Tillsyn

NIS-regleringens tillsynsmyndigheter utövar tillsyn inom sin tilldelade sektor. Detta innebär att Livsmedelsverket bedömer om tjänsteleverantörer inom leverans och distribution av dricksvatten följer föreskrifter och lag.

Livsmedelsverket tar emot anmälningar av berörda tjänsteleverantörer inom dricksvattensektorn och tar del av de incidenter som rapporteras för dricksvattensektorn.

Livsmedelsverkets NIS-team har genomfört tillsyner enligt NIS-reglering sedan våren 2019. Det ursprungliga målet var att genomföra tillsyn på plats hos samtliga anmälda leverantörer. På grund av Corona/Covid19 har en tillfällig förändring införts och tillsynerna sker på distans under den tid restriktioner finns. Livsmedelsverket bedömer att tillsyn på distans i dagsläget är genomförbart och tillräckligt relevant. 

Vår tillsyn sker i huvudsak genom föranmälda möten och besök, men vi använder även andra metoder. Exempelvis utfördes tillsyn genom självskattning under våren 2019.

Innan tillsynen

Förmöte

Förmötet syftar till att Livsmedelsverket ska försäkra sig om att leverantören förstått vad som står i föranmälan, ge leverantören möjlighet att ställa frågor och inte minst veta vilka vi är som ska genomföra tillsynen. I samband med förmötet görs också en kontroll av att anmälan är korrekt, det vill säga vi utreder om det är rätt organisation som anmält sig.

Tillsynen

Livsmedelsverket har valt att leverantören ska ges möjlighet att presentera de olika punkterna som finns i föranmälan. Efter en presentation av området ställer Livsmedelsverket uppföljande frågor tills vi anser att vi förstått tillräckligt inom området. Detta upplägg ger enligt vår erfarenhet bra diskussioner kring området vilket är värdefullt för den första tillsynen.

För att underlätta planering inför tillsynen kan leverantören välja ordning på diskussionspunkterna efter tillgång till personal under dagen.

Vilka områden diskuterar vi?

Vid Livsmedelsverkets första tillsyn diskuteras primärt leverantörens förutsättningar och förmåga att efterleva de krav från föreskrifter som finns idag. Tillsammans med leverantören går vi igenom vad hos leverantören  som omfattas av NIS-regleringen. Med det avses vilka system och stödsystem som kan påverka säkerheten för dricksvattenförsörjningen, vilka externa parter som kan påverka säkerheten i dricksvattenproduktionen och vilka delar av organisationen som har direkt och indirekt tillgång till dricksvattenproduktionen.

Det är viktigt att identifiera allt det som kan påverka säkerheten och kontinuiteten i den samhällsviktiga tjänsten. Livsmedelsverket och leverantören behöver vara överens om vad som ingår i det vi kallar ”NIS-scopet”.

Vidare diskussioner sker inom ramen för NIS-scopet. Exempelvis diskuteras fjärråtkomstlösningar, hur infrastrukturen ser ut och hanteras, samt av vilken organisation. För externa leverantörer och integratörer diskuteras främst avtal. Vi lägger också tid på att diskutera styrning av informationssäkerheten och riskanalyser samt åtgärder som genomförts eller ska genomföras.

Uppföljning

Efter den initiala tillsynen gör Livsmedelsverket en bedömning av huruvida organisationen är på rätt väg eller inte. Finns processer och rutiner och ett aktivt arbete på plats kommer resultatet att följas upp vid nästa ordinarie tillsyn och i annat fall följs leverantören upp tidigare. Tidigare uppföljning är typiskt för mer komplexa frågeställningar eller där det inte är uppenbart att organisationen är på väg att rätta eventuella avvikelser.

En uppföljning innebär i de flesta fall en skriftlig redovisning av någon punkt där Livsmedelsverket vill säkerställa att arbetet fortgår. Uppföljning framgår av en rapport och redovisningen begärs in tidigast ca 6 månader efter tillsynen. Redovisningen kan till exempel vara en utökning av en för snäv riskanalys, en plan för fortsatt arbete med informationssäkerhet eller definition av ansvar och roller hos leverantören.

Om ingen uppföljning begärs specifikt betyder detta att Livsmedelsverket bedömt att arbetet kring den punkten kommer att genomföras och är på rätt väg. Området kan givetvis diskuteras under nästa tillsyn.

Planen framåt

Planen framåt är att genomföra tillsyner hos samtliga av våra ca 100 anmälda leverantörer. Därefter kommer en riskmodell baserad på de första tillsynerna för tillsynsfrekvens att tas fram för fortsatta tillsyner.

Vidare avser Livsmedelsverket att framöver ge ut egna föreskrifter för att tydliggöra kravbilden mot leverantörer inom dricksvattensektorn och att genomföra tillsyner mot dessa.

Tillsynsprocessen är under ständig diskussion och kan också komma att förändras i takt med att leverantörer arbetar mer med säkerhetsfrågor och att föreskrifter träder i kraft.

Säkra nätverk och informationssystem för dricksvatten (NIS)

Senast granskad 2021-10-05