Till innehållet
Person står utomhus i solsken och tittar i sin mobltelefon.

Säkerhet och integritet

Frågor och svar om cybersäkerhetslagen

Här kan du ta del av vanliga frågor och svar om NIS2 och cybersäkerhetslagen.

Dessa frågor och svar är baserade på PTS uppfattning om de definitioner och skrivelser som finns i NIS2-direktivet och i cybersäkerhetslagen. Svaren har inte prövats i domstol och kan därför inte anses slutligen prövade. Våra frågor och svar ska ses som vägledande och är på inga sätt bindande för en enskild verksamhetsutövare. PTS kan inte ge förhandsbesked eller lämna bedömningar i enskilda fall om, eller på vilket sätt, en verksamhetsutövare omfattas av NIS2-direktivet/cybersäkerhetslagen, annat än inom ramen för tillsyn.

Vid eventuella frågor, vänligen kontakta oss på nis@pts.se

Generella frågor

Vad är NIS2/cybersäkerhetslagen?

NIS2-direktivet, eller ”NIS2”, är en EU-reglering om cybersäkerhet som omfattar flera sektorer. I Sverige har NIS2 implementerats genom cybersäkerhetslagen som trädde i kraft den 15 januari 2026.

Cybersäkerhetslagen delar in verksamhetsutövare i flera olika sektorer. PTS ansvarar för följande fem sektorer:

  • Digital infrastruktur.
  • Förvaltning av IKT-tjänster (mellan företag).
  • Rymden.
  • Post- och budtjänster.
  • Digitala leverantörer.

För generella frågor om cybersäkerhetslagen rekommenderas ni vända er till Myndigheten för civilt försvar, som har det övergripande ansvaret för denna lagstiftning i Sverige.

Vad behöver jag göra om jag omfattas av cybersäkerhetslagen?

Om er verksamhet omfattas av cybersäkerhetslagen behöver ni anmäla er verksamhet till Myndigheten för civilt försvar. Ni behöver även vidta säkerhetsåtgärder samt rapportera incidenter till Myndigheten för civilt försvar.

Läs mer om era skyldigheter här: Verksamhetsutövarens skyldigheter

Är cybersäkerhetslagen samma sak som NIS-lagen?

Nej, NIS-lagen (lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster) upphörde att gälla när cybersäkerhetslagen trädde i kraft. Cybersäkerhetslagen ersätter alltså NIS-lagen.

Frågor om omfattning och jurisdiktion

Hur vet jag om min verksamhet omfattas av cybersäkerhetslagen?

PTS har tagit fram e-tjänsten Omfattas vi av CSL? för att ge er stöd i att bedöma om ni omfattas av cybersäkerhetslagen. E-tjänsten riktar sig endast till de verksamhetsutövare som faller under PTS sektorsansvar.

Ni kan även få stöd hos Myndigheten för civilt försvar, dels via deras webbinarium ”Omfattning eller omfamning” som finns här: Webbinarier om cybersäkerhetslagen, dels på deras webbplats: Omfattas verksamheten av cybersäkerhetslagen.

Vi är del av en koncernstruktur – omfattas hela koncernen? 

Enligt det svenska genomförandet av NIS2-direktivet, cybersäkerhetslagen, ska separata bedömningar göras för varje juridisk person, dvs. enskilt bolag, i frågan om det bedriver sådan verksamhet som omfattas av lagen. I fråga om en koncern ska således en enskild bedömning om omfattning göras för varje koncernföretag, och anmälan till Myndigheten för civilt försvar ska göras för varje företag som anses omfattas av lagen (se prop. 2025/26:28, s. 52). 

Vad gäller om vi bedriver verksamhet i flera länder – vilket lands NIS2-lagstiftning tillhör vi? 

Eftersom NIS2-direktivet är en EU-omfattande lagstiftning, finns det särskilda regler som avgör till vilket medlemsland i EU ni ska anmäla er verksamhet och rapportera incidenter. Detta är regler om jurisdiktion. 

