Frågor och svar om NIS-regleringen

Kraven i NIS-regleringen skiljer sig något för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

Leverantörer av samhällsviktiga tjänster har en skyldighet att:

• anmäla sig till tillsynsmyndigheten att de berörs av NIS-regleringen
• arbeta systematiskt och riskbaserat med informationssäkerhet inklusive vidta säkerhetsåtgärder
• rapportera incidenter till MSB

Leverantörer av digitala tjänster ska:

• vidta åtgärder för att hantera risker som hotar säkerheten i de nätverk och system som används för att tillhandahålla tjänsten
• rapportera incidenter till MSB.

Båda typerna av leverantörer är föremål för tillsyn.

Ja, om organisationen är leverantör av samhällsviktiga tjänster inom flera NIS-sektorer, ska en anmälan skickas per sektor till ansvarig tillsynsmyndighet.

Den svenska NIS-regleringen omfattar samma sektorer som det europeiska NIS-direktivet. Vissa andra medlemsstater har valt att utvidga den nationella NIS-regleringen till flera sektorer.

Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna ansvarig tillsynsmyndighet för att få mer information gällande planerad tillsyn inom den specifika sektorn.

MSB arbetar tillsammans med tillsynsmyndigheterna med tillsynssamordning. Syftet är att identifiera och samlas kring gemensamma principer för att göra tillsynen inom NIS så likvärdig och effektiv som möjligt. En viktig princip är att tillsynen ska vara ett stöd för leverantören i säkerhetsarbetet. Vissa skillnader kommer dock att förekomma eftersom de olika NIS-sektorerna skiljer sig åt.

Information som framkommer vid incidentrapportering är ett viktigt underlag i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn i din sektor.

Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur de planerar att utföra tillsyn.

Enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster undantas de verksamheter som omfattas av säkerhetsskydd från NIS-regleringen.

Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav behöver dock inte betyda att all verksamhet är undantagen från NIS-regleringen.

Om leverantören även bedriver verksamhet som inte omfattas av säkerhetsskydd är NIS-regleringen tillämplig i de delarna där kraven i MSBFS 2018:7 uppfylls. Begreppet verksamhet ska i detta sammanhang inte likställas med organisation, då en och samma leverantör kan bedriva flera olika typer av verksamheter.

Viss vägledning kring detta finns i MSB:s vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster
Säkerhetspolisens Vägledning i säkerhetsskydd

EU kommissionen har under 2020 arbetat fram ett nytt förslag på NIS-direktivet. Detta förslag innehåller flera förändringar, bland annat föreslås flertalet nya sektorer att omfattas av NIS, samt ett nytt tillvägagångssätt för att identifiera leverantörer. Förslaget presenterades i december 2020.

Nu arbetas det med förslaget i varje medlemsstat, och det behandlas även av både Europaparlamentet och ministerrådet. Efter den bearbetning och förhandling som nu sker är det Europaparlamentet som beslutar om förslaget.

I och med att revideringen av NIS-direktivet fortfarande pågår, och att det inte är klarlagt vad det nya direktivet till slut kommer innefatta, går det inte i dagsläget att fastställa hur detta kommer påverka specifika organisationer.

Kommissionens nya förlag rörande cybersäkerhet (på engelska)