NIS-direktivet

Europeisk unionsrätt

NIS-direktivet

Direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen

Aktnummer

Direktiv (EU) 2016/1148

Celexnummer

32016L1148

Offentliggjort i

EUT L 194, 19.7.2016

Rättslig form

Direktiv

Rättsligt bindande

Ja

Direkt tillämpligt

Nej, transponering krävs

Tillämpas av

Europeiska unionen

Utfärdat av

Europaparlamentet och Europeiska unionens råd

Rättslig grund

Art. 114 FEUF^[1]

Relaterad lagstiftning
Nuvarande och tidigare gällande lagstiftning

Direktiv (EU) 2016/1148
Utfärdat	Trätt i kraft	Tillämpligt	Upphävt
2016-07-06	2016-08-08	2018-05-10	–

NIS-direktivet, eller direktiv (EU) 2016/1148, är ett europeiskt direktiv som ställer krav på informationssäkerheten i offentliga IT-system inom Europeiska unionen. Direktivet medför krav på informationssäkerhet för samhällsviktiga och digitala tjänster.^[2] Det utgör en del av harmoniseringslagstiftningen för den inre marknaden.

Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.

Omfattning redigera

Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:

Bankverksamhet
Digital infrastruktur
Energi
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Leverans och distribution av dricksvatten
Transport

Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner.

Säkerhetskrav redigera

I NIS-direktivet samt anslutande nationell författningsreglering på området finns bestämmelser som bl.a. reglerar krav på säkerhet i närverks- och informationssystem i verksamheter som rör samhällsviktiga tjänster. Säkerhet i system och anläggningar och deras fysiska miljö och innefattar följande aspekter:^[2]

Systematisk förvaltning av nät- och informationssystem, vilket avser mappning av informationssystem och fastställande av ett antal ändamålsenliga policyer för hantering av informationssäkerheten, inklusive riskanalys, mänskliga resurser, driftssäkerhet, säkerhetsarkitektur, säker livscykelhantering av data och system och, i förekommande fall, kryptering och hantering av sådan kryptering.^[2]
Fysisk säkerhet och miljösäkerhet, vilket avser tillgången till ett antal åtgärder för att skydda säkerheten för nät- och informationssystem hos leverantörer av digitala tjänster från skador med användning av en riskbaserad strategi som omfattar alla faror och som t.ex. omfattar systemfel, den mänskliga faktorn, avsiktligt skadliga handlingar eller naturfenomen.^[2]
Försörjningstrygghet, vilket avser införande och upprätthållande av lämpliga policyer för att säkerställa tillgängligheten och i förekommande fall spårbarheten för kritiska insatsprodukter som används för tillhandahållandet av tjänsten.^[2]
Åtkomstkontroll för nät- och informationssystem, vilket avser tillgången till en uppsättning åtgärder för att säkerställa att den fysiska och logiska åtkomsten till nät- och informationssystem, inklusive administrativ säkerhet för nät och informationssystem, tillåts och begränsas baserat på verksamhetskrav och säkerhetskrav.^[2]

Svenskt genomförande redigera

I Sverige har direktivet genomförts 2018 genom införandet av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns bestämmelser om informationssäkerhet för sådana tjänster.^[2]

I förordningen anges att Myndigheten för samhällsskydd och beredskap får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrifter om säkerhetsåtgärder enligt lagen på sina respektive tillsynsområden.

Myndigheten för samhällsskydd och beredskap ska lämna råd och stöd till tillsynsmyndigheterna och Socialstyrelsen när de tar fram föreskrifterna, enligt lagen.

Referenser redigera

^ ”Artikel 114 i fördraget om Europeiska unionens funktionssätt”. EUT C 202, 7.6.2016, s. 94–95. EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=OJ:C:2016:202:FULL.
^ [a b c d e f g] SOU 2021:63 s. 386

EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.

[1] ”Artikel 114 i fördraget om Europeiska unionens funktionssätt”. EUT C 202, 7.6.2016, s. 94–95. EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=OJ:C:2016:202:FULL.

[sou202163-2] [a b c d e f g] SOU 2021:63 s. 386

[1]

[2]