Till innehåll på sidan

NIS-direktivet

NIS-direktivet ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.

MSB har en bred roll kopplat till regleringen som bland annat innefattar föreskriftsrätt, att samordna det nationella arbetet,  motta incidentrapporter, och att utgöra kontaktpunkt gentemot andra europeiska medlemsstater.

Samhällsviktiga tjänster som omfattas av NIS-direktivet

Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

  • Bankverksamhet
  • Digital infrastruktur
  • Energi
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Leverans och distrubution av dricksvatten
  • Transport

Det är verksamheten själv som ansvarar för att identifiera sig som en samhällsviktig tjänst under NIS, och att anmäla in detta till respektive tillsynsmyndighet. Stöd för att identifiera samhällsviktiga tjänster i Sverige inom respektive sektor finns i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

MSBFS 2018:7 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster

Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definitioner av digitala tjänster hittar du i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns på Riksdagens webbplats

Leverantörer i både privat-och offentlig sektor

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

För leverantörer av samhällsviktiga tjänster gäller:

  • De tillhandahåller en tjänst inom en av de ovan nämnda sju sektorerna som är viktig för att upprätthålla kritisk samhällelig- eller ekonomisk verksamhet.
  • Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
  • En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För leverantörer av digitala tjänster gäller:

  • De har sitt huvudsakliga etableringsställe i Sverige.
  • De har en årsomsättning som överstiger 10 miljoner euro.
  • De har 50 eller fler anställda.

 

Samhällsviktig verksamhet

Samhällsviktiga tjänster enligt NIS baseras på EU direktivet om nät- och informationssäkerhet. Begreppet samhällsviktiga tjänster har därför ett snävare fokus än samhällsviktig verksamhet.

Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner.

Läs mer om vad som ingår i samhällsviktig verksamhet

Anmälningsplikt för leverantörer av samhällsviktiga tjänster

Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen.

 

Tillsynsmyndigheterna

Om du har frågor om NIS-regleringen som rör en specifik sektor är du välkommen att kontakta relevant tillsynsmyndighet.

Bankverksamhet samt finansmarknadsinfrastruktur

Finansinspektionen
https://fi.se/nis

Hälso- och sjukvård

Inspektionen för vård och omsorg
https://www.ivo.se/for-yrkesverksamma/informationssakerhet/

Leverans och distribution av dricksvatten

Livsmedelsverket
https://www.livsmedelsverket.se/nis

Digital infrastruktur samt digitala tjänster

Post- och telestyrelsen
https://pts.se/nis

Kontakt

Du är välkommen att skicka allmänna frågor om NIS-regleringen och MSB:s NIS-föreskrifter till oss via e-post på registrator@msb.se.

Kunskapshöjande NIS-konferens

Konferensen syftar till att höja medvetenheten om NIS-direktivet samt att bidra till ett större kunskapsutbyte mellan MSB, tillsynsmyndigheterna och NIS-leverantörerna.

Anmälan och information om NIS-konferens

Frågor och svar

Frågor och svar om NIS-regleringen

  • Kan MSB eller tillsynsmyndigheterna ge slutgiltigt besked om min organisation berörs av NIS-regleringen?

    Om en organisation eller företag inte accepterar att de omfattas en NIS-reglering har tillsynsmyndigheten möjlighet att fatta det slutgiltiga beskedet.

  • Till vilken myndighet anmäler jag min organisation som leverantör av samhällsviktiga tjänster?

    Anmälan skickas till den myndighet som är har tillsynsansvar för den NIS-sektor som ni levererar tjänsten inom. Om ni bedriver verksamhet som hör till flera olika samhällsviktiga tjänster så kan ni behöva anmäla er till mer än en NIS-tillsynsmyndighet.

  • Vilka krav ställer NIS-regleringen på en organisation som är leverantör av samhällsviktiga eller digitala tjänster?

    Kraven i NIS-regleringen skiljer sig något för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

    Leverantörer av samhällsviktiga tjänster har en skyldighet att:

    • anmäla sig till tillsynsmyndigheten att de berörs av NIS-regleringen
    • arbeta systematiskt och riskbaserat med informationssäkerhet inklusive vidta säkerhetsåtgärder
    • rapportera incidenter till MSB

    Leverantörer av digitala tjänster ska:

    • vidta säkerhetsåtgärder för att hantera risker som hotar säkerheten i de nätverk och system som används för att tillhandahålla tjänsten
    • rapportera incidenter till MSB.

