Säkerhetskrav för leverantörer av samhällsviktiga tjänster
NIS-lagen ställer krav på att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter. Incidenterna ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB).
Säkerhetskraven innebär i korthet att företag ska vidta åtgärder för att trygga driften av den samhällsviktiga tjänsten. Kraven regleras i
- MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster
- PTS föreskrifter och allmänna råd om säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn digital infrastruktur (PTSFS 2021:3)
MSB:s föreskrifter om säkerhetskrav för samhällsviktiga tjänster
Säkerhetskraven i NIS innebär ett systematiskt och riskbaserat säkerhetsarbete avseende de nätverk och informationssystem som aktören använder för att tillhandhålla den samhällsviktiga tjänsten.
Kraven innebär bland annat att leverantören ska göra en årlig riskanalys, vidta tekniska och organisatoriska åtgärder för att dels hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken, dels förebygga och minimera de negativa effekterna av incidenter och säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.
PTS föreskrifter om säkerhetsåtgärder för sektorn digital infrastruktur
PTS föreskrifter och allmänna råd om säkerhetsåtgärder är specifika för sektorn digital infrastruktur samt förtydligar och kompletterar MSB:s förskrifter om ett riskbaserat och systematiskt säkerhetsarbete, som gäller samtliga leverantörer av samhällsviktiga tjänster enligt NIS-lagen.
Föreskrifterna som gäller från den 1 juni 2021, innebär bland annat följande:
- Krav på att genomföra riskanalys för nätverk och informationssystem samt att dokumentera skälen till bedömningarna.
- Ett antal säkerhetsåtgärder som leverantören ska genomföra i de fall leverantörens riskanalys påvisar vissa brister.
- Krav på att ta fram åtgärdsplaner och att vidta kontinuitetshöjande åtgärder.
Hantering av personuppgifter
Tänk på att följa gällande dataskyddsregelverk vid all hantering av personuppgifter, exempelvis vid loggning.
Incidentrapportering för samhällsviktiga tjänster
Leverantörer som omfattas av NIS är skyldiga att rapportera incidenter till MSB. På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering för samhällsviktiga tjänster på MSB:s webbplats.
MSB vidarebefordrar incidentrapporter till PTS för handläggning.
Starta konto för incidentrapportering
För att kunna incidentrapportera till MSB/CERT-SE behöver MSB starta ett konto för er räkning. MSB behöver därför vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Samtliga uppgifter som behövs för att starta ett konto lämnas i anmälan till PTS.
Läs mer om att starta konto för incidentrapportering och anmäla verksamhet.