Incidenter i informationssäkerhetssystem (NIS)

Hälso- och sjukvårdssektorn berörs av lagstiftningen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster, den så kallade NIS-lagen.

Lagen innebär att aktörer som levererar samhällsviktiga och digitala tjänster, exempelvis hälso- och sjukvård, ska arbeta systematiskt och riskbaserat med informationssäkerhet. Ett övergripande syfte är att vårdgivarna ska ha en hög driftsäkerhet i sina nätverk och informationssystem. 

IVO är tillsynsmyndighet för hälso- och sjukvårdssektorn och därför ska vårdgivare som uppfyller vissa förutsättningar anmäla sig som leverantör av samhällsviktig tjänst till IVO.  

Incidenter som har betydande inverkan på kontinuiteten i en samhällsviktig tjänst ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB). 

Incidentrapporterna som kommer till MSB överförs till IVO, och IVO granskar dessa och bedömer bland annat om adekvata åtgärder har vidtagits. 

Här kan du läsa mer om det nya NIS 2-direktivet, Directive on Security of Network and Information Systems, som beräknas bli klart under året.

Anmälan som leverantör av samhällsviktig tjänst

Den vårdgivare eller apotek som inom ramen för NIS-regleringen identifierar sig som en leverantör av en samhällsviktig tjänst, ska anmäla sig till IVO. Anmälningsskyldigheten är lagstadgad och regleras i MSB:s föreskrifter för anmälan och identifiering av samhällsviktiga tjänster (MSBFS 2018:7). 

Här kan du läsa mer om hur du som vårdgivare eller apotek anmäler dig som leverantör av samhällsviktig tjänst.

Rapportering av incidenter

MSB är mottagare av incidentrapporter. Här kan du läsa på MSB:s sajt om hur din organisation rapporterar incidenter till MSB.

Polisanmälan av it-incidenter som orsakats av angrepp. 
Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Läs mer på MSB.se.

Bakgrund

Nätverk och informationssystem spelar en allt viktigare roll i samhället. Tjänsterna måste vara tillförlitliga och säkra. NIS-direktivet, som är antaget av EU, beskriver vad som ska göras för att minska sårbarheten och höja säkerheten i samhällsviktiga digitala tjänster inom sju olika sektorer, däribland hälso- och sjukvården.