NIS-direktivet
 Europeisk unionsrätt
| |||||||||||||
| NIS-direktivet | |||||||||||||
| Direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen | |||||||||||||
| Aktnummer | Direktiv (EU) 2016/1148 | ||||||||||||
| Celexnummer | 32016L1148 | ||||||||||||
| Offentliggjort i | EUT L 194, 19.7.2016 | ||||||||||||
| Rättslig form | Direktiv | ||||||||||||
| Rättsligt bindande |  Ja
| ||||||||||||
| Direkt tillämpligt |  Nej, transponering krävs
| ||||||||||||
| Tillämpas av | Europeiska unionen | ||||||||||||
| Utfärdat av | Europaparlamentet och Europeiska unionens råd | ||||||||||||
| Rättslig grund | Art. 114 FEUF[1] | ||||||||||||
Relaterad lagstiftning Nuvarande och tidigare gällande lagstiftning
| |||||||||||||
NIS-direktivet, eller direktiv (EU) 2016/1148, är ett europeiskt direktiv som ställer krav på informationssäkerheten i offentliga IT-system inom Europeiska unionen. Direktivet medför krav på informationssäkerhet för samhällsviktiga och digitala tjänster.[2] Det utgör en del av harmoniseringslagstiftningen för den inre marknaden.
Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor.
Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.
Omfattning
[redigera | redigera wikitext]Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:
- Bankverksamhet
- Digital infrastruktur
- Energi
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Transport
Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner.
Säkerhetskrav
[redigera | redigera wikitext]I NIS-direktivet samt anslutande nationell författningsreglering på området finns bestämmelser som bl.a. reglerar krav på säkerhet i närverks- och informationssystem i verksamheter som rör samhällsviktiga tjänster. Säkerhet i system och anläggningar och deras fysiska miljö och innefattar följande aspekter:[2]
- Systematisk förvaltning av nät- och informationssystem, vilket avser mappning av informationssystem och fastställande av ett antal ändamålsenliga policyer för hantering av informationssäkerheten, inklusive riskanalys, mänskliga resurser, driftssäkerhet, säkerhetsarkitektur, säker livscykelhantering av data och system och, i förekommande fall, kryptering och hantering av sådan kryptering.[2]
- Fysisk säkerhet och miljösäkerhet, vilket avser tillgången till ett antal åtgärder för att skydda säkerheten för nät- och informationssystem hos leverantörer av digitala tjänster från skador med användning av en riskbaserad strategi som omfattar alla faror och som t.ex. omfattar systemfel, den mänskliga faktorn, avsiktligt skadliga handlingar eller naturfenomen.[2]
- Försörjningstrygghet, vilket avser införande och upprätthållande av lämpliga policyer för att säkerställa tillgängligheten och i förekommande fall spårbarheten för kritiska insatsprodukter som används för tillhandahållandet av tjänsten.[2]
- Åtkomstkontroll för nät- och informationssystem, vilket avser tillgången till en uppsättning åtgärder för att säkerställa att den fysiska och logiska åtkomsten till nät- och informationssystem, inklusive administrativ säkerhet för nät och informationssystem, tillåts och begränsas baserat på verksamhetskrav och säkerhetskrav.[2]
Svenskt genomförande
[redigera | redigera wikitext]I Sverige har direktivet genomförts 2018 genom införandet av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster finns bestämmelser om informationssäkerhet för sådana tjänster.[2]
I förordningen anges att Myndigheten för samhällsskydd och beredskap får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrifter om säkerhetsåtgärder enligt lagen på sina respektive tillsynsområden.
Myndigheten för samhällsskydd och beredskap ska lämna råd och stöd till tillsynsmyndigheterna och Socialstyrelsen när de tar fram föreskrifterna, enligt lagen.
Referenser
[redigera | redigera wikitext]- ^ ”Artikel 114 i fördraget om Europeiska unionens funktionssätt”. EUT C 202, 7.6.2016, s. 94–95. EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=OJ:C:2016:202:FULL.
- ^ [a b c d e f g] SOU 2021:63 s. 386
|
|
EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia. |