Leverantörer av samhällsviktiga tjänster

Samhällsviktiga tjänster inom sektorn digital infrastruktur är DNS-tjänster eller registreringsenheter för toppdomäner. Du behöver själv identifiera om ditt företag levererar en samhällsviktig tjänst enligt NIS-lagen. Det finns flera kriterier som ska vara uppfyllda.

Det finns kriterier som ska vara uppfyllda för att ett företag ska anses vara leverantör av samhällsviktig tjänst inom sektorn digital infrastruktur.

Det handlar bland annat om

Leverantören ska vara etablerad i Sverige.
Leveransen av den samhällsviktiga tjänsten ska vara beroende av nätverk- och informationssystem.
En incident i nätverks- och informationssystemet skulle medföra en betydande störning vid tillhandahållandet av den samhällsviktiga tjänsten.

Ni måste anmäla verksamheten

Om ni tillhandahåller samhällsviktiga tjänster inom sektorn digital infrastruktur, och så uppfyller ni kriterierna och omfattas av NIS-reglerna och ska anmäla er till PTS.

Anmälan skickas till e-post: pts@pts.se

Eller till postadress:

Post- och telestyrelsen (PTS)
Registrator
Box 6101
102 32 Stockholm

Blankett på svenska

Blankett på engelska

Säkerhetskrav för leverantörer av samhällsviktiga tjänster

Om du levererar samhällsviktiga tjänster så omfattas du av vissa säkerhetskrav. Det innebär att du ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter.

Kraven regleras i föreskrifter från PTS och MSB.

PTS föreskrifter och allmänna råd

MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster

MSB:s regler

MSB:s regler innebär bland annat att du ska göra en årlig riskanalys, vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken. Du ska också vidta åtgärder för att förebygga och minimera de negativa effekterna av incidenter och säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.

PTS regler

De här reglerna är specifika för digital infrastruktur och kompletterar MSB:s regler. De innebär bland annat:

Krav på att genomföra riskanalys för nätverk och informationssystem samt att dokumentera skälen till bedömningarna.
Ett antal säkerhetsåtgärder som leverantören ska genomföra i de fall leverantörens riskanalys påvisar vissa brister.
Krav på att ta fram åtgärdsplaner och att vidta kontinuitetshöjande åtgärder.

Om du omfattas av NIS-reglerna måste du anmäla incidenter till MSB, som kommer att lämna över ärendet till PTS för vidare handläggning.

NIS-leverantörer - rapportera it-incident (MSB:s webbplats)