NIS-direktivet

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, syftar enligt 1 § till att uppnå en hög nivå på säkerheten i nätverk och informationssystem för bland annat leverans och distribution av dricksvatten.

Regleringen syftar till att stärka hur samhällsviktiga tjänsteleverantörer arbetar med informationssäkerhet inom såväl privat som offentlig verksamhet och minska sårbarheten inom dessa samhällsaktörers system. Lagen tar avstamp i att avbrott i den här typen av verksamhet hindrar annan ekonomisk verksamhet, leder till omfattande ekonomiska förluster, undergräver användarnas förtroende och medför allvarliga konsekvenser för Sverige eller EU:s ekonomi. Eftersom digitaliseringen och beroendet av nätverk och informationssystem blir alltmer utbredd ökar också behovet av reglering inom fältet.

Till de utpekade samhällsviktiga sektorerna som omfattas av NIS-lagen räknas leverans och distribution av dricksvatten. I MSB:s föreskrift 2018:7 om identifiering av leverantörer av samhällsviktiga tjänster preciseras vilka som omfattas av lagen; VA-huvudmän som tillhandahåller vatten till minst 20 000 personer eller till akutsjukhus. Dricksvattenleverantörer ska för att omfattas av lagen vara etablerade i Sverige och vara beroende av nätverk och informationssystem.

Incidentrapportera till MSB

Den som identifierat sig som en leverantör av en samhällsviktig tjänst enligt NIS-lagen, ska anmäla det till berörd tillsynsmyndighet. För dricksvattensektorn är det Livsmedelsverket.

Generellt för NIS-sektorer är att verksamheten ska bedriva ett systematiskt och riskbaserat säkerhetsarbete och ha förmåga att hantera och rapportera säkerhetsrelevanta incidenter. Detta innebär mer konkret att:

Risk- och sårbarhetsanalys ska göras årligen och nu även inkludera informationssäkerhet
Proaktiva åtgärder ska vidtas för att minimera avbrott vid incidenter
Rapportering ska göras om incidenter med betydande påverkan på kontinuitet inträffar.

Leverantörerna ska rapportera incidenter i verksamheten som har en betydande verkan på kontinuiteten i verksamheten. Inom dricksvattensektorn ska incidenter rapporteras till MSB.

MSB:s roll kopplat till NIS-regleringen innefattar att myndigheten har rätt att ge ut föreskrifter, samordnar det nationella arbetet, mottar incidentrapporter med mera. MSB utgör också kontaktpunkten gentemot andra EU-medlemsstater. Föreskrifterna ger mer omfattande och preciserad information och vägledning än vad lagen ger.

NIS 2-direktivet

I december 2020 lämnade EU-kommissionen ett förslag om ett nytt NIS-direktiv, Directive on Security of Network and Information Systems, NIS2 Directive, kallat NIS 2- direktivet. Förslaget kompletterar och justera NIS-direktivet till att bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna för att möta rådande och framtida säkerhetsbehov.

Förslaget innebär även att tillämpningsområdet utökas så att NIS-reglering ska gälla fler sektorer än i dag, exempelvis aktörer som tar emot avloppsvatten samt berörda verksamheters leverantörer och underleverantörer. Hur ett framtida NIS 2-direktiv slutligen kommer att vara utformat, vad det kommer att omfatta och hur det implementeras i svensk lagstiftning återstår att se.

Den 5 mars 2024 publicerades delbetänkandet Nya regler om cybersäkerhet, som innehåller ett förslag till lag om cybersäkerhet. Här kan du läsa Svenskt Vattens remissvar. Utredningen fortsätter under 2024 med hanteringen av CER-direktivet.

Säkerhetsskyddslagen och NIS

De två relativt nya lagarna säkerhetsskyddslagen och NIS-lagen trädde i kraft med knappt ett års mellanrum och skapar ibland osäkerheter hos vattenproducenter som ska tillämpa lagarna. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som är av betydelse för Sveriges säkerhet (nationell nivå) medan NIS-lagen reglerar nätverk och informationssystem som en samhällsviktig tjänst är beroende av (lokal nivå).

En del verksamheter träffas av båda regleringarna, men de delar som omfattas av säkerhetsskyddslagen är då undantagna från NIS-lagen. Att en leverantör av samhällsviktiga tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav på säkerhetsskydd betyder dock inte nödvändigtvis att all verksamhet är undantagen från NIS-regleringen. Om leverantören även bedriver verksamhet som inte är säkerhetskänslig, kan NIS-lagen bli tillämplig i de delarna.

MSB illustrerar på ett enkelt hur lagarna fungerar parallellt och visar när enbart NIS-lagen är tillämplig, när enbart säkerhetsskyddslagen är tillämplig samt hur de båda kan vara tillämpliga i verksamheter.

Mer information

Risk och sårbarhetsanalys för dricksvattenförsörjning (PDF)

VIktiga länkar

Läs mer om NIS och NIS2-direktivet på MSB:s hemsida

EU:s egen information om NIS2

Nationella dricksvattenkonferensen 2024

Lagen om allmänna vattentjänster

VA-statistik – VASS

Branschgemensamma kommunikationskoncept

Nationella dricksvattenkonferensen 2024

Dricksvattenteknik

Dricksvattenteknik

VA-infrastruktur

VA-infrastruktur

Avlopp och miljö

Avlopp och miljö

Klimat och hållbarhet

Klimat och hållbarhet

Säkerhet och beredskap

Säkerhet och beredskap

Kommunikation och samverkan

Kommunikation och samverkan

Organisation och styrning

Organisation och styrning

Juridik

Juridik

Utbildningar

Utbildningar

Konferenser och evenemang

Konferenser och evenemang

Nationella dricksvattenkonferensen 2024

Lagen om allmänna vattentjänster

Forskning och utveckling

Forskning och utveckling

Forskningsprojekt

Forskningsprojekt

Nätverk & kommittéer

Nätverk & kommittéer

Medlem & partner

Medlem & partner

VA-statistik – VASS

Branschgemensamma kommunikationskoncept

Verksamhet och strategi

Verksamhet och strategi

Nyheter och press

Nyheter och press

Kontakt och information

Kontakt och information

Nationella dricksvattenkonferensen 2024

NIS-direktivet

Incidentrapportera till MSB

NIS 2-direktivet

Säkerhetsskyddslagen och NIS

Relaterat innehåll

Verksamhetsstyrning

Säkerhetsarbete Introduktion

Nätverk

Dela sidan