-
Våra sakområden
Våra sakområden
Dricksvatten
VA-infrastruktur
Avlopp och miljö
Klimat och hållbarhet
Säkerhet och beredskap
Kommunikation och samverkan
Organisation och styrning
-
Utbildning & konferens
-
Forskning
-
Nätverk & medlemskap
-
Om oss
Nya regler om cybersäkerhet
Ett förslag till nya regler om cybersäkerhet har presenterats av en statlig offentlig utredning. Reglerna syftar till att genomföra EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, det så kallade NIS2-direktivet. Regeringen har skickat förslaget på remiss och föreslår att reglerna träder i kraft den 1 januari 2025.
I slutet av 2022 antogs det nya NIS2-direktivet. Det ersätter NIS-direktivet som i dag genomförs i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, även kallad NIS-lagen. NIS2-direktivet innebär en rad nya krav för VA-organisationerna vilket Svenskt Vatten tidigare skrivit om. Bland annat omfattas numera omhändertagande och rening av avloppsvatten, utöver sedan tidigare berörd produktion av dricksvatten.
I det bestänkande som utredningen presenterat föreslår man att NIS-lagen ska ersättas av en ny cybersäkerhetslag vars syfte är att uppnå en hög cybersäkerhetsnivå. Utredningens förslag innebär bland annat att:
- verksamheter som producerar dricksvatten eller omhändertar avloppsvatten omfattas som huvudregel av cybersäkerhetskraven om de sysselsätter minst 50 personer eller har en årsomsättning som överstiger 10 miljoner euro,
- alla kommuner omfattas av de nya kraven,
- verksamhetsutövare ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter, vilket bland annat innefattar krav på incident-, och kontinuitetshantering samt säkerhet i leveranskedjan,
ett systematiskt säkerhetsarbete ska bedrivas, - nya krav och ansvar för ledningsfunktioner i cybersäkerhetsarbetet ska införas,
- tydligare krav gällande incidentrapportering ska införas,
- att Livsmedelsverket ska vara tillsynsmyndighet för både dricksvatten och avloppsvatten,
- nya verktyg för tillsynsmyndigheten och högre sanktionsavgifter ska införas.
Den nya cybersäkerhetslagen föreslås träda i kraft den 1 januari 2025. Den statliga utredning som lämnat förslaget kommer nu att fortsätta sitt arbete och titta på vilka regler som är nödvändiga för att genomföra CER-direktivet (som innehåller krav på samhällsviktiga verksamheter att förebygga, motstå och hantera störningar eller avbrott i verksamheten) som också berör dricksvatten och avlopp.