om det inte behöver ske med hjälp av extrabemanning, ändå ska genomföras utan onödigt dröjsmål.”

Vi är anmälda som NIS-leverantör hos Livsmedelsverket, när kommer ni att göra tillsyn?

Livsmedelsverket utför så kallad proaktiv tillsyn. Det innebär att tillsynen är planerad och alltid föregås av en föranmälan om tillsyn. Det kan vara svårt att avgöra exakt när en enskild leverantör kommer att få en tillsyn, då urvalet av tillsynsobjekt är beroende av flera faktorer.

Du kan läsa mer om Livsmedelsverkets tillsyn genom att klicka på länken nedan:

Hur hanterar vi integrationer mot vårt produktionsnät?

Digitaliseringen av samhället och modernisering av IT-miljöer leder ofta till ett behov av att låta affärssystem och kontorsapplikationer samverka med känsliga system i den dricksvattenproducerande miljön med hjälp av nya integrationer. Införande av nya tjänster med integrationer mot en produktionsmiljö kan ge ett värde och är ibland helt nödvändiga men innebär nästan alltid risker som behöver hanteras. Utifrån NIS-regleringen finns det inget som hindrar en arkitektur med integrationer mot den dricksvattenproducerande miljön, men det innebär oftast att fler system och komponenter i IT-miljön omfattas av krav på säkerhet.

En leverantör av dricksvatten kan använda segmentering av nätverk som en säkerhetsåtgärd för att begränsa antalet system som kan påverka säkerheten i leveransen av den samhällsviktiga tjänsten. Varje integration med system inom produktionssegmenten innebär en attackyta som kan behöva ytterligare säkerhetsåtgärder och innebär en utökning av de system som kan påverka säkerheten i den samhällsviktiga tjänsten.

Leverantören behöver systematiskt arbeta med risker som kan uppstå med en ny integration och behöver kunna visa vilka säkerhetsåtgärder som använts för att hantera riskerna. Genom systematisk riskanalys kan leverantören ta ställning till om det är möjligt att införa en ny integration med bibehållen säkerhet eller inte.

Hantering av risker förknippade med en integration kommer att alltså variera beroende på en mängd omständigheter. Centralt är att leverantören har kontroll på de risker en integration innebär.

Hur avgör vi vilka system som ska omfattas av riskanalys?

NIS-regleringen omfattar system som kan påverka säkerheten i leveransen av dricksvatten. En leverantör kan använda detta som utgångspunkt för att avgöra vilka system som bör inkluderas i de riskanalyser som ska göras.

Om nätverksarkitekturen är designad så att system som används för dricksvattenleveransen hanteras i ett avskilt nätverkssegment är det möjligt att begränsa antalet system som kan påverka säkerheten i den samhällsviktiga tjänsten. Exempelvis kan ett GIS-system för ledningskartor eller ett epostsystem hållas separerade från produktionsmiljön med segmentering, och därmed inte ha möjlighet att påverka säkerheten i de system som används för leveransen. De behöver då inte inkluderas i riskanalysen. Det är dock inte fel av en leverantör att göra bedömningen att exempelvis GIS-systemet är nödvändigt för säkerheten i den samhällsviktiga tjänsten och att det därmed ska inkluderas, även om det inte hanteras i produktionsnätet. En sådan bedömning behöver göras av leverantören.

Livsmedelsverkets föreskrifter om informationssäkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten (LIVSFS 2022:2) ställer krav på att NIS-leverantörer ska upprätta en förteckning över bland annat nätverksansluten hård- och mjukvara och förbindelser i form av kommunikationslänkar som kan påverka säkerheten i den samhällsviktiga tjänsten. En sådan förteckning fungerar som ett bra underlag för att förstå vilka system som ska omfattas av riskanalys.

Kan mobilnätet användas för kommunikation till ytterstationer?

NIS-lagen ställer inte specifika krav på vilka teknologier som får användas för kommunikation med ytterstationer, mellan ytterstationer och med centrala system. Det centrala är att riskerna förknippade med den valda teknologin identifieras, värderas och hanteras med lämpliga säkerhetsåtgärder.

