Internetbaserade marknadsplatser
Tillförlitliga och säkra tjänster är målet med NIS-lagen. Internetbaserade marknadsplatser är en typ av digital tjänst som omfattas av lagen. PTS granskar om leverantörer av internetbaserade marknadsplatser uppfyller kraven på säkerhetsåtgärder och incidentrapportering.
NIS definition av internetbaserad marknadsplats
Internetbaserad marknadsplats är en digital tjänst som gör det möjligt för konsumenter och näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används. (2 § i lagen om (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster).
Kriterier för att omfattas av NIS
För att en digital tjänst ska omfattas av NIS-lagen krävs att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. Företaget ska även ha en årsomsättning som överstiger tio miljoner euro och ha 50 eller fler anställda för att omfattas.
NIS gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.
Företag med verksamhet i Sverige som tillverkar hårdvara eller som utvecklar mjukvara omfattas inte heller av NIS.
Säkerhetskrav
Säkerhetskraven enligt NIS innebär att företag ska ha ett systematiskt och riskbaserat säkerhetsarbete. Detta innebär i korthet att företag ska vidta tekniska och organisatoriska åtgärder som är ändamålsenliga utifrån de säkerhetsrisker som är identifierade och som hotar säkerheten i nätverk och informationssystem.
Det handlar om att vidta åtgärder som förebygger och minimerar risken för incidenter. Åtgärderna ska säkerställa att de digitala tjänsterna kan levereras utan störningar och avbrott (kontinuitet) och att konsekvenserna minimeras om en incident skulle inträffa.
Säkerhetskraven gäller för de nätverk och informationssystem som används för att tillhandla digitala tjänster inom EU. Kraven för digitala tjänster framgår av 15 och 16 §§ i NIS-lagen, 6 § i NIS-förordningen och artikel 2 i EU-kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018.
Hur företaget lever upp till kraven ska finnas dokumenterade så att PTS kan ta del av dokumentationen om det blir aktuellt för oss att granska en leverantör efter att en incident har inträffat.
Incidentrapportering
Leverantörer av digitala tjänster är skyldiga att rapportera incidenter till MSB från och med den 1 augusti 2018.
På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering.
MSB vidarebefordrar incidentrapporter till PTS för handläggning.
PTS tillsyn
PTS är tillsynsmyndighet för leverantörer av digitala tjänster. Som tillsynsmyndighet granskar vi hur företagen följer NIS-lagen och MSB:s föreskrifter. Huvudsyftet med tillsynen är därmed att bedöma om leverantörerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering.
För att PTS ska få vidta tillsynsåtgärder mot leverantörer av digitala tjänster krävs att myndigheten har befogad anledning att anta att en leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer. Om PTS genom innehållet i en incidentrapport eller på annat sätt får indikationer på att reglerna inte följs, kan myndigheten inleda ett tillsynsärende.
PTS ansvarar även för att informera och vägleda företag som omfattas av reglerna.
När måste en företrädare utses?
En leverantör som inte är etablerad inom EU, men som erbjuder digitala tjänster inom unionen, ska utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. Leverantören kan utse en juridisk eller fysisk person som företrädare. Företrädaren ska kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS.
Metodstöd och råd för informationssäkerhetsarbete
Leverantörer som omfattas av NIS kan behöva vidta åtgärder för att stärka informationssäkerheten. På MSB:s webbplats finns metodstöd och råd för ett systematiskt och riskbaserade informationssäkerhetsarbete. Här finns även råd om incidentrapportering och beredskap.
Frågor om NIS
Om ni har allmänna frågor om NIS-lagen, kontakta MSB via e-post: fraga.nis@msb.se.
Är ni leverantör av digitala tjänster och berörs av NIS-lagen, kontakta PTS, via e-post: pts@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.