Till innehåll på sidan

NIS-direktivet

NIS-direktivet genomfördes i Sverige 2018 och ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar kopplat till den nya regleringen. MSB har en bred roll kopplat till regleringen som bland annat innefattar föreskriftsrätt, samordning och mottagare av incidentrapporter.

Tjänster som omfattas av NIS-direktivet

Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur.

Stöd för att identifiera samhällsviktiga tjänster i Sverige inom respektive sektor finns i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

Lag, förordning och föreskrifter inom NIS-direktivet

Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definitioner av digitala tjänster hittar du i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns på Riksdagens webbplats

Leverantörer i både privat och offentlig sektor

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

För leverantörer av samhällsviktiga tjänster gäller:

  • Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
  • Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
  • En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För leverantörer av digitala tjänster gäller:

  • Har sitt huvudkontor i Sverige.
  • Har en årsomsättning som överstiger 10 miljoner euro.
  • Har 50 eller fler anställda.

Leverantörerna måste själva undersöka om de berörs av NIS-regleringen. Leverantörer av samhällsviktiga tjänster använder MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster använder lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster på Riksdagens webbplats

Anmälningsplikt för leverantörer av samhällsviktiga tjänster

Den som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen.

Ansökan om incidentrapporteringskonto för leverantörer av digitala tjänster
Enligt MSB:s föreskrifter om incidentrapportering för leverantörer av digitala tjänster (MSBFS 2018:10) ska leverantören utan dröjsmål och på anvisat sätt ansöka om att få ett incidentrapporteringskonto. Ansökan görs via en blankett och skickas till MSB. I ansökan anges en kontaktperson för incidentrapportering samt valfritt antal personer som ansvarar för personliga incidentrapporteringskonton.

Blankett för ansökan om incidentrapporteringskonto för leverantörer av digitala tjänster

Föreskrifter om anmälan och identifiering av samhällsviktiga tjänster

Den 1 november 2018 trädde MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster i kraft. Föreskrifterna används för att identifiera samhällsviktiga tjänster i Sverige och är därmed ett stöd till att undersöka om man är en leverantör av någon av dessa.

Lag, förordning och föreskrifter inom NIS-direktivet

Tillsynsmyndigheterna

Om du har frågor om NIS-regleringen som rör en specifik sektor är du välkommen att kontakta relevant tillsynsmyndighet.

Bankverksamhet samt finansmarknadsinfrastruktur

Finansinspektionen
https://fi.se/nis

Hälso- och sjukvård

Inspektionen för vård och omsorg
https://www.ivo.se/for-yrkesverksamma/informationssakerhet/

Leverans och distribution av dricksvatten

Livsmedelsverket
https://www.livsmedelsverket.se/nis

Digital infrastruktur samt digitala tjänster

Post- och telestyrelsen
https://pts.se/nis

Kontakt

Du är välkommen att skicka allmänna frågor om NIS-regleringen och MSB:s NIS-föreskrifter till oss via e-post på fraga.nis@msb.se.

Frågor och svar

Frågor och svar om NIS-regleringen

  • Hur gör jag för att undersöka om min organisation omfattas av NIS-regleringen?

    Ni behöver undersöka om ni uppfyller kriterierna för att vara en leverantör av samhällsviktiga eller digitala tjänster. Stöd för att undersöka om ni är en leverantör av samhällsviktiga tjänster finns i MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7) med tillhörande vägledning.

    För att undersöka om ni är en leverantör av digitala tjänster finns stöd i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Gällande stöd för identifiering för leverantörer av digitala tjänster, se även propositionen (prop. 2017/18:205) om informationssäkerhet för samhällsviktiga och digitala tjänster samt MSB:s rapport till regeringen om vissa vidtagna åtgärder för att förbereda genomförandet av NIS-direktivet.

  • Kan MSB eller tillsynsmyndigheterna ge slutgiltigt besked om min organisation berörs av NIS-regleringen?

    Det är leverantörerna som själva ska undersöka om man berörs av NIS-regleringen. MSB och tillsynsmyndigheterna kan erbjuda stöd och vägledning i det arbetet. Kontakta MSB för att få svar på allmänna frågor om NIS-regleringen och MSB:s föreskrifter. Kontakta tillsynsmyndigheterna för att få svar på sektorsspecifika frågor om NIS-regleringen. Tillsynsmyndigheterna kan utöva tillsyn över hur och om leverantörerna ska anmäla sig. Till tillsynen kan sanktioner kopplas.

