Säkerhetskrav och incidentrapportering

NIS-lagen ställer krav på att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt säkerhetsarbete och rapportera incidenter.

Säkerhetskraven innebär i korthet att företag ska vidta åtgärder för att trygga driften av den samhällsviktiga tjänsten. 

Säkerhetskrav

Säkerhetskraven i NIS innebär ett systematiskt och riskbaserat säkerhetsarbete avseende de nätverk och informationssystem som aktören använder för att tillhandhålla den samhällsviktiga tjänsten.

Kraven innebär bland annat följande:

  1. Göra en årlig riskanalys. Riskanalysen ska vara vägledande för de tekniska och organisatoriska säkerhetsåtgärder som behöver vidtas för att hantera risker samt förebygga och minimera de negativa effekterna av incidenter.

  2. Vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och säkerställa en lämplig nivå på säkerheten i förhållande till risken.

  3. Vidta åtgärder för att förebygga och minimera de negativa effekterna av incidenter och  säkerställa kontinuitet av den samhällsviktiga tjänsten om en incident inträffar.

Mer om säkerhetskrav i MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

Förslag på föreskrifter om säkerhetsåtgärder från PTS

PTS föreskriftsförslag november 2020

PTS har under 2020 tagit fram ett förslag på föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur. Förslaget remitterades till marknaden under sommaren 2020. PTS har i november 2020 beslutat att notifiera föreskrifterna till EU-kommissionen. Detta innebär att PTS tidigast kan fatta beslut om föreskrifterna i april 2021, innebärande att de tidigast kan träda i kraft i april 2021.

Incidentrapportering

Leverantörer som omfattas av NIS är skyldiga att rapportera incidenter till MSB. På MSB:s webbplats finns information när och vilken typ av incidenter som ska rapporteras. Läs mer om incidentrapportering

MSB vidarebefordrar incidentrapporter till PTS för handläggning.

Starta konto för incidentrapportering

För att kunna incidentrapportera till MSB/CERT-SE behöver MSB starta ett konto för er räkning. MSB behöver därför vissa personuppgifter om den som ska vara ansvarig rapportör för kontot. Samtliga uppgifter som behövs för att starta ett konto lämnas i anmälan till PTS.

Läs mer om att starta konto för incidentrapportering och anmäla verksamhet.