På denna sida berättar vi om EU:s kommande regler för cybersäkerhet - NIS2.

Direktiv om cybersäkerhet

NIS2 är ett EU-direktiv som samordnar medlemsländernas krav på cybersäkerhet och tillämpning av säkerhetsåtgärder. NIS2 fastställer miniminivåer för regelverket och hur ett effektivt samarbete mellan tillsynsmyndigheterna i varje medlemsland ska bedrivas.

Faktaruta

NIS2-reglerna omfattar flera nya sektorer och verksamheter.

För att avgöra vilka som omfattas av reglerna kommer en storleksbaserad modell att användas. Verksamheterna kommer också att delas in i två kategorier; väsentliga och viktiga.

Högkritiska tjänster inom digital infrastruktur

I regelverket identifieras de verksamheter inom digital infrastruktur som bedöms vara ”högkritiska”:

  • Internetknutpunkter
  • Leverantörer av DNS tjänster
  • Leverantörer av toppdomäner (ej de 13 rotnamnservrarna)
  • Leverantörer av molntjänster
  • Leverantörer av datacentraltjänster
  • Leverantörer av nätverk för innehållsleverans (CDN)
  • Tjänstetillhandahållare av betrodda tjänster
  • Leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster

När det handlar om tjänster inom informations- och kommunikationsteknik så pekas följande tjänster ut:

  • Leverantörer av hanterade tjänster
  • Leverantörer av hanterade säkerhetstjänster

Jämfört med de ursprungliga NIS-reglerna så ligger nu så kallade molntjänster under sektorn digital infrastruktur. Dessutom har ett antal nya verksamheter tillkommit; till exempel leverantörer av datacentralstjänster.

Samma krav på säkerhetsåtgärder

Det är samma krav på säkerhetsåtgärder för leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster samt tillhandahållare av betrodda tjänster.

Kritiska sektorer

Regelverket pekar även ut ett antal så kallade kritiska sektorer:

  • Leverantörer av marknadsplatser online
  • Leverantörer av sökmotorer online
  • Leverantörer av plattformar för sociala nätverkstjänster

Post- och budtjänster ingår i regelverket

Post- och budtjänster, som PTS sedan tidigare är tillsynsmyndighet för, faller nu under NIS2-regelverket.

Rymdfrågor

Rymden är en ny sektor i NIS2 och där föreslås att PTS ska bli tillsynsmyndighet. 

Riskhanteringsåtgärder för cybersäkerhet

NIS2-reglerna tar upp hur risker ska hanteras och vilka åtgärder för att minimera eller förhindra incidenters påverkan på mottagarna av deras tjänster och på andra tjänster som företagen behöver genomföra.

Verksamheter ska basera åtgärderna utifrån syftet att skydda nätverks- och informationssystem samt dessa systems fysiska miljö från incidenter.

Rapporteringsskyldigheter för incidenter

Väsentliga och viktiga verksamheter ska så fort som möjligt rapportera alla incidenter som har betydande inverkan på tillhandahållandet av deras tjänster till MSB. I vissa fall kan det även vara lämpligt att informera mottagarna av tjänsterna.

En incident är en händelse som skadar:

  • tillgängligheten,
  • autenticiteten,
  • riktigheten eller
  • konfidentialiteten

hos:

  • lagrade, överförda eller behandlade uppgifter eller
  • hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.

En incident är betydande om:

  • den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten.
  • den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Incidentrapportering ska ske till MSB enligt en fastställd process. Incidenterna kommer sedan att vidarebefordras till respektive tillsynsmyndighet.

Process för rapportering av incidenter

PTS ska granska hur leverantörer i kritiska sektorer lever upp till reglerna. När det handlar om så kallade viktiga verksamheter kan PTS genomföra tillsyn endast i efterhand om vi misstänker att en leverantör inte fullgör sina skyldigheter.

Här gäller reglerna

Vilken medlemsstats regler som en leverantör inom digital infrastruktur eller digitala tjänster faller under kan variera. 