    Båda typerna av leverantörer är föremål för tillsyn.

  • Måste jag anmäla mig till olika tillsynsmyndigheter om min organisation är leverantör av samhällsviktiga tjänster inom flera sektorer?

    Ja, om din organisation är leverantör av samhällsviktiga tjänster inom flera NIS-sektorer, skickar du en anmälan per sektor till ansvarig tillsynsmyndighet.

  • Varför berörs bara vissa samhällsviktiga verksamheter av NIS-regleringen?

    Den svenska regleringen omfattar samma sektorer som det europeiska NIS-direktivet. Det innebär att vissa samhällsviktiga verksamheter inte omfattas av NIS-regleringen. I vissa andra medlemsstater har man valt att utvidga den nationella NIS-regleringen till fler sektorer.

  • Vad innebär kravet på systematiskt och riskbaserat informationssäkerhetsarbete för leverantörer av samhällsviktiga tjänster, och vilket stöd kan jag få i det arbetet?

    I föreskrifterna om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8) beskrivs mer detaljerat hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete.

    En leverantör som arbetar systematiskt och riskbaserat med sitt informationssäkerhetsarbete har medarbetare med kunskap om, och resurser för att identifiera, genomföra och utvärdera ändamålsenliga och proportionerliga organisatoriska och tekniska säkerhetsåtgärder för att säkerställa leveransen av den samhällsviktiga tjänsten.

    MSB erbjuder metodstöd för att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete enligt ISO 27 000-standarden Ledningssystem för informationssäkerhet. Dessutom finns en rad olika vägledningar att hämta på webbplatsen informationssäkerhet.se.

  • Kommer min organisation att bli tillsynad om vi skickar in en incidentrapport?

    Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Det innebär inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn i din sektor.

  • Vad är en tillsyn och hur går en tillsyn till?

    MSB arbetar tillsammans med tillsynsmyndigheterna med tillsynssamordning. Syftet är att identifiera och samlas kring gemensamma principer för att göra tillsynen inom NIS så likvärdig och effektiv som möjligt. En viktig princip är att tillsynen ska vara ett stöd för leverantören i säkerhetsarbetet. Vissa skillnader kommer dock att förekomma eftersom de olika NIS-sektorerna skiljer sig åt.

    Information som framkommer vid incidentrapportering är ett viktigt underlag i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn i din sektor.

    Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur de planerar att utföra tillsyn.

  • Undantas min organisation helt från NIS-regleringen om vi har verksamhet som omfattas av säkerhetsskydd?

    Enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster undantas de verksamheter som omfattas av säkerhetsskydd från NIS-regleringen. Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav behöver dock inte betyda att all verksamhet är undantagen från NIS-regleringen.

    Om leverantören även bedriver verksamhet som inte omfattas av säkerhetsskydd är NIS-regleringen tillämplig i de delarna om kraven i MSBFS 2018:7 uppfylls. Begreppet verksamhet ska i detta sammanhang inte likställas med organisation, en och samma leverantör kan bedriva flera olika typer av verksamheter. Viss vägledning kring detta finns i MSB:s vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

  • Hur går incidentrapporteringen till?



    MSB utvecklar för närvarande ett system för incidentrapportering.
    Leverantörer av samhällsviktiga tjänster skickar in uppgifter som krävs för incidentrapporteringskonto i samband med anmälan. Leverantörer av digitala tjänster ansöker om konto direkt hos MSB i enlighet med krav i föreskrifterna om incidentrapportering (MSBFS 2018:10).
    Det är möjligt att utkontraktera incidentrapporteringen till en annan organisation. Ansvaret för att rapportering sker kvarstår dock hos leverantören av den samhällsviktiga eller digitala tjänsten.

    Incidentrapporterna tas emot av funktionen CERT-SE hos MSB som utan dröjsmål ska tillgängliggöra informationen i incidentrapporter för relevant tillsynsmyndighet, samt även för Socialstyrelsen gällande incidenter inom sektorn hälso- och sjukvård.

    Det är centralt för MSB att den information som lämnas in och genereras i samband med rapportering av en incident ges ett kvalificerat skydd. MSB:s hantering av information styrs av reglerna om offentlighet och sekretess, vilket regleras i offentlighets- och sekretesslagen (2009:400), OSL. MSB gör en prövning av sekretessen då en uppgift begärs utlämnad och om uppgiften bedöms omfattas av sekretess får den inte lämnas ut.

Senast granskad: 8 december 2020

Till toppen av sidan