Frågor och svar om NIS-regleringen

EU ställer krav på medlemsstaterna att höja den gemensamma cybersäkerhetsnivå och höja motståndskraften i samhällsviktig verksamhet. Regleringen säkerställer att viktiga samhällsfunktioner fortsätter att fungera i alla lägen.

Enkelt uttryckt sker detta genom att ställa krav på organisationer som ansvarar för viktiga samhällsfunktioner: de ska ha ett systematiskt informationssäkerhetsarbete och lämpliga riskhanteringsåtgärder, de ska också rapportera in betydande incidenter till tillsynsmyndigheterna.

Jämfört med det befintliga NIS-direktivet så skärps kraven på de organisationer som omfattas. Dessa blir också betydligt fler, då befintliga sektorer får nya kriterier och flera nya sektorer tillkommer.Läs om vad NIS2 innebär i vår grundpresentation

Verksamhetsutövarna finns i 18 olika sektorer.

Läs mer under ”Identifiera att man omfattas och anmäla sig”

NIS2 kommer regleras genom Cybersäkerhetslagen. CER kommer att regleras i en annan kommande lagstiftning. CER- och NIS2-direktiven kompletterar varandra då NIS2-direktivet reglerar det systematiska informationssäkerhetsarbetet även i samhällsviktig verksamhet som identifieras under CER-direktivet.

Läs mer om CER

Skälen är vägledande, artiklarna är krav.

De flesta kommer att bli det, reglerna kommer att framgå av lag, förordning och föreskrifter. När dessa är på plats kommer även vägledning.

I regeringens proposition framgår det att lagen inte kommer att gälla för statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen. Lagen kommer inte heller gälla för enskilda verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen eller som enbart erbjuder tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet.

Vidare förslås det att för andra verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet eller till någon del erbjuder tjänster till en statlig myndighet som i sin tur till övervägande del bedriver säkerhetskänslig verksamhet gäller inte vissa krav, bland annat rapporteringsskyldigheten, för den del av verksamheten som är säkerhetskänslig eller tillhandahåller tjänsterna. För övriga delar föreslås lagen gälla i dess helhet.

Läs mer om detta i regeringens proposition

Så här förhåller sig nuvarande NIS-reglering och säkerhetsskyddslagen till varandra

Det går att komma igång och förbereda sin verksamhet på flera sätt redan innan lagen trätt i kraft. Om verksamheten redan omfattas av NIS i någon del, så fortsätt utveckla arbetet där och titta på hur ni kan dra nytta av det i andra delar av organisationen.

Om verksamheten inte omfattas av NIS idag:

Läs regeringens proposition om den nya cybersäkerhetslagen

Titta på våra webbinarier om NIS2 och webbinarieserien "Informationssäkerhet i fokus". Du kan kommunicera med din organisation med hjälp av vår grundpresentation om NIS2.

Till webbinarier och grundpresentation

Under hösten och vintern publicerar vi kontinuerligt förslag till föreskrifter och allmänna råd, till den nya cybersäkerhetslagen, som skickats på remiss för att få in synpunkter på förslagen. Dessa kan ge vägledning om kommande föreskrifter.

Se aktuella remisser

Se över det systematiska cybersäkerhetsarbetet med hjälp av till exempel Cybersäkerhetskollen och Metodstödet.

Till Cybersäkerhetskollen

Till Metodstödet

Det går även att utgå ifrån nuvarande föreskrifter för att utveckla det systematiska informationssäkerhetsarbetet.
Offentlig förvaltning: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, ni kan med fördel utgå ifrån nuvarande föreskrifter för statliga myndigheter:

• 2020:6 om Informationssäkerhet
• 2020:7 om säkerhetsåtgärder

Övriga organisationer: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, ni kan med fördel utgå ifrån nuvarande NIS-reglering:

• 2018:8 om informationssäkerhet
• 2018:9 om incidentrapportering

Om er organisation kommer att omfattas av NIS2 går att analysera och undersöka utifrån regeringens proposition.

Regeringens proposition

Ja.

MSB och PTS har fått i regeringsuppdrag att förbereda genomförandet av NIS2, vilket bland annat innebär att förbereda föreskrifter. Föreskrifterna kommer efter cybersäkerhetslagen trätt i kraft och förordningen beslutats av regeringen.

