Säkerhetskrav och incidentrapportering
NIS-lagen ställer krav på att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter.
Säkerhetskraven innebär i korthet att företag ska vidta åtgärder för att trygga driften av den samhällsviktiga tjänsten.
Säkerhetskrav
Säkerhetskraven i NIS innebär ett systematiskt och riskbaserat säkerhetsarbete avseende de nätverk och informationssystem som aktören använder för att tillhandhålla den samhällsviktiga tjänsten.
Kraven innebär bland annat följande:
- Göra en årlig riskanalys. Riskanalysen ska vara vägledande för de tekniska och organisatoriska säkerhetsåtgärder som behöver vidtas för att hantera risker samt förebygga och minimera de negativa effekterna av incidenter.
- Vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken.
- Vidta åtgärder för att förebygga och minimera de negativa effekterna av incidenter och säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.
Mer om säkerhetskrav i MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster.
Förslag på föreskrifter om säkerhetsåtgärder från PTS
PTS föreskriftsförslag november 2020
PTS har under 2020 tagit fram ett förslag på föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur. Förslaget remitterades till marknaden under sommaren 2020. PTS har i november 2020 beslutat att notifiera föreskrifterna till EU-kommissionen. Detta innebär att PTS tidigast kan fatta beslut om föreskrifterna i april 2021, innebärande att de tidigast kan träda i kraft i april 2021.
Incidentrapportering
Leverantörer som omfattas av NIS är skyldiga att rapportera incidenter till MSB. På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering.
MSB vidarebefordrar incidentrapporter till PTS för handläggning.
Starta konto för incidentrapportering
För att kunna incidentrapportera till MSB/CERT-SE behöver MSB starta ett konto för er räkning. MSB behöver därför vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Samtliga uppgifter som behövs för att starta ett konto lämnas i anmälan till PTS.
Läs mer om att starta konto för incidentrapportering och anmäla verksamhet.