Säkerhetskrav och incidentrapportering

NIS-lagen ställer krav på att leverantörer av digitala tjänster ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter.

Säkerhetskraven i NIS innebär att företag ska ha ett systematiskt och riskbaserat säkerhetsarbete. Företag ska vidta tekniska och organisatoriska åtgärder som är ändamålsenliga utifrån de säkerhetsrisker som är identifierade och som hotar säkerheten i nätverk och informationssystem.

Det handlar om att vidta åtgärder som förebygger och minimerar risken för incidenter. Åtgärderna ska säkerställa att de digitala tjänsterna kan levereras utan störningar och avbrott (kontinuitet) och att konsekvenserna minimeras om en incident skulle inträffa.

Säkerhetskraven gäller för de nätverk och informationssystem som används för att tillhandla digitala tjänster inom EU. Kraven för digitala tjänster framgår av 15 och 16 §§ i NIS-lagen, 6 § i NIS-förordningen och artikel 2 i EU-kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018.

Dokumentera säkerhetskraven

Hur företaget lever upp till kraven ska finnas dokumenterade så att PTS kan ta del av dokumentationen om det blir aktuellt att granska en leverantör efter att en incident har inträffat.

Incidentrapportering

Leverantörer av digitala tjänster ska enligt NIS-reglerna rapportera incidenter som har avsevärd inverkan på tillhandahållandet av tjänsten. Incidentrapporteringen ska göras till Myndigheten för samhällsskydd och beredskap (MSB).

För att kunna rapportera incidenter behövs ett inrapporteringskonto hos MSB. Ansökan om sådant konto görs hos MSB. Ansökningsblankett finns här.

På MSB:s webbplats finns mer information om vilka incidenter som ska rapporteras och när. Här finns formulär för incidentrapportering och vägledning för hur formulären ska fyllas i. Läs mer om incidentrapportering

När incident har rapporterats till MSB vidarebefordrar myndigheten incidentrapporten till PTS för handläggning.