Nya EU-författningar för informationssäkerhet inom VA
Publicerad: 3 december, 2024
Den 17 oktober började NIS2-direktivet med åtgärder för en hög gemensam cybersäkerhetsnivå i hela EU att gälla. Det är en uppdaterad version av NIS1 som redan funnits ett par år, en av skillnaderna är att fler verksamheter nu berörs vilket för VA-branschen innebär både dricks- och avloppsvatten. Utöver NS2 har även CER-direktivet antagits som handlar om kritiska entiteters motståndskraft, även det gäller både dricks- och avloppsvatten.
Det förklarar Moon Carlbring som nyligen började på Stockholm Vatten och Avfall (SVOA) som informationssäkerhetsansvarig.
- Det är mycket som händer inom EU nu med nya förordningar och direktiv som påverkar VA-branschen. De som är mest aktuella är NIS2 och CER-direktivet. Båda rör ökade ambitioner inom informationssäkerhet samt att samhällskritiska funktioner ska säkras så de kan bli mer robusta och fungera även om det inträffar en kris.
De nationella tillämpningarna är försenade
När ett EU-direktiv antagits inom EU får varje medlemsland möjlighet att skriva nationella tillämpningar som komplement till direktivet.
- Sverige har valt att samordna de nationella tillämpningarna för NIS2 och CER då de handlar om samma område. Dock har de nationella tillämpningarna för CER dragit ut på tiden vilket innebär att man avvaktar även med tillämpningarna för NIS2. Prognosen är att de nationella tillämpningarna kommer till augusti 2025. Men båda direktiven gäller i alla länder även om man inte hunnit skriva de nationella tillämpningarna.
Måste bygga upp en robusthet i hela organisationen
Det innebär att VA-branschen redan nu har att förhålla sig till både NIS2 och CER och börja anpassa organisationernas arbetssätt till dem.
- För oss på SVOA innebär det att hela verksamheten påverkas. Vi måste skapa en robusthet, resilience, i hela organisationen mot cyberattacker, olika kriser och annat. Allt ska kunna fortsätta fungera även i krislägen. Det kan beröra inte bara de som jobbar direkt med driften utan även stödfunktioner som HR. Liknande krav kommer även att ställas på underleverantörerna.
Samtidigt är det beställaren som har huvudansvaret, för SVOA innebär det att de måste vara väldigt tydliga i upphandlingarna med vilken nivå på robusthet som underleverantörerna måste påvisa, det kan handla om krav på VPN-tunnel eller liknande.
- Vi som samhällsviktig verksamhet har ett tydligt och viktigt ansvar när det gäller efterlevnaden av NIS. Vi ska säkerställa att den svagaste länken inte finns. Samma robusthet måste finnas i hela leverantörskedjan vilket vi på ett tydligt sätt måste kravställa mot leverantörer. Ansvarsfrågan kommer vara svår att utreda så all dokumentation är avgörande för spårbarheten, förklarar Moon
Betydligt allvarligare konsekvenser i NIS2
En nyhet i NIS2 är att konsekvenserna om man bryter mot direktivet blir betydligt större, det kan röra sig om sanktionsavgift på upp till 10 miljoner kronor Det finns en Tillsynsmyndighet utsedd som utför kontroller och om de då upptäcker stora brister kan det även få andra allvarliga konsekvenser. Tillsynsmyndighet för NIS1 är Livsmedelsverket, tillsynsmyndighet för NIS2 med utökat ansvar för avlopp är inte klar ännu.
- Vill det sig riktigt illa kan Tillsynsmyndigheten få en person avsatt som inte hanterat säkerhetsåtgärder på ett korrekt sätt. Men jag tror det kommer krävas väldigt mycket för att det ska ske, men risken föreligger alltså.
I NIS2 finns även ökade krav på hela leverantörskedjan, alla underleverantörer måste också kunna visa på samma nivå av robusthet.
- Det måste finnas en spårbarhet genom hela leverantörskedjan så att ansvar kan utkrävas om något går fel. Det innebär för SVOAs underleverantörer att de exempelvis behöver har en tydligare dokumentation med spårbarhet som vi kan eftersöka vid behov. Vid behov av ansvarsutkrävande vill EU veta vem som ska ställas till svars.
Arbetssätten måste förändras även i praktiken
På SVOA har man påbörjat arbetet med att anpassa uppdaterade arbetssätt för att kunna följa de EU-författningar som nu genomförts och även sådana som är nära förestående.
- SVOA hade ganska bra koll på NIS1 men med nya NIS2 och CER måste arbetssätten börja förändras även i praktiken. Exempelvis måste man genomföra riskbedömningar och konsekvensbedömningar i betydligt större omfattning än hittills.
Moon Carlbring menar också att förändrade arbetssätt är viktiga för att även möta kommande EU-direktiv och förordningar.
- Hela VA-branschen behöver bevaka och agera tydligare när nya EU-författningar kommer. Exempelvis kom AI-förordningen redan i somras, något jag inte tror många VA-organisationer har uppmärksammat. Och i januari kommer Data-akten. Så det gäller att sätta i gång arbetet nu om man inte vill hamna i jobbiga situationer framöver med eventuella allvarliga konsekvenser som sanktionsavgifter och reprimander, avslutar hon.