  • Behöver jag ett konto för att rapportera incidenter?

    MSB utvecklar för närvarande ett system för incidentrapportering. Användarkonton kommer att skapas först när systemet är i bruk. Först då kommer respektive användare få information om hur man kommer igång med att rapportera i systemet. Innan dess kommer det inte att ske någon ytterligare återkoppling. MSB publicerar mer information om systemet i samband med lansering. Innan systemet är i bruk används en alternativ rutin för att rapportera incidenter. Leverantörer av samhällsviktiga tjänster skickar in uppgifter som krävs för incidentrapporteringskonto i samband med anmälan. Leverantörer av digitala tjänster ansöker om konto direkt hos MSB.

  • Till vilken myndighet anmäler jag min organisation som leverantör av samhällsviktiga tjänster?

    Anmälan skickas till den myndighet som är har tillsynsansvar för den NIS-sektor som ni levererar tjänsten inom. Om ni bedriver verksamhet som hör till flera olika samhällsviktiga tjänster så kan ni behöva anmäla er till mer än en NIS-tillsynsmyndighet.

  • Vilka krav ställer NIS-regleringen på en organisation som är leverantör av samhällsviktiga eller digitala tjänster?

    Kraven i NIS-regleringen skiljer sig något för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

    Leverantörer av samhällsviktiga tjänster har en skyldighet att anmäla sig till tillsynsmyndigheten att de berörs av NIS-regleringen, att arbeta systematiskt och riskbaserat med informationssäkerhet inklusive vidta säkerhetsåtgärder samt att rapportera incidenter till MSB.

    Leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker som hotar säkerheten i de nätverk och system som används för att tillhandahålla tjänsten samt rapportera incidenter till MSB. Båda typerna av leverantörer är föremål för tillsyn.

  • Vilken roll har MSB inom NIS-regleringen?

    MSB har en bred roll kopplad till NIS-regleringen, myndigheten ska bland annat meddela föreskrifter inom flera områden, ta emot incidentrapporter och tillgängliggöra dem för tillsynsmyndigheterna och Socialstyrelsen, stödja samhället vid hantering av incidenter genom den nationella incidenthanteringsfunktionen CERT-SE, leda ett samarbetsforum för effektiv tillsyn som inkluderar tillsynsmyndigheterna och Socialstyrelsen samt vara nationell kontaktpunkt för samarbete inom EU.

  • Varför finns NIS-regleringen

    Den svenska NIS-regleringen grundar sig på ett EU-direktiv. Syftet med NIS-direktivet är att uppnå en hög gemensam nivå på säkerheten i nätverk och informationssystem för samhällsviktiga och digitala tjänster inom unionen, i syfte att förbättra den inre marknadens funktion. Nätverk och informationssystem spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet. I Sverige har NIS-direktivet införts genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning (2018:1175) samt myndighetsföreskrifter.

  • När trädde NIS-regleringen i kraft i Sverige?

    Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning (2018:1175) trädde i kraft 1 augusti 2018. Den 1 november trädde MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster samt informationssäkerhet för leverantörer av samhällsviktiga tjänster i kraft. Den 1 mars 2019 trädde MSB:s föreskrifter om incidentrapportering för samtliga NIS-leverantörer i kraft.

  • Vilket stöd kan jag få för att undersöka om min organisation berörs av NIS-regleringen?

    Stöd för att undersöka om ni är en leverantör av samhällsviktiga tjänster finns i MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7) med tillhörande vägledning.
    För att undersöka om ni är en leverantör av digitala tjänster finns stöd i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. MSB och tillsynsmyndigheterna kan erbjuda stöd och vägledning.
    Kontakta MSB för att få svar på allmänna frågor om NIS-regleringen och MSB:s föreskrifter. Kontakta tillsynsmyndigheterna för att få svar på sektorsspecifika frågor om NIS-regleringen.

  • Kan MSB eller tillsynsmyndigheterna ge slutgiltigt besked om min organisation berörs av NIS-regleringen?

