Internetbaserade marknadsplatser

Tillförlitliga och säkra tjänster är målet med NIS-lagen. Internetbaserade marknadsplatser är en typ av digital tjänst som omfattas av lagen. PTS granskar om leverantörer av internetbaserade marknadsplatser uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

Grafisk bild kundvagn

NIS definition av internetbaserad marknadsplats

Internetbaserad marknadsplats är en digital tjänst som gör det möjligt för konsumenter och näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används. (2 § i lagen om (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster).


arrow Kriterier för att omfattas av NIS

För att en digital tjänst ska omfattas av NIS-lagen krävs att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. Företaget ska även ha en årsomsättning som överstiger tio miljoner euro eller ha 50 eller fler anställda för att omfattas.

NIS gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

arrow Säkerhetskrav

Säkerhetskraven enligt NIS innebär att företag ska ha ett systematiskt och riskbaserat säkerhetsarbete. Detta innebär i korthet att företag ska vidta tekniska och organisatoriska åtgärder som är ändamålsenliga utifrån de säkerhetsrisker som är identifierade och som hotar säkerheten i nätverk och informationssystem.

Det handlar om att vidta åtgärder som förebygger och minimerar risken för incidenter. Åtgärderna ska säkerställa att de digitala tjänsterna kan levereras utan störningar och avbrott (kontinuitet) och att konsekvenserna minimeras om en incident skulle inträffa.

Säkerhetskraven gäller för de nätverk och informationssystem som används för att tillhandla digitala tjänster inom EU. Kraven för digitala tjänster framgår av 15 och 16 §§ i NIS-lagen, 6 § i NIS-förordningen och artikel 2 i EU-kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018.

Hur företaget lever upp till kraven ska finnas dokumenterade så att PTS kan ta del av dokumentationen om det blir aktuellt för oss att granska en leverantör efter att en incident har inträffat.

arrow Incidentrapportering

Leverantörer av digitala tjänster ska enligt NIS-reglerna rapportera incidenter som har avsevärd inverkan på tillhandahållandet av tjänsten. Incidentrapporteringen ska göras till Myndigheten för samhällsskydd och beredskap (MSB).

För att kunna rapportera incidenter behövs ett inrapporteringskonto hos MSB. Ansökan om sådant konto görs hos MSB. Ansökningsblankett finns här.

På MSB:s webbplats finns mer information om vilka incidenter som ska rapporteras och när. Här finns formulär för incidentrapportering och vägledning för hur formulären ska fyllas i. Läs mer om incidentrapportering

När incident har rapporterats till MSB vidarebefordrar myndigheten incidentrapporten till PTS för handläggning.

arrow PTS tillsyn

PTS är tillsynsmyndighet för leverantörer av digitala tjänster. Som tillsynsmyndighet granskar vi hur företagen följer NIS-lagen och MSB:s föreskrifter. Huvudsyftet med tillsynen är därmed att bedöma om leverantörerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering. 

För att PTS ska få vidta tillsynsåtgärder mot leverantörer av digitala tjänster krävs att myndigheten har befogad anledning att anta att en leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer. Om PTS genom innehållet i en incidentrapport eller på annat sätt får indikationer på att reglerna inte följs, kan myndigheten inleda ett tillsynsärende. 

PTS ansvarar även för att informera och vägleda företag som omfattas av reglerna.

arrow När måste en företrädare utses?

En leverantör som inte är etablerad inom EU, men som erbjuder digitala tjänster inom unionen, ska utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. Leverantören kan utse en juridisk eller fysisk person som företrädare. Företrädaren ska kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS.

arrow Metodstöd och råd för informationssäkerhetsarbete

Leverantörer som omfattas av NIS kan behöva vidta åtgärder för att stärka informationssäkerheten. På MSB:s webbplats finns metodstöd och råd för ett systematiskt och riskbaserade informationssäkerhetsarbete. Här finns även råd om incidentrapportering och beredskap.

arrow Frågor om NIS

Om ni har allmänna frågor om NIS-lagen, kontakta MSB via e-post: fraga.nis@msb.se.

Är ni leverantör av digitala tjänster och berörs av NIS-lagen, kontakta PTS, via e-post: pts@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.