NIS-regleringen och säkerhetsskyddslagen
I text och illustrationer beskriver vi hur NIS1 och säkerhetsskyddslagen förhåller sig till varandra. Använd gärna som stöd när ni resonerar kring gränsdragningen mellan regleringarna i er organisation. Observera att vi ännu inte vet hur gränsdragningen mot NIS2 kommer att se ut.
Information om NIS2
Observera att informationen på denna sida avser den första NIS-regleringen. För information om NIS2, se separat sida:
NIS-regleringen gäller sådana nätverk och informationssystem som en samhällsviktig tjänst är beroende av. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet.
Många organisationer kan beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-regleringen.
Stödet är framtaget av MSB i samarbete med tillsynsmyndigheterna för
NIS-regleringen samt Säkerhetspolisen.
Delar av organisationen som kan omfattas
NIS-regleringen respektive säkerhetsskyddslagen gäller för verksamhet som uppfyller vissa kriterier, inte nödvändigtvis för hela organisationen.
NIS-regleringen ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet.
Illustration av gränsdragningar
Vi presenterar i text och enklare illustrationer fyra olika exempel på gränsdragning när det kommer till NIS- och säkerhetsskyddslagstiftningen.
Exempel A: Organisationen berörs enbart av NIS
Organisationen har inte verksamhet eller behandlar information som faller inom ramen för säkerhetsskydd och berörs inte av säkerhetsskyddslagen.
Organisationen levererar samhällsviktiga eller digitala tjänster och omfattas således av NIS-regleringen. Kraven i NIS-regleringen gäller för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.
Exempel B: Nätverk och informationssystem berörs endast av NIS
Om verksamheten kan beröras av både NIS och säkerhetsskyddslagen så behöver du undersöka vilka delar som omfattas av vad. NIS omfattar specifikt nätverk och informationssystem. Säkerhetsskyddslagen kan beröra dessa och/eller andra delar av verksamheten.
Exemplet visar ett scenario där organisationen berörs av både NIS-regleringen och säkerhetsskyddslagen. De nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av berör inte Sveriges säkerhet, alltså faller de under NIS-regleringen. Säkerhetsskyddslagen gäller för andra delar av verksamheten.
Exempel C: Båda regleringarna berör nätverk och informationssystem, men i olika delar
Stämmer både NIS-regleringens och säkerhetsskyddslagens kriterier in på de nätverk och informationssystem som leveransen av den samhällsviktiga tjänsten är beroende av? Då blir nästa fråga om de överlappar, helt eller delvis.
Exemplet visar ett scenario där regleringarna inte helt och hållet träffar samma nätverk och informationssystem. Regleringarna gäller parallellt för olika delar av de nätverk och informationssystem som den samhällsviktiga eller digitala tjänsten är beroende av:
- Delar som omfattas av säkerhetsskyddslagen är undantagna från NIS-regleringen.
- NIS-regleringen gäller för delar som inte omfattas av säkerhetsskyddslagen.
I denna situation uppstår ofta mer detaljerade gränsdragningsfrågor som behöver analyseras och bedömas ytterligare.
Exempel D: Endast säkerhetsskyddslagen
Om alla nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av omfattas av säkerhetsskyddslagen, så undantas des helt från NIS-regleringen.
Kriterier för NIS-regleringen respektive säkerhetsskyddslagen
NIS-reglering
För att avgöra om en verksamhet berörs av NIS-regleringen används MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster med tillhörande vägledning.
MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
För digitala tjänster
Använd definitionerna i Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, §2 punkt 4-7.
Säkerhetsskyddslagen
För att avgöra om en verksamhet berörs av säkerhetsskyddslagen använder du Säkerhetspolisens föreskrifter och vägledning.