Nät- & informationssäkerhet

Publicerat av: Emma Johansson ·

Dagens samhälle är mer sårbart än någonsin tidigare eftersom grundläggande funktioner som tillgång till energi, sker genom digitala nätverk och informationssystem. Ett enda avbrott kan få förödande konsekvenser för enskilda verksamheter och ytterst för hela samhället. Därför behöver vi ställa högre krav på digitala tjänsters säkerhet och här kommer NIS-lagstiftningen in i bilden. 

Vad är NIS?

Som en reaktion på utvecklingen antog EU NIS-direktivet (2016/1148) för att åstadkomma EU-gemensam hög nivå på säkerhet i nätverk och informationssystem. Lagstiftningen omfattar både samhällsviktiga och digitala tjänster. 

NIS-direktivet genomfördes i svensk rätt 2018 genom Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISL) och Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (NISF). NIS-lagen gäller inte om SSKL är tillämplig (8 § NISL).

Syftet med NIS-lagstiftningen är att uppnå en hög nivå av säkerhet i nätverk och informationssystem för samhällsviktiga tjänster. Detta ska uppnås genom krav på införande av systematiskt säkerhetsarbete och incidentrapportering. Efterlevnad av regelverket följs upp genom tillsyn. Energimyndigheten har nu tagit fram sektorsspecifika föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssäkerhetssystem inom energisektorn (STEMFS 2021:3). För elförsörjningen är det Energimyndigheten som är tillsynsmyndighet för NIS-lagstiftningen.

Vem omfattas?

NIS omfattar leverantörer av samhällsviktiga tjänster som anges i bilaga 2 till NIS-direktivet:

som tillhandahåller en samhällsviktig tjänst

  • där leverantören är etablerad i Sverige
  • tjänsten är beroende av nätverk och informationssystem
  • och där en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten

Den egna organisationen bär själv ansvar för att undersöka om organisationen lyder under NIS-lagstiftningen. Vägledning för identifiering och huruvida den egna organisationen omfattas av NIS-lagstiftningen eller ej, hänvisas till Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter för anmälan och identifiering (MSBFS 2018:7). Om så är fallet ska en anmälan göras till Energimyndigheten.

Lyder organisationen under NIS ska organisationen bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Organisationen ska också vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuitet. Kraven kring detta beskrivs i MBS:s föreskrift om informationssäkerhet för samhällsviktiga tjänster (MSBFS 2018:8).

Ytterligare information om informationssäkerhet  

  • MSB
  • Energimyndigheten
 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se