NIS-direktivet

Ny lag om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Aktörer som levererar samhällsviktiga och digitala tjänster kommer att omfattas av nya säkerhetskrav när det så kallade NIS-direktivet nu börjat gälla i Sverige. Reglerna innebär bland annat att aktörerna ska arbeta systematiskt med informationssäkerhet och rapportera incidenter.

 

En ny lag som genomför direktivet, NIS-lagen trädde i kraft den 1 augusti 2018. Sju myndigheter är utsedda att övervaka tillämpningen av direktivet på nationell nivå. Inspektionen för vård och omsorg (IVO) ansvarar för tillsyn inom hälso- och sjukvårdssektorn.

 

Nätverk och informationssystem spelar en allt viktigare roll i samhället. Grundläggande är att tjänsterna är tillförlitliga och säkra. NIS-direktivet, som är antaget av EU, innehåller åtgärder som ska säkerställa en hög gemensam nivå på säkerhet i nätverk och informationssystem (NIS) inom unionen. IVO deltar i förberedelserna inför den kommande NIS-lagen, som genomför EU-direktivet i Sverige, tillsammans med andra myndigheter, såsom Myndigheten för samhällsskydd och beredskap (MSB).

 

Vad innebär den nya lagen?

Den nya lagen innebär att det ställs nya krav på aktörer som levererar samhällsviktiga och digitala tjänster. De nya kraven handlar om att aktörerna ska arbeta systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter. Utsedda myndigheter kommer att utforma närmare regler och ha tillsynsansvar.

 

Bestämmelser i ett EU-direktiv måste arbetas in i svensk lagstiftning för att börja gälla i Sverige. En ny lag har nu trätt i kraft.

 

Vilka omfattas av den nya lagen?

Flera samhällssektorer omfattas av NIS-lagen, däribland sektorn för hälso- och sjukvård. Digital infrastruktur, energi samt transport är exempel på övriga sektorer.

 

Kriterier som ska definiera vilka leverantörer som kommer att omfattas av NIS-lagen utreds på myndighetsnivå just nu.

 

Tillsynsmyndigheter är utsedda

MSB kommer att ha en central roll för NIS i Sverige. MSB har regeringens uppdrag att vidta åtgärder för att genomföra NIS-direktivet.


IVO är utsedd som tillsynsmyndighet för hälso- och sjukvårdssektor. IVO förbereder sig på olika sätt för att kunna ta tillsynsansvaret.

 

 

 

Bakgrund

I juli 2016 antog Europaparlamentet NIS-direktivet som beskriver vilka åtgärder som ska genomföras inom EU med syfte att minska sårbarheter och höja säkerheten i digitala tjänster och för samhällsviktiga tjänster inom sju olika sektorer. Direktivet ska säkerställa att säkerhetsnivån är densamma i alla EU-länder. Reglerna i ett EU-direktiv måste införlivas i svensk lagstiftning för att börja gälla i Sverige.