Samhällsviktiga tjänster (digital infrastruktur)

Tillförlitliga och säkra tjänster är målet med NIS-lagen. Leverantörer av DNS-tjänster och registreringsenheter för toppdomäner är samhällsviktiga tjänster som omfattas av lagen och som PTS har tillsynsansvar för.

Grafisk bild organisationsschema

Flera samhällssektorer levererar samhällsviktiga tjänster och omfattas av NIS-lagen. PTS är tillsynsmyndighet för samhällsviktiga tjänster inom sektorn digital infrastruktur.

arrow Tjänster som ingår i digital infrastruktur

Följande typer av tjänster ingår i sektorn digital infrastruktur:

  • Leverantörer av DNS-tjänster
  • Registreringsenheter för toppdomäner (även kallad toppdomänadministratör)

Företag som omfattas av NIS-lagen ska själva identifera om de omfattas. Flera kriterier ska vara uppfyllda för att ett företag ska anses leverera en samhällsviktig tjänst enligt NIS, läs mer under rubriken ”Identifiera samhällsviktig tjänst”.

På EU-nivå är internetknutpunkter (IXP) inkluderade i NIS-direktivet. I Sverige anses dock den här typen av tjänster falla in under lagen om elektronisk kommunikation (LEK), se sida 25 i regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster. 

arrow Säkerhetskrav

Säkerhetskraven i NIS innebär att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat säkerhetsarbete avseende de nätverk och informationssystem som de använder för att tillhandhålla samhällsviktiga tjänster.

Det innebär bland annat följande:

  • Göra en årlig riskanalys. Riskanalysen ska vara vägledande för de tekniska och organisatoriska säkerhetsåtgärder som behöver vidtas för att hantera risker samt förebygga och minimera de negativa effekterna av incidenter.
  • Vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken.
  • Vidta åtgärder för att förebygga och minimera de negativa effekterna av incidenter och  säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.

Mer om säkerhetskrav i MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

arrow Incidentrapportering

Leverantörer som omfattas av NIS är skyldiga att rapportera incidenter till MSB från och med den 1 mars 2019. 

På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering

MSB vidarebefordrar incidentrapporter till PTS för handläggning.

Starta konto för incidentrapportering

För att kunna incidentrapportera till MSB/CERT-SE behöver MSB starta ett konto för er räkning. MSB behöver därför vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Samtliga uppgifter som behövs för att starta ett konto lämnas i anmälan till PTS.

Läs mer om att starta konto för incidentrapportering och anmäla verksamhet.

 

arrow PTS tillsyn

PTS är tillsynsmyndighet för leverantörer av digital infrastruktur. I vår tillsyn granskar vi hur företagen följer lagen och MSB:s föreskrifter. Vi bedriver både planlagd och händelsestyrd tillsyn.

PTS har rätt att ta fram sektorsspecifika föreskrifter om säkerhetsåtgärder utöver det som stadgas i MSB:s föreskrifter. 

arrow Sanktioner

Företag som bryter mot reglerna om anmälningsplikt, säkerhetsåtgärder eller skyldigheten att rapportera incidenter ska betala en sanktionsavgift. Avgiftens storlek bestäms med hänsyn tagen till följande:

  • Skadans omfattning eller risk för skada som uppstått till följd av överträdelsen.
  • Om leverantören tidigare har begått en överträdelse.
  • Kostnader som leverantören har undvikit till följd av överträdelsen.

Sanktionsavgiften är som lägst 5 000 kronor och högst 10 000 000 kronor. Avgiften får efterges helt eller delvis under vissa förutsättningar.

arrow Metodstöd och råd för informationssäkerhetsarbete

Leverantörer som omfattas av NIS kan behöva vidta åtgärder för att stärka informationssäkerheten. MSB:s webbplats finns metodstöd och råd för ett systematiskt och riskbaserade informationssäkerhetsarbete. Här finns även råd om incidentrapportering och beredskap.

arrow Frågor om NIS

Om ni har allmänna frågor om NIS-lagen, kontakta MSB via e-post: fraga.nis@msb.se.

Är ni leverantör av digital infrastruktur och berörs av NIS-lagen, kontakta PTS, via e-post: pts@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.