Många av frågorna nedan täcks i det webbinarium som hölls hösen 2025. Du kan se en inspelade verion på sidan om webbinarier om dricksvattenberedskap.
Webbinarier om dricksvattenberedskap
Vad är NIS2?
I slutet av 2022 antogs ett direktiv som ersätter tidigare NIS-direktiv. I dagligt tal kallas det nya för NIS2. Ambitionen med NIS2 är bland annat att få till mer likvärdiga krav på informationssäkerhet i samtliga medlemsstater och därmed en jämn nivå av säkerhet i samhällsviktiga tjänster i hela unionen.
I NIS2 tillkommer även nya sektorer för samhällsviktiga tjänster, bland annat produktion och distribution av livsmedel och hantering av avloppsvatten. Det tillkommer också en del förtydligade krav på säkerhetsarbetet hos berörda leverantörer, samt utökade sanktionsbelopp.
NIS2-direktivet infördes i Sverige med en ny lag om cybersäkerhet den 15 januari 2026.
Vad ska vi göra för att följa cybersäkerhetslagen?
Livsmedelsverket är tillsynsmyndighet för sektorerna Dricksvatten, Avloppsvatten samt Produktion, bearbetning och distribution av livsmedel.
Verksamhetsutövare ska själva identifiera att de omfattas av lagen och göra en anmälan till Myndigheten för civilt försvar.
Att anmäla en verksamhet enligt cybersäkerhetslagen (MCF)
Innan föreskrifter om säkerhetsåtgärder är meddelade av Myndigheten för civilt försvar är det svårt att säga exakt vilka åtgärder som krävs för att följa cybersäkerhetslagen, men centralt är att säkerhetsarbetet ska utgå från ett allriskperspektiv. Utifrån det ska verksamhetsutövaren komma fram till vilka åtgärder som är lämpliga och proportionella. Lagen ställer krav på att lämpliga säkerhetsåtgärder ska införas inom specifika områden. Åtgärderna kan kan detaljeras i föreskrifterna från MCF. Genom att ha ett etablerat systematiskt och riskbaserat arbetssätt kommer det att bli lättare att efterleva detaljerad kravställning.
Livsmedelsverkets bedömning är att de verksamhetsutövare som tidigare följt NIS-lagen har goda förutsättningar att efterleva NIS2 och cybersäkerhetslagen.
Hur vet vi om vi omfattas av NIS2 och cybersäkerhetslagen?
Livsmedelsverket har publicerat en vägledning som ska hjälpa verksamhetsutövare att förstå om de omfattas av den nya lagen. Det är dock verksamhetsutövare själva som ska identifiera att de omfattas och anmäla sig till Myndigheten för civilt försvar (tidigare MSB).
Vägledning om verksamhetsutövare enligt cybersäkerhetslagen
Vad är CER?
I slutet av 2022 antog EU ett nytt direktiv som kallas ”Directive on the Resiliance of Critical Entities”, i vardagligt språk ofta kallat CER-direktivet (CER = Critical Entities’ Resiliance). Direktivet kompletterar NIS2-direktivet genom att ställa krav på åtgärder inom områdena fysisk säkerhet, hantering av incidenter samt kontinuitetsplanering för leverantörer av samhällsviktiga tjänster.
CER-direktivet definierar likt NIS2 ett antal sektorer för samhällsviktiga tjänster, där bland annat leverans och distribution av dricksvatten samt hantering av avloppsvatten ingår. Bland de nya sektorerna finns även avfallshantering samt produktion och distribution av livsmedel.
Den utredning som undersökt vad NIS2-direktivet innebär för Sverige har även utrett hur CER-direktivet ska införlivas i svensk lagstiftning. Den 18:e september 2024 publicerade utredningen sitt slutbetänkande avseende CER.
Hur rapporterar jag en incident?
Rapportering ska i första hand ske via Myndigheten för civilt försvars (tidigare MSB) rapporteringsverktyg men det går också bra att ringa till CERT-SE för att rapportera en incident. CERT-SE är ansvariga för att ta emot incidentrapporter från leverantörer av samhällsviktiga tjänster. De nås på telefonnummer 010-240 40 40
Mer information om icndetrapportering finns på Myndigheten för civilt försvars hemsida.
Incidentrapportering enligt cybersäkerhetslagen (MCF)
Vilka incidenter ska rapporteras?
Verksamhetsutövare som omfattas av cybersäkerhetslagen är ålagda att rapportera incidenter som orsakar störningar i tjänsten de levererar. Rapportering sker till CERT-SE som är en del av Myndigheten för civilt försvar (tidigare MSB).
MCF ska meddela föreskrifter som anger kriterier för vilka incidenter som ska rapporteras, samt hur och när de ska rapporteras.
Vad händer med en incidentrapport efter att den skickats in?
Incidentrapporter som lämnas till CERT-SE vidarebefordras till den myndighet som har tillsynsansvar för rapportörens sektor. För sektorerna för dricksvatten, avloppsvatten respektive livsmedel innebär det Livsmedelsverket.
Eftersom rapporter kan innehålla känsliga uppgifter skickas de med rekommenderat brev. Det kan därför dröja några dagar efter rapporteringstillfället innan rapporten kommer fram.
Livsmedelsverket granskar och diarieför samtliga inkomna incidentrapporter och gör en löpande bedömning om kvalitet och om rapporterna följer gällande krav.
Hur hanterar vi integrationer mot vårt produktionsnät?
