Om NIS-direktivet
NIS-direktivet ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster inom både privat och offentlig sektor. Observera att NIS2-direktivet snart kommer att börja gälla i Sverige. Då ersätts gällande regler.
Information om NIS2
Observera att informationen på denna sida avser incidentrapportering enligt den första NIS-regleringen och under övergångsperioden till NIS2.
För information om NIS2, se separat sida:
NIS står för The Directive on security of network and information systems - the NIS Directive. På svenska heter direktivet ”åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”.
Den svenska NIS-regleringen innebär i korthet:
- krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster.
- Att ett antal myndigheter har tillsynsansvar i enlighet med regleringen.
Samhällsviktiga tjänster som omfattas av NIS-direktivet
Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner. I NIS-regleringen används begreppet ”samhällsviktiga tjänster” vilket har ett snävare fokus än ”samhällsviktig verksamhet”.
Samhällsviktiga tjänster är indelade i sju sektorer:
- Bankverksamhet
- Digital infrastruktur
- Energi
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Transport
Information om vad samhällsviktig verksamhet är
Leverantörer av samhällsviktiga tjänster
Leverantörer av samhällsviktiga tjänster finns i både privat och offentlig verksamhet och definieras som:
- Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig- eller ekonomisk verksamhet inom en av de ovan nämnda sju sektorerna vilka omfattas av NIS-regleringen.
- Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
- En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.
För att avgöra om verksamheten berörs av NIS-regleringen används MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster med tillhörande vägledning.
MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
Digitala tjänster som omfattas av NIS-direktivet
Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definition av digitala tjänster finns i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.
Leverantörer av digitala tjänster
Leverantörer av digitala tjänster finns i både privat och offentlig verksamhet och definieras som:
- De har sitt huvudsakliga etableringsställe i Sverige.
- De har en årsomsättning som överstiger 10 miljoner euro.
- De har 50 eller fler anställda.
För att avgöra om en den digitala tjänsten berörs av NIS-regleringen använd definitionerna i Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, §2 punkt 4-7.
Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
Anmälningsplikt för leverantörer av samhällsviktiga tjänster
Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen. Det finns ingen anmälningsplikt för leverantörer av digitala tjänster.
Mer information om anmälningsplikt:
MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
Tillsynsmyndigheter för NIS-direktivet
Krav på att bedriva ett systematiskt säkerhetsarbete
Leverantörer av samhällsviktiga tjänster
Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ISO 27000-standarden. Kraven för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat i MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8). I föreskrifterna beskrivs hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete.
Som stöd till att uppfylla kraven i NIS-regleringen finns MSB:s metodstöd för systematiskt och riskbaserat informationssäkerhetsarbete. Metodstödet innefattar de steg som krävs för att införa ett systematiskt och riskbaserat arbetssätt med stöd av 27000-standarden om ledningssystem för informationssäkerhet.
Metodstöd för informationssäkerhetsarbete
Krav på incidentrapportering
Leverantörer av samhällsviktiga och digitala tjänster ska rapportera in inträffade incidenter. Detta bidrar till att skapa en samlad bild av incidentläget, göra det möjligt att varna andra samt underlätta eventuella samordnande insatser. Rapporteringen görs till MSB, som vidarebefordrar rapporterna till respektive tillsynsmyndighet.
Kraven på incidentrapportering beskrivs i MSB:s föreskrifter.
Kontakt för frågor om NIS
För allmänna frågor om NIS går det bra att mejla registrator@msb.se
MSB:s roll och ansvar inom NIS-direktivet
MSB har en bred roll kopplat till regleringen som bland annat innefattar föreskriftsrätt, att samordna det nationella arbetet, motta incidentrapporter, och att utgöra kontaktpunkt gentemot andra europeiska medlemsstater.