Digitala tjänster

Tillförlitliga och säkra tjänster är målet med NIS-lagen. Molntjänster, internetbaserade marknadsplatser och sökmotorer är digitala tjänster som omfattas av lagen.

Syftet med PTS tillsyn är att granska om leverantörer av digitala tjänster uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

arrow Digitala tjänster som omfattas av NIS

Internetbaserad marknadsplats

Tjänst som gör det möjligt för konsumenter eller näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används.

Internetbaserad sökmotor

Digital tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet

Molntjänst

Definieras som en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.

För mer information om dessa digitala tjänster, se sidorna 21-22 i regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster.

arrow Kriterier för att omfattas av NIS

För att en digital tjänst ska omfattas av NIS-lagen krävs att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. Företaget ska även ha en årsomsättning som överstiger tio miljoner kronor och ha 50 eller fler anställda för att omfattas.

NIS gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

Företag med verksamhet i Sverige som tillverkar hårdvara eller som utvecklar mjukvara omfattas inte heller av NIS.

arrow Säkerhetskrav

Säkerhetskraven enligt NIS innebär att företag ska ha ett systematiskt och riskbaserat säkerhetsarbete. Detta innebär i korthet att företag ska vidta tekniska och organisatoriska åtgärder som är ändamålsenliga utifrån de säkerhetsrisker som är identifierade och som hotar säkerheten i nätverk och informationssystem.

Det handlar om att vidta åtgärder som förebygger och minimerar risken för incidenter. Åtgärderna ska säkerställa att de digitala tjänsterna kan levereras utan störningar och avbrott (kontinuitet) och att konsekvenserna minimeras om en incident skulle inträffa.

Säkerhetskraven gäller för de nätverk och informationssystem som används för att tillhandla digitala tjänster inom EU. Kraven för digitala tjänster framgår av 15 och 16 §§ i NIS-lagen, 6 § i NIS-förordningen och artikel 2 i EU-kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018.

Hur företaget lever upp till kraven ska finnas dokumenterade så att PTS kan ta del av dokumentationen om det blir aktuellt för oss att granska en leverantör efter att en incident har inträffat.

arrow Incidentrapportering

Leverantörer av digitala tjänster är skyldiga att rapportera incidenter till MSB från och med den 1 augusti 2018. 

Vad, när och hur incidenter ska rapporteras kommer att framgå av MSB:s föreskrifter om incidentrapportering som träder i kraft den 1 mars 2019. 

Läs mer på MSB:s webbplats

arrow PTS tillsyn

PTS är tillsynsmyndighet för leverantörer av digitala tjänster. Som tillsynsmyndighet granskar vi hur företagen följer NIS-lagen och MSB:s föreskrifter. Huvudsyftet med tillsynen är därmed att bedöma om leverantörerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering. 

För att PTS ska få vidta tillsynsåtgärder mot leverantörer av digitala tjänster krävs att myndigheten har befogad anledning att anta att en leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer. Om PTS genom innehållet i en incidentrapport eller på annat sätt får indikationer på att reglerna inte följs, kan myndigheten inleda ett tillsynsärende. 

PTS ansvarar även för att informera och vägleda företag som omfattas av reglerna.

arrow När måste en företrädare utses?

En leverantör som inte är etablerad inom EU, men som erbjuder digitala tjänster inom unionen, ska utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. Leverantören kan utse en juridisk eller fysisk person som företrädare. Företrädaren ska kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS.

arrow Metodstöd och råd för NIS-förberedelser

Leverantörer som omfattas av NIS kan behöva vidta åtgärder för att stärka informationssäkerheten. MSB:s webbplats finns råd och metodstöd för ett systematiskt och riskbaserade informationssäkerhetsarbete. Här finns även råd gällande incidentrapportering.

arrow Frågor om NIS

Om ni har allmänna frågor om NIS-lagen, kontakta MSB via e-post: fraga.nis@msb.se.

Är ni leverantör av digitala tjänster och berörs av NIS-lagen, kontakta PTS, via e-post: pts@pts.se eller telefon 08-678 55 00 (växel) när det gäller specifika frågeställningar.