Det nya EU-direktivet NIS2 ställer krav på säkerhet i nätverks- och informationssystem inom 18 samhällssektorer. Det ersätter det tidigare NIS1-direktivet från 2016, som berörde 7 sektorer, och innebär att regelverket skärps. För VA-aktörerna inkluderar NIS2 även avloppsvatten, medan NIS1 bara berörde dricksvatten.
– NIS2 är i grunden väldigt bra eftersom det sätter cybersäkerhet tydligare på kartan. Men införandet kan bli en utmaning för kommunerna eftersom det kräver resurser både i form av tid, pengar och personal, säger Annika Carlsson, VA-jurist och delägare på juristfirman Nordenswan Carlsson.
NIS2:s syfte är att samhället ska uppnå en högre cybersäkerhet. Direktivet är ett minimidirektiv vilket innebär att den svenska lagstiftningen kan innehålla längre gående skyldigheter. NIS2 kategoriserar berörda verksamheter som antingen ”väsentliga entiteter” eller ”viktiga entiteter”. Till de sektorer som tidigare berörts av NIS1 läggs nu ytterligare sektorer till. För VA-branschen innebär det att även avlopps- och avfallshantering nu omfattas, utöver de dricksvattenproducenter som redan berörts. Regelverket gäller för såväl offentliga som enskilda verksamhetsutövare.
NIS2 implementeras i Sverige främst genom Cybersäkerhetslagen, som nu ligger som proposition på riksdagens bord. Lagen ska kompletteras med en förordning om cybersäkerhet, och den kommer även att kompletteras med föreskrifter från MSB som bland annat gäller anmälan och identifiering av verksamheter, säkerhetsåtgärder och utbildning, incidentrapportering och informationsskyldighet samt säkerhetsrevisioner och säkerhetsskanningar.
När kommer NIS2 att införas?
– Det är redan försenat. Det här skulle ha implementerats 2024. Men regeringens proposition från oktober i år anger att lagen ska träda i kraft i mitten av januari nästa år. Det behövs dock även föreskrifter, och först när de är på plats kan man på detaljnivå säga exakt vilka verksamheter som kommer att omfattas av lagen och hur verksamheterna kommer att påverkas, säger Annika Carlsson.
Varför infördes NIS2 när det redan fanns en NIS-lag?
– NIS1, som gällt i Sverige sedan 2018, är EU:s första direktiv för att stärka cybersäkerheten inom unionen. Och nu när det har varit i kraft ett tag har man sett att det är bra. Men vi behöver förstärka och harmonisera arbetet på EU-nivå. Så det man gör med NIS2 är att höja nivån av cybersäkerhet som man uppnått genom NIS1. Man vill att säkerhetstänket kring informationssystem ska bli ännu mer rotat i hela samhället.
Hur kan nivån höjas jämfört med i dag?
– Dels genom att fler omfattas av lagen, men också genom att man ställer mer detaljerade och striktare krav som även ska genomsyra leverantörsleden, det vill säga de som omfattas av NIS2 ska tillse att även leverantörerna håller en viss säkerhetsnivå.
Vilka krav finns angivna i NIS2?
– Först och främst ställs krav på att man ska anmäla att man omfattas av NIS. Sedan behöver man vidta
vad som kallas lämpliga och proportionella säkerhetsåtgärder. Här ställs det bland annat krav på att man ska ha strategier för riskanalys och för nätverks- och informationssystemets säkerhet. Man behöver också ha incidenthantering och kontinuitetshantering i fall något inträffar. Sedan ska man säkerställa att det finns en säker leveranskedja. I lagförslaget anges att det ska finnas grundläggande praxis för cyberhygien. Många av punkterna finns redan i dag i olika lagkrav som ställs på samhällsviktig verksamhet. NIS2 handlar om, och tydliggör, att de berörda verksamheterna ska bedriva ett systematiskt säkerhetsarbete.
Hur rapporterar man incidenter?
– För VA-sektorn gäller det att rapportera incidenter till MSB inom tidsangivelser som kommer att ges i lagstiftningen.
Ingår personalsäkerhet i NIS2?
– Ja. I propositionens lagförslag ställs krav på personalsäkerhet, åtkomstkontroll och tillgångsförvaltning. Det handlar om att se till att bara de som behöver viss information ska ha tillgång till den. Det går hand i hand med säker kommunikation och autentisering där medarbetarna kan behöva använda tvåfaktorsautentisering eller passera andra säkerhetssystem för att få åtkomst till både egna, och verksamhetens system. Dessutom ställs det krav på att man ska utbilda både ledningen och verksamhetens medarbetare i grundläggande säkerhetsåtgärder.
Vilken myndighet gör tillsynen av att NIS2 följs?
– För dricksvatten och avlopp föreslås Livsmedelsverket. För dricksvatten är det så redan i dag. Men nu föreslås alltså Livsmedelsverket även vara tillsynsmyndighet för avlopp. Vissa tycker att det är märkligt att denna myndigheten ska utöva tillsyn över avlopp, men argumentet är att det till stor del är samma aktörer som har ansvar för både vatten och avlopp.
Vilken roll får MSB?
– MSB kommer att ta fram mer förtydligande föreskrifter avseende vad verksamheterna ska göra för att följa lagen. Men MSB skriver redan i dag att man kan titta på deras föreskrifter som gäller för NIS1 för att få ett hum om vad som gäller för NIS2.