Det finns som utgångspunkt tre olika jurisdiktionsregler i cybersäkerhetslagen, nämligen (a) etablerad, (b) tillhandahåller sina tjänster, och (c) huvudsakligt etableringsställe.

För att veta vilken jurisdiktionsregel som gäller för just er rekommenderar vi att ni använder vår e-tjänst Omfattas vi av CSL?

Hur vet vi vad som är vårt huvudsakliga etableringsställe när vi tillhör en koncern med bolag i flera länder? 

Följande verksamhetsutövare ska anses omfattas av jurisdiktionen i den medlemsstat där de har sitt huvudsakliga etableringsställe: 

  • leverantörer av DNS-tjänster, 
  • registreringsenheter för toppdomäner, 
  • verksamhetsutövare som tillhandahåller domännamnsregistreringstjänster, 
  • leverantörer av molntjänster, 
  • leverantörer av datacentraltjänster, 
  • leverantörer av nätverk för leverans av innehåll, 
  • leverantörer av utlokaliserade driftstjänster  
  • leverantörer av utlokaliserade säkerhetstjänster 
  • leverantörer av marknadsplatser online, 
  • leverantörer av sökmotorer, 
  • leverantörer av plattformar för sociala nätverkstjänster.

Vid bedömningen om en verksamhetsutövares etableringsställe i Sverige utgör det huvudsakliga etableringsstället enligt 1 kap. 7 § cybersäkerhetslagen ska följande omständigheter beaktas i nämnd ordning

  1. om beslut om ledning och styrning av arbetet med cybersäkerhet i huvudsak fattas i Sverige, 
  2. om det huvudsakliga driftcentret för cybersäkerhetsverksamhet är placerat i Sverige, eller 
  3. om verksamhetsutövaren har sin största andel anställda i Sverige.

Ni bör i första hand utgå ifrån den egna verksamhetsutövaren (juridiska person) som omfattas av NIS2-direktivet och bedöma var dennes huvudsakliga etableringsställe är. Det finns utrymme i regelverket att ta hänsyn till er koncernstruktur om ni anser att ert bolags huvudsakliga etableringsställe finns i ett annat land än där er verksamhet befinner sig, t.ex. där koncernens moderbolag befinner sig om t.ex. beslut om cybersäkerhet fattas där. Notera dock att det alltjämt är den aktuella verksamhetsutövaren som omfattas av regelverket. Ett moderbolag omfattas inte automatiskt av NIS2-regelverket endast pga. att dess dotterbolag gör det (även om det kan få konsekvenser för moderbolaget).

Regeln om huvudsakligt etableringsställe enligt NIS2-direktivet är komplex och omdiskuterad inom EU. Exakt hur en koncernstruktur ska beaktas i den frågan är inte klargjort i praxis. Enligt NIS2-direktivet är en verksamhetsutövare/entitet en (1) juridisk person, och ”en verksamhetsutövare” kan därmed inte vara ”en koncern” (eftersom en koncern består av flera juridiska personer). Dock nämns koncernbegreppet i skäl 114 i NIS2-direktivet, vilket indikerar att en koncerns huvudsakliga etableringsställe ska kunna beaktas vid bedömningen av en enskild verksamhetsutövares huvudsakliga etableringsställe. Detta är grunden för ovan resonemang av PTS, men dessa frågor har inte prövats i domstol och kan inte anses slutligt avgjorda. 

Syftet med denna särskilda jurisdiktionsregel är att ta hänsyn till den gränsöverskridande karaktär hos de tjänster och den verksamhet som utförs av dessa verksamhetsutövare, då man vill förenkla regelefterlevnad för dessa verksamhetsutövare. 

Vad gäller för koncernbolag som tillhandahåller utlokaliserade driftstjänster (IKT-tjänster) till andra bolag inom samma koncern? 

Nedan resonemang kan även appliceras på leveransen av andra typer av IT-tjänster mellan koncernbolag, t.ex. molntjänster.