Hantera risker förknippade med kommunikation via mobilnätet

När mobilnätet används i syfte att hantera denna typ av kommunikation kan risker ofta hanteras genom att man enbart tillåter betrodda enheter. Det är vanligt att detta åstadkoms med hjälp av aktiv utrustning med stöd för VPN och brandväggsregler.

Många teleoperatörer erbjuder möjlighet till eget företagsspecifikt privat APN. De marknadsförs ibland som en ersättning för VPN där abonnentens rättighet till åtkomst i nätverket verifieras av teleoperatören. Ett privat APN kan dock kompletteras med ett krypterat och behörighetskontrollerat VPN, eller motsvarande, för ökad kontroll. Ett privat APN kan fortfarande ha stora fördelar, även om det endast används som bärare för ett VPN, då det korrekt konfigurerat ger större kontroll över mobila enheter, det är separerat från Internet och har fasta och ofta helt valbara IP-adresser för alla ändpunkter.

Reglera trafiken med en brandvägg

Vid kommunikation med ytterstationer via 3G/4G (eller motsvarande teknik) bör kommunikationen regleras så att endast de trafikflöden som är nödvändiga för verksamheten accepteras. Detta kan exempelvis regleras i en brandvägg så att ytterstationer endast kan kommunicera på de portar, med de protokoll och i de riktningar som är avsett.

En ytterstation ansluten via en mobiloperatör kan betraktas som en sammankoppling med ett annat nätverk oavsett om sammankopplingen sker via VPN eller via ett eget APN. Syftet med att reglera trafiken in från mobilanslutna ytterstationer oavsett hur anslutningen är upprättad är att även skydda mot den händelse att utrustningen (inklusive moden, VPN-utrustning och SIM-kort) stjäls.

Hur ökar vi motståndskraften mot ransomware?

Ett framträdande hot mot verksamheter är skadlig programvara som, när den tagit sig in i en IT- eller OT-miljö, krypterar vital data och kräver en lösensumma för att den ska återställas, så kallad ”ransomware”. Även VA-organisationer och dess IT- och OT-system kan drabbas av effekterna av ransomware, och att detta hot bör bedömas i respektive leverantörs riskanalys. Den ökade digitaliseringen och integrationen med andra system gör att hotet från ransomware är högst reellt och att även VA-organisationer behöver ha en hög medvetenhet om risken för att drabbas.

Nedan finns förslag på åtgärder som kan vara värda att ta i beaktande i VA-sammanhang.

  • Öva bortfall av IT och ha en plan för en eventuell fysisk rondering. VA-verksamheter bör analysera vilka IT- och OT-system som kan påverkas av ett eventuellt ransomware-angrepp och hur ett bortfall i så fall påverkar dricksvattenproduktionen och distributionen. Vidare behöver bortfallet övas och kontinuiteten i dricksvattenproduktionen planeras. Om fysisk rondering krävs är det fördelaktigt att ha en färdig plan eftersom det är resurskrävande.
  • Beräkna vad som är en acceptabel återställningstid för system som används för produktion och distribution av vatten, exempelvis utifrån hur länge det är praktiskt möjligt att rondera, och planera återställningsplaner därefter.
  • Ta fram återställningsplaner. Även återställning av IT och styrsystem behöver planeras och övas för att på bästa sätt komma tillbaka till ett normalläge. VA-verksamheter bör analysera vilket eventuellt stöd som behövs, till exempel konsultstöd eller IT-stöd, och hur långa återställningstiderna kan vara med tanke på att eventuell manuell övervakning är resurskrävande.
  • Säkerställ backup-hantering och dess förvaring. VA-verksamheter bör analysera hur ransomware kan påverka backuper, hur egna backuper tas samt hur de förvaras. Till exempel kan offline-backuper minska risken att även backuperna drabbas av ett ransomware.
     
Senast granskad 2022-12-06