Ny lag föreslår högre krav på informationssäkerhet

2024-03-13

Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, kommer att ersättas av ny lagstiftning. Nyligen publicerade utredningen av det så kallade NIS2-direktivet ett delbetänkande som bland annat föreslår ytterligare säkerhetsåtgärder och att verksamheter som hanterar avloppsvatten samt vissa livsmedelsföretag också ska omfattas.

Sedan 2018 finns en EU-gemensam lagstiftning som ställer krav på säkerhet i nätverk och informationssystem som används för samhällsviktiga tjänster, bland annat dricksvattenproduktion. Bland annat ska verksamheterna systematiskt identifiera risker förknippade med nätverk och informationssystem för den samhällsviktiga tjänsten och hantera dem därefter. Livsmedelsverket är tillsynsmyndighet för leverantörer av dricksvatten.

Syftar till en gemensam miniminivå

Syftet med NIS2-direktivet är att ha en hög gemensam cybersäkerhetsnivå inom EU och därmed förbättra EU:s inre marknad. I det nya svenska lagförslaget, som kallas Cybersäkerhetslagen, föreslås fler verksamheter omfattas av lagen, bland annat verskamheter som hanterar avloppsvatten och livsmedelsföretag som arbetar med distribution och storskalig produktion av livsmedel. Utredningen föreslår också ytterligare krav på säkerhetsåtgärder jämfört med nuvarande NIS-lag. 

- Det är ofta samma verksamheter och tekniska miljöer för dricksvattenproduktion och avlopp och för en del som dem som omfattas av lagen redan idag så innebär det inte någon större förändring. De som redan  arbetar enligt gällande NIS-lagstiftning har goda förutsättningar att leva upp till kommande lagstiftning också. Men det kan innebära att några nya VA-aktörer omfattas av lagstiftningen, säger Anders Lindström, informationssäkerhetsspecialist på Livsmedelsverket.

Utredningen föreslår att Livsmedelsverket ska bli tillsynsmyndighet även för de nya sektorerna.  

Möjligt att kunna anpassa krav

Livsmedelsverket ska nu analysera utredningens förslag och lämna ett remissvar.

- Livsmedelsverket föreslås få föreskriftsrätt på vissa delar av den föreslagna lagen så där kommer vi förhoppningsvis att ha möjlighet att kunna detaljera och anpassa krav ännu mer till de områden där vi har tillsynsansvar. Det är viktigt att regelverket är tydligt och väl anpassat så att det blir lättare att följa. Vår ambition är att arbetet med att ta fram föreskrifter ska ske i dialog med branschen så att de krav som ställs är lämpliga och rimliga, säger Anders Lindström.

Utredningen föreslår att den nya lagen ska träda i kraft den 1 januari 2025. Den ersätter då befintlig lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen (2018:1174).

Utredningen om ”Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft” (Dir. 2023:30)