Företag som levererar utlokaliserade driftstjänster inom sektorn Förvaltning av IKT-tjänster (mellan företag) till andra bolag inom samma koncern kan omfattas av cybersäkerhetslagen.

Enligt den svenska implementationen av NIS2-direktivet, cybersäkerhetslagen (2025:1506), ska separata bedömningar göras för varje juridisk person, dvs. enskilt bolag, i frågan om det bedriver sådan verksamhet som omfattas av lagen. I fråga om en koncern ska således en enskild bedömning om omfattning göras för varje koncernföretag, och anmälan till MCF ska göras för varje företag som anses omfattas av lagen (se prop. 2025/26:28, s. 52). 

Enligt artikel 6(39), NIS2-direktivet, avses med ”leverantör av utlokaliserade driftstjänster” en entitet som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans. Detta följer även av 1 kap. 2 § 22 p. cybersäkerhetslagen. 

Dessa leverantörer är en typ av verksamhetsutövare inom sektorn ”Förvaltning av IKT-tjänster (mellan företag)” enligt bilaga I (9), NIS2-direktivet. Eftersom bilaga I (9) specificerar att tillhandahållande ska ske mellan företag (”B2B-modeller”), omfattas endast leverantörer av utlokaliserade driftstjänster som tillhandahåller sina tjänster till andra verksamheter som inte är slutkonsumenter.

Det finns inga undantag i cybersäkerhetslagen för verksamhetsutövare som endast levererar sina tjänster till andra företag inom samma koncern, varför PTS uppfattar lagens tillämpningsområde som att tillhandahållande mellan koncernföretag ska omfattas av denna definition. Det finns inte heller några undantag eller skrivelser som säger att ett företag ska uteslutas från en definition/sektor endast för att företaget även omfattas av en annan definition/sektor. Tvärtom förtydligas det i förarbetena till cybersäkerhetslagen (se prop. 2025/26:28, s. 149) att en verksamhetsutövare kan bedriva flera verksamheter som faller under olika tillsynsmyndigheters ansvarsområden. Det finns ingenting som talar för att det ska göras skillnad mellan ”kärnverksamhet” och ”sidoverksamhet” i regelverket. 

Andra medlemsländer som legat i framkant med NIS2-arbete, t.ex. Belgien, gör liknande bedömningar för sektorn Förvaltning av IKT-tjänster (mellan företag) som PTS. I t.ex. den FAQ som Belgiens cybersäkerhetscenter lagt upp om NIS2 skriver man följande: 

”Next to the definition, the term “business-to-business” in Annex I of the NIS2 law should be understood as referring to all relationships between service providers and other organisations/professionals (companies, public authorities, craftsmen, professions, associations, entities within the same group, etc.), as opposed to services provided to the general public/individuals (‘business-to-customers’). The fact that an entity is not making a profit or commercial use does not appear to be a criterion for excluding an entity from this sector.” (s 44) 

“When one legal entity provides a NIS2 service (e.g. as a managed service provider or as a cloud computing service provider) to another separate legal entity, it can fall under NIS2 (depending on its size), even if the activity is only offered to a limited number of organisations or companies within the same group. However, the situation can be seen differently if two or several organisations are actually sharing data, networks or systems between themselves within a group (and share together the relevant costs) and there is not one specific organisation providing managed services to the others.” (s. 22-23)

Syftet med NIS2-direktivet är att höja cybersäkerheten i unionen, bl.a. genom att motverka incidenter som kan hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för unionens ekonomi och samhälle (skäl 3, NIS2-direktivet). Detta talar för att även tillhandahållande mellan koncernbolag ska kunna omfattas av lagstiftningen. 

Omfattas man av lagen oavsett storlek? 

Det finns storleksregler i NIS2-direktivet som säger att små- och mikroföretag som huvudregel utesluts från tillämpningsområdet, dvs. faller utanför lagen. Det finns dock undantag till denna huvudregel. För mer information om hur man beräknar sin storlek rekommenderar vi EU:s användarhandledning om definitionen av SMF-företag. För vägledning kring vilken storleksregel som gäller för just er verksamhet rekommenderar vi vår e-tjänst: Omfattas vi av CSL?

