NIS-direktivet
Företag som levererar samhällsviktiga tjänster (digital infrastruktur) och vissa digitala tjänster omfattas av nya säkerhetskrav i och med att NIS-lagen trädde i kraft i Sverige den 1 augusti 2018.
Reglerna innebär bland annat att företagen ska arbeta systematiskt med informationssäkerhet och rapportera incidenter. Lagen trädde i kraft den 1 augusti 2018 och Transportstyrelsen är tillsynsmyndighet inom transportsektorn.
Anmälan för leverantörer av samhällsviktiga tjänster
Den som inom ramen för NIS-regleringen identifierat sig som en leverantör av en samhällsviktig tjänst, ska anmäla det till berörd tillsynsmyndighet – för transportområdet är Transportstyrelsen tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSBFS 2021:9 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.
På vår sida om anmälan hittar du anmälningsblankett och mer information om hur du går till väga.
Tillsyn och nya föreskrifter för NIS inom transportsektorn
Tillsyn
Under hösten 2022 kommer Transportstyrelsen att påbörja tillsyn av anmälningsplikt hos verksamhetsutövare i transportsektorn som omfattas av lagen (2018:1174) om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.
Underlåtelse från en verksamhetsutövare att anmäla sig som leverantör av en samhällsviktig tjänst innebär att Transportstyrelsen kommer att ta ut en sanktionsavgift.
Sanktionsavgift
Enligt 29 § lagen (2018:1174) om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster har Transportstyrelsen skyldighet att ta ut en sanktionsavgift om en verksamhetsutövare underlåter sig att:
- Anmäla sig som en leverantör av samhällsviktig tjänst
- Vidta säkerhetsåtgärder
- Rapportera incidenter
Sanktionsavgiftens storlek bestäms av flera olika faktorer såsom den skada eller risk för skada som uppstått till följd av överträdelsen, de kostnader som leverantören har undvikit till följd av överträdelsen samt om verksamhetsutövaren tidigare begått en sanktionsgrundande överträdelse.
Vad innebär lagen?
Lagen innebär att det ställs krav på företag som levererar samhällsviktiga och digitala tjänster. Kraven handlar om att företagen ska arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter.
Klicka på bilden för högre upplösning.
Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se
NIS-direktivet omfattar samtliga trafikslag inom transportsektorn
För detaljerad information kring omfattning, se MSBs föreskrift om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.
MSB samordnar
Myndigheten för samhällsskydd och beredskap, MSB, har en samordnande roll för NIS-lagen i Sverige. Det innebär bland annat att de tar fram övergripande regler för alla sektorer som omfattas av NIS-lagen.
Information om NIS-direktivet på MSB:s webbplats
Frågor om NIS-direktivet
Om du har allmänna frågor om NIS-direktivets genomförande i Sverige, mejla registrator@msb.se.
För frågor till Transportstyrelsen, mejla nis@transportstyrelsen.se
Bakgrund
I juli 2016 antog Europaparlamentet NIS-direktivet som beskriver vilka åtgärder som ska genomföras inom EU med syfte att minska sårbarheter och höja säkerheten i digitala tjänster och för samhällsviktiga tjänster inom sju olika sektorer. Direktivet ska säkerställa att säkerhetsnivån är densamma i alla EU-länder. Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige.
Lagrådsremiss Informationssäkerhet för samhällsviktiga och digitala tjänster
EU-kommissionens genomförandeförordning avseende digitala tjänster
Hade du nytta av informationen på den här sidan?
Tack för att du lämnade ett omdöme!