Till innehåll på sidan

NIS-regleringen och säkerhetsskyddslagen

På den här sidan beskriver vi hur NIS och säkerhetsskyddslagen förhåller sig till varandra. Illustrerade exempel visar olika scenarion. Dessa kan användas som stöd när du resonerar kring gränsdragningen mellan regleringarna i just din organisation.

NIS-regleringen gäller sådana nätverk och informationssystem som en samhällsviktig tjänst är beroende av. Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet.

Många organisationer kan beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-regleringen.

Stödet är framtaget av MSB i samarbete med tillsynsmyndigheterna för
NIS-regleringen samt Säkerhetspolisen.

Delar av organisationen som kan omfattas

NIS-regleringen respektive säkerhetsskyddslagen gäller för verksamhet som uppfyller vissa kriterier, inte nödvändigtvis för hela organisationen.

NIS-regleringen ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet.

Illustration av gränsdragningar

Vi presenterar i text och enklare illustrationer fyra olika exempel på gränsdragning när det kommer till NIS- och säkerhetsskyddslagstiftningen.

Exempel A: Organisationen berörs enbart av NIS

Ordet verksamhet i en rektangel. I en mindre rektangel innuti den står orden NIS och Nätverk och informationsystem. Exempel A: Organisationen berörs enbart av NIS

Organisationen har inte verksamhet eller behandlar information som faller inom ramen för säkerhetsskydd och berörs inte av säkerhetsskyddslagen.

Organisationen levererar samhällsviktiga eller digitala tjänster och omfattas således av NIS-regleringen. Kraven i NIS-regleringen gäller för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

 

Exempel B: Nätverk och informationssystem berörs endast av NIS

Ordet verksamhet i en rektangel. I en mindre rektangel står ordet säkerhetsskydd. Under den finns en rektangel till. I den står orden NIS och Nätverk och informationssystem Exempel B: Nätverk och informationssystem berörs endast av NIS

Om verksamheten kan beröras av både NIS och säkerhetsskyddslagen så behöver du undersöka vilka delar som omfattas av vad. NIS omfattar specifikt nätverk och informationssystem. Säkerhetsskyddslagen kan beröra dessa och/eller andra delar av verksamheten.

Exemplet visar ett scenario där organisationen berörs av både NIS-regleringen och säkerhetsskyddslagen. De nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av berör inte Sveriges säkerhet, alltså faller de under NIS-regleringen. Säkerhetsskyddslagen gäller för andra delar av verksamheten.


Exempel C: Båda regleringarna berör nätverk och informationssystem, men i olika delar

Ordet verksamhet i en rektangel. I en midre ruta står ordet NIS. Bredvid står en ruta där det står Säk.skydd. Orden Nätverk och informationssystem sträcker sig över båda rutorna.
Exempel C: Båda regleringarna
Ordet verksamhet i en rektangel. I en midre ruta står ordet NIS. Bredvid står en ruta där det står Säk.skydd. Orden Nätverk och informationssystem sträcker sig över båda rutorna. Exempel C: Båda regleringarna

Stämmer både NIS-regleringens och säkerhetsskyddslagens kriterier in på de nätverk och informationssystem som leveransen av den samhällsviktiga tjänsten är beroende av? Då blir nästa fråga om de överlappar, helt eller delvis.

Exemplet visar ett scenario där regleringarna inte helt och hållet träffar samma nätverk och informationssystem. Regleringarna gäller parallellt för olika delar av de nätverk och informationssystem som den samhällsviktiga eller digitala tjänsten är beroende av:

  • Delar som omfattas av säkerhetsskyddslagen är undantagna från NIS-regleringen.
  • NIS-regleringen gäller för delar som inte omfattas av säkerhetsskyddslagen.

I denna situation uppstår ofta mer detaljerade gränsdragningsfrågor som behöver analyseras och bedömas ytterligare.

Exempel D: Endast säkerhetsskyddslagen

Ordet verksamhet i en rektangel. I en lite mindre rektangel i den det står ordet säkerhetsskydd. Innanför den finns ytterligare en ruta där det står Nätverk och informationssytem.
Exempel D: Endast säkerhetsskyddslagen
Ordet verksamhet i en rektangel. I en lite mindre rektangel i den det står ordet säkerhetsskydd. Innanför den finns ytterligare en ruta där det står Nätverk och informationssytem. Exempel D: Endast säkerhetsskyddslagen

Om alla de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av omfattas av säkerhetsskyddslagen, så undantas dessa helt från NIS-regleringen.

Kriterier för NIS-regleringen respektive säkerhetsskyddslagen

NIS-reglering

För att avgöra om en verksamhet berörs av NIS-regleringen används MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster med tillhörande vägledning.

MSBFS 2021:9 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster

För digitala tjänster

Använd definitionerna i Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, §2 punkt 4-7.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

Säkerhetsskyddslagen

För att avgöra om en verksamhet berörs av säkerhetsskyddslagen använder du Säkerhetspolisens föreskrifter och vägledning.

Säkerhetspolisen om säkerhetsskydd

Relaterade länkar

Senast granskad: 16 april 2021

Till toppen av sidan