Till innehåll på sidan

NIS2 för berörda verksamheter

I och med det nya direktivet NIS2 ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många flera organisationer kommer också att omfattas. På den här sidan finns information om vad som gäller för de verksamheter som omfattas.

Övergripande information

Informationen på sidan är övergripande. Exakta kriterier, krav och eventuella tillägg eller undantag vet vi först när den svenska regleringen är färdig. Vi uppdaterar innehållet löpande.

Den som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:

  • Identifiera att man omfattas och anmäla sig.
  • Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
  • Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

Identifiera att man omfattas och anmäla sig

Den som omfattas av NIS2 kallas verksamhetsutövare.

Verksamhetsutövarna finns i 18 olika sektorer. De exakta kriterierna för vilka som ska omfattas i Sverige är inte klara ännu.

  • NIS2 omfattar verksamhet inom följande 18 sektorer
    • Energi
    • Transporter
    • Bankverksamhet
    • Finansmarknadsinfrastruktur
    • Hälso- och sjukvård
    • Dricksvatten
    • Avloppsvatten
    • Digital infrastruktur
    • Förvaltning av IKT-tjänster (mellan företag)
    • Offentlig förvaltning
    • Rymden
    • Post- och budtjänster
    • Avfallshantering
    • Tillverkning, produktion och distribution av kemikalier
    • Produktion, bearbetning och distribution av livsmedel
    • Tillverkning
    • Digitala leverantörer
    • Forskning

Exakta kriterier för vad som gäller i Sverige kommer när lag och föreskrifter är klara, men det går att få en god bild genom att läsa artikel 3 samt bilaga 1 och 2 i direktivet.

Artikel 3 Väsentliga och viktiga entiteter i direktivet på EU:s webbplats

Bilaga 1 Högkritiska sektorer i direktivet på EU:s webbplats

Bilaga 2 Andra kritiska sektorer i direktivet på EU:s webbplats

Det finns två kategorier av verksamhetsutövare – väsentliga och viktiga. Kraven som ställs på verksamheten är i stort sett desamma, men reglerna för tillsyn och sanktioner skiljer sig åt. Vilka verksamhetsutövare som räknas som väsentliga anges i NIS2-utredningens (SOU 2024:18) lagförslag 2 kap. 1§. Övriga verksamhetsutövare räknas som viktiga. 

Verksamhetsutövarna ska själva identifiera om de omfattas och i så fall anmäla sig till respektive tillsynsmyndighet. Exakta former för anmälan kommer att meddelas i föreskrifter.

Etablera och upprätthålla ett systematiskt arbete för informationssäkerhet

NIS2-direktivet ställer tydliga krav på bland annat riskanalyser och olika säkerhetsåtgärder/riskhanteringsåtgärder, som uppnås genom ett systematiskt arbete med informationssäkerhet. Det innebär bland annat att anpassa skyddet utifrån organisationens behov och utbilda personalen, inte minst ledningen.

Vad menas med informationssäkerhet?

Syftet med regleringen är att vi ska få ett säkrare samhälle och lagkraven ger stöd för att få det systematiska arbetet på plats för att göra det möjligt.

I direktivet och i den kommande cybersäkerhetslagen regleras dessa områden på en övergripande nivå. Mer specifika krav om vad arbetet ska innefatta kommer att meddelas i föreskrifter. För att förbereda sig kan man titta på de föreskrifter som finns idag.

Frågor och svar: Hur kan man förbereda sin verksamhet

Rapportera in betydande incidenter

Verksamhetsutövare ska rapportera in alla betydande incidenter till MSB. Detta bidrar till att vi kan skapa en samlad bild av incidentläget, varna andra och inleda eventuella samordnande insatser.

Som verksamhetsutövare ska du lämna in:

  • en varning (även kallad notifiering) inom 24 timmar efter upptäckt
  • en incidentanmälan med inledande bedömning inom 72 timmar efter upptäckt
  • en slutrapport inom en månad, där omständigheterna beskrivs närmare, med bland annat konsekvenser, sannolik orsak och vilka åtgärder som vidtagits.
  • en lägesrapport inom en månad i det fall incidenten fortfarande pågår. En slutrapport ska då istället lämnas in en månad efter att incidenten är avslutad.

Enligt NIS2-utredningens förslag (SOU 2024:18) ska incidentrapporteringen göras till MSB, som vidarebefordrar rapporterna till respektive tillsynsmyndighet.

Kriterier för vad som menas med betydande incident och hur rapporteringen ska gå till kommer att meddelas i föreskrifter.

Du kan efterfråga hjälp från CERT-SE

Vid en inträffad incident kan du efterfråga hjälp från CERT-SE. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter.

CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion. CERT-SE är en del av MSB.

Så fungerar incidentrapportering under NIS1

Tillsyn och sanktioner

Varje tillsynsmyndighet ansvarar för tillsyn inom sin specifika sektor. En viktig princip är att tillsynen ska vara ett stöd för leverantören i det egna säkerhetsarbetet. Vissa skillnader i tillsynen kan förekomma eftersom de olika NIS-sektorerna skiljer sig åt.

Tillsynsmyndigheterna ansvarar för se till att kommande cybersäkerhetslagen och relaterade föreskrifter följs. Det innebär bland annat att tillsynsmyndigheterna ska utöva tillsyn för att leverantörer uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

  • Tillsynsmyndigheter för sektorerna

    Utredningen (SOU 2024:18) föreslår följande tillsynsmyndigheter för de olika sektorerna:

     Tillsynsmyndighet  Sektor
    Statens energimyndighet Energi
    Transportstyrelsen Transporter
    Tillverkning av motorfordon, släpfordon, påhängsvagnar och andra transportmedel
    Finansinspektionen Bankverksamhet
    Finansmarknadsinfrastruktur
    Inspektionen för vård och omsorg Vårdgivare i Hälso- och sjukvårdssektorn
    Läkemedelsverket Hälso- och sjukvårdssektorn, med undantag för vårdgivare
    Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro diagnostik
    Livsmedelsverket Avloppsvatten
    Dricksvatten
    Produktion, bearbetning och distribution
    av livsmedel
    Post- och telestyrelsen Digital infrastruktur
    Digitala leverantörer
    Förvaltning av IKT-tjänster
    Post- och budtjänster
    Rymden
    Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län Avfallshantering
    Forskning
    Lärosäten med examenstillstånd
    Offentlig förvaltning
    Tillverkning, produktion och distribution av kemikalier
    Tillverkning av datorer, elektronikvaror och optik
    Tillverkning av elapparatur
    Tillverkning av övriga maskiner

Vid tillsyn är verksamhetsutövaren skyldig att ge tillträde till lokaler och tillhandahålla information som behövs för tillsynen.

En tillsynsmyndighet har möjlighet att ingripa mot verksamhetsutövare som inte uppfyller kraven bland annat genom att utfärda föreläggande eller ta ut en sanktionsavgift av den leverantör som underlåter att följa regleringen.

Tillsyn för viktiga verksamhetsutövare

För viktiga verksamhetsutövare får tillsynsåtgärder bara vidtas när tillsynsmyndigheten har befogad anledning att anta att regleringen inte följs.

  • Sanktionsavgifter

    Sanktionsavgiften för väsentliga verksamhetsutövare kan som mest uppgå till det högsta av:

    1. Två procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
    2. 10 000 000 euro.

    Sanktionsavgiften för offentliga verksamhetsutövare kan som mest uppgå till 10 000 000 kr.

    Sanktionsavgiften för viktiga verksamhetsutövare kan som mest uppgå till det högsta av:

    1. 1,4 procent av den viktiga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
    2. 7 000 000 euro.

    Sanktionsavgiften för offentliga verksamhetsutövare kan som mest uppgå till 10 000 000 kr.

Relaterade länkar

Senast granskad: 3 september 2024

Till toppen av sidan