Vårt arbete med informationssäkerhet
Energisektorn är identifierat som ett riskområde där brister och sabotage kan få allvarliga konsekvenser. Energimyndigheten är tillsynsmyndighet för energisektorn och NIS-direktivet skyddar samhällsviktig verksamhet.
Säkerhetsincidenter är ett allvarligt hot. Systemen kan bli mål för avsiktligt sabotage i syfte att skada eller orsaka driftavbrott. Den här typen av incidenter kan hindra ekonomisk verksamhet, generera omfattande ekonomiska förluster och skada användarnas förtroende.
Europaparlamentet såg därför ett behov av att höja nivån på säkerheten inom nätverk och informationssystem inom Europeiska Unionen (EU). I juli 2016 antog Europaparlamentet NIS-direktivet, som är en förkortning av Network and Information Security, på svenska Nätverk- och informationssäkerhet.
Ansvar och befogenhet som tillsynsmyndighet
Regeringen har utsett Energimyndigheten som tillsynsmyndighet för energisektorn i Sverige. Energimyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Energimyndigheten har också ett ansvar att informera om, och utbilda i, informationssäkerhet, risk- och kontinuitetshantering.
Som tillsynsmyndighet får Energimyndigheten
- meddela förelägganden för aktörer som inte uppfyller kraven.
- ta ut en sanktionsavgift av den aktör som underlåter att följa lagstiftningen.
Mer om ingripanden och sanktioner finns i lag, förordning och föreskrifterna.
NIS-direktivet i svensk lagstiftning
I svensk lagstiftning är NIS-direktivet omsatt i en lag och en förordning:
- Förordning om informationssäkerhet för samhällsviktiga och digitala tjänster (riksdagen.se)
- Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (riksdagen.se)
Syftet med lagen om informationssäkerhet är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom sektorerna:
- energi
- transport
- bankverksamhet
- finansmarknadsinfrastruktur
- hälso- och sjukvård
- leverans och distribution av dricksvatten
- digital infrastruktur och digitala tjänster
Aktörer som lagen gäller för
I Sverige ansvarar aktörerna inom de utpekade samhällssektorerna själva för att identifiera om de träffas av lagstiftningen eller inte. Lagen gäller både för privat och offentlig sektor.
Lagen gäller för de aktörer som
- Levererar en samhällsviktig tjänst.
- Är etablerade i Sverige.
- Levererar en tjänst som är beroende av nätverk och informationssystem.
- Där en incident i nätverken och informationssystemen skulle kunna medföra betydande störning för tjänsten.
Lagar och förordningar gällande NIS (msb.se)
Säkerhetsskyddslagen styr också informationssäkerhet
Säkerhetsskyddslagen och informationssäkerhetslagen har delvis olika syften.
Syftet med lagen om informationssäkerhet är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom sektorerna, energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur, och digitala tjänster.
Om du bedriver verksamhet som har betydelse för Sveriges säkerhet eller om du bedriver säkerhetskänslig verksamhet kan du omfattas av säkerhetsskyddslagen. Svara på frågorna i självutvärderingen för att se om er verksamhet omfattas av NIS2.
Vanliga frågor och svar
Frågor och svar om informationssäkerhet