    Det är leverantörerna som själva ska undersöka om man berörs av NIS-regleringen. MSB och tillsynsmyndigheterna kan erbjuda stöd och vägledning i det arbetet. Kontakta MSB för att få svar på allmänna frågor om NIS-regleringen och MSB:s föreskrifter. Kontakta tillsynsmyndigheterna för att få svar på sektorsspecifika frågor om NIS-regleringen. Tillsynsmyndigheterna kan utöva tillsyn över hur och om leverantörerna ska anmäla sig. Till tillsynen kan sanktioner kopplas.

  • Till vilken myndighet anmäler jag min organisation som leverantör av samhällsviktiga tjänster?

    Anmälan skickas till den myndighet som är har tillsynsansvar för den NIS-sektor som ni levererar tjänsten inom. Om ni bedriver verksamhet som hör till flera olika samhällsviktiga tjänster så kan ni behöva anmäla er till mer än en NIS-tillsynsmyndighet.

  • Måste jag anmäla mig till olika tillsynsmyndigheter om min organisation är leverantör av samhällsviktiga tjänster inom flera sektorer?

    Ja, om din organisation är leverantör av samhällsviktiga tjänster inom flera NIS-sektorer, skickar du en anmälan per sektor till ansvarig tillsynsmyndighet.

  • Vad innebär begreppet "leverantör" i leverantör av samhällsviktiga eller digitala tjänster?

    Leverantör är den organisatoriska enhet som ni identifierar som leverantör av den samhällsviktiga eller digitala tjänsten. Det kan här vara vägledande att utgå från organisationsnummer. En leverantör av en samhällsviktig tjänst kan vara beroende av en upphandlad it-tjänst för sin leverans. Det är dock leverantören som ska identifiera sig enligt NIS-regleringen och anmäla sig till tillsynsmyndigheten.

  • Varför berörs bara vissa samhällsviktiga verksamheter av NIS-regleringen?

    Den svenska regleringen omfattar samma sektorer som direktivet. Det innebär att vissa samhällsviktiga verksamheter inte berörs av NIS-regleringen i Sverige. I vissa andra medlemsstater har man valt att utvidga NIS-regleringen till fler sektorer.

  • Berörs kommuner av NIS-regleringen?

    Ja, kommuner kan beröras av NIS-regleringen som leverantörer av samhällsviktiga tjänster. Vanliga sektorer är dricksvatten, energi samt hälsa- och sjukvård.

  • Berörs privata vårdgivare av NIS-regleringen?

    Ja, privata vårdgivare kan beröras av NIS-regleringen.

  • Berörs räddningstjänst av NIS-regleringen?

    Nej, räddningstjänst faller inte inom någon av de sektorer av samhällsviktiga tjänster som listas i NIS-regleringen.

  • Ingår fjärrvärme i de energislag som berörs av NIS-regleringen som samhällsviktiga tjänster inom energisektorn?

    Nej, fjärrvärme är inte ett energislag som omfattas av NIS-regleringen som samhällsviktig tjänst.

  • Hur ska jag beräkna gränsvärdet 50 årsarbetskrafter för legitimerad vårdpersonal på området hälso- och sjukvård?

    Börja med att identifiera vem som är vårdgivare enligt den definition som finns i MSBs föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster MSBFS 2018:7. Det är bara vårdgivare som omfattas av hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125) eller detaljhandel med läkemedel enligt lagen (2009:366) om handel med läkemedel som kan omfattas av NIS-regleringen. Lägg sedan samman antalet årsarbetskrafter för vårdpersonal som vårdgivaren har anställt eller anlitat. Vad som avses med vårdpersonal är också definierat i föreskrifterna MSBFS 2018:7. Se även vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

  • Vad innebär begreppet "expedieringar" på området hälso- och sjukvård?

    Formuleringen ”expedieringar av receptbelagda läkemedel” under 7 kapitlet, 1 §, punkt 1.b gäller för verksamheter som lyder under lagen (2009:366) om handel med läkemedel. Hantering av ett recept motsvarar en expediering. I Socialstyrelsens termbank definieras begreppet expediering som ”färdigställande och utlämning av förskrivet eller rekvirerat läkemedel, hjälpmedel, livsmedel och teknisk sprit”. Begreppet kan användas på samma sätt här.

  • Vad innebär kravet på systematiskt och riskbaserat informationssäkerhetsarbete för leverantörer av samhällsviktiga tjänster?

