Frågor och svar om NIS-regleringen
Vanliga frågor och svar om vad NIS är och kraven i NIS-direktivet.
Frågor och svar om NIS2
-
Vad innebär NIS2-direktivet?
EU ställer krav på medlemsstaterna att höja den gemensamma cybersäkerhetsnivå och höja motståndskraften i samhällsviktig verksamhet. Regleringen säkerställer att viktiga samhällsfunktioner fortsätter att fungera i alla lägen.
Enkelt uttryckt sker detta genom att ställa krav på organisationer som ansvarar för viktiga samhällsfunktioner: de ska ha ett systematiskt informationssäkerhetsarbete och lämpliga riskhanteringsåtgärder, de ska också rapportera in betydande incidenter till tillsynsmyndigheterna.
Jämfört med det befintliga NIS-direktivet så skärps kraven på de organisationer som omfattas. Dessa blir också betydligt fler, då befintliga sektorer får nya kriterier och flera nya sektorer tillkommer. -
Hur vet man om verksamheten omfattas av NIS2-direktivet?
Offentlig förvaltning: Utredningen (SOU 2024:18) slår fast att statliga myndigheter och regioner omfattas, och föreslår att detta också ska gälla alla kommuner.
Oavsett reglering finns ett stort behov av att arbeta systematiskt med informationssäkerhet, särskilt i verksamheter som är viktiga för samhällets funktion.Övriga: Exakta kriterier för vad som gäller i Sverige kommer när lag och föreskrifter är klara, men det går att få en god bild genom att läsa artikel 3 samt bilaga 1 och 2 i direktivet.
Artikel 3 i direktivet på EU:s webbplats
-
Hur kan man förbereda sin verksamhet?
Om verksamheten redan omfattas av NIS i någon del, så fortsätt utveckla arbetet där och titta på hur ni kan dra nytta av det i andra delar av organisationen.
Om verksamheten inte omfattas av NIS idag:
- Offentlig förvaltning: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, ni kan med fördel utgå ifrån nuvarande föreskrifter för statliga myndigheter:
- 2020:6 om Informationssäkerhet, och
- 2020:7 om säkerhetsåtgärder.
- Övriga organisationer: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, ni kan med fördel utgå ifrån nuvarande NIS-reglering:
- 2018:8 om informationssäkerhet, och
- 2018:9 om incidentrapportering.
- Offentlig förvaltning: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, ni kan med fördel utgå ifrån nuvarande föreskrifter för statliga myndigheter:
-
När vet vi vad som gäller?
• EU-direktivet NIS2 beslutades i december 2022. Där framgår det gemensamt överenskomna regelverket för alla medlemsländer. Samtidigt fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER.
• En särskild utredare har i ett delbetänkande föreslagit hur regleringen ska utformas. Utredningen lämnade sin delrapport om NIS2 i mars 2024, med en remissperiod fram till 28 maj. Slutrapport lämnades den 16 september 2024.
• Utredningen och remissvaren ligger till grund för regeringens förslag till ny lag och förordning som väntas under våren 2025.
• När lagen och förordningen trätt i kraft kan de myndigheter som fått mandat att utfärda föreskrifter göra det.
-
Vad har ledningen för ansvar enligt NIS2?
Ledningen ska genomgå utbildning om riskhanteringsåtgärder. Än så länge finns inga närmare detaljer om det här kravet, de kommer att meddelas i föreskrifter. (SOU 2024:18 s. 198)
Enligt direktivet ska ledningen godkänna de riskhanteringsåtgärder som vidtas och övervaka genomförandet av dem. Enligt den svenska utredningens bedömning ingår detta i ledningens normala ansvar för verksamheten och behöver inte regleras särskilt. (SOU 2024:18 s. 197)
Enligt direktivet, och den svenska utredningens förslag, ska ledningen också kunna ställas till svars för överträdelser när det gäller verksamhetsutövarens riskhanteringsåtgärder. I särskilda fall föreslås tillsynsmyndigheterna kunna ingripa genom att ansöka om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare. Ett sådant förbud får inte riktas mot offentliga verksamhetsutövare. (SOU 2024:18 s. 47)Vem är ledningen enligt NIS2?