Hur räknar man ut storleken på sin verksamhet om man till exempel är del av en koncern?

För att räkna ut er verksamhets storlek måste ni beakta anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert företag och ett annat. Vi rekommenderar att ni tar hjälp av EU:s användarhandledning om definitionen av SMF-företag för att beräkna storleken på er verksamhet. Vi rekommenderar även att ni använder PTS e-tjänst Omfattas vi av CSL? för vidare vägledning.

Den del av vår verksamhet som träffas av cybersäkerhetslagen är bara en minimal del av vår totala verksamhet – kan det verkligen vara så att vi omfattas av lagen ändå, fastän vår ”NIS2-del” är så liten?

I denna fråga ska ”vår verksamhet” läsas som den verksamhet som bedrivs av en (1) enskild verksamhetsutövare. Enligt det svenska genomförandet av NIS2-direktivet, cybersäkerhetslagen, ska separata bedömningar göras för varje juridisk person, dvs. enskilt bolag, i frågan om det bedriver sådan verksamhet som omfattas av lagen. I fråga om en koncern ska således en enskild bedömning om omfattning göras för varje koncernföretag, och anmälan till Myndigheten för civilt försvar ska göras för varje företag som anses omfattas av lagen (se prop. 2025/26:28, s. 52). 

Om ni (den enskilde verksamhetsutövaren) uppfyller kriterierna för att omfattas av cybersäkerhetslagen (se PTS e-tjänst Omfattas vi av CSL? för vidare vägledning) så innebär detta att ni omfattas av regleringen, även om själva NIS2-verksamhetsdelen är liten. Det finns ingenting som talar för att det ska göras skillnad mellan ”kärnverksamhet” och ”sidoverksamhet” i regelverket.

Sektorsrelaterade frågor

Vad är en molntjänst enligt NIS2-direktivet? 

Enligt art 6(30) NIS2-direktivet definieras en molntjänst på följande sätt: ”molntjänst: en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser.”

I NIS2-direktivets skäl (33) finns ytterligare skrivelser som utvecklar vad en molntjänst är. Det kan vara bra att läsa både den engelska och den svenska översättningen för att undvika språkförbistring. I skäl (33) omnämns standarden ISO/IEC 17788:2014. Denna standard har uppdaterats och ersatts av ISO/IEC 22123-1:2022 och ISO/IEC 22123-2:2023. PTS har läst dessa standarder bredvid NIS2-direktivets definitioner har och utifrån dessa, samt utifrån kontinuerlig samverkan med andra tillsynsmyndigheter i EU, tagit fram nedan vägledning om molntjänster.

Administration på begäran innebär att en molntjänstkund automatiskt eller efter minimal interaktion med molntjänstleverantören kan få tillgång till resurser vid behov.

Bred fjärråtkomst innebär att användarna kan komma åt tjänsten från flera olika enheter (padda, telefon, dator, etc.), så länge det finns en internetuppkoppling.

Skalbarhet och elasticitet kan beskrivas som funktioner som innebär att resurser snabbt och elastiskt kan levereras, i vissa fall automatiskt, och att resurserna snabbt kan ökas eller minskas utifrån behov och fluktuationer i efterfrågan.

Gemensamma beräkningsresurser handlar om att en molntjänstleverantörs IT-resurser kan läggas samman för att tjäna en eller flera molntjänstkunder samtidigt, utan att kunderna behöver ha inblick i processerna bakom molntjänstleveransen.

Tjänstemodellerna för molntjänster omfattar bland annat infrastruktur som en tjänst (IaaS), plattform som en tjänst (PaaS), program som en tjänst (SaaS).

Se nedan för mer detaljerad information om de olika kriterierna, utifrån PTS förståelse. Samtliga kriterier måste vara uppfyllda för att en tjänst ska räknas som en molntjänst enligt NIS2-direktivets definition. 

