NIS – Informationssäkerhet för samhällsviktiga och digitala tjänster

Företag som levererar samhällsviktiga tjänster och vissa digitala tjänster omfattas av NIS-lagen.

Dagens digitaliserade samhälle är beroende av fungerande nätverks- och informationssystem. Grundläggande är att tjänsterna är tillförlitliga och säkra. EU har beslutat att kraven på informationssäkerhet ska gälla för företag som levererar dessa tjänster inom EU.

Enligt reglerna ska företag som omfattas av NIS-reglerna arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB).

PTS är tillsynsmyndighet för samhällsviktiga tjänster inom sektorn digital infrastruktur samt för digitala tjänster – molntjänster, internetbaserade marknadsplatser och sökmotorer. 

MSB ansvarar för att ta fram föreskrifter och ta emot incidentrapporter.

NIS2-direktivet

Den 28 november 2022 antogs förslaget till nytt NIS direktiv, det s k NIS2 direktivet, av EU kommissionen efter att ha först godtagits i EU parlamentet den 10 november. NIS2 direktivet ersätter de nuvarande nätverks- och informationssäkerhetsreglerna (NIS-direktivet).

NIS-2 direktivet

Den nya lagstiftningen innebär en hög gemensam cybersäkerhetsnivå i hela EU. Den offentliga och privata sektorn i unionen ska i stort öka sin resiliens och sin kapacitet att hantera incidenter. Regleringen kring säkerhetskraven har skärpts med detaljerade krav på säkerhetsåtgärder som leverantörerna ska vidta och den digitala sektorn omfattas nu av flera leverantörer och även digitala leverantörer omfattar en ny leverantör.

Ytterligare detaljering kommer ske i EUs implementeringsakter och delegerade akter. Medlemsländerna har viss möjlighet att själva komma fram till hur direktivet ska komma till uttryck i nationell lagstiftning. Svenska regeringen och myndigheter kommer i lag och föreskrifter kunna bestämma närmare detaljer och kriterier som ska gälla för NIS 2 i Sverige.

Övergripande information om NIS-lagen

arrow Samhällsviktiga tjänster som omfattas av NIS

Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

  • energi
  • transport
  • bankverksamhet
  • finansmarknadsinfrastruktur
  • hälso- och sjukvård
  • leverans och distribution av dricksvatten
  • digital infrastruktur

Inom samhällsviktiga tjänster är PTS tillsynsmyndighet för sektorn digital infrastruktur. I den sektorn ingår leverantörer av DNS-tjänster och registreringsenheter för toppdomäner ingår.

Här finns mer information om sektorn digital infrastruktur, säkerhetskrav och PTS tillsyn. 

Privat och offentlig verksamhet berörs

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

Läs merMSB:s webbplats.

arrow Digitala tjänster som omfattas av NIS

Tre digitala tjänster omfattas av NIS-lagen, internetbaserad marknadsplats, internetbaserad sökmotor och molntjänst. Så här definieras tjänsterna i lagen.

Internetbaserad marknadsplats

Tjänst som gör det möjligt för konsumenter eller näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används.

Internetbaserad sökmotor

Digital tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet

Molntjänst

Definieras som en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.

För mer information om dessa digitala tjänster, se sidorna 21-22 i regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster.

arrow PTS tillsyn enligt NIS-lagen

PTS har tillsynsansvar för samhällsviktiga tjänster inom sektorn digital infrastruktur samt för digitala tjänster. Det innebär att vi informerar och vägleder företag som omfattas av NIS.

Vi granskar hur företagen lever upp till kraven i lagen och MSB:s föreskrifter. Huvudsyftet är att bedöma om företagen uppfyller kraven på säkerhetsåtgärder och incidentrapportering. 

PTS har rätt att ta fram sektorsspecifika föreskrifter om säkerhetsåtgärder utöver det som stadgas i MSB:s föreskrifter. 

PTS är en av flera tillsynsmyndigheter. 

arrow MSB:s föreskrifter reglerar NIS

MSB har en samordnande roll för NIS i Sverige. Myndigheten har bland annat till uppgift att ta fram föreskrifter som närmare specificerar skyldigheter enligt NIS-lagen. 

MSB har tagit fram följande föreskrifter och allmänna råd som berör leverantörer av samhällsviktiga tjänster:

Leverantörer av digitala tjänster berörs av följande föreskrifter:

MSB här även tagit fram föreskrifter för frivillig incidentrapportering enligt NIS-lagen.

MSB ansvarar även för att ta emot incidentrapporter som därefter vidarebefordras till ansvarig tillsynsmyndighet.

arrow Bakgrund till NIS-lagen

I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet med åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Enligt NIS-direktivet ska företag som levererar samhällsviktiga och digitala tjänster inom EU följa samma krav på informationssäkerhet och incidentrapportering.

Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige. I juni 2018 beslutade riksdagen om den nya lagen (NIS-lagen). MSB samordnar arbetet i Sverige. PTS är en av sju tillsynsmyndigheter i Sverige. 

arrow Frågor om NIS

Är ni leverantör av digital infrastruktur eller digitala tjänster och berörs av NIS-lagen, kontakta PTS, via e-post: nis@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.