Frågor och svar om NIS

Här nedan finner du svar på några vanliga frågor kring lagen om informationssäkerhet, den såkallade NIS-lagen. Saknas din fråga eller vill veta mer är du välkommen att kontakta oss.

Vad är NIS-direktivet?

Europaparlamentet och rådet antog 2016 ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det så kallade NIS-direktivet.

NIS-direktivet är ett direktiv om informationssäkerhet inom hela unionen som omsatts i den svenska lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Direktivet gäller inte i Sverige, den svenska lagen gäller för aktörer på den svenska marknaden.

Varför har EU beslutat om NIS-direktivet?

Nätverk och informationssystem spelar en allt viktigare roll i samhället. Digital tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och den inre marknadens funktion.

EU vill med direktivet höja säkerheten i nätverk och informationssystem i hela unionen, särskilt för de samhällsviktiga sektorerna. Digitaliseringen har gått fortare än säkerhetsarbetet och utvecklingen riskerar att förvärra problemet om inte hela unionen tar ett samlat grepp på informationssäkerheten. Samhällets ökande beroende av nätverk och digitala tjänster har ökat sårbarheten för de mest samhällsviktiga tjänsterna. EU anser att den inre marknadens funktion kan hotas av en bristfällig informationssäkerhet.

Vad är syftet med den svenska NIS-lagen?

Syftet med lagen om informationssäkerhet är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom sektorerna, energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur, och digitala tjänster.

Vilka träffas av den nya lagen inom energisektorn?

I Sverige ansvarar aktörerna inom de utpekade samhällssektorerna själva för att identifiera om de träffas av lagstiftningen eller inte. Lagen gäller både för privat och offentlig sektor.

Lagen gäller för de aktörer som;

  • Levererar en samhällsviktig tjänst
  • Är etablerade i Sverige
  • Levererar en tjänst som är beroende av nätverk och informationssystem
  • Där en incident i nätverken och informationssystemen skulle kunna medföra betydande störning för tjänsten.

Mer om hur en aktör identifierar om de träffas och om den levererade tjänsten omfattas, återfinns främst i föreskrifterna som MSB publicerar under hösten 2018.

När trädde lagen i kraft?

Lagen trädde i kraft 1 augusti 2018.

Dock så finns ännu inte föreskrifterna för lagstiftningen, vilket gör att kraven på leverantörerna av samhällsviktiga tjänster ännu i praktiken inte går att leva upp till. Föreskrifterna väntas bli klara sent under hösten 2018.

Vad innebär säkerhet i nätverk och informationssystem?

Säkerhet i nätverk och informationssystem definieras i lagen som; nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem.

Vad är en samhällsviktig tjänst?

En samhällsviktigt tjänst innebär en verksamhet där en störning eller ett avbrott i leveransen av en tjänst riskerar att medföra, eller med säkerhet kommer att medföra, stora negativa konsekvenser för samhället och dess invånare.

De negativa konsekvenserna kan vara av olika typer, såsom exempelvis människors hälsa, privata eller samhällsekonomiska, eller mer övergripande konsekvenser som minskat förtroende för en verksamhet eller tjänst.

I föreskrift 2018:7 från Myndigheten för samhällsskydd och beredskap (MSB) anges vilka tjänster som bedöms som samhällsviktiga. I MSB:s föreskrift 2018:8 kan du läsa mer om hur arbetet med informationssäkerhet ska bedrivas.

Läs mer på MSB:s webbplats om kraven i föreskrifterna om anmälan och identifiering.

Ska jag anmäla mitt företag som leverantör av samhällsviktig tjänst redan nu?

Vi vill gärna att ni avvaktar med er anmälan till efter den 1 november 2018. Detta på grund av att det har blivit flertalet förändringar i föreskrifterna sedan Myndigheten för samhällsskydd och beredskap (MSB) publicerade de första förslagen på föreskrifter på MSB:s hemsida.

Förändringarna påverkar vilka verksamheter som kommer att omfattas av definitionen "leverantör av samhällsviktig tjänst". MSB förväntas bli klara tidigast den 1 november 2018. Energimyndigheten kommer att gå ut med mer information och instruktioner på hur anmälan ska göras till Energimyndigheten, efter det att MSB har tagit beslut om föreskrifterna.

