NIS-direktivet och tillhörande nationell

mark-nadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem.

Direktivet innebär bl.a. skyldigheter för vissa leverantörer av samhällsviktiga tjänster, och vissa leverantörer av digitala tjänster, att vidta säkerhetsåtgärder för att hantera risker samt förebygga och hantera incidenter i nätverk och informationssystem som de är bero-ende av för att tillhandahålla tjänsterna. Regleringen gäller därför, till skillnad från den som avser statliga myndigheter, inte organisa-tionens informationshantering i sin helhet, förutom i de fall där leve-rantören enbart bedriver samhällsviktiga eller digitala tjänster och att leverantören är beroende av samtliga av sina nätverk och informa-tionssystem för att leverera tjänsten. Bedriver leverantören verksam-het som inte utgörs av en samhällsviktig eller digital tjänst faller den utanför regleringen. Leverantörerna ska också rapportera incidenter som har en betydande eller avsevärd inverkan på kontinuiteten i tjänster.

I direktivet identifieras sju sektorer som tillhandahåller samhälls-viktiga tjänster. Dessa är bankverksamhet, digital infrastruktur, energi, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distri-bution av dricksvatten samt transport.

Direktivet har genomförts i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen (2018:1175) om informationssäkerhet för samhälls-viktiga och digitala tjänster. MSB har meddelat föreskrifter om bl.a.

anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7), informationssäkerhet för leverantörer av samhälls-viktiga tjänster (MSBFS 2018:8), rapportering av incidenter för leveran-törer av samhällsviktiga tjänster (MSBFS 2018:9) och rapportering av incidenter för leverantörer av digitala tjänster (MSBFS 2018:10).

Lagen och förordningen om informationssäkerhet för samhälls-viktiga och digitala tjänster gäller för de sektorer som anges i direk-tivet, med tillägg av digitala tjänster. Sådan verksamhet som träffas av regelverket kan bedrivas i såväl enskild som offentlig regi. Hälso- och sjukvård som bedrivs enligt hälso- och sjukvårdslagen (2017:30) kan nämnas som exempel på sådan verksamhet som träffas av regel-verket.

Regelverket gäller inte för leverantörer av allmänna kommunika-tionsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av lagen (2003:389) om elektronisk kommuni-kation, leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och be-trodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag eller för verksamhet som omfattas av säkerhetsskyddslagen.

Det framgår av 13 § i lagen om informationssäkerhet för sam-hällsviktiga och digitala tjänster att leverantörer som omfattas av lagen ska vidta ändamålsenliga och proportionella tekniska och orga-nisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhanda-hålla samhällsviktiga tjänster. Det framgår vidare att åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssyste-men som är lämplig i förhållande till risken. Motsvarande skyldig-heter gäller för leverantörer av digitala tjänster (15 § lagen om infor-mationssäkerhet för samhällsviktiga och digitala tjänster).

Leverantörerna som träffas av lagen ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som på-verkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster, och att åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna (14 § lagen om infor-mationssäkerhet för samhällsviktiga och digitala tjänster). Motsvar-ande skyldigheter gäller för leverantörer av digitala tjänster (16 § lagen om informationssäkerhet för samhällsviktiga och digitala tjänster).

I specialmotiveringen till 13 § i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster förtydligas att säkerhets-kraven gäller de nätverk och informationssystem som leverantören använder vid tillhandahållandet av samhällsviktiga tjänster, oavsett om denne sköter underhållet av sina nätverk och informationssystem internt eller har utkontrakterat verksamheten (prop. 2017/18:205, s. 94). Detsamma får antas gälla även i förhållande till de krav som anges i 14, 15 och 16 §§ lagen om informationssäkerhet för samhälls-viktiga och digitala tjänster.

Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjs-mål rapportera incidenter som har en betydande inverkan på konti-nuiteten i den samhällsviktiga tjänst som de tillhandahåller (18 § lagen om informationssäkerhet för samhällsviktiga och digitala tjäns-ter). Leverantörer av digitala tjänster ska inom samma tidsram rap-portera incidenter som har en avsevärd inverkan på tillhandahåll-andet av en digital tjänst som de erbjuder (19 § lagen om informa-tionssäkerhet för samhällsviktiga och digitala tjänster). Incidentrap-porten ska enligt 2 kap. 4 § första stycket 4 p. i MSBFS 2018:9 för samhällsviktiga tjänster och enligt 8 § första stycket 4 i MSBFS 2018:10 för digitala tjänster innehålla namn och organisationsnummer till extern aktör dit informationshantering har utkontrakterats i det fall incidenten inträffat hos den externa aktören.

I förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster regleras vilka myndigheter som är tillsynsmyndig-heter för leverantörer av samhällsviktiga tjänster enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Statens energimyndighet är tillsynsmyndighet för energisektorn, Transport-styrelsen för transportsektorn, Finansinspektionen för finansmark-nadsinfrastruktursektorn, Inspektionen för vård och omsorg för hälso- och sjukvårdssektorn, Livsmedelsverket är tillsynsmyndighet för den sektor som handhar leverans och distribution av dricksvatten och Post- och telestyrelsen för den sektor som handhar digital infra-struktur (17 § förordningen om informationssäkerhet för samhälls-viktiga och digitala tjänster). Post- och telestyrelsen är dessutom tillsynsmyndighet för leverantörer av digitala tjänster (18 § förord-ningen om informationssäkerhet för samhällsviktiga och digitala tjänster).

Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrif-ter om säkerhetsåtgärder för sina respektive tillsynsområden. Social-styrelsen får meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde (8 § förordningen om informations-säkerhet för samhällsviktiga och digitala tjänster). Arbete med så-dana föreskrifter pågår.