Säkerhet i nätverk och informationssystem

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster trädde i kraft den 1 augusti 2018. Den nya lagen omfattar bland annat de som levererar samhällsviktiga och digitala tjänster till sjukvården, banker, energi- och transportsektorn. Energimyndigheten är tillsynsmyndighet inom energisektorn.

Lagen bygger på EU-regler, det så kallade NIS-direktivet, och syftet är att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Lagen innebär bland annat att leverantörer inom energisektorn får nya krav när det gäller systematiskt arbete med informationssäkerhet. Bland annat ska incidenter som kan påverka kontinuiteten i tjänsterna rapporteras.

Läs mer om lagen och NIS-direktivet.

Föreskrifter gäller från 1 november

Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter träder i kraft från den 1 november 2018. Energimyndigheten kommer initialt att bedriva tillsynsvägledning. Vi arbetar för att skapa förutsättningar för aktörer på energimarknaden att kunna identifiera sig och anmäla sig som leverantörer av samhällsviktiga tjänster.

Fyra uppfyllda kriterier

För att kunna identifiera din verksamhet som leverantör av en samhällsviktig tjänst, och därmed också lag om informationssäkerhet för samhällsviktiga och digitala tjänster, finns fyra kriterier som måste vara uppfyllda;

  1. Tjänsten som ni levererar måste vara samhällsviktig såsom beskrivs i MSB:s föreskrift 2018:7.
  2. Verksamheten ska vara etablerad i Sverige.
  3. Leveransen av den samhällsviktiga tjänsten är beroende av ett nätverk- och informationssystem
  4. En incident i nätverks- och informationssystemet skulle medföra en störning i leveransen av den samhällsviktiga tjänsten.

Om din verksamhet stämmer in på de fyra grundläggande punkterna omfattas din verksamhet av lag om informationssäkerhet i samhällsviktiga och digitala tjänster.

Skyldighet att anmäla

Om din verksamhet inom energisektorn omfattas av lagen har ni en skyldighet att anmäla er till Energimyndigheten. Vänligen observera att anmälan ska göras tidigast 1 november 2018. Du behöver göra en anmälan per juridisk person i koncernen, som levererar en samhällsviktig tjänst och som träffas av föreskriften. Om du identifierat er verksamhet som leverantör av samhällsviktiga tjänster inom flera olika sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård eller leverans och distribution av dricksvatten), behöver ni skicka in en anmälan till varje tillsynsmyndighet.

Kontaktuppgifter till MSB och övriga tillsynsmyndigheter.

Energimyndigheten har en skyldighet att informera Myndigheten för samhällsskydd och beredskap (MSB) om vilka aktörer som har anmält sin verksamhet som leverantör av en samhällsviktig tjänst till Energimyndigheten. Vissa uppgifter kommer att överföras till MSB, som har ansvaret inför EU, för att sammanställas och årligen rapporteras till EU.

Om incidentrapportering.

Om anmälan.

Ytterligare skyldigheter för leverantörer av samhällsviktiga tjänster

Som leverantör av en samhällsviktig tjänst har din verksamhet, förutom skyldigheten att anmäla verksamheten till Energimyndigheten (från den 1 mars 2019 även att rapportera incidenter till MSB), ytterligare skyldigheter enligt lag om informationssäkerhet för samhällsviktiga och digitala tjänster.

Det är du som leverantörer av den samhällsviktiga tjänsten som har ansvaret att uppfylla kraven i lag , förordningen och föreskrifterna som är kopplade till lagen.


Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.

MSBFS 2018:7, Myndigheten för samhällsskydd och beredskaps föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

MSBFS 2018:8, Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

Av lagen framgår att du som leverantör av en samhällsviktig tjänst ska:

  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.

  • göra en riskanalys som ligger till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen.

  • vidta ändamålsenliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

  • vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna.

I MSB:s föreskrifter 2018:8, om informationssäkerhet för leverantörer av samhällsviktiga tjänster kan du läsa mer om vad sin förväntas av dig och din verksamhet.

Personuppgifter

Om det sker förändringar vad gäller kontaktpersoner eller om du och din verksamhet inte längre kan betraktas som leverantör av samhällsviktiga tjänster, måste du så snart som möjligt informera respektive tillsynsmyndighet om detta.

Vid anmälan behandlas personuppgifter i syfte att förbereda incidentrapportering till MSB. Tillsynsmyndigheterna överför namn, e-postadress och mobiltelefonnummer till MSB i syfte att skapa ett personligt incidentrapporteringskonto som krävs för att rapportera incidenter enligt MSB:s föreskrifter för incidentrapportering.

Såhär hanterar Energimyndigheten dina personuppgifter.