Administration på begäran/on-demand administration 

Sammanfattningsvis kan administration på begäran beskrivas som en funktion där en molntjänstkund automatiskt eller efter minimal interaktion med molntjänstleverantören kan få tillgång till resurser vid behov. Fokus för denna huvudegenskap är att molntjänster erbjuder användarna en relativ minskning av de kostnader, den tid och den ansträngning som krävs för att vidta en åtgärd. Tjänsterna ger användarna möjlighet att göra vad de behöver göra, när de behöver göra det, utan att kräva ytterligare mänskliga användarinteraktioner eller administrationskostnader. I de standarder för molntjänster som NIS2-direktivet hänvisar till beskriver man att molntjänstkunden ”automatiskt eller efter minimal interaktion” kan få tillgång till resurser vid behov – det tyder på att det inte är ett strikt krav att resursjusteringen måste kunna ske helt automatiskt/helt utan mänsklig interaktion. Justeringen bör dock inte kräva flera steg eller någon utförlig handpåläggning av en mänsklig medarbetare.

En tumregel kan vara att titta på vad som upplevs av molntjänstkunden som automatiskt. En kund kan uppleva kapacitetsförändringar automatiskt eller inom närtid, men det behöver inte innebära att allt leverantören gör bakom kulisserna är automatiskt eller helt utan mänsklig handpåläggning. En verksamhetsutövare kan t.ex. genomföra manuella RAM eller disk-påfyllningar utan att det behöver innebära att tjänsten de levererar faller utanför definitionen molntjänst. Om kunden inte märker av den manuella handpåläggningen, utan får kapaciteten levererad direkt efter beställning via en självbetjäningsportal, såtillvida att det upplevs automatiskt, så kan detta ändå röra sig om administration på begäran/skalbarhet och elasticitet. 

I standarden ISO/IEC 22123-1/2:2022/2023 skrivs följande om begreppet: ”For the [customer], the resources of cloud services available for provisioning often appear to be unlimited”. 

Jämför detta med en kund till en traditionell datacentraltjänst där kapaciteten vanligen levereras inom dagar, veckor eller månader efter beställning via change request/ticket.

Bred fjärråtkomst/Broad remote access

Sammanfattningsvis kan bred fjärråtkomst beskrivas som en funktion där IT-resurserna finns tillgängliga över ett nätverk och nås via standardiserade mekanismer (telefon, dator, padda, etc.). Fokus för denna huvudegenskap är att molnbaserade tjänster ger en bekvämare användning, användarna kan komma åt IT-resurser från varhelst de arbetar med hjälp av en mängd olika klienter och enheter såsom mobiltelefoner, surfplattor, bärbara datorer och arbetsstationer – så länge det finns en internetuppkoppling.  

Skalbar och elastisk pool / Scalable and elastic pool

Sammanfattningsvis kan skalbarhet och elasticitet beskrivas som en funktion där IT-resurser snabbt och elastiskt kan levereras, i vissa fall automatiskt (se ovan om ”administration på begäran/on-demand administration”) så att resurserna snabbt kan ökas eller minskas. För molntjänstkunden framstår ofta IT-resurser som är åtkomliga som obegränsade och de verkar kunna köpas oavsett mängd, när som helst, med förbehåll för eventuella begränsningar i serviceavtal. Därför är fokus för denna nyckelegenskap inom molntjänster att kunderna inte längre behöver oroa sig för begränsade resurser och kanske inte heller behöver oroa sig för kapacitetsplanering. Ur kundernas perspektiv är nya resurser tillgängliga automatiskt och omedelbart om det behövs och resurserna ger intryck av att vara oändliga, med förbehåll för eventuella begränsningar i serviceavtal.

