Säkerhetsskydd inom livsmedelsbranschen

Säkerhetsläget för Sverige är just nu det värsta sedan andra världskriget. Särskild vaksamhet krävs. Svenska företag har problem med både organiserad brottslighet och med olika typer av hot mot det egna företaget och leverantörskedjor. Särskilt cyberattacker har ökat det senaste året.

Skydd och säkerhet för samhällsviktig verksamhet är inte bara grundläggande för Sveriges försörjningsförmåga. Företag behöver av rent egenintresse se till att kontinuitetsplanering och -hantering kan säkerställa fortsatt verksamhet även i händelse av störningar och kris. Utöver det som företag redan gör, kommer framöver särskilda lagkrav för vissa verksamheter, däribland livsmedel.

År 2016 antog EU direktivet om hög gemensam nivå på säkerhet i nätverk och informationssystem (NIS-direktivet) som omfattar ett antal samhällsviktiga verksamheter, dock ej specifikt livsmedel.

Under nuvarande NIS-lagen är det reglerat i föreskrifter från MSB vilka verksamhetsutövare som omfattas (MSBFS 2021:9), men det är verksamhetsutövaren själv som ska identifiera att man omfattas och sedan anmäla sig tillsynsmyndigheten.

Här finns en skillnad mot säkerhetsskyddslagen där det är verksamhetsutövaren själv som ska göra en säkerhetsskyddsanalys och komma fram till huruvida man omfattas.

11 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.

12 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen.

Vad kan ett företag göra redan nu?

Med den nya NIS-2 kommer även livsmedel att omfattas. En statlig utredning pågår för att föreslå implementering i Sverige, den ska vara klar i februari 2024: https://www.regeringen.se/rattsliga-dokument/kommittedirektiv/2023/03/dir.-202330

MSB har publicerat en vägledning om NIS-1 som kan användas av livsmedelsföretag redan nu: https://www.msb.se/sv/publikationer/vagledning-for-anmalan-och-identifiering-av-leverantorer-av-samhallsviktiga-tjanster-enligt-nis-regleringen2/

Dessutom har Säpo ett antal vägledningar att ta del av när det gäller olika typer av situationer och risker:

https://sakerhetspolisen.se/verksamheten/sakerhetsskydd/vagledningar-sakerhetsskydd.html

Tills vidare råder självskattningsprincipen, men företag som är certifierade på något relevant sätt eller som sluter avtal där det krävs särskild planering och dokumentation, behöver i så fall se till att kraven uppfylls när det gäller IT-system och hantering av känslig information.

Företag som blir utsatta för hot eller andra brott ska anmäla till polisen. Cyberintrång ska även anmälas till www.cert.se som därigenom kan bidra till att hela samhället får et bättre skydd.

Livsmedelsverket är sektorsansvarig myndighet och utövar tillsyn enligt NIS. Det är ännu inte beslutat om Livsmedelsverket blir tillsynsmyndighet enligt NIS-2.