NIS

Dagens samhälle är mer sårbart än någonsin tidigare eftersom grundläggande funktioner som tillgång till energi, sker genom digitala nätverk och informationssystem. Ett långvarigt avbrott kan få förödande konsekvenser för enskilda verksamheter och ytterst för hela samhället. Därför behöver vi ställa högre krav på digitala tjänsters säkerhet. NIS-direktivet ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster.

Syfte med NIS-lagstiftningen

NIS-lagstiftningens syfte är att säkerställa en hög säkerhetsnivå i nätverk och informationssystem för samhällskritiska tjänster. Detta ska uppnås genom krav på systematiskt och riskbaserat informationssäkerhetsarbete samt incidentrapportering. Organisationen måste också vidta säkerhetsåtgärder för att hantera risker och garantera kontinuitet. Energimyndigheten har utformat sektorsspecifika föreskrifter för riskanalys och säkerhetsåtgärder för nätverk och informationssäkerhetssystem inom energisektorn (STEMFS 2021:3). Dessutom finns vägledning till dessa föreskrifter: Vägledning till Statens Energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (ER 2022:17).

Efterlevnaden av reglerna övervakas via tillsyn. Inom energiförsörjningen fungerar Energimyndigheten som tillsynsmyndighet för hela NIS-lagstiftningen. Den nuvarande NIS-direktivet infördes i svensk lag 2018 genom Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISL) och Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISF). Samt genom föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8).

NIS-lagen gäller inte om säkerhetsskyddslagen är tillämplig enligt 8 § NISL.

Omfattning

Omfattningen i den nuvarande NIS-lagstiftningen och NIS-leverantörer av samhällsviktiga tjänster anges i bilaga 2 till NIS-direktivet:

  • Aktören ska vara av den typ som anges i bilaga 2 till NIS-direktivet.
  • Aktören ska tillhandahålla en samhällsviktig tjänst.
  • Aktören ska vara etablerad i Sverige.
  • Tillhandahållandet av tjänsten ska vara beroende av nätverk och informationssystem.
  • En incident skulle medföra en betydande störning i tillhandahållandet av tjänsten.

Organisationen bär ansvar för att undersöka om den omfattas av nuvarande NIS-lagstiftning. Se föreskrift och väledning nedan från Myndigheten för samhällsskydd och beredskaps (MSB) för anmälan och identifiering. Anmälan sker till Energimyndigheten som är tillsynsmyndighet för energisektorn här: 

Incidentrapportering

I Sverige ska de incidenter som omfattas av lagens rapporteringsplikt rapporteras till MSB. Kraven kring incidentrapportering beskrivs i MSB:s föreskrift om informationssäkerhet för samhällsviktiga tjänster (MSBFS 2018:9). Incidentrapporter som rör energisektorn vidarebefordras av MSB till Energimyndigheten. Mer information om hur NIS-leverantörerna förväntas rapportera incidenter till MSB samt gällande föreskrift finns på MSB:s hemsida.

Anmälan av förändringar 

Om ert företag inte längre uppfyller kriterierna som leverantör av samhällsviktig tjänst ska ni meddela Energimyndigheten. Ni ska även meddela förändringar av kontaktpersoner.

Ytterligare information om informationssäkerhet