Ny NIS-reglering för samhällsviktig verksamhet

Nya föreskrifter för leverantörer av samhällsviktiga tjänster

MSB (Myndigheten för samhällsskydd och beredskap) har i januari 2024 kommit ut med nya föreskrifter i sin författningssamling. Publikationen har den fullständiga titeln ”MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster”.

Detta är en av flera uppdateringar kring bestämmelserna om samhällsviktiga tjänster. Enligt NIS-lagstiftningen är det obligatoriskt för MSB att regelbundet, minst vartannat år, revidera och uppdatera föreskrifterna om vilka tjänster som betraktas som samhällsviktiga. Målgruppen är primärt offentliga aktörer. Den kan även användas av privata aktörer för att analysera om de tillhandahåller samhällsviktig verksamhet som kan vara nödvändig för totalförsvaret.

Publikationen är skriven i paragrafform med en mängd begreppsförklaringar och kan vara svårgenomtränglig när det gäller att få en grundläggande inblick i detta viktiga ämne. Publikationen kan laddas ner från här.

NIS-lagen föreslås upphävas och ska då ersättas av cybersäkerhetslagen, som ska träda i kraft den 1 januari 2025 enligt den nypublicerade SOU 2024:18.

Kort sammanfattning om vad som gäller för leverantörer av samhällsviktiga tjänster:

NIS och NIS2

NIS-direktivet (The Directive on Security of Network and Information Systems) är en rättsakt från EU som antogs 2016 med syftet att skapa en hög gemensam nivå på säkerheten i nätverk och informationssystem inom samhällsviktiga tjänster i hela unionen.

De samhällsviktiga funktioner som omfattas av NIS-direktivet är uppdelade i sju sektorer enligt nedanstående lista. Varje sektor har tilldelats en tillsynsmyndighet, som ska övervaka regelefterlevnaden på nationell nivå, vilka anges inom parentes.

• Energi (Energimyndigheten)

• Transport (Transportstyrelsen)

• Bankverksamhet (Finansinspektionen)

• Finansmarknadsinfrastruktur (Finansinspektionen)

• Hälso- och sjukvård (Inspektionen för vård och omsorg)

• Leverans och distribution av dricksvatten (Livsmedelsverket)

• Digital infrastruktur (Post- och telestyrelsen)

NIS2-direktivet

NIS-direktivet har nu uppdaterats till NIS2, som träder i kraft den 18 oktober 2024, för att regleringen ska vara bättre anpassat till rådande och framtida säkerhetsbehov. Syftet med det reviderade direktivet är bland annat att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Medan NIS-direktivet har införlivats i svensk rätt i form av lag, förordning och föreskrifter är detta inte fallet för NIS2 än.

NIS2 innebär högre säkerhetskrav och ett antal detaljerade minimikrav som måste uppfyllas. Den innehåller också striktare efterlevnadskrav och striktare tillsynsåtgärder. Fler aktörer kommer dessutom att beröras av det nya direktivet.

De nya verksamheter och tjänster som berörs av NIS2 är:

• Digitala leverantörer (sociala medier, sökmotorer, IKT-tjänster, molnleverantörer)

• Avloppshantering

• Avfallshantering

• Fjärrvärme och fjärrkyla, vätgas

• Livsmedel (produktion, bearbetning mm)

• Offentlig förvaltning (statliga myndigheter, region och ev kommun)

• Tillverkningsindustrin (bilindustrin, medicinska produkter mm)

• Post- och budtjänster

• Rymdverksamhet

• Forskning

Samtliga leverantörer inom NIS och NIS2 ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. De är också skyldiga att rapportera incidenter som påverkar säkerheten och kontinuiteten i tjänsterna.

Vilka de nya tillsynsmyndigheterna blir i NIS2 kommer att beslutas under 2024, men det är möjligt att nuvarande myndigheter får fortsatt mandat att bedriva tillsyn. MSB kommer också fortsätta spela en central roll för samordningen av tillsynsarbetet, och även vad gäller den förstärkta samverkan med nationella och europeiska myndigheter som föreskrivs i NIS2.

Krav på säkerhet

Till skillnad från det första NIS-direktivet är det tydligare föreskrivet i NIS2 vad säkerhetsåtgärderna ska minst inbegripa, vilket är bland annat följande:

• Utforma strategier för kontinuerlig riskanalys av informationssystemets säkerhet.

• Införa en incidenthanteringsplan och beredskaps- och affärskontinuitetsplan.

• Kontrollera säkerheten i hela leverantörskedjan.

• Beakta säkerhet vid inköp, utveckling och underhåll av nätverk och informationssystem.

• Använda kryptering.

Krav på incidentrapportering

Det finns också tydligare riktlinjer om vad som ska vara med i incidentrapporteringen.

Berörda organisationer har 24 timmar på sig att rapportera en inträffad incident. Slutrapport ska ske senast efter en månad.

Dessutom kan tillsynsmyndigheter tillfälligt förhindra ansvariga personer att delta i verksamhetens ledning om de misslyckats med att åtgärda incidenter på ett effektivt sätt.

Det finns också krav på utbildning av personer i ledningen så att de ska förstå risker och utmaningar kopplat till cybersäkerhet.

De berörda verksamheterna ansvarar själva för anmälan till tillsynsmyndighet

Reglerna för anmälan och identifiering av leverantörer av samhällsviktiga tjänster gäller för både offentliga och privata organisationer inom de definierade verksamhetsområdena.

Det är verksamheten själv som ansvarar för att identifiera sig om en samhällsviktig tjänst och att anmäla detta till tillsynsmyndigheter.