Feedback
Varan har lagts till i varukorgen

Viktiga bolag måste undersöka sin säkerhet

17 december 2018
557541-control-panel-1
De VA-bolag och energibolag som berörs av NIS-regleringen ska rapportera in till sina tillsynsmyndigheter att de berörs av MSB:s nya föreskrifter. Foto: Mostphotos
De som tillhandahåller samhällsviktiga tjänster måste anmäla detta till sin tillsynsmyndighet. De nya föreskrifterna gäller bland annat VA- och energibolag.

Den 1 november trädde de nya föreskrifterna från Myndigheten för samhällsskydd och beredskap, MSB, i kraft.

Bakgrunden till de nya föreskrifterna är att riksdagen i augusti i år röstade för en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Detta var resultatet av att ett direktiv, NIS-direktivet, röstades igenom i Europaparlamentet år 2016.

Bättre säkerhetsarbete

Det är två nya föreskrifter som har trätt i kraft från den 1 november och är en del av NIS-regleringen. Den första av dem, MSBFS 2018:7, kräver att samtliga leverantörer av så kallade samhällsviktiga tjänster ska själva undersöka om de berörs av NIS-regleringen eller inte. Samhällsviktiga tjänster är bland annat de som distribuerar el eller dricksvatten.

Både verksamheter i privat samt offentlig sektor berörs av dem.

Om man kommer fram till att man omfattas av MSB:s föreskrifter ska man anmäla detta till den tillsynsmyndighet som har ansvar. För VA-bolag innebär detta att de som producerar dricksvatten ska anmäla till Livsmedelsverket om de berörs av NIS-regleringen. Energibolag ska i sin tur anmäla sig till Energimyndigheten.

Den andra föreskriften som har tillkommit är MSBFS 2018:8, vilket är föreskrifter som beskriver hur ett informationssäkerhetsarbete ska genomföras hos de som levererar viktiga tjänster. Det är så kallat systematiskt och riskbaserat informationssäkerhetsarbete. Föreskrifterna beskriver hur detta ska gå till, bland annat genom om att genomföra tekniska säkerhetsåtgärder som säkerställer att leveransen av tjänsten kan fortsätta.

Måste rapportera IT-incidenter

Från och med den 1 mars 2019 träder också nya föreskrifter om incidentrapportering igång. Detta berör de leverantörer som har verksamhet enligt NIS-regleringen och som från och med då ska rapportera in IT-incidenter till MSB CERT SE.

Incidenter som ska rapporteras in är enligt MSB sådana som har en betydande inverkan på tjänsten. Föreskrifterna om bland annat vilka incidenter som man är skyldiga att rapportera ska släppas på MSB:s hemsida den 20 december.

FAKTA Dessa branscher berörs

Samhällsviktiga tjänster som omfattas av NIS-direktivet är:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur
Källa: MSB
SUMMERING Kriterier för att omfattas

VA-bolag
Dricksvattenproducenter som levererar eller distribuerar till minst 20 000 personer eller till akutsjukhus omfattas av de nya föreskrifterna. Det är den totala leveransen som räknas, man kan som huvudman ha flera nät som vardera levererar till färre än 20 000 personer.

Elbolag
Gäller bland annat för de som är ett certifierat transmissionsnätsföretag för elöverföring eller genomför tjänst med eldistribution till elanvändare med styrel enligt prioritetsklass 1–5.

Källa: MSB
Mest lästa artiklar
Mest sedda inslag
Debatt i fokus
Andra bevakar
Bevaka ämne
Populära expertsvar
Fler nyheter