Molntjänster

Tillförlitliga och säkra tjänster är målet med NIS-lagen. Molntjänster är en digital tjänst som omfattas av lagen. PTS roll är att granska att kraven på säkerhetsåtgärder och incidentrapportering uppfylls.

Molntjänst är en internetbaserad tjänst som tillhandahåller datalagring, programkörning eller andra it-funktioner. Molntjänster används framför allt för programvaror och tjänster som användare tidigare har haft lokalt lagrade på den egna datorn eller tillgängliga i ett lokalt nätverk. Exempel på molntjänster är Software as a Service (SaaS), Infrastructure as a Service (IaaS) och Plattform as a Service (PaaS). 

Det engelska begreppet för molntjänster är cloud services.

NIS-lagens definition av molntjänst

I NIS-regleringen är den mer specifika definitionen för molntjänster, tjänster som medger åtkomst till en skalbar och elastisk pool av delbara dataresurser. Sådana dataresurser omfattar resurser såsom nätverk, servrar eller annan infrastruktur, lagring, programvaror och tjänster. (2 § i lagen om (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster).

Kriterier för att omfattas av NIS

För att en digital tjänst ska omfattas av NIS-lagen krävs att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. Företaget ska även ha en årsomsättning som överstiger tio miljoner euro eller ha 50 eller fler anställda för att omfattas.

Checklistan hittar ni här

NIS gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

PTS tillsyn

PTS har tillsynsansvar för leverantörer av digitala tjänster. Det innebär att vi informerar och vägleder företag som omfattas av NIS-reglerna.

Vi granskar hur företagen lever upp till lagkraven. Huvudsyftet är att bedöma om leverantörer uppfyller kraven på säkerhetsåtgärder och incidentrapportering. 

När kan PTS inleda tillsyn?

PTS kan vidta tillsynsåtgärder mot leverantörer av digitala tjänster när myndigheten har befogad anledning att anta att en leverantör inte uppfyller lagkraven på säkerhetsåtgärder och incidentrapportering.

Om PTS genom innehållet i en incidentrapport eller på annat sätt får indikationer på att reglerna inte följs, kan myndigheten inleda ett tillsynsärende. 

Metodstöd för säkerhetsarbetet

Leverantörer som omfattas av NIS kan behöva vidta åtgärder för att stärka informationssäkerheten.

MSB:s webbplats finns metodstöd och råd för ett systematiskt och riskbaserade informationssäkerhetsarbete. Här finns även råd om incidentrapportering och beredskap.

Frågor

För frågor om NIS-lagen och digitala tjänster, kontakta PTS via e-post: nis@pts.se eller telefon 08-678 55 00 (växel).