Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NIS-regleringen
Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NIS-regleringen
Beskrivning
I juli 2016 antogs Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen, (NIS-direktivet). NIS-direktivet har införts i Sverige genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen), förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-förordningen) samt myndighetsföreskrifter. EU-kommissionen beslutade i januari 2018 om en genomförandeförordning som närmare specificerar krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster. Kontroll av efterlevnad av reglerna sker genom tillsyn som utförs av den utpekade tillsynsmyndigheten Post- och Telestyrelsen (PTS). Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Syftet med denna vägledning är att ge stöd åt leverantörer att rapportera incidenter enligt Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2018:10) om rapportering av incidenter för leverantörer av digitala tjänster. Vägledningen ger inte stöd i hur Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 (genomförandeförordningen) ska tolkas. Om incidenten kan antas ha en brottslig grund är det viktigt att leverantören inte bara rapporterar incidenten till MSB utan även polisanmäler det inträffade.