Till innehåll på sidan

Om NIS-direktivet

NIS-direktivet ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster inom både privat och offentlig sektor. Observera att NIS2-direktivet snart kommer att börja gälla i Sverige. Då ersätts gällande regler.

Information om NIS2

Observera att informationen på denna sida avser incidentrapportering enligt den första NIS-regleringen och under övergångsperioden till NIS2.

För information om NIS2, se separat sida:

Det här är NIS2-direktivet

NIS står för The Directive on security of network and information systems - the NIS Directive. På svenska heter direktivet ”åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”.

Den svenska NIS-regleringen innebär i korthet:

  • krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster.
  • Att ett antal myndigheter har tillsynsansvar i enlighet med regleringen.

Samhällsviktiga tjänster som omfattas av NIS-direktivet

Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner. I NIS-regleringen används begreppet ”samhällsviktiga tjänster” vilket har ett snävare fokus än ”samhällsviktig verksamhet”.

Samhällsviktiga tjänster är indelade i sju sektorer:

  • Bankverksamhet
  • Digital infrastruktur
  • Energi
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Leverans och distribution av dricksvatten
  • Transport

Information om vad samhällsviktig verksamhet är

Leverantörer av samhällsviktiga tjänster

Leverantörer av samhällsviktiga tjänster finns i både privat och offentlig verksamhet och definieras som:

  • Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig- eller ekonomisk verksamhet inom en av de ovan nämnda sju sektorerna vilka omfattas av NIS-regleringen.
  • Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
  • En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För att avgöra om verksamheten berörs av NIS-regleringen används MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster med tillhörande vägledning.

MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster

Digitala tjänster som omfattas av NIS-direktivet

Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definition av digitala tjänster finns i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

Lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster på riksdagens webbplats

Leverantörer av digitala tjänster

Leverantörer av digitala tjänster finns i både privat och offentlig verksamhet och definieras som:

  • De har sitt huvudsakliga etableringsställe i Sverige.
  • De har en årsomsättning som överstiger 10 miljoner euro.
  • De har 50 eller fler anställda.

För att avgöra om en den digitala tjänsten berörs av NIS-regleringen använd definitionerna i Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, §2 punkt 4-7.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

Anmälningsplikt för leverantörer av samhällsviktiga tjänster

Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen. Det finns ingen anmälningsplikt för leverantörer av digitala tjänster.

Mer information om anmälningsplikt:

MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

Tillsynsmyndigheter för NIS-direktivet

Krav på att bedriva ett systematiskt säkerhetsarbete

Leverantörer av samhällsviktiga tjänster

Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ISO 27000-standarden. Kraven för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat i MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8). I föreskrifterna beskrivs hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete.

MSBFS 2018:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster

Som stöd till att uppfylla kraven i NIS-regleringen finns MSB:s metodstöd för systematiskt och riskbaserat informationssäkerhetsarbete. Metodstödet innefattar de steg som krävs för att införa ett systematiskt och riskbaserat arbetssätt med stöd av 27000-standarden om ledningssystem för informationssäkerhet.

Metodstöd för informationssäkerhetsarbete

Krav på incidentrapportering

Leverantörer av samhällsviktiga och digitala tjänster ska rapportera in inträffade incidenter. Detta bidrar till att skapa en samlad bild av incidentläget, göra det möjligt att varna andra samt underlätta eventuella samordnande insatser. Rapporteringen görs till MSB, som vidarebefordrar rapporterna till respektive tillsynsmyndighet.

Vilka incidenter som ska rapporteras in och hur man går tillväga framgår på sidan om incidentrapportering för NIS-leverantörer

Kraven på incidentrapportering beskrivs i MSB:s föreskrifter.

Föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster MSBF 2018:9

Föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av digitala tjänster MSBF 2018:10

Kontakt för frågor om NIS

För allmänna frågor om NIS går det bra att mejla registrator@msb.se

MSB:s roll och ansvar inom NIS-direktivet

MSB har en bred roll kopplat till regleringen som bland annat innefattar föreskriftsrätt, att samordna det nationella arbetet, motta incidentrapporter, och att utgöra kontaktpunkt gentemot andra europeiska medlemsstater.

Publikation: MSB:s roll och ansvar inom NIS

Till toppen av sidan