    I föreskrifterna om informationssäkerhet för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete där organisationens medarbetare har kunskap om och resurser för att identifiera, genomföra och utvärdera ändamålsenliga och proportionerliga organisatoriska och tekniska säkerhetsåtgärder för att säkerställa leveransen av den samhällsviktiga tjänsten.

  • Finns det specifika säkerhetsåtgärder som leverantörer av samhällsviktiga eller digitala tjänster måste uppfylla?

    För leverantörer av samhällsviktiga tjänster finns i dagsläget inte sådana krav formulerade i föreskriftsform, utan säkerhetsåtgärderna identifieras och genomförs i det systematiska informationssäkerhetsarbete som dessa leverantörer är skyldiga att bedriva enligt MSB:s föreskrifter. Tillsynsmyndigheterna har dock möjlighet att utfärda särskilda föreskrifter om sådana säkerhetsåtgärder för sina respektive sektorer.
    Leverantörer av digitala tjänster hittar sådana säkerhetsåtgärder i EU-kommissionens genomförandeförordning om krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster.

  • Måste man certifiera sig enligt ISO 27 000-standarden för att uppfylla kraven i NIS-regleringen?

    Nej, man behöver inte certifiera sig enligt ISO 27 000-standarden för att uppfylla kraven på systematiskt och riskbaserat informationssäkerhetsarbete enligt NIS-regleringen.

  • Vilket stöd kan jag få för att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete?

    MSB erbjuder metodstöd för att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete enligt ISO 27 000-standarden Ledningssystem för informationssäkerhet. Dessutom finns en rad olika vägledningar att hämta på webbplatsen informationssäkerhet.se.

  • Hur avgör jag om min organisations informationssäkerhetsarbete uppfyller kraven i NIS-regleringen?

    Enligt MSB:s föreskrifter ska leverantörer av samhällsviktiga tjänster bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete enligt ISO 27 000-standarden Ledningssystem för informationssäkerhet eller motsvarande. MSB erbjuder ett praktiskt inriktat metodstöd för att arbeta enligt standarden.
    Leverantörer av digitala tjänster uppfyller kraven genom att vidta de säkerhetsåtgärder som beskrivs i EU-kommissionens så kallade genomförandeförordning om krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster.

  • Behöver jag ett konto för att rapportera incidenter?

    MSB utvecklar för närvarande ett system för incidentrapportering. Användarkonton kommer att skapas först när systemet är i bruk. Först då kommer respektive användare få information om hur man kommer igång med att rapportera i systemet. Innan dess kommer det inte att ske någon ytterligare återkoppling. MSB publicerar mer information om systemet i samband med lansering. Innan systemet är i bruk används en alternativ rutin för att rapportera incidenter.
    Leverantörer av samhällsviktiga tjänster skickar in uppgifter som krävs för incidentrapporteringskonto i samband med anmälan. Leverantörer av digitala tjänster ansöker om konto direkt hos MSB i enlighet med krav i föreskrifterna om incidentrapportering (MSBFS 2018:10).

  • Vem tar emot incidentrapporterna?

    Incidentrapporterna skickas till MSB/CERT-SE. MSB ska utan dröjsmål tillgängliggöra informationen i incidentrapporter för relevant tillsynsmyndighet och Socialstyrelsen om incidenter inom sektorn hälso- och sjukvård.

  • Omfattas incidentrapporterna som lämnas in till MSB av sekretess?

    Det är centralt för MSB att den information som lämnas in och genereras i samband med rapporteringen av en incident ges ett kvalificerat skydd. MSBs hantering av information styrs, liksom andra myndigheter, av reglerna om offentlighet och sekretess vilket regleras i offentlighets- och sekretesslagen (2009:400), OSL.

    Prövning av sekretessen görs av MSB då en uppgift begärs utlämnad. Om en uppgift som begärs ut omfattas av sekretess får den inte lämnas ut. Information som inkommer till MSB i samband med it-incidenthantering kan vara av olika slag men ger i många fall upplysningar om säkerhets- eller bevakningsåtgärder när det gäller en organisations it- eller kommunikationssystem, exempelvis uppgifter om brandväggsinformation och liknande uppgifter.

    Om det kan antas att syftet med säkerhets- eller bevakningsåtgärder motverkas, exempelvis genom att säkerhetsarbetet försvåras, om den typen av information röjs finns det stöd i offentlighets- och sekretesslagen att sekretessbelägga sådan information. MSB:s tillämpning av sekretessbestämmelserna har prövats och godkänts av kammarrätten.