Läs mer om hur NIS2-regleringen väntas se ut

Läs mer om tidsplanen

Läs mer om regeringsuppdraget

För vissa sektorer är verksamheten svår att hänföra till ett specifikt land. Därför har EU beslutat att kraven för sådana verksamhetsutövare ska vara gemensamma, istället för att utfärdas i respektive medlemsstat. De gemensamma kraven anges i en genomförandeförordning på EU-nivå.

Läs mer om genomförandeförordningen

CSIRT står för Computer Security Incident Response Team, och är en incidenthanteringsfunktion. Incidenter ska rapporteras till CSIRT (vilket i Sverige är MSB-cert-se) eller behörig myndighet (det vill säga din tillsynsmyndighet) som i det läget rapporterar vidare till CSIRT.

Fram till det att Sverige har antagit en NIS2-lag (cybersäkerhetslagen) så gäller NIS1. Tillsynsmyndigheter och sanktionsavgifter ändras inte heller förrän ny lag och förordning trätt i kraft.

Leverantören av molntjänsten faller under PTS, medan vårdgivaren som använder den faller under IVO.

Som offentlig verksamhet omfattas en region i sin helhet i sektorn offentlig förvaltning, men kan även omfattas i andra sektorer specifikt i enskilda förvaltningar.

Om kollektivtrafiken finns i en region träffas den av NIS2 genom att hela regionen omfattas. Kollektivtrafik finns inte med under transportsektorn i NIS2, men däremot i CER.

Enligt utredningens förslag, SOU 2024:18, ställs det inga krav på intern tillsynsroll, däremot kommer det sannolikt att ställas krav på att man följer upp sitt eget arbetssätt och det skydd man infört för att verifiera att man faktiskt har den säkerhet som man behöver.

Nej det är kommunen i sig som är NIS2-leverantör, inte IT-enheten/avdelningen.

Det är företag som ansvarar för tjänsten som omfattas av NIS2. Använder man sig av underleverantörer gäller utkontrakteringsreglerna.

Enligt regeringens proposition ses hela kommunen som väsentlig verksamhetsutövare om de uppfyller storlekskravet. Mer information om väsentliga och viktiga verksamhetsutövare hittar du i propositionen.

Läs propositionen

Ledningen ska genomgå utbildning om säkerhetsåtgärder. Än så länge finns inga närmare detaljer om det här kravet, de kommer att meddelas i föreskrifter. Enligt propositionen behöver det inte införas någon särskild reglering om att ledningen ska godkänna de säkerhetsåtgärder som vidtas och övervaka genomförandet av dem. Enligt den svenska utredningens bedömning ingår detta i ledningens normala ansvar för verksamheten och behöver inte regleras särskilt.

Ledningen ska också kunna ställas till svars för överträdelser när det gäller verksamhetsutövarens säkerhetsåtgärder. I särskilda fall föreslås tillsynsmyndigheterna kunna ingripa genom att ansöka om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare. Ett sådant förbud får inte riktas mot offentliga verksamhetsutövare.

Läs mer i propositionen

Kravet på utbildning omfattar ledningsorganet. Enligt den svenska utredningen avses

för aktiebolag, styrelse och vd,

för statliga myndigheter, generaldirektören och de anställda som utövar ledningsfunktioner,

för regioner och kommuner, regions- eller kommunstyrelse.

(SOU 2024:18 s. 374)

Nej, förbud att utöva ledningsroll kan inte utfärdas i offentlig sektor.

Vi inväntar cybersäkerhetslagen som kommer att förtydliga detta, men enligt utredningen (SOU 2024:18) är det kommunstyrelsen.

Regeringen har nu presenterat propositionen som föreslår den nya cybersäkerhetslagen. Den nya lagen och övriga lagändringar föreslås träda i kraft den 15 januari 2026.

Läs mer om propositionen

Till tidplanen

Så väntas regleringen se ut

Det här gäller för de verksamheter som omfattas

I utredningen (SOU 2024:18) föreslås det vilka sektorer och verksamheter som kommer att omfattas av NIS2. Om det är så att er verksamhet inte passar in i förslagen så kan det vara så att er verksamhet inte omfattas av NIS2. Om ni inte omfattas av NIS2 kan ändå era kunder ställa krav i linje med NIS2 för att säkerställa att hela leveransen håller den säkerhetsnivån som krävs.

