NIS2
Solpanelsfrågan - fastighetsbolag (eller annan verksamhet som inte omfattas av någon sektor i NIS2 bilagorna) som har solpaneler (fastighetsbolag har ex. vissa lagkrav på detta), omfattas dessa?
Direktivtexten i NIS2 har den innebörden att även bolag vars huvudsakliga verksamhet är inom andra sektorer än de som räknas upp i direktivet och som (1) uppfyller storlekskravet samt (2) producerar el via en solpanel (ex. för eget bruk) kommer att omfattas.
Avsikten i NIS2 tycks dock i första hand vara att omfatta verksamhetsutövare vars huvudsakliga verksamhet är elproduktion och att slutkunder bör undantas. Det uppstår dock en problematik eftersom direktivtexten måste implementeras i lag och vi vet inte exakt hur det kommer lösas ännu. Energimyndigheten har bemött denna problematik i vårt remissvar under Övriga synpunkter. (I icke offentliga MS Q&A har KOM tolkat/besvarat denna fråga på detta sätt, de har i möten uttryckt att det dock krävs en långsiktig lösning i framtiden, ex. ändring av direktivet.)
Omfattas vi som leverantör till följd av kravet om säkerhet i leveranskedjan?
Kravet om säkerhet i leveranskedjan innebär krav att en verksamhetsutövare ska analysera och vidta riskhanteringsåtgärder avseende säkerhetsaspekter som rör sina förbindelser med direkta leverantörer/tjänsteleverantörer. Det vill säga att dessa leverantörer/tjänsteleverantörer omfattas inte direkt av lagen men att verksamhetsutövaren som omfattas ska analysera risker med förbindelsen och ställa vissa krav på leverantören så att den kan uppfylla sina skyldigheter enligt NIS2. Utredningens föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om riskhanteringsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.
Vad innebär säkerhet i nätverk och informationssystem?
EU:s NIS direktiv och vår lagstiftning tar ett helhetsperspektiv till informationssäkerhet, och i arbetet ska man ta hänsyn till antagonistiska aktörer, tekniska fel, den mänskliga faktorn och naturfenomen. Alla risker och händelser som påverkar tillgänglighet, autenticitet eller riktighet i information, informationstillgångar och tjänster ska hanteras.
Vad omfattas av delsektorn fjärrvärme – både distribution eller/och producent?
Fjärrvärme definieras enligt direktivet som “Operatörer av fjärrvärme eller fjärrkyla enligt definitionen i artikel 2.19 i Europaparlamentets och rådets direktiv (EU) 2018/2001”. Definitionen i det hänvisade direktivet är i sin tur: “fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer.”
Cyberhot vs incidenter vs tillbud?
Cyberhot definieras som en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer. En incident definieras som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.
Tillbud definieras som en händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverksoch informationssystem, men som framgångsrikt hindrades från att utvecklas eller som inte uppstod.
Vad är NIS-direktivet?
Europaparlamentet och rådet antog 2016 ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det så kallade NIS-direktivet.
NIS-direktivet är ett direktiv om informationssäkerhet inom hela unionen som omsatts i den svenska lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Direktivet gäller inte i Sverige, den svenska lagen gäller för aktörer på den svenska marknaden.
