Säkra nätverk och informationssystem för dricksvatten (NIS)

Kraven på informationssäkerheten hos viktiga samhällsfunktioner ökar. Sedan 2018 är Livsmedelsverket tillsynsmyndighet för inom sektorn leverans och distribution av dricksvatten, vårt viktigaste livsmedel.

NIS-lagen - Lag 2018:1174 om informationssäkerhet för samhällsviktiga och digitala tjänster - ställer krav på hur samhällsviktiga tjänsteleverantörer bedriver sitt informationssäkerhetsarbete. Livsmedelsverket är tillsynsmyndighet för NIS-lagen inom sektorn leverans och distribution av dricksvatten.

NIS-direktivet som trädde i kraft den 10 maj 2018 ställer krav på säkerhet i nätverk och informationssystem inom EU. Målet med NIS-direktivet och den svenska lagstiftningen är att leverantörer av samhällsviktiga tjänster, som produktion och distribution av dricksvatten, ska bli bättre på att förebygga och hantera störningar i nätverk och informationssystem som används för samhällsviktiga tjänster.

Hantering av it-incidenter orsakade av angrepp

Från och med 1 oktober 2022 finns en ny rutin för informationsdelning mellan MSB och Polismyndigheten avseende rapporteringspliktiga incidenter med avseende på NIS-lagen. Detta innebär att för incidenter som har orsakats av angrepp kan en polisanmälan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.

Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC:s verksamhet. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC behandlas utifrån tillämpliga sekretessregler.

Mer information kring delning av incidenter finns på sidan för incidentrapportering hos MSB.

Nya föreskrifter angående riskanalyser och säkerhetsåtgärder LIVSFS 2022:2

De nya föreskrifterna är framtagna för att komplettera NIS-lagen där Livsmedelsverket har föreskriftsrätt inom sektorn för produktion och distribution av dricksvatten. I stort syftar föreskriften till att leverantörer ska genomföra heltäckande riskanalyser för den dricksvattenproducerande miljön och dess stödsystem samt att vidta några primära men tvingande säkerhetsåtgärder.

Föreskrifterna om riskanalyser träder i kraft 1 september 2022 och föreskrifterna om säkerhetsåtgärder ska vara genomförda 1 juli 2023. I och med dessa föreskrifter ändras även LIVSFS 2008:13 där de anmälningspliktiga leverantörerna enligt anmälningsplikten i MSBFS 2021:9 undantas vissa krav om tekniska och administrativa åtgärder som täcks av de nya föreskrifterna.

Livsmedelsverket planerar även att ge ut en vägledning till LIVSFS 2022:2 under hösten 2022. Vägledningen syftar till att tydliggöra intentionen med föreskrifterna och hur leverantörerna kan arbeta med de områdena som föreskrivs.

Här hittar du föreskrifterna:

LIVSFS 2022:2

LIVSFS 2008:13

Har du frågor, hör av dig till nistillsyn@slv.se

Nya föreskrifter för anmälan och identifiering för leverantörer av samhällsviktiga tjänster, MSBFS 2021:9

Nya föreskrifter om anmälan och identifiering träder i kraft den 1 mars 2022 och ersätter MSBFS 2018:7 föreskrifter om anmälan av leverantörer av samhällsviktig tjänst.

Inom sektorn leverans och distribution av dricksvatten kommer anmälningsplikten inte längre enbart vara knuten till VA-huvudmannaskapet enligt 2 § lagen (2006:412) om allmänna vattentjänster. Anmälningsplikten kan i praktiken även omfatta driftsbolag, kommunalförbund eller andra organisationsformer som totalt producerar och/eller distribuerar dricksvatten till minst 20000 personer eller akutsjukhus. Detta kan innebära att organisationsformer eller verksamheter som idag inte är anmälningspliktiga kan behöva anmäla sig till Livsmedelsverket som en leverantör av samhällsviktig tjänst när föreskrifterna träder i kraft.

För att undersöka om ni omfattas så finns de nya föreskrifterna på MSB:s webb.

Förslag på reviderat NIS-direktiv från EU (NIS2)

I december 2020 kom ett förslag på ett nytt NIS-direktiv (NIS2) från EU-kommissionen. Förslaget ska nu förhandlas och bearbetas innan det beslutas av Europaparlamentet. 

Då revideringen pågår och det ännu inte är klarlagt vad det nya direktivet till slut kommer att innefatta, går det inte i nuläget att fastställa hur detta kommer att påverka specifika organisationer. Tydligt är dock att förslaget innehåller en utökning av antalet sektorer samt att kravbilden inom respektive informationssäkerhetsområden ser ut att blir mer detaljerad.

Senast granskad 2022-06-28