Digitaliseringen av samhället och modernisering av IT-miljöer leder ofta till ett behov av att låta affärssystem och kontorsapplikationer samverka med känsliga system i den dricksvattenproducerande miljön med hjälp av nya integrationer. Införande av nya tjänster med integrationer mot en produktionsmiljö kan ge ett värde och är ibland helt nödvändiga men innebär nästan alltid risker som behöver hanteras. Utifrån cybersäkerhetslagen finns det inget som hindrar en arkitektur med integrationer mot den dricksvattenproducerande miljön, men det innebär oftast att fler system och komponenter i IT-miljön omfattas av krav på säkerhet.
En verksamhetsutövare som omfattas av cybersäkerhetslagen kan använda segmentering av nätverk som en säkerhetsåtgärd för att begränsa antalet system som kan påverka säkerheten i leveransen av den samhällsviktiga tjänsten. Varje integration med system inom produktionssegmenten innebär en attackyta som kan behöva ytterligare säkerhetsåtgärder och innebär en utökning av de system som kan påverka säkerheten i den samhällsviktiga tjänsten.
Leverantören behöver systematiskt arbeta med risker som kan uppstå med en ny integration och behöver kunna visa vilka säkerhetsåtgärder som använts för att hantera riskerna. Genom systematisk riskanalys kan leverantören ta ställning till om det är möjligt att införa en ny integration med bibehållen säkerhet eller inte.
Hantering av risker förknippade med en integration kommer att alltså variera beroende på en mängd omständigheter. Centralt är att leverantören har kontroll på de risker en integration innebär.
Kan mobilnätet användas för kommunikation till ytterstationer?
Cybersäkerhetslagen ställer inte specifika krav på vilka teknologier som får användas för kommunikation med ytterstationer, mellan ytterstationer och med centrala system. Det centrala är att riskerna förknippade med vald teknologi identifieras, värderas och hanteras med lämpliga säkerhetsåtgärder.
Hantera risker förknippade med kommunikation via mobilnätet
När mobilnätet används i syfte att hantera denna typ av kommunikation kan risker ofta hanteras genom att man enbart tillåter betrodda enheter. Det är vanligt att det sker med hjälp av aktiv utrustning med stöd för VPN och brandväggsregler.
Många teleoperatörer erbjuder möjlighet till eget företagsspecifikt privat APN. De marknadsförs ibland som en ersättning för VPN där abonnentens rättighet till åtkomst i nätverket verifieras av teleoperatören. Ett privat APN kan dock kompletteras med ett krypterat och behörighetskontrollerat VPN, eller motsvarande, för ökad kontroll. Ett privat APN kan fortfarande ha stora fördelar, även om det endast används som bärare för ett VPN, då det korrekt konfigurerat ger större kontroll över mobila enheter, det är separerat från Internet och har fasta och ofta helt valbara IP-adresser för alla ändpunkter.
Reglera trafiken med en brandvägg
Vid kommunikation med ytterstationer via 3G/4G (eller motsvarande teknik) bör kommunikationen regleras så att endast de trafikflöden som är nödvändiga för verksamheten accepteras. Detta kan exempelvis regleras i en brandvägg så att ytterstationer endast kan kommunicera på de portar, med de protokoll och i de riktningar som är avsett.
En ytterstation ansluten via en mobiloperatör kan betraktas som en sammankoppling med ett annat nätverk oavsett om sammankopplingen sker via VPN eller via ett eget APN. Syftet med att reglera trafiken in från mobilanslutna ytterstationer oavsett hur anslutningen är upprättad är att även skydda mot den händelse att utrustningen (inklusive moden, VPN-utrustning och SIM-kort) stjäls.
Hur ökar vi motståndskraften mot ransomware?
Ett framträdande hot mot verksamheter är skadlig programvara som, när den tagit sig in i en IT- eller OT-miljö, krypterar vital data och kräver en lösensumma för att den ska återställas, så kallad ”ransomware”. Även VA-organisationer och dess IT- och OT-system kan drabbas av effekterna av ransomware, och att detta hot bör bedömas i respektive leverantörs riskanalys. Den ökade digitaliseringen och integrationen med andra system gör att hotet från ransomware är högst reellt och att även VA-organisationer behöver ha en hög medvetenhet om risken för att drabbas.
Nedan finns förslag på åtgärder i VA-sammanhang.
- Öva bortfall av IT och ha en plan för en eventuell fysisk rondering. VA-verksamheter bör analysera vilka IT- och OT-system som kan påverkas av ett eventuellt ransomware-angrepp och hur ett bortfall i så fall påverkar dricksvattenproduktionen och distributionen. Vidare behöver bortfallet övas och kontinuiteten i dricksvattenproduktionen planeras. Om fysisk rondering krävs är det fördelaktigt att ha en färdig plan eftersom det är resurskrävande.
- Beräkna vad som är en acceptabel återställningstid för system som används för produktion och distribution av vatten, exempelvis utifrån hur länge det är praktiskt möjligt att rondera, och planera återställningsplaner därefter.
- Ta fram återställningsplaner. Även återställning av IT och styrsystem behöver planeras och övas för att på bästa sätt komma tillbaka till ett normalläge. VA-verksamheter bör analysera vilket eventuellt stöd som behövs, till exempel konsultstöd eller IT-stöd, och hur långa återställningstiderna kan vara med tanke på att eventuell manuell övervakning är resurskrävande.
- Säkerställ backup-hantering och dess förvaring. VA-verksamheter bör analysera hur ransomware kan påverka backuper, hur egna backuper tas samt hur de förvaras. Till exempel kan offline-backuper minska risken att även backuperna drabbas av ett ransomware.
