Säkerhetskrav och incidentrapportering

NIS-lagen ställer krav på att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter.

Säkerhetskraven innebär i korthet att företag ska vidta åtgärder för att trygga driften av den samhällsviktiga tjänsten. 

Säkerhetskrav

Säkerhetskraven i NIS innebär ett systematiskt och riskbaserat säkerhetsarbete avseende de nätverk och informationssystem som aktören använder för att tillhandhålla den samhällsviktiga tjänsten.

Kraven innebär bland annat följande:

  1. Göra en årlig riskanalys. Riskanalysen ska vara vägledande för de tekniska och organisatoriska säkerhetsåtgärder som behöver vidtas för att hantera risker samt förebygga och minimera de negativa effekterna av incidenter.

  2. Vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken.

  3. Vidta åtgärder för att förebygga och minimera de negativa effekterna av incidenter och  säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.

Mer om säkerhetskrav i MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

Incidentrapportering

Leverantörer som omfattas av NIS är skyldiga att rapportera incidenter till MSB. På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering

MSB vidarebefordrar incidentrapporter till PTS för handläggning.

Starta konto för incidentrapportering

För att kunna incidentrapportera till MSB/CERT-SE behöver MSB starta ett konto för er räkning. MSB behöver därför vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Samtliga uppgifter som behövs för att starta ett konto lämnas i anmälan till PTS.

Läs mer om att starta konto för incidentrapportering och anmäla verksamhet.