NIS-regleringen och säkerhetsskyddslagen
På den här sidan beskriver vi hur NIS och säkerhetsskyddslagen förhåller sig till varandra. Illustrerade exempel visar olika scenarion. Dessa kan användas som stöd när du resonerar kring gränsdragningen mellan regleringarna i just din organisation.
NIS-regleringen gäller sådana nätverk och informationssystem som en samhällsviktig tjänst är beroende av. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet.
Många organisationer kan beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-regleringen.
Stödet är framtaget av MSB i samarbete med tillsynsmyndigheterna för
NIS-regleringen samt Säkerhetspolisen.
Delar av organisationen som kan omfattas
NIS-regleringen respektive säkerhetsskyddslagen gäller för verksamhet som uppfyller vissa kriterier, inte nödvändigtvis för hela organisationen.
NIS-regleringen ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet.
Illustration av gränsdragningar
Vi presenterar i text och enklare illustrationer fyra olika exempel på gränsdragning när det kommer till NIS- och säkerhetsskyddslagstiftningen.
Exempel A: Organisationen berörs enbart av NIS

Organisationen har inte verksamhet eller behandlar information som faller inom ramen för säkerhetsskydd och berörs inte av säkerhetsskyddslagen.
Organisationen levererar samhällsviktiga eller digitala tjänster och omfattas således av NIS-regleringen. Kraven i NIS-regleringen gäller för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.
Exempel B: Nätverk och informationssystem berörs endast av NIS

Om verksamheten kan beröras av både NIS och säkerhetsskyddslagen så behöver du undersöka vilka delar som omfattas av vad. NIS omfattar specifikt nätverk och informationssystem. Säkerhetsskyddslagen kan beröra dessa och/eller andra delar av verksamheten.
Exemplet visar ett scenario där organisationen berörs av både NIS-regleringen och säkerhetsskyddslagen. De nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av berör inte Sveriges säkerhet, alltså faller de under NIS-regleringen. Säkerhetsskyddslagen gäller för andra delar av verksamheten.
Exempel C: Båda regleringarna berör nätverk och informationssystem, men i olika delar


Stämmer både NIS-regleringens och säkerhetsskyddslagens kriterier in på de nätverk och informationssystem som leveransen av den samhällsviktiga tjänsten är beroende av? Då blir nästa fråga om de överlappar, helt eller delvis.
Exemplet visar ett scenario där regleringarna inte helt och hållet träffar samma nätverk och informationssystem. Regleringarna gäller parallellt för olika delar av de nätverk och informationssystem som den samhällsviktiga eller digitala tjänsten är beroende av:
- Delar som omfattas av säkerhetsskyddslagen är undantagna från NIS-regleringen.
- NIS-regleringen gäller för delar som inte omfattas av säkerhetsskyddslagen.
I denna situation uppstår ofta mer detaljerade gränsdragningsfrågor som behöver analyseras och bedömas ytterligare.
Exempel D: Endast säkerhetsskyddslagen


Om alla de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av omfattas av säkerhetsskyddslagen, så undantas dessa helt från NIS-regleringen.
Kriterier för NIS-regleringen respektive säkerhetsskyddslagen
NIS-reglering
För att avgöra om en verksamhet berörs av NIS-regleringen används MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster med tillhörande vägledning.
MSBFS 2021:9 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
För digitala tjänster
Använd definitionerna i Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, §2 punkt 4-7.
Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
Säkerhetsskyddslagen
För att avgöra om en verksamhet berörs av säkerhetsskyddslagen använder du Säkerhetspolisens föreskrifter och vägledning.
Senast granskad: 16 april 2021