Huvudregeln är att det land där besluten om cybersäkerhet fattas är där det huvudsakliga etableringsstället. För följande verksamheter gäller det land där det huvudsakliga etableringsstället finns:

  • leverantörer av DNS-tjänster
  • registreringsenheter för toppdomäner
  • domännamnsregistreringstjänster
  • leverantörer av molntjänster
  • leverantörer av datacentraltjänster
  • leverantörer av nätverk för leverans av innehåll
  • leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster
  • leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster

Om det inte går att fastställa i vilket land besluten fattas, eller om besluten inte fattas i unionen ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs eller där den berörda verksamheten har flest anställda i unionen.

För allmänna kommunikationsnät och tjänster ligger jurisdiktionen i de/det medlemsland där leverantören tillhandahåller sina tjänster.

Tillhandahållare av betrodda tjänster faller under det medlemsland där de är etablerade.

Faktaruta

PTS har tagit fram en e-tjänst som stöttar företag i att bedöma om de omfattas av lagstiftningen.

Omfattas vi av CSL?

 

 

Frågor och svar om NIS2

Här hittar du vanliga frågor och svar om NIS2 och den kommande cybersäkerhetslagen.

Generella frågor

 

Vad är NIS2/CSL?

NIS2-direktivet, eller ”NIS2”, är en EU-omfattande reglering om cybersäkerhet som omfattar flera sektorer. I Sverige kommer NIS2 att implementeras genom den så kallade cybersäkerhetslagen (”CSL”) som föreslås träda ikraft under 2025. CSL delar in verksamhetsutövare i flera olika sektorer. PTS föreslås ansvara för följande fem sektorer:

  • digital infrastruktur,
  • förvaltning av IKT-tjänster,
  • rymden,
  • post- och budtjänster och
  • digitala leverantörer

För generella frågor om CSL, rekommenderas ni vända er till MSB, som föreslås ha det övergripande ansvaret för denna lagstiftning i Sverige.

Vad behöver jag göra om jag omfattas av CSL?

Om er verksamhet omfattas av CSL behöver ni anmäla/registrera er verksamhet. Enligt nuvarande lagförslag ska detta ske till relevant tillsynsmyndighet. Ni behöver även vidta riskhanteringsåtgärder samt rapportera incidenter till MSB.

Är cybersäkerhetslagen samma sak som NIS-lagen?

Nej, NIS-lagen (lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster) kommer att upphöra att gälla när cybersäkerhetslagen (CSL) träder i kraft. CSL ersätter alltså NIS-lagen.

Vad är genomförandeakter och hur påverkas vi av dem?

För följande verksamhetsutövare har EU-kommissionen tagit fram en så kallad genomförandeförordning som närmare beskriver vilka riskhanteringsåtgärder som verksamhetsutövarna ska vidta, samt vilka incidenter som är rapporteringspliktiga:

  • leverantörer av DNS-tjänster,
  • registreringsenheter för toppdomäner,
  • leverantörer av molntjänster,
  • leverantörer av datacentraltjänster,
  • leverantörer av nätverk för leverans av innehåll,
  • leverantörer av hanterade tjänster,
  • leverantörer av hanterade säkerhetstjänster samt
  • leverantörer av marknadsplatser online,
  • leverantörer av sökmotorer,
  • leverantörer av plattformar för sociala nätverkstjänster,
  • tillhandahållare av betrodda tjänster.

Denna genomförandeförordning trädde i kraft den 7 november 2024. För mer information om hur genomförandeförordningen påverkar er verksamhet mellan 7 november och dagen då CSL träder i kraft, läs mer här: Vad gäller innan NIS2-direktivet har genomförts i svensk rätt?

Kommissionen kommer även att ta fram genomförandeakter för kvalificerade tillhandahållare av betrodda tjänster vad gäller riskhanteringsåtgärder.

Kommer PTS ta fram ytterligare föreskrifter/vägledning för verksamhetsutövare under CSL?

För vissa verksamhetsutövare har EU-kommissionen tagit fram specifika regler om riskhanteringsåtgärder och incidentrapportering (se ovan fråga och svar).