Märk väl skrivelsen ”med förbehåll för eventuella begränsningar i serviceavtal”. Det bör inte vara avtalsförhållandet som avgör huruvida rekvisitet skalbar och elastisk pool är uppfyllt eller inte. Detta kriterium beskriver den tekniska funktionaliteten snarare än hur avtalet är skrivet mellan molntjänstleverantören och molntjänstkunden. Elasticitet handlar alltså inte om att huruvida kundens avtal tillåter kunden utöka sin tjänst när som helst under avtalets gång, utan snarare om huruvida tjänstens kapacitet kan utöka obemärkt för kunden vid behov.

I standarden ISO/IEC 22123-1/2:2022/2023 skrivs följande om begreppet: ”For the [customer], the resources of cloud services available for provisioning often appear to be unlimited”. 

Gemensamma beräkningsresurser / Shareable computing resources

Sammanfattningsvis kan gemensamma beräkningsresurser/delbara beräkningsresurser beskrivas som en funktion där en molntjänstleverantörs IT-resurser kan läggas samman för att tjäna en eller flera molntjänstkunder. Fokus för denna nyckelegenskap är att molntjänstleverantörer kan stödja fleranvändande samtidigt som de kan använda abstraktion som ett sätt att dölja komplexiteten i processen för kunden. Sett ur kundperspektiv innebär det att allt de vet är att tjänsten fungerar, medan de i allmänhet inte har någon kontroll över, eller kunskap om, hur resurserna tillhandahålls eller var resurserna finns. Detta omfördelar en del av kundens ursprungliga arbetsbelastning (t.ex. underhållskrav) till leverantören. 

Räknas det som molntjänst om vi har ett internt utvecklat molnbaserat affärssystem som enbart används inom vår egen verksamhet?

Nej, för att en verksamhetsutövare ska omfattas av lagstiftningen krävs att den är en leverantör av en molntjänst. Det innebär att tjänsten måste tillhandahållas externt för att den ska träffas av cybersäkerhetslagen.

Vi är operatörer enligt LEK – hur fungerar det för oss med cybersäkerhetslagen?

Om ni tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster så innebär detta automatiskt att ni omfattas av cybersäkerhetslagen. Båda dessa typer av verksamheter, oavsett storlek, omfattas av cybersäkerhetslagen.

Vi är redan anmälda till PTS enligt LEK, men omfattas även av cybersäkerhetslagens anmälningskrav. Räcker det att vi redan anmält oss till er enligt LEK?

Nej, ni måste anmäla er verksamhet ytterligare en gång nu när cybersäkerhetslagen trätt i kraft, även om ni redan har anmält er verksamhet enligt lagen om elektronisk kommunikation (LEK). Anledningen är att ni omfattas av två separata lagstiftningar, och anmälningsskyldigheten skiljer sig mellan de två lagarna (LEK och cybersäkerhetslagen).

Ersätter incidentrapportering och krav på säkerhetsåtgärder  enligt cybersäkerhetslagen ramverket för incidentrapportering samt kraven på säkerhetsåtgärder under eIDAS-förordningen?

Nej. Tillhandahållare av betrodda tjänster är skyldiga att rapportera incidenter och vidta säkerhetsåtgärder även enligt eIDAS-förordningen.

Enligt eIDAS-förordningen ska tillhandahållare av betrodda tjänster rapportera alla säkerhetsincidenter eller störningar vid tillhandahållandet av tjänsten eller genomförandet av de åtgärder som avser registrerings- och anslutningsförfaranden för en tjänst, förfarandemässiga eller administrativa kontroller som krävs för att tillhandahålla betrodda tjänster samt förvaltning och genomförande av betrodda tjänster när dessa har en betydande inverkan på den tillhandahållna betrodda tjänsten eller de personuppgifter som lagras däri.

Viktigt att komma ihåg är att incidenter enligt de två regelverken ska rapporteras på olika sätt. Incidenter som ska rapporteras i enlighet med cybersäkerhetslagen ska rapporteras till Myndigheten för civilt försvar, MCF, medan incidenter som ska rapporteras enligt eIDAS-förordningen ska rapporteras till PTS.

