Leverantör av samhällsviktig tjänst

1. Leverantörer av samhällsviktiga tjänster ska vidta säkerhetsåtgärder, det vill säga;

• bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.
• göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen ska det också ingå en åtgärdsplan.
• vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.
• vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem.

2. Leverantörer av samhällsviktiga tjänster ska incidentrapportera, det vill säga;

• utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller.

3. Leverantörer av samhällsviktiga tjänster ska anmäla sig till tillsynsmyndigheten om de träffas av lagstiftningen.

Mer om kraven finns i lag, förordning och föreskrifterna.

En samhällsviktigt tjänst innebär en verksamhet där en störning eller ett avbrott i leveransen av en tjänst riskerar att medföra, eller med säkerhet kommer att medföra, stora negativa konsekvenser för samhället och dess invånare.

De negativa konsekvenserna kan vara av olika typer, såsom exempelvis människors hälsa, privata eller samhällsekonomiska, eller mer övergripande konsekvenser som minskat förtroende för en verksamhet eller tjänst.

MSBFS 2024:4 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (msb.se)

Incidentrapporteringen sker i IRON (msb.se) Inloggning och autentisering i IRON sker via Bank-ID/Freja eID.

Som leverantör av en samhällsviktig tjänst har din verksamhet, förutom skyldigheten att anmäla verksamheten till Energimyndigheten (från den 1 mars 2019 även att rapportera incidenter till MSB), ytterligare skyldigheter enligt lag om informationssäkerhet för samhällsviktiga och digitala tjänster.

Det är du som leverantörer av den samhällsviktiga tjänsten som har ansvaret att uppfylla kraven i lag , förordningen och föreskrifterna som är kopplade till lagen.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.

MSBFS 2018:7, Myndigheten för samhällsskydd och beredskaps föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

MSBFS 2018:8, Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

Av lagen framgår att du som leverantör av en samhällsviktig tjänst ska:

• bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.
  
  
• göra en riskanalys som ligger till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen.
  
  
• vidta ändamålsenliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.
  
  
• vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna.

I MSB:s föreskrifter 2018:8, om informationssäkerhet för leverantörer av samhällsviktiga tjänster kan du läsa mer om vad sin förväntas av dig och din verksamhet.

I Sverige ansvarar aktörerna inom de utpekade samhällssektorerna själva för att identifiera om de träffas av lagstiftningen eller inte. Lagen gäller både för privat och offentlig sektor.

Lagen gäller för de aktörer som;

• Levererar en samhällsviktig tjänst
• Är etablerade i Sverige
• Levererar en tjänst som är beroende av nätverk och informationssystem
• Där en incident i nätverken och informationssystemen skulle kunna medföra betydande störning för tjänsten.

Mer om hur en aktör identifierar om de träffas och om den levererade tjänsten omfattas, finns i MSB:s föreskrift om anmälan och identifiering av leverantörer av samhällsviktiga tjänster som finns här.

Om det sker förändringar vad gäller kontaktpersoner eller om du och din verksamhet inte längre kan betraktas som leverantör av samhällsviktiga tjänster, måste du så snart som möjligt informera respektive tillsynsmyndighet om detta.

Energimyndighetens behandling av personuppgifter

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. För dessa verksamheter ska rapportering och dokumentation även fortsatt ske enligt säkerhetsskyddslagen och inte enligt den nya lagen.

Men det gäller bara för den specifika verksamheten, andra delar av företaget kan fortfarande träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Generellt kan man säga att om en aktör träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster så går det inte att hävda att man kan ha lägre nivå på säkerheten än lagen om informationssäkerhet för samhällsviktiga och digitala tjänster kräver bara genom att en viss specifik verksamhet träffas av säkerhetsskyddslagstiftningen.

Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.