Kravet på utbildning omfattar ledningsorganet. Enligt den svenska utredningen avses
- för aktiebolag, styrelse och vd,
- för statliga myndigheter, generaldirektören och de anställda som utövar ledningsfunktioner,
- för regioner och kommuner, regions- eller kommunstyrelse.
(SOU 2024:18 s. 374)
Frågor och svar om den nuvarande NIS-regleringen
-
Vilka krav ställer NIS-regleringen på en organisation som är leverantör av samhällsviktiga eller digitala tjänster?
Kraven i NIS-regleringen skiljer sig något för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.
Leverantörer av samhällsviktiga tjänster har en skyldighet att:
- anmäla sig till tillsynsmyndigheten att de berörs av NIS-regleringen
- arbeta systematiskt och riskbaserat med informationssäkerhet inklusive vidta säkerhetsåtgärder
- rapportera incidenter till MSB
Leverantörer av digitala tjänster ska:
- vidta åtgärder för att hantera risker som hotar säkerheten i de nätverk och system som används för att tillhandahålla tjänsten
- rapportera incidenter till MSB.
Båda typerna av leverantörer är föremål för tillsyn.
-
Måste vi anmäla in vår verksamhet till olika tillsynsmyndigheter om organisationen är leverantör av samhällsviktiga tjänster inom flera sektorer?
Ja, om organisationen är leverantör av samhällsviktiga tjänster inom flera NIS-sektorer, ska en anmälan skickas per sektor till ansvarig tillsynsmyndighet.
-
Varför berörs bara vissa samhällsviktiga verksamheter av NIS-regleringen?
Den svenska NIS-regleringen omfattar samma sektorer som det europeiska NIS-direktivet. Vissa andra medlemsstater har valt att utvidga den nationella NIS-regleringen till flera sektorer.
-
Kommer min organisation att bli tillsynad om vi skickar in en incidentrapport?
Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna ansvarig tillsynsmyndighet för att få mer information gällande planerad tillsyn inom den specifika sektorn.
-
Vad är en tillsyn och hur går en tillsyn till?
MSB arbetar tillsammans med tillsynsmyndigheterna med tillsynssamordning. Syftet är att identifiera och samlas kring gemensamma principer för att göra tillsynen inom NIS så likvärdig och effektiv som möjligt. En viktig princip är att tillsynen ska vara ett stöd för leverantören i säkerhetsarbetet. Vissa skillnader kommer dock att förekomma eftersom de olika NIS-sektorerna skiljer sig åt.
Information som framkommer vid incidentrapportering är ett viktigt underlag i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur man planerar att utföra tillsyn i din sektor.
Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur de planerar att utföra tillsyn. -
Undantas vår organisation helt från NIS-regleringen om verksamheten omfattas av säkerhetsskydd?
Enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster undantas de verksamheter som omfattas av säkerhetsskydd från NIS-regleringen.
Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav behöver dock inte betyda att all verksamhet är undantagen från NIS-regleringen.Om leverantören även bedriver verksamhet som inte omfattas av säkerhetsskydd är NIS-regleringen tillämplig i de delarna där kraven i MSBFS 2018:7 uppfylls. Begreppet verksamhet ska i detta sammanhang inte likställas med organisation, då en och samma leverantör kan bedriva flera olika typer av verksamheter.
Viss vägledning kring detta finns i MSB:s vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.
Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster
Säkerhetspolisens Vägledning i säkerhetsskydd -
Vad innebär den revidering av NIS-direktivet som EU-kommissionen nu genomför för vår organisation?
EU kommissionen har under 2020 arbetat fram ett nytt förslag på NIS-direktivet. Detta förslag innehåller flera förändringar, bland annat föreslås flertalet nya sektorer att omfattas av NIS, samt ett nytt tillvägagångssätt för att identifiera leverantörer. Förslaget presenterades i december 2020.
Nu arbetas det med förslaget i varje medlemsstat, och det behandlas även av både Europaparlamentet och ministerrådet. Efter den bearbetning och förhandling som nu sker är det Europaparlamentet som beslutar om förslaget.
I och med att revideringen av NIS-direktivet fortfarande pågår, och att det inte är klarlagt vad det nya direktivet till slut kommer innefatta, går det inte i dagsläget att fastställa hur detta kommer påverka specifika organisationer.Kommissionens nya förlag rörande cybersäkerhet (på engelska)