Ny lag föreslår högre krav på informationssäkerhet

2024-03-13

Nyligen publicerades ett delbetänkande från utredningen av det så kallade NIS2-direktivet. Det föreslår att livsmedelsföretag som arbetar med distribution och storskalig produktion av livsmedel samt verksamheter som hanterar avloppsvatten också ska omfattas av krav på IT- och informationssäkerhet.

Sedan 2018 finns en EU-gemensam lagstiftning som ställer krav på säkerhet i nätverk och informationssystem som används för samhällsviktiga tjänster, bland annat dricksvattenproduktion. Bland annat ska verksamheterna systematiskt identifiera risker förknippade med nätverk och informationssystem för den samhällsviktiga tjänsten och hantera dem därefter. Livsmedelsverket är tillsynsmyndighet för leverantörer av dricksvatten.

I det nya lagförslaget, som kallas Cybersäkerhetslagen, föreslås att fler verksamheter omfattas av lagen, bland annat livsmedelsföretag som arbetar med distribution och storskalig produktion av livsmedel samt verksamheter som hanterar avloppsvatten. Utredningen föreslår att Livsmedelsverket ska bli tillsynsmyndighet även för de sektorerna. Utredningen föreslår också ytterligare krav på säkerhetsåtgärder jämfört med nuvarande NIS-lag.

Syftar till en gemensam miniminivå

NIS2-direktivet syftar till att ha en hög gemensam cybersäkerhetsnivå inom fler verksamhetsområden inom EU och därmed förbättra EU:s inre marknad.

- Vi vet att det finns en hög medvetenhet avseende cyber- och informationssäkerhet och att det redan är viktigt för flera företag. Men i och med den nya lagstiftningen förtydligar man vikten av IT- och informationssäkerhet för ett väl fungerande samhälle. Det här blir en gemensam säkerhetsnivå. Det kan leda till en slags standardisering inom hela EU och bidra till en högre nivå av tillit mellan företag i hela unionen, säger Anders Lindström, informationssäkerhetsspecialist på Livsmedelsverket.

Möjligt att kunna anpassa krav

Livsmedelsverket ska nu analysera utredningens förslag och lämna ett remissvar.
- Livsmedelsverket föreslås få föreskriftsrätt på vissa delar av den föreslagna lagen så där kommer vi förhoppningsvis att ha möjlighet att kunna detaljera och anpassa krav ännu mer till de områden där vi har tillsynsansvar. Det är viktigt att regelverket är tydligt och väl anpassat så att det blir lättare att följa. Vår ambition är att arbetet med att ta fram föreskrifter ska ske i dialog med branschen så att de krav som ställs är lämpliga och rimliga, säger Anders Lindström.

Utredningen föreslår att den nya lagen ska träda i kraft den 1 januari 2025. Den ersätter då befintlig lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen (2018:1174).

Utredningen om ”Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft” (Dir. 2023:30)