NIS-direktivet

Företag som levererar samhällsviktiga tjänster (digital infrastruktur) och vissa digitala tjänster omfattas av nya säkerhetskrav i och med att NIS-lagen trädde i kraft i Sverige den 1 augusti 2018.

Reglerna innebär bland annat att företagen ska arbeta systematiskt med informationssäkerhet och rapportera incidenter. Lagen trädde i kraft den 1 augusti 2018 och Transportstyrelsen är tillsynsmyndighet inom transportsektorn.

Anmälan för leverantörer av samhällsviktiga tjänster

Den som inom ramen för NIS-regleringen identifierat sig som en leverantör av en samhällsviktig tjänst, ska anmäla det till berörd tillsynsmyndighet – för transportområdet är Transportstyrelsen tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSBFS 2021:9 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

På vår sida om anmälan hittar du anmälningsblankett och mer information om hur du går till väga.

Tillsyn och nya föreskrifter för NIS inom transportsektorn

Tillsyn

Under hösten 2022 kommer Transportstyrelsen att påbörja tillsyn av anmälningsplikt hos verksamhetsutövare i transportsektorn som omfattas av lagen (2018:1174) om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Underlåtelse från en verksamhetsutövare att anmäla sig som leverantör av en samhällsviktig tjänst innebär att Transportstyrelsen kommer att ta ut en sanktionsavgift.

Sanktionsavgift

Enligt 29 § lagen (2018:1174) om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster har Transportstyrelsen skyldighet att ta ut en sanktionsavgift om en verksamhetsutövare underlåter sig att:

  1. Anmäla sig som en leverantör av samhällsviktig tjänst
  2. Vidta säkerhetsåtgärder
  3. Rapportera incidenter

Sanktionsavgiftens storlek bestäms av flera olika faktorer såsom den skada eller risk för skada som uppstått till följd av överträdelsen, de kostnader som leverantören har undvikit till följd av överträdelsen samt om verksamhetsutövaren tidigare begått en sanktionsgrundande överträdelse.

Vad innebär lagen?

Lagen innebär att det ställs krav på företag som levererar samhällsviktiga och digitala tjänster. Kraven handlar om att företagen ska arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter.

 

Metodstöd för systematiskt informationssäkerhetsarbete

Klicka på bilden för högre upplösning.

Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se

NIS-direktivet omfattar samtliga trafikslag inom transportsektorn

För detaljerad information kring omfattning, se MSBs föreskrift om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

MSB samordnar

Myndigheten för samhällsskydd och beredskap, MSB, har en samordnande roll för NIS-lagen i Sverige. Det innebär bland annat att de tar fram övergripande regler för alla sektorer som omfattas av NIS-lagen. 

Information om NIS-direktivet på MSB:s webbplats 

Frågor om NIS-direktivet

Om du har allmänna frågor om NIS-direktivets genomförande i Sverige, mejla registrator@msb.se.

För frågor till Transportstyrelsen, mejla nis@transportstyrelsen.se

Bakgrund

I juli 2016 antog Europaparlamentet NIS-direktivet som beskriver vilka åtgärder som ska genomföras inom EU med syfte att minska sårbarheter och höja säkerheten i digitala tjänster och för samhällsviktiga tjänster inom sju olika sektorer. Direktivet ska säkerställa att säkerhetsnivån är densamma i alla EU-länder. Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige.

Lagrådsremiss Informationssäkerhet för samhällsviktiga och digitala tjänster

Regeringens utredning och betänkande ”Informationssäkerhet för samhällsviktiga och digitala tjänster”, SOU 2017:36

EU-kommissionens genomförandeförordning avseende digitala tjänster

Hade du nytta av informationen på den här sidan?

Tack för att du lämnade ett omdöme!