NIS-direktivet

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.

MSB har en bred roll kopplat till regleringen som bland annat innefattar föreskriftsrätt, att samordna det nationella arbetet,  motta incidentrapporter, och att utgöra kontaktpunkt gentemot andra europeiska medlemsstater.

MSB:s roll och ansvar inom NIS

Samhällsviktiga tjänster som omfattas av NIS-direktivet

Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

• Bankverksamhet
• Digital infrastruktur
• Energi
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Transport

Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner.

I NIS-regleringen används begreppet ”samhällsviktiga tjänster” vilket har ett snävare fokus än ”samhällsviktig verksamhet”.

Det är verksamheten själv som ansvarar för att identifiera sig som en samhällsviktig tjänst under NIS, och att anmäla in detta till respektive tillsynsmyndighet. Stöd för att identifiera samhällsviktiga tjänster i Sverige inom respektive sektor finns i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

MSBFS 2021:9 Anmälan och identifiering av leverantörer av samhällsviktiga tjänster

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringenInformation om vad samhällsviktig verksamhet är

Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definitioner av digitala tjänster finns i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns på Riksdagens webbplats

Leverantörer av samhällsviktiga och digitala tjänster

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

För leverantörer av samhällsviktiga tjänster gäller:

• Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig- eller ekonomisk verksamhet inom en av de ovan nämnda sju sektorerna vilka omfattas av NIS-regleringen.
• Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
• En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För leverantörer av digitala tjänster gäller:

• De har sitt huvudsakliga etableringsställe i Sverige.
• De har en årsomsättning som överstiger 10 miljoner euro.
• De har 50 eller fler anställda.

Anmälningsplikt för leverantörer av samhällsviktiga tjänster

Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen.

Om NIS 2 och CER

Den 14 december 2022 beslutades direktiven om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2) och om kritiska entiteters motståndskraft (CER). Direktiven ska börja tillämpas den 18 oktober 2024. Den 23 februari 2023 fattade regeringen beslut om att ge en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att NIS 2-direktivet och CER-direktivet ska kunna genomföras. Uppdraget ska redovisas senast 23 februari 2024.

Om NIS 2 på Regeringens webbplatsÖversikt EU:s cyberregleringar