Frågor och svar om NIS

Här nedan finner du svar på några vanliga frågor kring lagen om informationssäkerhet. Saknas din fråga eller vill du veta mer är du välkommen att kontakta oss via e-post: nisti...@energimyndigheten.se

+

Vad är NIS-direktivet?

Europaparlamentet och rådet antog 2016 ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det så kallade NIS-direktivet.

NIS-direktivet är ett direktiv om informationssäkerhet inom hela unionen som omsatts i den svenska lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Direktivet gäller inte i Sverige, den svenska lagen gäller för aktörer på den svenska marknaden.

+

Varför har EU beslutat om NIS-direktivet?

Nätverk och informationssystem spelar en allt viktigare roll i samhället. Digital tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och den inre marknadens funktion.

EU vill med direktivet höja säkerheten i nätverk och informationssystem i hela unionen, särskilt för de samhällsviktiga sektorerna. Digitaliseringen har gått fortare än säkerhetsarbetet och utvecklingen riskerar att förvärra problemet om inte hela unionen tar ett samlat grepp på informationssäkerheten. Samhällets ökande beroende av nätverk och digitala tjänster har ökat sårbarheten för de mest samhällsviktiga tjänsterna. EU anser att den inre marknadens funktion kan hotas av en bristfällig informationssäkerhet.

+

Vad är syftet med lagen om informationssäkerhet?

Syftet med lagen om informationssäkerhet är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom sektorerna, energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur, och digitala tjänster.

+

Vilka träffas av den nya lagen inom energisektorn?

I Sverige ansvarar aktörerna inom de utpekade samhällssektorerna själva för att identifiera om de träffas av lagstiftningen eller inte. Lagen gäller både för privat och offentlig sektor.

Lagen gäller för de aktörer som;

  • Levererar en samhällsviktig tjänst
  • Är etablerade i Sverige
  • Levererar en tjänst som är beroende av nätverk och informationssystem
  • Där en incident i nätverken och informationssystemen skulle kunna medföra betydande störning för tjänsten.

Mer om hur en aktör identifierar om de träffas och om den levererade tjänsten omfattas, finns i MSB:s föreskrift om anmälan och identifiering av leverantörer av samhällsviktiga tjänster som finns här.

+

När trädde lagen i kraft?

Lagen trädde i kraft 1 augusti 2018.

+

Vad innebär säkerhet i nätverk och informationssystem?

EU:s NIS direktiv och vår lagstiftning tar ett helhetsperspektiv till informationssäkerhet, och i arbetet ska man ta hänsyn till antagonistiska aktörer, tekniska fel, den mänskliga faktorn och naturfenomen. Alla risker och händelser som påverkar tillgänglighet, autenticitet eller riktighet i information, informationstillgångar och tjänster ska hanteras

+

Vad är en samhällsviktig tjänst?

En samhällsviktigt tjänst innebär en verksamhet där en störning eller ett avbrott i leveransen av en tjänst riskerar att medföra, eller med säkerhet kommer att medföra, stora negativa konsekvenser för samhället och dess invånare.

De negativa konsekvenserna kan vara av olika typer, såsom exempelvis människors hälsa, privata eller samhällsekonomiska, eller mer övergripande konsekvenser som minskat förtroende för en verksamhet eller tjänst.

I föreskrift 2018:7 från Myndigheten för samhällsskydd och beredskap (MSB) anges vilka tjänster som bedöms som samhällsviktiga. I MSB:s föreskrift 2021:19 kan du läsa mer om hur arbetet med informationssäkerhet ska bedrivas.

Läs mer på MSB:s webbplats om kraven i föreskrifterna om anmälan och identifiering.

+

Gäller lagen om informationssäkerhet för samhällsviktiga och digitala tjänster för ett företag som redan idag träffas av säkerhetsskyddslagen?

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. För dessa verksamheter ska rapportering och dokumentation även fortsatt ske enligt säkerhetsskyddslagen och inte enligt den nya lagen.

Men det gäller bara för den specifika verksamheten, andra delar av företaget kan fortfarande träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Generellt kan man säga att om en aktör träffas av lagen om informationssäkerhet för samhällsviktiga och digitala tjänster så går det inte att hävda att man kan ha lägre nivå på säkerheten än lagen om informationssäkerhet för samhällsviktiga och digitala tjänster kräver bara genom att en viss specifik verksamhet träffas av säkerhetsskyddslagstiftningen.

Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

+

Vilka skyldigheter har jag då som leverantör av samhällsviktig tjänst?

1. Leverantörer av samhällsviktiga tjänster ska vidta säkerhetsåtgärder, det vill säga;

  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.
  • göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen ska det också ingå en åtgärdsplan.
  • vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.
  • vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem.

2. Leverantörer av samhällsviktiga tjänster ska incidentrapportera, det vill säga;

  • utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller.

3. Leverantörer av samhällsviktiga tjänster ska anmäla sig till tillsynsmyndigheten om de träffas av lagstiftningen.

Mer om kraven finns i lag, förordning och föreskrifterna.

+

Vart rapporterar jag som samhällsviktig leverantör en incident?

Incidentrapporteringen sker i IRON (msb.se) Inloggning och autentisering i IRON sker via Bank-ID/Freja eID.

+

Vad kan en incident som har betydande inverkan på kontinuiteten vara?

Om det inträffar en incident, exempelvis ett bortfall eller en störning, i de nätverk och informationssystem som aktören är beroende av för att kunna leverera tjänsten, så ska incidenten rapporteras om konsekvenserna av incidenten kan anses betydande för leveransen av tjänsten. Just betydande innebär att det blir en störning som påverkar säkerheten för kontinuiteten i leveransen, så att det är risk för att tjänsten inte kan levereras i den omfattning som förväntas kunder, i tid, kvalité eller omfattning, så är rimligen omfattningen på konsekvensen att anse som betydande.

Mer om kraven för respektive samhällssektor och energislag finns i föreskrifterna.

+

Vem ska utöva tillsyn över energisektorn i Sverige?

Regeringen har utsett Energimyndigheten som tillsynsmyndighet för energisektorn i Sverige.

+

Vilket ansvar har tillsynsmyndigheten?

Energimyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Energimyndigheten har också ett ansvar att informera om, och utbilda i, informationssäkerhet, risk- och kontinuitetshantering.

+

Vilken befogenhet har tillsynsmyndigheten?

Energimyndigheten;

  • får meddela förelägganden för aktörer som inte uppfyller kraven
  • ska ta ut en sanktionsavgift av den aktör som underlåter att följa lagstiftningen

Mer om ingripanden och sanktioner finns i lag, förordning och föreskrifterna.

+

Vad innebär ett åtgärdsföreläggande?

Om Energimyndigheten anser att en aktör inte lever upp till kraven i lagstiftningen, så får Energimyndigheten meddela de myndighetsorder som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering och enligt föreskrifter. Ett sådant föreläggande får förenas med vite.

+

När kan ett företag få en sanktionsavgift?

Energimyndigheten ska ta ut en sanktionsavgift av den aktör som underlåter att;

  • göra en anmälan till tillsynsmyndigheten om att man träffas av lagstiftningen
  • vidta säkerhetsåtgärder
  • rapportera incidenter

Mer om anmälan, säkerhetsåtgärder och rapportering finns i detalj i föreskrifterna som finns här.

+

Vad är en sanktionsavgift?

En sanktionsavgift är en avgift, en ekonomisk sanktion, som åläggs en fysisk eller juridisk person på grund av ett rättsstridigt beteende, medan till exempel böter är ett straff man döms till i domstol. Det är antingen tillsynsmyndigheten eller en domstol som beslutar om sanktionsavgift.

Sanktionsavgift (enligt lagen) 29 §   
Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att    

  1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,    
  2. vidta säkerhetsåtgärder enligt någon av 12-16 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna, eller    
  3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna.
+

Kan man som aktör överklaga ett beslut från Energimyndigheten?

Tillsynsmyndighetens beslut får överklagas till allmän förvaltningsdomstol.

+

Personuppgifter

Om det sker förändringar vad gäller kontaktpersoner eller om du och din verksamhet inte längre kan betraktas som leverantör av samhällsviktiga tjänster, måste du så snart som möjligt informera respektive tillsynsmyndighet om detta.

Såhär hanterar Energimyndigheten dina personuppgifter.

+

Ställer lagen krav på var information ska förvaras?

Nej, lagen om informationssäkerhet för samhällsviktiga och digitala tjänster innehåller inte några geografiska begränsningar avseende var informationen får förvaras eller hanteras. De säkerhetsåtgärder som en leverantör enligt lagen är skyldig att genomföra utifrån sin riskanalys kan dock påverka var leverantören kan förvara och hantera informationen.