I övrigt är det ännu inte beslutat vilket föreskriftsmandat PTS kommer att få enligt den kommande cybersäkerhetslagen (CSL). Det stående förslaget är att tillsynsmyndigheterna ska få föreskriftsrätt när det gäller t.ex. riskhanteringsåtgärder för vissa sektorer, men det återstår att se hur det exakta bemyndigandet kommer se ut. Därför har vi ännu inte någon tidplan för när PTS tar fram kompletterande vägledning/föreskrifter, då vi behöver vänta och se vad vårt mandat blir.

Omfattas vi av CSL?

Hur vet jag om min verksamhet omfattas av CSL?

PTS har tagit fram e-tjänsten Omfattas vi av CSL?, för att ge er stöd i att bedöma om ni omfattas av CSL. E-tjänsten riktar sig endast till de verksamhetsutövare som faller under PTS sektorsansvar.

Hur räknar man ut storleken på sin verksamhet om man t.ex. är del av en koncern?

För att räkna ut er verksamhets storlek måste ni beakta anknutna företag och partnerföretag. Det kan t.ex. ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert företag och ett annat. Vi rekommenderar att ni tar hjälp av EU:s användarhandledning om definitionen av SMF-företag för att beräkna storleken på er verksamhet. Vi rekommenderar även att ni använder PTS e-tjänst Omfattas vi av CSL? för vidare vägledning.

Den delen av vår verksamhet som träffas av NIS2/CSL är bara en minimal del av vår totala verksamhet – kan det verkligen vara så att vi omfattas av lagen ändå, fastän vår ”NIS2-del” är så liten?

Ja, om ni uppfyller kriterierna för att omfattas av CSL (se PTS e-tjänst Omfattas vi av CSL? för vidare vägledning) så innebär detta att ni omfattas av regleringen, även om själva NIS2-verksamhetsdelen är liten.

Enligt den tidigare NIS-lagen (som alltså ersätts av CSL) fanns det tröskelvärden som satte gränser för själva verksamhetsdelen. Det kunde innebära att t.ex. en leverantör av DNS-tjänster föll utanför regelverket om denne inte hade tillräckligt många aktiva domännamn anslutna. Man tittade alltså på storleken på den relevanta verksamhetsdelen, snarare än storleken på verksamhetsutövaren i sig.

Men med det nya NIS2-regelverket har lagstiftaren (i det här fallet EU) valt en annan väg, och bestämt att hela verksamheten ska omfattas om den tillhandahåller tjänster av de slag som räknas upp i NIS2-direktivets bilagor. Den begränsning som görs handlar om hur stor själva verksamhetsutövaren är (omsättning och antal anställda), och man tar alltså inte hänsyn till hur stor själva verksamhetsdelen är.

Sektorsrelaterade frågor

Vad ingår i definitionen för post- och budtjänster?

De aktörer som omfattas av de nya reglerna är de som ”tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem”.

Frågan som ni måste ställa er är därför: ”Tillhandahåller vi minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, och är vi till viss grad beroende av nätverks- och informationssystem?” Om svaret på den frågan är ja, bör ni anses omfattas av CSL/NIS2. Vi rekommenderar att ni även tar hjälp av vår e-tjänst Omfattas vi av CSL? för vidare vägledning.

Vi är en godkänd postoperatör av PTS. Vårt huvudmedium är oadresserad direktreklam (ODR) men vi hanterar även mindre volymer adresserad direktreklam (ADR). Omfattas vi av CSL?

De aktörer som omfattas av de nya reglerna är de som ”tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem”. Adresserad direktreklam brukar normalt sett anses utgöra postförsändelser. Det finns dock flera kriterier för er att ta hänsyn till när ni bedömer om ni omfattas. Ni kan få stöd av vår e-tjänst Omfattas vi av CSL? när ni gör denna bedömning.

Räknas det som molntjänst om vi har ett internt utvecklat molnbaserat affärssystem som enbart används inom vår egna verksamhet?

Nej, för att en verksamhet ska omfattas av lagstiftningen krävs att den är en leverantör av en molntjänst. Det innebär att tjänsten måste tillhandahållas utanför verksamheten för att den ska träffas av NIS2/CSL.

Vi är operatörer enligt LEK – hur fungerar det för oss med CSL?

