Direktiv om cybersäkerhet
NIS2 är ett EU-direktiv som samordnar medlemsländernas krav på cybersäkerhet och tillämpning av säkerhetsåtgärder. NIS2 fastställer miniminivåer för regelverket och hur ett effektivt samarbete mellan tillsynsmyndigheterna i varje medlemsland ska bedrivas.
Faktaruta
NIS2-reglerna omfattar flera nya sektorer och verksamheter.
För att avgöra vilka som omfattas av reglerna kommer en storleksbaserad modell att användas. Verksamheterna kommer också att delas in i två kategorier; väsentliga och viktiga.
Högkritiska tjänster inom digital infrastruktur
I regelverket identifieras de verksamheter inom digital infrastruktur som bedöms vara ”högkritiska”:
- Internetknutpunkter
- Leverantörer av DNS tjänster
- Leverantörer av toppdomäner (ej de 13 rotnamnservrarna)
- Leverantörer av molntjänster
- Leverantörer av datacentraltjänster
- Leverantörer av nätverk för innehållsleverans (CDN)
- Tjänstetillhandahållare av betrodda tjänster
- Leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster
När det handlar om tjänster inom informations- och kommunikationsteknik så pekas följande tjänster ut:
- Leverantörer av hanterade tjänster
- Leverantörer av hanterade säkerhetstjänster
Jämfört med de ursprungliga NIS-reglerna så ligger nu så kallade molntjänster under sektorn digital infrastruktur. Dessutom har ett antal nya verksamheter tillkommit; till exempel leverantörer av datacentralstjänster.
Samma krav på säkerhetsåtgärder
Det är samma krav på säkerhetsåtgärder för leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster samt tillhandahållare av betrodda tjänster.
Kritiska sektorer
Regelverket pekar även ut ett antal så kallade kritiska sektorer:
- Leverantörer av marknadsplatser online
- Leverantörer av sökmotorer online
- Leverantörer av plattformar för sociala nätverkstjänster
Post- och budtjänster ingår i regelverket
Post- och budtjänster, som PTS sedan tidigare är tillsynsmyndighet för, faller nu under NIS2-regelverket.
Rymdfrågor
Rymden är en ny sektor i NIS2 och där föreslås att PTS ska bli tillsynsmyndighet.
Riskhanteringsåtgärder för cybersäkerhet
NIS2-reglerna tar upp hur risker ska hanteras och vilka åtgärder för att minimera eller förhindra incidenters påverkan på mottagarna av deras tjänster och på andra tjänster som företagen behöver genomföra.
Verksamheter ska basera åtgärderna utifrån syftet att skydda nätverks- och informationssystem samt dessa systems fysiska miljö från incidenter.
Rapporteringsskyldigheter för incidenter
Väsentliga och viktiga verksamheter ska så fort som möjligt rapportera alla incidenter som har betydande inverkan på tillhandahållandet av deras tjänster till MSB. I vissa fall kan det även vara lämpligt att informera mottagarna av tjänsterna.
En incident är en händelse som skadar:
- tillgängligheten,
- autenticiteten,
- riktigheten eller
- konfidentialiteten
hos:
- lagrade, överförda eller behandlade uppgifter eller
- hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.
En incident är betydande om:
- den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten.
- den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Incidentrapportering ska ske till MSB enligt en fastställd process. Incidenterna kommer sedan att vidarebefordras till respektive tillsynsmyndighet.
Process för rapportering av incidenter
PTS ska granska hur leverantörer i kritiska sektorer lever upp till reglerna. När det handlar om så kallade viktiga verksamheter kan PTS genomföra tillsyn endast i efterhand om vi misstänker att en leverantör inte fullgör sina skyldigheter.
Här gäller reglerna
Vilken medlemsstats regler som en leverantör inom digital infrastruktur eller digitala tjänster faller under kan variera.
Huvudregeln är att det land där besluten om cybersäkerhet fattas är där det huvudsakliga etableringsstället. För följande verksamheter gäller det land där det huvudsakliga etableringsstället finns:
- leverantörer av DNS-tjänster
- registreringsenheter för toppdomäner
- domännamnsregistreringstjänster
- leverantörer av molntjänster
- leverantörer av datacentraltjänster
- leverantörer av nätverk för leverans av innehåll
- leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster
- leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster
Om det inte går att fastställa i vilket land besluten fattas, eller om besluten inte fattas i unionen ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs eller där den berörda verksamheten har flest anställda i unionen.
För allmänna kommunikationsnät och tjänster ligger jurisdiktionen i de/det medlemsland där leverantören tillhandahåller sina tjänster.
Tillhandahållare av betrodda tjänster faller under det medlemsland där de är etablerade.
Faktaruta
PTS har tagit fram en e-tjänst som stöttar företag i att bedöma om de omfattas av lagstiftningen.