Läs mer om incidentrapportering enligt eIDAS-förordningen här: Rapportera incident av betrodda tjänster | PTS

Läs mer om säkerhetskrav enligt eIDAS-förordningen här: Säkerhetskrav och tillsyn av betrodda tjänster | PTS

Vad ingår i definitionen för post- och budtjänster?

De som omfattas av denna definition är tillhandahållare av posttjänster och tillhandahållare av budtjänster. 

Posttjänster är tjänster som innefattar insamling, sortering, transport och utdelning av postförsändelser. En postförsändelse är en adresserad försändelse i den slutliga form i vilken den ska transporteras av en tillhandahållare av posttjänster. Sådana försändelser omfattar, förutom brevförsändelser, till exempel böcker, kataloger, tidningar och tidskrifter samt postpaket som innehåller varor med eller utan kommersiellt värde.

Begreppet ”budtjänster” definieras inte i NIS2. Skäl 12 i NIS2-direktivet klargör dock att både tillhandahållare av posttjänster och tillhandahållare av budtjänster bör omfattas av direktivet om de tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem. 

Sista meningen i skäl 12 säger att ”Transporttjänster som inte utförs i samband med något av dessa led bör vara undantagna från tillämpningsområdet för posttjänster.”. Denna mening säger, motsatsvis, att transporttjänster som utförs i samband med något av dessa led bör ingå i tillämpningen för posttjänster. Transporttjänster är inte synonymt med posttjänster, men ska ändå ingå i sektorsbeskrivningen för denna sektor, om de uppfyller rekvisitet ”minst ett led i postleveranskedjan”. 

Frågan som ni bör ställa er är därför: ”Tillhandahåller vi minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, och är vi till viss grad beroende av nätverks- och informationssystem?” Om svaret på den frågan är ja, bör ni anses omfattas av cybersäkerhetslagen. Vi rekommenderar att ni även tar hjälp av vår e-tjänst Omfattas vi av CSL? för vidare vägledning.

Säkerhetsåtgärder, incidenthantering och anmälan

Var anmäler vi vår verksamhet enligt cybersäkerhetslagen? 

Hos Myndigheten för civilt försvar: Att anmäla en verksamhet enligt cybersäkerhetslagen

Från vilken tidpunkt startar incidentrapporteringstiderna?

Från det att verksamhetsutövaren fått kännedom om den betydande incidenten.

Vilka säkerhetsåtgärder måste vi vidta?

Läs mer om detta här: Incidentrapportera enligt cybersäkerhetslagen | PTS.

Var rapporterar vi incidenter?

Incidentrapportering ska ske till Myndigheten för civilt försvar, oavsett vilken sektor du tillhör. För mer information om incidentrapportering hänvisar vi till Myndigheten för civilt försvar: Rapportera en betydande incident enligt cybersäkerhetslagen (NIS2).

Om vi får en incident i flera länder och rapporterar det i varje land – kan vi då få böter/sanktionsavgifter i varje land vi rapporterar incidenten?

Sanktionsavgifter kan ni få om ni inte följer reglerna i cybersäkerhetslagen. Endast det faktum att en incident inträffat innebär inte nödvändigtvis att en överträdelse skett. Som en generell rättsprincip kan ni inte få dubbla böter för samma överträdelse.

Vi har verksamheter i flera EU-länder – behöver vi rapportera i alla länder när vi upptäcker en incident?

Det beror på vilken jurisdiktionsregel ni hamnar under.

För de verksamhetsutövare som faller under jurisdiktionsregeln Huvudsakligt Etableringsställe gäller att ni endast behöver rapportera i det medlemsland ni har anmält er verksamhet. Faller ni under jurisdiktionsregeln ”Etablerad” eller ”Tillhandahåller sina tjänster” så kan ni träffas av flera länders NIS2-lagstiftning, och kan behöva incidentrapportera även där. I PTS e-tjänst Omfattas vi av CSL? kan ni läsa mer under steg 2 vilken jurisdiktionsregel just ni faller under.

Uppdaterades: