Nät- & informationssäkerhet

Publicerat av: Emma Johansson ·

Dagens samhälle är mer sårbart än någonsin tidigare eftersom grundläggande funktioner som tillgång till energi, sker genom digitala nätverk och informationssystem. Ett enda avbrott kan få förödande konsekvenser för enskilda verksamheter och ytterst för hela samhället. Därför behöver vi ställa högre krav på digitala tjänsters säkerhet och här kommer NIS-lagstiftningen in i bilden. 

Vad är NIS?

Som en reaktion på utvecklingen antog EU NIS-direktivet (2016/1148) för att åstadkomma EU-gemensam hög nivå på säkerhet i nätverk och informationssystem. Lagstiftningen omfattar både samhällsviktiga och digitala tjänster. 

NIS-direktivet genomfördes i svensk rätt 2018 genom Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISL) och Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISF). NIS-lagen gäller inte om säkerhetsskyddslagen är tillämplig enligt 8 § NISL.

Syfte med NIS-lagstiftningen

Syftet med NIS-lagstiftningen är att uppnå en hög nivå av säkerhet i nätverk och informationssystem för samhällsviktiga tjänster. Detta ska uppnås genom krav på införande av systematiskt och riskbaserat informationssäkerhetsarbete och incidentrapportering. Organisationen ska också vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuitet. Energimyndigheten har tagit fram sektorsspecifik föreskrift för riskanalys och säkerhetsåtgärder för nätverk och informationssäkerhetssystem inom energisektorn (STEMFS 2021:3).

Efterlevnad av regelverket följs upp genom tillsyn.För elförsörjningen är det Energimyndigheten som är tillsynsmyndighet för hela NIS-lagstiftningen.

Vem omfattas?

NIS omfattar leverantörer av samhällsviktiga tjänster som anges i bilaga 2 till NIS-direktivet som tillhandahåller en samhällsviktig tjänst:

  1. Aktören ska vara av det slag som anges i bilaga 2 till NIS-direktivet.
  2. Aktören ska tillhandahålla en samhällsviktig tjänst.
  3. Aktören ska vara etablerad i Sverige.
  4. Tillhandahållandet av tjänsten ska vara beroende av nätverk och
  5. En incident skulle medföra en betydande störning vid
    tillhandahållandet av tjänsten.

Den egna organisationen bär själv ansvar för att undersöka om organisationen lyder under NIS-lagstiftningen. Vägledning för identifiering och huruvida den egna organisationen omfattas av NIS-lagstiftningen eller ej, hänvisas till Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter för anmälan och identifiering (MSBFS 2021:9). Föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster MSBFS 2021:9 träder i kraft den 1 mars 2022 och ersätter då MSBFS 2018:7. Anmälan sker till Energimyndigheten.

Incidentrapportering

I Sverige ska de incidenter som omfattas av lagens rapporteringsplikt rapporteras till MSB. Kraven kring incidentrapportering beskrivs i MBS:s föreskrift om informationssäkerhet för samhällsviktiga tjänster (MSBFS 2018:8). Incidentrapporter som rör energisektorn kommer MSB att vidarebefordra till Energimyndigheten. Mer information om på vilket sätt NIS-leverantörerna förväntas rapportera incidenter till MSB, samt gällande föreskrift, finns på MSB:s hemsida.  

Anmälan av förändringar 

Om ert företag inte längre uppfyller kriterierna som leverantör av samhällsviktig tjänst ska ni meddela Energimyndigheten. Ni ska även meddela förändringar av kontaktpersoner.

Ytterligare information om informationssäkerhet  

Uppe till höger kan några dokument av vikt för nät- och informationssäkerhet nås . Det handlar om klassning av information för att kunna ställa tydliga krav på verksamheten och externa leverantörer. Här finns också en presentation av en strategi för säkerhet i sju punkter, samt två GAP-analyser som stöd för att identifiera förbättringsmetoder.

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se