Det är mycket som ska göras, rapporter ska skrivas och utbildningar genomföras. Hur ska VA-aktörerna klara av att hinna allt det här?
– Man kan jämföra med när GDPR kom, då det rådde en hel del oro kring införandet. Alla var väldigt stressade och visste inte riktigt vad det skulle innebära för deras verksamhet. Men jag kan lugna lite grann. Om man redan i dag bedriver verksamhet som omfattas av NIS1 så är NIS2 inte någon jätteskillnad även om regelverket skärps en del. Mycket handlar om att etablera ett säkerhetstänk och en säkerhetskultur på arbetsplatserna.
Men de som bara har avloppsverksamhet har inte tidigare omfattats av NIS2. Så för dem blir det väl en större omställning?
– Där vet jag att vissa redan nu har börjat ta ganska stora tag för att se: Okej hur gör vi i dag och vad kan vi behöva ändra och förbättra? Det handlar om att etablera ett systematiskt säkerhetsarbete och se till att man tar tag i det redan i dag. All förändring kan heller inte ske på en gång, ta ett steg i taget.
Finns det någon vägledning för de berörda VA-aktörerna?
– På Livsmedelsverkets hemsida finns mallar, olika guider och utbildningsdelar där man kan läsa väldigt mycket om hur man kan arbeta med systematiskt säkerhetsarbete på dricksvattenssidan. Även MSB:s hemsida har utbildningsmaterial som är väldigt bra.
Mitt råd är att man börjar titta på det stöd som redan finns hos MSB och Livsmedelsverket avseende NIS1 för att känna att man kommer igång med tänket och förankrar med ledningen och medarbetare att anpassningar kommer behöva göras. Sedan kan man också fundera på hur man ska kravställa gentemot leverantörer för att tillse att de har ett bra säkerhetsarbete.
Omfattas leverantörerna av NIS2?
– Nej, såvida inte leverantören inte på grund av sin verksamhets art och storlek själv träffas av lagen. Men om man är en organisation, till exempel en kommun som omfattas av NIS2, då behöver man tillse att leverantörerna har ett visst säkerhetsarbete så att inte någon underleverantör blir en säkerhetsrisk.
Behöver leverantörerna kontrolleras på något sätt?
Ja, man kan exempelvis fråga sig vilka krav man behöver ställa på dem: Var kommer leverantörerna ifrån? Vilka krav behöver vi ställa på deras system för information, och hur delar vi handlingar med dem? Riskerar de intrång, och om de får ett intrång, vad kan de råka sprida om oss? Hur beroende är vi av en enskild leverantör? Är den svagaste länken en leverantör, då är det därifrån som ett intrång kan ske.
Hur kan det här regleras?
– Att teckna avtal är absolut ett steg som man kan ta. Sedan ska det bli intressant att se om MSB skriver något om detta i sina föreskrifter också.
Hur är sanktionsavgifterna utformade?
Anledningen till att man har sanktionsavgifter är för att man vill nå en efterlevnad. Kraven som ställs på verksamheterna är att åtgärderna som ska genomföras ska vara proportionella och lämpliga.
Och likadant när man tänker på sanktionsavgifterna, de ska också vara proportionella.
Även om Livsmedelsverket har bedrivit tillsyn för NIS1 sedan NIS-lagen infördes 2018 så innebär de nya kraven i NIS2 nyheter även för tillsynen. Det blir delvis en inlärningsperiod även för tillsynsmyndigheten Livsmedelsverket. Min uppfattning är att tillsynen inte kommer att innebära att man direkt ska komma in och använda piskan, utan det behövs en period av inlärning och anpassning både för verksamhetsutövare och för de som bedriver tillsynen.
Vilka belopp handlar det om?
I propositionen har man föreslagit som lägst 5 000 kronor och högst 2 procent av verksamhetsutövarens totala årsomsättning. Och för offentliga verksamhetsutövare lägst 5 000 och högst 10 miljoner. Det är samma som i NIS1.
Vilka utmaningar tror du blir de största för VA-sektorn inför NIS2?
– Det vi hör är att vissa VA-verksamheter inte känner att man har ledningens stöd, och ledningen för en kommun är ju kommunstyrelsen. Mycket av det här tror jag handlar om kunskap, kompetens och medvetenhet om vad som kommer att omfattas av NIS2. Att ledningen har ett ansvar görs tydligt i lagförslagen och i propositionens övriga text. Införandet kommer att kräva resurser, både pengar och personal. Det kan exempelvis bli nödvändigt att höja VA-taxan för att finansiera kostnaderna, om skattemedel inte tillsätts. Det kräver att ledningen är införstådd med vad som gäller.
Hinner VA-sektorn anpassa sig till NIS2 i tid?
– Svårigheten är att vi vet ännu inte exakt vad som gäller trots att vi har ett direktiv med minimikrav och vi har vetat vad som är på gång länge. Det här kan skapa oro. Vad är det vi måste göra egentligen? Och när kommer kraven att spikas? Vad kommer vi att behöva då? Det är en utmaning att vänta på att föreskrifterna ska komma. Och har man ingenting förberett blir det nog väldigt mycket att göra precis när det här införs. Därför är tipset att sätta igång med arbetet redan nu!, säger Annika Carlsson.
Anders Carlsson