  • Kommer någon annan att ta del av incidentrapporterna?

    Ja, MSB ska utan dröjsmål tillgängliggöra informationen i incidentrapporter för relevant tillsynsmyndighet och Socialstyrelsen om incidenter inom sektorn hälso- och sjukvård.

  • Varför tillgängliggör MSB incidentrapporterna för tillsynsmyndigheterna och Socialstyrelsen?

    Enligt förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster ska MSB utan dröjsmål tillgängliggöra incidentrapporterna för tillsynsmyndigheterna och Socialstyrelsen. Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Dessutom behöver MSB och relevant tillsynsmyndighet ha samma information om incidenten i kontakt med allmänhet och medier. För att tillgodose detta informationsbehov tillgängliggörs incidentrapporterna för tillsynsmyndigheterna och Socialstyrelsen.

  • Vilken typ av incidenter ska rapporteras?

    Incidenter som ska rapporteras är sådana som har betydande inverkan på kontinuiteten i en samhällsviktig tjänst eller avsevärd inverkan på tillhandahållandet av en digital tjänst. Detta beskrivs mer detaljerat i föreskrifterna om incidentrapportering och tillhörande vägledning samt i Kommissionens genomförandeförordning (EU) 2018/151.

  • Vad innebär begreppet "incident"?

    Begreppet ”incident” definieras i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster som ”en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem”.

  • Vad innebär begreppet "störning"?

    Begreppet ”störning” definieras i MSB:s föreskrifter om rapportering av incidenter för NIS-leverantörer som en konsekvens av en incident som innebär att den samhällsviktiga eller digitala tjänsten inte levereras som normalt.

  • Kan en underleverantör rapportera incidenter för min organisation?

    Ja, det är möjligt att utkontraktera incidentrapporteringen till en annan organisation. Ansvaret för att rapportering sker kvarstår dock hos leverantören av den samhällsviktiga eller digitala tjänsten.

  • Vilken är tillsynsmyndigheten för NIS-regleringen inom min sektor?

    Information om vilka myndigheter som har tillsynsansvar inom respektive NIS-sektor finns på vår webbplats.

  • Kommer min organisation att bli tillsynad om vi skickar in en incidentrapport?

    Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Det innebär inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn i din sektor.

  • När kommer tillsyn av NIS-regleringen att ske?

    Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn. Den första tillsynsåtgärden för tillsynsmyndigheterna är att kontrollera att leverantörer av samhällsviktiga tjänster har anmält sig till relevant tillsynsmyndighet. En underlåtelse att anmäla sig kan medföra en sanktionsavgift.

  • Kommer tillsynen att se likadan ut inom samtliga av NIS-regleringens sektorer?

    MSB arbetar tillsammans med tillsynsmyndigheterna med tillsynssamordning. Syftet är att hitta gemensamma principer för att göra tillsynen inom NIS så likvärdig och effektiv som möjligt. En viktig princip är att tillsynen ska vara ett stöd för leverantören i säkerhetsarbetet. Vissa skillnader kommer dock att förekomma eftersom de olika NIS-sektorerna skiljer sig åt.

  • Undantas min organisation helt från NIS-regleringen om vi har verksamhet som omfattas av säkerhetsskydd?

    Enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster undantas de verksamheter som omfattas av säkerhetsskydd från NIS-regleringen. Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav behöver dock inte betyda att all verksamhet är undantagen från NIS-regleringen.

    Om leverantören även bedriver verksamhet som inte omfattas av säkerhetsskydd är NIS-regleringen tillämplig i de delarna om kraven i MSBFS 2018:7 uppfylls. Begreppet verksamhet ska i detta sammanhang inte likställas med organisation, en och samma leverantör kan bedriva flera olika typer av verksamheter. Viss vägledning kring detta finns i MSB:s vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

  • Finns kopplingar mellan dataskyddsförordningen (GDPR) och NIS-regleringen?

    Nej, GDPR, eller dataskyddförordningen, är ett nytt regelverk för behandling av personuppgifter som började gälla i maj 2018. Ett systematiskt och riskbaserat informationssäkerhetsarbete enligt NIS underlättar dock för organisationer att uppfylla kraven i GDPR.

Senast granskad: 19 mars 2019

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan