Frågor och svar om NIS-lagen och digitala tjänster

NIS-lagen är uppdelad i två grenar; två kategorier av tjänster. Den ena kategorin är samhällsviktiga tjänster och den andra är digitala tjänster.

Kategorin samhällsviktiga tjänster är uppdelade i sju sektorer. Mer om samhällsviktiga tjänster och de sju sektorerna kan du läsa på MSBs webbplats.

Kategorin digitala tjänster består av molntjänster, internetbaserade marknadsplatser och internetbaserade sökmotorer.

Leverantörer av samhällsviktiga tjänster är alltså en typ av NIS-aktör. Leverantörer av digitala tjänster är en annan typ av NIS-aktör.

För leverantörer av digitala tjänster finns inte något kriterium att vara samhällsviktig. Företag som levererar en molntjänst, en internetbaserad marknadsplats eller en internetbaserad sökmotor, samt erbjuder dessa tjänster inom EU, och som inte omfattas av något undantag, är enligt NIS-lagen leverantör av digitala tjänster.

Ja, det kan ni göra, men det beror på om ni tillhandahåller en NIS-tjänst som en del av en elektronisk kommunikationstjänst (LEK-tjänst) eller inte.

Om ni till exempel använder en molntjänst (digital tjänst enligt NIS) för att tillhandahålla en telefonitjänst (allmän elektronisk kommunikationstjänst enligt LEK), ska ni följa reglerna enligt lagen om elektronisk kommunikation (LEK). Ni omfattas inte av NIS-reglerna.

Om ni tillhandahåller en NIS-tjänst som är skild från den elektroniska kommunikationstjänsten som ni tillhandahåller, är ni skyldiga att följa reglerna i NIS.

Ett bolag kan ha fler olika verksamheter och omfattas av NIS-lagen för en verksamhet och LEK för en annan. Se tabell nedan.

Denna tolkning följer av EU-kommissionens kommunikation ”Making the most of NIS”, kap. 5.2.

För att omfattas av NIS-lagen krävs det att ni som leverantör av digitala tjänster har en balansomslutning eller årsomsättning som överstiger tio miljoner euro eller har 50 eller fler anställda. Annorlunda uttryckt finns ett undantag i NIS-lagen för små- eller mikroföretag.

Om årsomsättningen/balansomslutningen understiger 10 miljoner euro och antalet anställda är 49 eller färre omfattas ni av undantaget för små- eller mikroföretag.

Att räkna ut huruvida man utgör ett små- eller mikroföretag kan vara komplicerat, då ni måste beakta anknutna företag och partnerföretag. För information om hur detta beräknas, se Användarhandledning om definitionen av SMF-företag , specifikt under steg 4, s 15.

Huruvida er organisation omfattas av detta undantag kan självklart komma att förändras, då ni kan växa i både årsomsättning och personalstyrka.

NIS-lagen ställer krav på att leverantörer av digitala tjänster vidtar åtgärder för att förebygga och minimera verkningar av incidenter som påverkar de nätverk och informationssystem som leverantören använder. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Som koncern behöver ni, mot övriga bolag, ställa de krav som ni bedömer behövs för att förebygga och minimera incidenter kopplade till den digitala tjänsten.

Det är inte nödvändigt att ett bolag äger den tekniska plattformen för att anses tillhandahålla en digital tjänst. Om bolaget tillgängliggör tjänsten för slutanvändaren så kan bolaget anses vara tillhandahållare av den digitala tjänsten, och därmed vara en leverantör av en digital tjänst enligt NIS-lagen.

Bolaget kan därmed, i egenskap av leverantör av digital tjänst, ha en skyldighet att säkerställa att det vidtas tekniska och organisatoriska åtgärder inom ramen för tjänsten, och att incidenthantering sköts enligt NIS-lagen. Som tjänsteleverantör har man möjlighet att ställa krav i avtalet med den som äger eller sköter driften av den tekniska plattformen, avseende den tjänst man levererar.

Är man däremot endast en återförsäljare är det inte säkert att man kan anses tillhandahålla den digitala tjänsten. En återförsäljare tillgängliggör oftast inte tjänsten på samma sätt som en leverantör utan står huvudsakligen för marknadsföring och försäljning av tjänsten.

Enligt NIS-lagen är det incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten som ska rapporteras (19 § NIS-lagen). I EU-kommissionens så kallade genomförandeförordning gällande säkerhetsåtgärder och fastställande av incidenter med avsevärd inverkan, beskrivs vilka incidenter leverantörer av digitala tjänster ska rapportera.

Incidenterna ska rapporteras till Myndigheten för samhällsskydd och beredskap.

Mer information om när och hur en incident ska rapporteras finns på MSBs webbplats.

Ta del av EU-kommissionens genomförandeförordning.

En leverantör som inte är etablerad inom EU, men som erbjuder digitala tjänster inom unionen, ska utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. Leverantören kan utse en juridisk eller fysisk person som företrädare. Företrädaren ska kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS.

Det är inte säkert. Man måste alltid beakta de krav som framgår av NIS-lagen och tillhörande föreskrifter. Om ni bedömer att de åtgärder som vidtas i och med er ISO-certifiering täcker de skyldigheter som ni har enligt NIS bör detta noteras i era riskanalyser, eller på annat sätt inom ramen för ert kontinuerliga säkerhetsarbete. Det är viktigt att komma ihåg att det är ni som företag som är ansvariga för att bedöma om ni omfattas av NIS-reglerna eller inte.

Läs mer om säkerhetskrav enligt NIS på MSBs webbplats.

DSP står för Digital Service Provider. Den svenska översättningen är ”leverantör av digitala tjänster”, men förkortningen DSP kan även användas på svenska.