Informationssäkerhet för NIS-leverantörer
Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ISO 27000-standarden. Även leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuiteten.
Information om NIS2
Observera att informationen på denna sida avser incidentrapportering enligt den första NIS-regleringen och under övergångsperioden till NIS2.
För information om NIS2, se separat sida:
MSB har tagit fram ett metodstöd kring systematiskt informationssäkerhetsarbete som bidrar till att skapa en robust verksamhet, vilket i sin tur kan medföra en större beredskap kring NIS-incidenter. Metodstödet beskriver de delar som krävs för att kunna skapa en systematik i arbetet med informationssäkerhet – från hur analys av verksamheten kan genomföras, till hur styrdokument kan utformas. Metodstödet är tillgängligt för alla, och går att applicera oavsett storlek eller organisationsform.
NIS-regleringen gäller specifikt de nätverks- och informationssystem som den samhällsviktiga eller digitala tjänsten är beroende av, men grunderna i det systematiska och riskbaserade informationssäkerhetsarbetet är detsamma oavsett vilken eller vilka verksamheter som omfattas.
Att arbeta systematiskt innebär att regelbundet analysera verksamhetens krav, att införa ändamålsenliga säkerhetsåtgärder utifrån dessa krav, samt att kontinuerligt följa upp och förbättra skyddet. Med riskbaserat menas att säkerhetsåtgärderna ska vara anpassade till verksamhetens identifierade risker och behov, vilket ger ett ändamålsenligt skydd.
Krav på informationssäkerhet för leverantörer av samhällsviktiga tjänster
Kraven för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat i MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8). I föreskrifterna beskrivs hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete.
Föreskrifterna ger bland annat kunskap, och stöd, om resurser för att identifiera, införa och utvärdera ändamålsenliga och proportionerliga organisatoriska och tekniska säkerhetsåtgärder. En leverantör som arbetar systematiskt och riskbaserat med sitt informationssäkerhetsarbete ska har medarbetare med kunskap om, och resurser för att identifiera, genomföra och utvärdera ändamålsenliga och proportionerliga organisatoriska och tekniska säkerhetsåtgärder i syfte att säkerställa leveransen av den samhällsviktiga tjänsten.
Som stöd till att uppfylla kraven i NIS-regleringen finns MSB:s metodstöd för systematiskt och riskbaserat informationssäkerhetsarbete. Metodstödet innefattar de steg som krävs för att införa ett systematiskt och riskbaserat arbetssätt med stöd av 27000-standarden om ledningssystem för informationssäkerhet.
Om metodstöd för systematiskt informationssäkerhetsarbeteFöreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster MSBFS 2018:8
Krav på informationssäkerhet för leverantörer av digitala tjänster
Även leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker som hotar säkerheten i de nätverk och informationssystem som används för att tillhandahålla tjänsten. Dessa krav beskrivs i EU-kommissionens genomförandeförordning 2018/151.
EU-kommissionens genomförandeförordning (EU) 2018/151 på EUR-Lex webbplats