Transportstyrelsen - till startsidan

E-tjänster

Sök

Meny

Start

Stäng

Vägtrafik

Stäng

Luftfart

Stäng

Sjöfart

Stäng

Järnväg

Stäng

Om oss

Stäng

David Grenabo och Linus Johansson Krafve - Transportstyrelsen

Fråga 1

Enligt tidigare fråga blir det endast Trafikverket som enda infrastrukturförvaltare som blir träffad av NIS. Hur tänker ni där utifrån begränsande kraven om vem som omfattas? 

Svar

Infrastrukturförvaltare som omfattas av NIS2 är de verksamhetsutövare som särskilt ansvarar för att anlägga, förvalta och underhålla järnvägsinfrastruktur, inklusive trafikledning, trafikstyrning och signalering. Med järnvägsinfrastruktur avses spår-, signal- och säkerhetsanläggningar avsedda för järnvägstrafik, trafikledningsanläggningar, anordningar för elförsörjning av trafiken samt övriga fasta anordningar som behövs för anläggningarnas bestånd, drift eller brukande.

Förvaltare av privata anslutningslinjer, som till exempel sidospår och linjer i industrianläggningar, omfattas ej av NIS2.

Observera att även järnvägsföretag enligt definitionen i artikel 3.1 i direktiv 2012/34/EU, inbegripet tjänsteleverantörer enligt definitionen i artikel 3.12 i det direktivet omfattas av NIS2.

Fråga 2         

Finns det kopplingar mellan GDPR och cybersäkerhetslagen? Skydda olika typer av uppgifter och var uppgifter får lagras? 

Svar

Det finns beröringspunkter, även om regleringarna syftar till olika saker. Medan GDPR handlar om att skydda personuppgifter handlar NIS2/cybersäkerhetslagen om att säkra tillhandahållande och drift av verksamhet. Beröringspunkter handlar t.ex. om eventuellt överlappande krav på säkerhet när det gäller lagring och överföring av personuppgifter. Likaså kan en incident vara rapporteringspliktig enligt båda regleringarna. Observera att NIS2 uppställer särskilda och långtgående skyldigheter som inte uppfylls automatiskt genom efterlevnad av GDPR.

Fråga 3                                   

50 sysselsatt är ett kriterie för att omfattas. Vilken part träffas av detta när ett företag hyr ut personal till annat företag, givet att inget av företagen har fler än 50 sysselsatt exklusive den in/uthyrda personalen. 

Svar

Frågan är inte så lätt att avgöra utan mer information om de exakta anställningsförhållandena. För att omfattas av NIS2 ska företaget motsvara det som inom EU definieras som ett medelstort företag. Ett sådant företag sysselsätter minst 50 personer och huvudregeln är att det är antal anställda (som årsarbetskrafter) som ska räknas. För att avgöra om inhyrd personal i detta hänseende ska räknas in som sysselsatta hänvisar kommissionens rekommendation 2003/361/EG till den ”som i nationell rätt jämställs med löntagare”. 

Myndigheten för civilt försvar har publicerat en vägledning för hur storleken på verksamhetsutövaren ska beräknas:

Vägledning för anmälan och identifiering av verksamhetsutövare som omfattas av cybersäkerhetslagen