Om ni tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster så innebär detta automatiskt att ni omfattas av CSL. Båda dessa typer av verksamheter omfattas oavsett storlek av CSL/NIS2.

Vi är redan anmälda till PTS enligt LEK, men omfattas även av CSL:s anmälningskrav. Räcker det att vi redan anmält oss till er enligt LEK?

Nej, ni måste registrera er verksamhet ytterligare en gång när CSL träder i kraft, även om ni redan har anmält er verksamhet enligt lagen om elektronisk kommunikation (LEK). Anledningen är att ni omfattas av två separata lagstiftningar, och anmälningsskyldigheten skiljer sig mellan de två lagarna (LEK och CSL).

Ersätter incidentrapportering enligt NIS2/CSL ramverket för incidentrapportering under eIDAS-förordningen?

Nej. Tillhandahållare av betrodda tjänster är skyldiga att rapportera incidenter även enligt eIDAS2-förordningen. Enligt eIDAS2-förordningen ska tillhandahållare av betrodda tjänster rapportera alla säkerhetsincidenter eller störningar vid tillhandahållandet av tjänsten eller genomförandet av de åtgärder som avser registrerings- och anslutningsförfaranden för en tjänst, förfarandemässiga eller administrativa kontroller som krävs för att tillhandahålla betrodda tjänster samt förvaltning och genomförande av betrodda tjänster när dessa har en betydande inverkan på den tillhandahållna betrodda tjänsten eller de personuppgifter som lagras däri.

Riskhanteringsåtgärder och incidenthantering

Vad betyder systematiskt informationssäkerhetsarbete?

Innebörden av informationssäkerhetsarbete är att skydda uppgifter som lagras, behandlas, hämtas eller överförs. De ska skyddas utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet. Informationssäkerhetsarbete betyder allt arbete som syftar till att säkerställa systemen och tjänsterna som informationen som lagras/behandlas/överförs genom. Ett systematiskt och riskbaserat informationssäkerhetsarbete innebär bland annat att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar.

Från vilken tidpunkt startar incidentrapporteringstiderna?

Från det att verksamhetsutövaren fått kännedom om incidenten.

Vilka incidenter måste vi rapportera?

Endast betydande incidenter behöver rapporteras. En betydande incident är:

  1. en incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller
  2. en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Ni måste själva bedöma, utifrån ovanstående kriterier, om en incident utgör en betydande incident som måste rapporteras till tillsynsmyndigheten. Vid osäkerhet anser PTS att det är bättre att verksamhetsutövaren rapporterar in händelsen.

För vissa verksamhetsutövare finns specificerade regler kring vad som utgör en betydande incident. Dessa finns i EU-kommissionens genomförandeförordning.

Var rapporterar vi incidenter?

Incidentrapportering ska ske till MSB, oavsett vilken sektor du tillhör. För mer information om incidentrapportering hänvisar vi till MSB: MSB: Rapportera incident som NIS-leverantör.

Om vi får en incident i flera länder och rapporterar det i varje land – kan vi då få böter/sanktionsavgifter i varje land vi rapporterar incidenten?

Sanktionsavgifter kan ni endast få om ni inte följer reglerna i NIS2/CSL. Endast det faktum att en incident inträffat innebär inte nödvändigtvis att en överträdelse skett. Som en generell rättsprincip kan ni inte få dubbla böter för samma överträdelse.

Vi har verksamheter i flera EU-länder – behöver vi rapportera i alla länder när vi upptäcker en incident?

Det beror på vilken jurisdiktionsregel ni hamnar under.

För de verksamhetsutövare som faller under jurisdiktionsregeln Huvudsakligt Etableringsställe gäller att ni endast behöver rapportera i det medlemsland ni har anmält er verksamhet. Faller ni under jurisdiktionsregeln ”Etablerad” eller ”Tillhandahåller sina tjänster” så kan ni träffas av flera länders NIS2-lagstiftning, och kan behöva incidentrapportera även där. I PTS e-tjänst Omfattas vi av CSL? kan ni läsa mer under steg 2 vilken jurisdiktionsregel just ni faller under.

Sidan uppdaterades: