Säkra nätverk och informationssystem för dricksvatten (NIS)

Kraven på informationssäkerheten hos viktiga samhällsfunktioner ökar. Livsmedelsverket blir därför tillsynsmyndighet för leverans och distribution av dricksvatten, vårt viktigaste livsmedel.

I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet som trädde i kraft den 10 maj 2018. I och med direktivet ställs nya krav inom EU på säkerhet i nätverk och informationssystem. Direktivet omfattar leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Till samhällsviktiga tjänster räknas energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård samt leverans och distribution av dricksvatten. Reglerna handlar bland annat om krav för säkerhetsåtgärder, incidentrapportering och tillsyn av nätverk och informationssystem.

Sverige har införlivat direktivet genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS2018:1174). Den nya lagen trädde i kraft 1 augusti 2018.

Vad innebär lagen

Målet med NIS-direktivet och den svenska lagstiftningen är att förbättra informationssäkerheten i de samhällsviktiga tjänsterna. Leverantörer av samhällsviktiga tjänster ska stärka förmågan att förebygga och hantera störningar i informationssäkerheten för samhällsviktiga tjänster vars funktion, säkerhet eller kontinuitet annars riskerar att äventyras.

Till lagen har också ett antal tillsynsmyndigheter utpekats, där Livsmedelsverket har utsetts till tillsynsmyndighet för aktörer inom Leverans och distribution av dricksvatten.

Vilka omfattas av lagen

För att omfattas av lagen ska leverantören vara etablerad i Sverige, beroende av nätverk och informationssystem samt att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. En betydande störning kan till exempel innebära att ett visst antal individer drabbas av ett avbrott i tjänsten.

Myndigheten för samhällsskydd och beredskap (MSB) föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7) beskriver vad som är en samhällsviktig tjänst inom leverans och distribution av dricksvatten.

Skyldigheter för de som omfattas av lagen

I förenklad form innebär leverantörernas skyldigheter att:

  • De tjänsteleverantörer som omfattas ska utan dröjsmål anmäla sig till respektive tillsynsmyndighet. Leverantörer inom området Leverans och distribution av dricksvatten blir skyldiga att anmäla sig till Livsmedelsverket.
  • Tjänsteleverantörerna ska anmäla incidenter av en viss karaktär till MSB. Vilka incidenter som ska anmälas kommer att framgå av MSB:s föreskrifter om incidenter.
  • Tjänsteleverantörerna är skyldiga att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete för de nätverk och informationssystem som används för att tillhanda samhällsviktiga tjänster.
  • Tjänsteleverantörerna ska årligen göra en riskanalys. Riskanalysen ska ligga till grund för tekniska och organisatoriska säkerhetsåtgärder för att hantera risker samt förebygga och minimera verkningar av incidenter.
  • De berörda tjänsteleverantörerna ska vidta tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem samt säkerställa en lämplig nivå på säkerheten i förhållande till risken.
  • Tjänsteleverantörerna ska vidta åtgärder för att förebygga och minimera verkningar av incidenter samt säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.

Livsmedelsverkets roll

Tillsynsmyndigheter ska utöva tillsyn gentemot lag och föreskrifter inom sin tilldelade sektor. Detta innebär att Livsmedelsverket ska bedöma om tjänsteleverantörer inom leverans och distribution av dricksvatten följer föreskrifter och lag.

Vidare ska Livsmedelsverket ta emot anmälningar av berörda tjänsteleverantörer inom dricksvattensektorn och ta del av incidenter för dricksvattensektorn.

Livsmedelsverket är som tillsynsmyndighet också skyldig att ta ut sanktionsavgifter av leverantörer som till exempel inte anmäler sig, inte vidtar säkerhetsåtgärder eller inte rapporterar incidenter.

Livsmedelsverkets NIS-grupp arbetar med utvecklingen av Livsmedelsverkets NIS-verksamhet samt utför tillsyn och ger inom ramen för tillsynen allmän vägledning.

Kontakt: nistillsyn@slv.se

Anmälan

Den som inom ramen för NIS-regleringen identifierat sig som en leverantör av en samhällsviktig tjänst, ska anmäla det till berörd tillsynsmyndighet. Stöd för att undersöka om din organisation är en leverantör av samhällsviktiga tjänster får du av MSB i form av föreskrifter med tillhörande vägledning, www.msb.se/nis. Stöd i bedömningen går också få från Livsmedelsverket genom att kontakta nistillsyn@slv.se

För anmälan till Livsmedelsverket används nedanstående blanketter. Dessa skickas med rekommenderat brev till den adress som specificeras på blanketterna.

Blankett 1 – Anmälan av leverantör
Blankett 2 – Anmälan av kontaktperson och incidentrapportörer
Blankett 3 – Information om leverantör

Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av samhällsviktiga tjänster (MSBFS 2018:7). Den är grunden för identifieringen av leverantörer av samhällsviktiga tjänster i Sverige och underlättar arbetet med planering och genomförande av tillsyn samt incidentrapportering. Det är den juridiska personen som levererar tjänsten som anmäler sig.

När du skickar in en anmälan registreras din organisation som leverantör av samhällsviktiga tjänster hos Livsmedelsverket. Om ni identifierat er som leverantör av samhällsviktiga tjänster inom flera olika sektorer behöver ni skicka in en anmälan till varje tillsynsmyndighet. Uppgifter om er som leverantör kommer att överföras till MSB som vartannat år sammanställer antalet svenska leverantörer och en övergripande beskrivning av svenska samhällsviktiga tjänster i en rapport till EU.

Vid anmälan inleds också förberedelserna av incidentrapportering till MSB/CERT-SE. Incidenter ska enligt huvudregeln rapporteras med stöd av ett incidentrapporteringskonto hos MSB. En leverantör kan ha ett eller flera incidentrapporteringskonton. Alla konton är personliga, det vill säga de måste vara knutna till en viss utpekad fysisk person. För att MSB ska kunna etablera ett konto för er incidentrapportering behövs vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Det handlar om för- och efternamn, e-postadress och mobiltelefonnummer. Samtliga uppgifter lämnas i anmälan till tillsynsmyndigheten som lämnar uppgifterna vidare till MSB. MSB sätter sedan upp incidentrapporteringskonton och utfärdar certifikat för varje person som ska ha ett sådant konto. Den utpekade rapportören får e-post och sms av MSB med uppgifter om hur kontot aktiveras och certifikatet laddas ner.

MSB rekommenderar att ni har fler än ett incidentrapporteringskonto för att kunna hantera semestrar, sjukdom och liknande.

För att etablera flera incidentrapporteringskonton ska ni i anmälan peka ut

  1. vem som ska vara utpekad kontaktperson med ett övergripande ansvar för era incidentrapporteringskonton, och
  2. vem eller vilka som ska vara utpekade som ansvarig för ett incidentrapporteringskonto (incidentrapportör).

För samtliga utpekade personer behöver uppgifter om för- och efternamn, e-postadress och mobiltelefonnummer lämnas. E-postadress och mobiltelefonnummer ska vara kopplade till leverantören av den samhällsviktiga tjänsten. E-postadress eller mobiltelefonnummer måste vara personligt. Mobiltelefonen måste kunna ta emot sms.

Autentiseringskrav
Livsmedelsverket kommer att kontrollera identiteten och behörigheten hos den som är utpekad hos er som kontaktperson.
Ansvaret för att kontrollera att uppgifterna rörande övriga utpekade incidentrapportörer är korrekta delegeras av tillsynsmyndigheten till leverantören. Detta sker genom

  1. att leverantörens utpekade kontaktperson i anmälningsblanketten intygar att utpekade incidentrapportörer är behöriga att rapportera incidenter å leverantörens vägnar, och
  2. att leverantörens utpekade kontaktperson skyndsamt anmäler eventuella förändringar rörande era utpekade incidentrapportörer och deras konton till tillsynsmyndigheten, exempelvis om ni önskar lägga till konton eller om något konto ska stängas ned.

Väljer ni att ha många incidentrapportörer är det viktigt att, genom tydliga administrativa rutiner, säkerställa att vi har tillgång till aktuella uppgifter.
Vid byte av kontaktperson kommer vi att genomföra en ny kontroll av identitet och behörighet.

Personuppgifter
Vid anmälan behandlas personuppgifter i syfte att förbereda incidentrapportering till MSB. Vi överför förnamn, efternamn, e-postadress och mobiltelefonnummer för incidentrapportörer till MSB i syfte att skapa personliga incidentrapporteringskonton.

Rapportering av incidenter och störningar

I MSB föreskrifter om rapporteringspliktiga incidenter kommer förtydliganden av vilken störning, föranledd av incident, som ska rapporteras för varje berörd sektor inom samhällsviktiga tjänster. Dessa föreskrifter kommer MSB att publiceras 19 december 2018 och träda i kraft 1 mars 2019.

Senast granskad 2018-06-05