NIS och NIS 2 om åtgärder för hög cybersäkerhetsnivå

Publicerat av: Emma Johansson ·

Dagens samhälle är mer sårbart än någonsin tidigare eftersom grundläggande funktioner som tillgång till energi, sker genom digitala nätverk och informationssystem. Ett långvarigt avbrott kan få förödande konsekvenser för enskilda verksamheter och ytterst för hela samhället. Därför behöver vi ställa högre krav på digitala tjänsters säkerhet och här kommer en uppdatering till NIS 2 direktivet  in i bilden. 

Fokus vid tillsyn under hösten

Vid nästa tillsynsomgång kommer Energimyndigheten främst att granska följande delar:

  • 1 kap. 2 § om att analysera och identifiera vilka nätverk och informationssystem som är viktiga för den samhällsviktiga tjänsten

  • 2 kap. 1 § om riskanalys

  • 4 kap. 1, 2 och 4 §§ om säkerhetsåtgärder

Vad är NIS 2?

Som en reaktion på utvecklingen sedan EU antog NIS-direktivet (2016/1148) har nu en uppdatering skett, den så kallade NIS-2 direktivet (2022/2555) för att åstadkomma EU-gemensam åtgärder för en hög cybersäkerhetsnivå. Lagstiftningen omfattar både samhällsviktiga och digitala tjänster samt flera nya sektorer. Preliminärt kommer NIS2 träda ikraft januari 2025.

I och med den snabba digitala omställningen och sammankopplingen av samhället har cyberhot medfört nya utmaningar som kräver anpassade, samordnade och innovativa åtgärder i alla medlemsstater. Incidenter, som blir allt fler och mer omfattande och sofistikerade får allt större inverkan och utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Incidenter hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för ekonomi och
samhälle. Beredskap och ändamålsenlighet på cybersäkerhetsområdet är därför nu viktigare än någonsin för att den
inre marknaden ska fungera väl. Cybersäkerhet är dessutom en viktig förutsättning för att många kritiska sektorer, som energisektorn,
ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar.

Direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)

Nuvarande NIS-direktivet genomfördes i svensk rätt 2018 genom Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISL) och Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISF). NIS-lagen gäller inte om säkerhetsskyddslagen är tillämplig enligt 8 § NISL.

Syfte med NIS-lagstiftningen

Syftet med NIS-lagstiftningen är att uppnå en hög nivå av säkerhet i nätverk och informationssystem för samhällsviktiga tjänster. Detta ska uppnås genom krav på införande av systematiskt och riskbaserat informationssäkerhetsarbete och incidentrapportering. Organisationen ska också vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuitet. Energimyndigheten har tagit fram sektorsspecifik föreskrift för riskanalys och säkerhetsåtgärder för nätverk och informationssäkerhetssystem inom energisektorn (STEMFS 2021:3). Samt vägledning på föreskriften: Vägledning till Statens Energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (ER 2022:17)

Efterlevnad av regelverket följs upp genom tillsyn.För energiförsörjningen är det Energimyndigheten som är tillsynsmyndighet för hela NIS-lagstiftningen.

Vem omfattas?

Tröskelvärden för nya sektorer inom NIS 2 har ännu inte fastställts på natinell nivå. För omfattning av nuvarande NIS-leverantörer som omfattar leverantörer av samhällsviktiga tjänster som anges i bilaga 2 till NIS-direktivet som tillhandahåller en samhällsviktig tjänst:

  1. Aktören ska vara av det slag som anges i bilaga 2 till NIS-direktivet.
  2. Aktören ska tillhandahålla en samhällsviktig tjänst.
  3. Aktören ska vara etablerad i Sverige.
  4. Tillhandahållandet av tjänsten ska vara beroende av nätverk och
  5. En incident skulle medföra en betydande störning vid
    tillhandahållandet av tjänsten.

Den egna organisationen bär själv ansvar för att undersöka om organisationen lyder under nuvarande NIS-lagstiftningen (NIS 1). Vägledning för identifiering och huruvida den egna organisationen omfattas av NIS-lagstiftningen eller ej, hänvisas till Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter för anmälan och identifiering (MSBFS 2021:9). Föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster MSBFS 2021:9 trädde i kraft den 1 mars 2022 och ersätte då MSBFS 2018:7. Anmälan sker till Energimyndigheten.

Incidentrapportering

I Sverige ska de incidenter som omfattas av lagens rapporteringsplikt rapporteras till MSB. Kraven kring incidentrapportering beskrivs i MBS:s föreskrift om informationssäkerhet för samhällsviktiga tjänster (MSBFS 2018:8). Incidentrapporter som rör energisektorn kommer MSB att vidarebefordra till Energimyndigheten. Mer information om på vilket sätt NIS-leverantörerna förväntas rapportera incidenter till MSB, samt gällande föreskrift, finns på MSB:s hemsida.  

Anmälan av förändringar 

Om ert företag inte längre uppfyller kriterierna som leverantör av samhällsviktig tjänst ska ni meddela Energimyndigheten. Ni ska även meddela förändringar av kontaktpersoner.

Ytterligare information om informationssäkerhet  

Uppe till höger kan några dokument av vikt för nät- och informationssäkerhet nås . Det handlar om klassning av information för att kunna ställa tydliga krav på verksamheten och externa leverantörer. Här finns också en presentation av en strategi för säkerhet i sju punkter, samt två GAP-analyser som stöd för att identifiera förbättringsmetoder.

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se