Informationssäkerhet för samhällsviktiga och digitala tjänster (NIS)

Ny lag om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Företag som levererar samhällsviktiga tjänster (digital infrastruktur) och digitala tjänster kan komma att omfattas av nya säkerhetskrav när NIS-lagen träder i kraft i Sverige. Enligt de nya reglerna ska företagen arbeta systematiskt och riskbaserat med informationssäkerhet och rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB). Post- och telestyrelsen (PTS) är tillsynsmyndighet för digital infrastruktur och digitala tjänster.

Nätverks- och informationstjänster spelar en allt viktigare roll i dagens digitaliserade samhälle. Grundläggande är att tjänsterna är tillförlitliga och säkra. EU har beslutat att kraven på informationssäkerhet ska gälla för företag som levererar dessa tjänster inom EU.

Myndigheten för samhällsskydd och beredskap (MSB) har en samordnande roll för NIS i Sverige. Det innebär bland annat att MSB tar fram regler för alla sektorer som omfattas av NIS-lagen.

Vad innebär den nya lagen?

Den nya lagen innebär att det kommer att ställas nya säkerhetskrav på informationssystem och nätverk för företag som levererar samhällsviktiga och digitala tjänster. Enligt de nya kraven ska företagen arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB).

Vilka omfattas av den nya lagen?

Flera samhällssektorer omfattas av NIS-lagen, däribland sektorn för digital infrastruktur. Energi, transport samt hälso- och sjukvård är exempel på övriga sektorer. Enligt NIS-lagen ingår följande aktörer i sektorn digital infrastruktur:

  • Leverantörer av DNS-tjänster
  • Registreringsenheter för toppdomäner

Utöver sektorn digital infrastruktur så regleras även digitala tjänster:

  • Leverantörer av molntjänster
  • Leverantörer av e-handelsplatser
  • Leverantörer av internetbaserade sökmotorer

Tillsynsmyndigheter är utsedda

PTS är utsedd till en av tillsynsmyndigheterna för NIS-lagen. Myndigheten kommer att ha tillsynsansvar för leverantörer av samhällsviktiga tjänster inom digital infrastruktur och leverantörer av digitala tjänster. PTS förbereder sig nu för att ta sitt tillsynsansvar och utreder bland annat vilka aktörer som kommer att omfattas av reglerna och om det finns behov av att ytterligare förtydliga säkerhetskraven för de samhällsviktiga tjänsterna på området.

NIS-lagen träder i kraft den 1 augusti 2018. MSB:s regler beslutas och träder i kraft under hösten. Dessa tydliggör vilka leverantörer av samhällsviktiga tjänster som kommer att omfattas av NIS. För leverantörer av digitala tjänster finns redan säkerhetskrav som gäller i EU-kommissionens genomförandeförordning. Dessa blir skyldiga att rapportera incidenter till MSB från och med den 1 augusti 2018.

MSB:s förslag till föreskrifter om informationssäkerhet för samhällsviktiga och digitala tjänster är ute på remiss. Synpunkter kan lämnas senast den 4 september 2017. Ta del av förslagen

Frågor om NIS-lagen

Om du har allmänna frågor om NIS-lagen, mejla fraga.nis@msb.se.
För frågor till PTS, mejla pts@pts.se

Bakgrund

I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet med åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Enligt NIS-direktivet ska företag som levererar samhällsviktiga och digitala tjänster inom EU följa samma krav på informationssäkerhet och incidentrapportering.

Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige. I juni 2018 beslutade riksdagen om den nya lagen (NIS-lagen). MSB samordnar arbetet i Sverige. PTS är en av sju tillsynsmyndigheter i Sverige.