Gäller lagen om informationssäkerhet för samhällsviktiga och digitala tjänster för ett företag som redan idag träffas av säkerhetsskyddslagen?

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. För dessa verksamheter ska rapportering och dokumentation även fortsatt ske enligt säkerhetsskyddslagen och inte enligt den nya lagen.

Men det gäller bara för den specifika verksamheten, andra delar av företaget kan fortfarande träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Generellt kan man säga att om en aktör träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster så går det inte att hävda att man kan ha lägre nivå på säkerheten än lagen om informationssäkerhet för samhällsviktiga och digitala tjänster kräver bara genom att en viss specifik verksamhet träffas av säkerhetsskyddslagstiftningen.

Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Vilka skyldigheter har jag då som leverantör av samhällsviktig tjänst?

1. Leverantörer av samhällsviktiga tjänster ska vidta säkerhetsåtgärder, det vill säga;

  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.
  • göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen ska det också ingå en åtgärdsplan.
  • vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.
  • vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem.

2. Leverantörer av samhällsviktiga tjänster ska incidentrapportera, det vill säga;

  • utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller.

3. Leverantörer av samhällsviktiga tjänster ska anmäla sig till tillsynsmyndigheten om de träffas av lagstiftningen.

Mer om kraven finns i lag, förordning och föreskrifterna.

Vad kan en incident som har betydande inverkan på kontinuiteten vara?

Om det inträffar en incident, exempelvis ett bortfall eller en störning, i de nätverk och informationssystem som aktören är beroende av för att kunna leverera tjänsten, så ska incidenten rapporteras om konsekvenserna av incidenten kan anses betydande för leveransen av tjänsten. Just betydande innebär att det blir en störning som påverkar säkerheten för kontinuiteten i leveransen, så att det är risk för att tjänsten inte kan levereras i den omfattning som förväntas kunder, i tid, kvalité eller omfattning, så är rimligen omfattningen på konsekvensen att anse som betydande.

Mer om kraven för respektive samhällssektor och energislag finns i föreskrifterna.

Vem ska utöva tillsyn över energisektorn i Sverige?

Regeringen har utsett Energimyndigheten som tillsynsmyndighet för energisektorn i Sverige.

Vilket ansvar har tillsynsmyndigheten?

Energimyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Energimyndigheten har också ett ansvar att informera om, och utbilda i, informationssäkerhet, risk- och kontinuitetshantering.

Vilken befogenhet har tillsynsmyndigheten?

Energimyndigheten;

  • får meddela förelägganden för aktörer som inte uppfyller kraven
  • ska ta ut en sanktionsavgift av den aktör som underlåter att följa lagstiftningen

Mer om ingripanden och sanktioner finns i lag, förordning och föreskrifterna.

Vad innebär ett åtgärdsföreläggande?

Om Energimyndigheten anser att en aktör inte lever upp till kraven i lagstiftningen, så får Energimyndigheten meddela de myndighetsorder som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering och enligt föreskrifter. Ett sådant föreläggande får förenas med vite.

När kan ett företag få en sanktionsavgift?

Energimyndigheten ska ta ut en sanktionsavgift av den aktör som underlåter att;

  • göra en anmälan till tillsynsmyndigheten om att man träffas av lagstiftningen
  • vidta säkerhetsåtgärder
  • rapportera incidenter

Mer om anmälan, säkerhetsåtgärder och rapportering finns i detalj i föreskrifterna som ges ut under hösten 2018 av MSB.

Vad är en sanktionsavgift?

En sanktionsavgift är en avgift, en ekonomisk sanktion, som åläggs en fysisk eller juridisk person på grund av ett rättsstridigt beteende, medan till exempel böter är ett straff man döms till i domstol. Det är antingen tillsynsmyndigheten eller en domstol som beslutar om sanktionsavgift.

Kan man som aktör överklaga ett beslut från Energimyndigheten?

Tillsynsmyndighetens beslut får överklagas till allmän förvaltningsdomstol.