Till nuvarande reglering har MSB inga specifika medel att ansöka om för att efterleva NIS, hur det kommer bli med NIS2 återstår att se.
För en översikt bidrag som kan sökas för projekt, se:

NCC-SEs öppna utlysningar

Samt

MSB:s aktuella utysningar

Man skall alltid ställa informationssäkerhetskrav i sina upphandlingar, och beroende på vad man handlar upp så är kraven olika. Det stämmer att NIS2 gäller bredare, i och med att hela kommunen omfattas.

Nej, då ni inte räknas som verksamhetsutövare så omfattas ni inte som egen organisation. Däremot kan era kunder ställa krav i linje med NIS2 för att säkerställa att hela leveransen håller den säkerhetsnivån som krävs.

Kraven i NIS-regleringen skiljer sig något för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

Leverantörer av samhällsviktiga tjänster har en skyldighet att:

• anmäla sig till tillsynsmyndigheten att de berörs av NIS-regleringen
• arbeta systematiskt och riskbaserat med informationssäkerhet inklusive vidta säkerhetsåtgärder
• rapportera incidenter till MSB

Leverantörer av digitala tjänster ska:

• vidta åtgärder för att hantera risker som hotar säkerheten i de nätverk och system som används för att tillhandahålla tjänsten
• rapportera incidenter till MSB.

Båda typerna av leverantörer är föremål för tillsyn.

Ja, om organisationen är leverantör av samhällsviktiga tjänster inom flera NIS-sektorer, ska en anmälan skickas per sektor till ansvarig tillsynsmyndighet.

Den svenska NIS-regleringen omfattar samma sektorer som det europeiska NIS-direktivet. Vissa andra medlemsstater har valt att utvidga den nationella NIS-regleringen till flera sektorer.

Information som framkommer vid incidentrapportering är ett viktigt verktyg i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport. Kontakta gärna ansvarig tillsynsmyndighet för att få mer information gällande planerad tillsyn inom den specifika sektorn.

MSB arbetar tillsammans med tillsynsmyndigheterna med tillsynssamordning. Syftet är att identifiera och samlas kring gemensamma principer för att göra tillsynen inom NIS så likvärdig och effektiv som möjligt. En viktig princip är att tillsynen ska vara ett stöd för leverantören i säkerhetsarbetet. Vissa skillnader kommer dock att förekomma eftersom de olika NIS-sektorerna skiljer sig åt.

Information som framkommer vid incidentrapportering är ett viktigt underlag i tillsynsmyndigheternas arbete. Det innebär dock inte nödvändigtvis att tillsyn kommer att ske som en reaktion på en inskickad incidentrapport.

Kontakta gärna relevant tillsynsmyndighet för att få mer information om hur de planerar att utföra tillsyn.

Enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster undantas de verksamheter som omfattas av säkerhetsskydd från NIS-regleringen.

Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav behöver dock inte betyda att all verksamhet är undantagen från NIS-regleringen.

Om leverantören även bedriver verksamhet som inte omfattas av säkerhetsskydd är NIS-regleringen tillämplig i de delarna där kraven i MSBFS 2018:7 uppfylls. Begreppet verksamhet ska i detta sammanhang inte likställas med organisation, då en och samma leverantör kan bedriva flera olika typer av verksamheter.

Viss vägledning kring detta finns i MSB:s vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänsterSäkerhetspolisens Vägledning i säkerhetsskydd

EU kommissionen har under 2020 arbetat fram ett nytt förslag på NIS-direktivet. Detta förslag innehåller flera förändringar, bland annat föreslås flertalet nya sektorer att omfattas av NIS, samt ett nytt tillvägagångssätt för att identifiera leverantörer. Förslaget presenterades i december 2020.

Nu arbetas det med förslaget i varje medlemsstat, och det behandlas även av både Europaparlamentet och ministerrådet. Efter den bearbetning och förhandling som nu sker är det Europaparlamentet som beslutar om förslaget.

I och med att revideringen av NIS-direktivet fortfarande pågår, och att det inte är klarlagt vad det nya direktivet till slut kommer innefatta, går det inte i dagsläget att fastställa hur detta kommer påverka specifika organisationer.

Kommissionens nya förlag rörande cybersäkerhet (på engelska)