Nya föreskrifter kopplade till NIS-regleringen

2 november, 2018

Från och med den 1 november 2018 gäller MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster samt informationssäkerhet för leverantörer av samhällsviktiga tjänster. Föreskrifterna är en del av NIS-regleringen, och berör organisationer i såväl privat som offentlig sektor.

 

Lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster och tillhörande förordning trädde i kraft 1 augusti, och i och med det införs NIS-direktivet i svensk rätt.

 

Direktivet innehåller åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU.

 

Två typer av tjänster
NIS-regleringen omfattar två typer av tjänster: samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De delas in i sju sektorer. Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.

 

Föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
Samtliga leverantörer ska själva undersöka om de berörs av NIS-regleringen eller inte. Stöd för att undersöka om man är en leverantör av samhällsviktiga tjänster får man i MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster. Verksamheter i såväl privat som offentlig sektor kan vara sådana leverantörer.

 

För var och en av de sju sektorerna av samhällsviktiga tjänster ger föreskrifterna underlag för identifiering. Om man kommer fram till att man är en leverantör av samhällsviktiga tjänster ska man anmäla detta till ansvarig tillsynsmyndighet.

 

Föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster
Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. I föreskrifterna beskrivs mer detaljerat hur leverantören går tillväga för att bedriva ett effektivt informationssäkerhetsarbete där organisationens medarbetare har kunskap om och resurser för att identifiera, införa och utvärdera ändamålsenliga och proportionerliga organisatoriska och tekniska säkerhetsåtgärder för att säkerställa leveransen av den samhällsviktiga tjänsten.

 

Föreskrifter om incidentrapportering träder i kraft 1 mars 2019
Samtliga leverantörer som berörs av NIS-regleringen i Sverige ska rapportera incidenter till MSB CERT-SE.

 

Här finner Ni mer information.

Här finner Ni föreskrifterna.

 

Informationen kommer från MSB.

Vid frågor eller för mer information, kontakta Altea AB.