NIS – Informationssäkerhet för samhällsviktiga och digitala tjänster

Företag som levererar samhällsviktiga tjänster och vissa digitala tjänster omfattas av NIS-lagen.

Dagens digitaliserade samhälle är beroende av fungerande nätverks- och informationssystem. Grundläggande är att tjänsterna är tillförlitliga och säkra. EU har beslutat att kraven på informationssäkerhet ska gälla för företag som levererar dessa tjänster inom EU.

Enligt reglerna ska företag som omfattas av NIS-reglerna arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB).

PTS är tillsynsmyndighet för samhällsviktiga tjänster inom sektorn digital infrastruktur samt för digitala tjänster – molntjänster, internetbaserade marknadsplatser och sökmotorer. 

MSB ansvarar för att ta fram föreskrifter och ta emot incidentrapporter.

NIS2-direktivet

NIS2-direktivet trädde ikraft i januari 2023 och ska vara implementerat i svensk lag senast den 17 oktober 2024.

Den nya lagstiftningen innebär en hög gemensam cybersäkerhetsnivå i hela EU. Den offentliga och privata sektorn i unionen ska i stort öka sin resiliens och sin kapacitet att hantera incidenter. Regleringen kring säkerhetskraven har skärpts med detaljerade krav på säkerhetsåtgärder som leverantörerna ska vidta och fler sektorer och leverantörer omfattas av säkerhetskraven.

Ytterligare detaljering kommer ske i EU:s genomförandeakter. Medlemsländerna har viss möjlighet att själva komma fram till hur direktivet ska komma till uttryck i nationell lagstiftning. En statlig utredning (Dir. 2023:30) är tillsatt och ska vara klar i februari 2024.

Klicka här för att läsa NIS 2-direktivet.

CER-direktivet

CER-direktivet (Directive on the resilience of critical entities – kritiska entiteters motståndskraft) syftar till att säkerställa tillhandahållandet av tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet på den inre marknaden. Direktivet ställer krav på att införa åtgärder för att stärka motståndskraften i samhällsviktig verksamhet och identifiera entiteter som kan anses som kritiska i detta hänseende. En av de utpekade sektorerna som omfattas av direktivet är digital infrastruktur. Kritiska entiteters motståndskraft inom sektorn digital infrastruktur regleras både genom CER- och NIS2-direktivet, vid dubbelreglering har NIS2-direktivet företräde.

Det är endast i den mån skyldigheter i CER-direktivet träffar medlemsstaterna som sådana som CER-direktivet blir tillämpligt vad gäller digital infrastruktur. En sådan skyldighet är att medlemsstaterna ska identifiera vilka entiteter som utgör kritiska entiteter, vilka i sin tur också kommer att anses vara ”väsentliga entiteter” enligt NIS2-direktivet.

Klicka här för att läsa mer om CER-direktivet.

Övergripande information om NIS-lagen

arrow Samhällsviktiga tjänster som omfattas av NIS

Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

  • energi
  • transport
  • bankverksamhet
  • finansmarknadsinfrastruktur
  • hälso- och sjukvård
  • leverans och distribution av dricksvatten
  • digital infrastruktur

Inom samhällsviktiga tjänster är PTS tillsynsmyndighet för sektorn digital infrastruktur. I den sektorn ingår leverantörer av DNS-tjänster och registreringsenheter för toppdomäner ingår.

Här finns mer information om sektorn digital infrastruktur, säkerhetskrav och PTS tillsyn. 

Privat och offentlig verksamhet berörs

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

Läs merMSB:s webbplats.

arrow Digitala tjänster som omfattas av NIS

Tre digitala tjänster omfattas av NIS-lagen, internetbaserad marknadsplats, internetbaserad sökmotor och molntjänst. Så här definieras tjänsterna i lagen.

Internetbaserad marknadsplats

Tjänst som gör det möjligt för konsumenter eller näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används.

Internetbaserad sökmotor

Digital tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet

Molntjänst

Definieras som en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.

För mer information om dessa digitala tjänster, se sidorna 21-22 i regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster.

arrow PTS tillsyn enligt NIS-lagen

PTS har tillsynsansvar för samhällsviktiga tjänster inom sektorn digital infrastruktur samt för digitala tjänster. Det innebär att vi informerar och vägleder företag som omfattas av NIS.

Vi granskar hur företagen lever upp till kraven i lagen och MSB:s föreskrifter. Huvudsyftet är att bedöma om företagen uppfyller kraven på säkerhetsåtgärder och incidentrapportering. 

PTS har rätt att ta fram sektorsspecifika föreskrifter om säkerhetsåtgärder utöver det som stadgas i MSB:s föreskrifter. 

PTS är en av flera tillsynsmyndigheter. 

arrow MSB:s föreskrifter reglerar NIS

MSB har en samordnande roll för NIS i Sverige. Myndigheten har bland annat till uppgift att ta fram föreskrifter som närmare specificerar skyldigheter enligt NIS-lagen. 

MSB har tagit fram följande föreskrifter och allmänna råd som berör leverantörer av samhällsviktiga tjänster:

Leverantörer av digitala tjänster berörs av följande föreskrifter:

MSB här även tagit fram föreskrifter för frivillig incidentrapportering enligt NIS-lagen.

MSB ansvarar även för att ta emot incidentrapporter som därefter vidarebefordras till ansvarig tillsynsmyndighet.

arrow Bakgrund till NIS-lagen

I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet med åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Enligt NIS-direktivet ska företag som levererar samhällsviktiga och digitala tjänster inom EU följa samma krav på informationssäkerhet och incidentrapportering.

Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige. I juni 2018 beslutade riksdagen om den nya lagen (NIS-lagen). MSB samordnar arbetet i Sverige. PTS är en av sju tillsynsmyndigheter i Sverige. 

arrow Frågor om NIS

Är ni leverantör av digital infrastruktur eller digitala tjänster och berörs av NIS-lagen, kontakta PTS, via e-post: nis@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.