Första stegen som leverantör av samhällsviktig tjänst
När ni kommit fram till att ni levererar en samhällsviktig tjänst som är beroende av ett nätverk eller informationssystem där incidenter skulle medföra en betydande störning, så är första stegen:
- att anmäla er som en leverantör av samhällsviktig tjänst
- att vidta säkerhetsåtgärder
- att rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten
Anmälan som leverantör av samhällsviktig tjänst
Ni som inom ramen för NIS-regleringen har identifierat er som en leverantör av en samhällsviktig tjänst, ska anmäla det till Transportstyrelsen. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSBFS 2024:4.
På Transportstyrelsens sida om anmälan hittar ni anmälningsblankett och mer information om hur ni går till väga för att anmäla er verksamhet som NIS-leverantör.
Vidta säkerhetsåtgärder
Ni som leverantör av samhällsviktiga tjänster inom sektor transport ska uppfylla säkerhetskraven i Transportstyrelsens föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom transportsektorn:
Nedan vägledning är framtagen för att användas som stöd för arbetet med säkerhetsåtgärder för NIS-leverantörer inom transportsektorn.
Incidentrapportering
Incidenter som inträffar hos er som NIS-leverantör och som påverkar er leverans av samhällsviktiga tjänster ska rapporteras enligt MSBFS 2018:9.
Rapportering sker i tre skeden till MSB:
- Första skedet ska rapporteras inom sex timmar från det att incidenten upptäckts,
- andra skedet inom 24 timmar och
- tredje skedet inom 4 veckor.
För att kunna avgöra om störningen är så pass stor att incidenten är rapporteringspliktig finns kriterier framtagna inom respektive sektor.
Leverantörer inom transport ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som:
- har pågått i minst en timme och kan antas ha påverkat:
- minst 1000 användare, eller
- ett sammanhängande geografiskt område om minst 10 000 km2, eller
- har pågått i minst två timmar
Ni som NIS-leverantör behöver ha interna regler och arbetssätt på plats för att utan dröjsmål kunna identifiera en rapporteringspliktig incident.
För mer information om vilka incidenter som ska rapporteras och hur det ska rapporteras i olika skeden: Rapportera it-incident som NIS-leverantör (msb.se)
Frågor om NIS-regleringen
Om du har allmänna frågor om NIS-regleringen, mejla registrator@msb.se.
Om du har frågor om NIS-regleringen som rör Transportstyrelsens ansvarsområde, mejla nis@transportstyrelsen.se.