Vem omfattas av NIS-lagen?

Leverantörer av samhällsviktiga tjänster

Kärnan i lagen är leverantörer av samhällsviktiga tjänster. Enligt 3 § SFS 2018:1174 gäller det organisationer som:

• Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet
• Tillhandahållandet är beroende av nätverk och informationssystem
• En incident skulle medföra en betydande störning av tjänsten

Sektorer som pekas ut inkluderar energi, transport, bank och finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur.

Leverantörer av digitala tjänster

Lagen träffar även leverantörer av digitala tjänster med etablering i Sverige – specifikt onlinemarknadsplatser, sökmotorer och molntjänster. Kraven på dessa aktörer är något lättare, men incidentrapporteringsskyldigheten gäller fullt ut.

Undantag att känna till

Undantagen innebär inte frihet från cybersäkerhet – de innebär att krav ställs via annan lagstiftning. En organisation som undantas under 5 § har fortfarande skyldigheter enligt lagen om elektronisk kommunikation.

Kärnkraven: Vad NIS-lagen faktiskt kräver

Tekniska och organisatoriska åtgärder

NIS-lagen kräver att omfattade organisationer vidtar lämpliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker mot nätverks- och informationssystemens säkerhet. MSB:s föreskrifter (MSBFS 2018:8 och MSBFS 2018:9) preciserar vad detta innebär i praktiken.

I vårt dagliga arbete med kunder som faller under NIS-lagen bryts det ner i konkreta åtgärder:

• Riskanalys – systematisk identifiering av hot och sårbarheter, inte en årlig checklista
• Behörighetshantering – principen om minsta möjliga behörighet (least privilege), med regelbunden granskning
• Nätverkssegmentering – isolering av kritiska system från övrig infrastruktur
• Loggning och övervakning – 24/7-kapabilitet att upptäcka avvikelser, inte bara reagera på larm
• Kontinuitetsplanering – dokumenterade och testade rutiner för att upprätthålla drift vid incident
• Leverantörsgranskning – säkerhetskrav i avtal med underleverantörer, särskilt molntjänsteleverantörer

Managerade molntjänster som uppfyller NIS-krav

Incidentrapportering till MSB

Incidentrapportering är inte valfritt. Organisationer ska rapportera incidenter som väsentligt påverkar tjänstens kontinuitet. Rapporteringen följer ett trappstegsförfarande:

1. Tidig varning – inom 24 timmar efter att incidenten upptäckts

2. Incidentrapport – inom 72 timmar med bedömning av allvarlighetsgrad, påverkan och vidtagna åtgärder

3. Slutrapport – inom en månad med grundorsaksanalys och lärdomar

Från Opsios NOC hanterar vi incidentflöden åt kunder och vet att den kritiska framgångsfaktorn är förberedelse. Organisationer som inte övar incidentrapportering tappar dyrbar tid på formalia mitt under en akut situation.

Molnsäkerhet och incidenthantering

Tillsyn och sanktioner

Tillsynen utövas av sektorsspecifika myndigheter – Energimyndigheten, Transportstyrelsen, IVO med flera – medan MSB har en samordnande roll. Tillsynsmyndigheterna kan utfärda förelägganden och vitesförelägganden vid bristande efterlevnad.

NIS2: Vad som ändras – och varför ni bör agera nu

NIS2-direktivet (EU 2022/2555) är inte en mjukvaruuppdatering av NIS – det är en grundlig omskrivning. Sverige arbetar med att införliva NIS2 i nationell lagstiftning, och de organisationer som väntar med att anpassa sig riskerar att hamna i kläm.

De viktigaste förändringarna

Praktiskt: Så förbereder ni er

1. Kartlägg er exponering – Faller ni under NIS2:s utvidgade sektorer? Gränsen är ofta 50 anställda eller 10 M€ i omsättning.

2. Gapanalys mot NIS2-krav – Jämför nuvarande säkerhetsarbete med NIS2:s explicita krav (artikel 21).

3. Förankra hos ledningen – NIS2 kräver att ledningen godkänner riskhanteringsåtgärder och utbildas i cybersäkerhet. Det handlar inte längre om att delegera till IT.

4. Granska leverantörskedjan – Kartlägg kritiska beroenden och ställ säkerhetskrav i avtal.

5. Testa incidentprocessen – Genomför tabletop-övningar med de nya tidsramarna.

Molnmigrering med inbyggd regelefterlevnad

Koppling till andra regelverk

NIS-lagen existerar inte i ett vakuum. Organisationer som arbetar systematiskt med informationssäkerhet kommer att se betydande överlapp:

• ISO/IEC 27001 – Ett certifierat ledningssystem för informationssäkerhet täcker stora delar av NIS-lagens krav. Det är inte ett formellt krav, men ger struktur och trovärdighet vid tillsyn.
• GDPR – Incidenter som involverar personuppgifter kräver parallell rapportering till IMY (Integritetsskyddsmyndigheten) utöver MSB.
• Säkerhetsskyddslagen (SFS 2018:585) – Organisationer med säkerhetskänslig verksamhet lyder under strängare krav som går före NIS-lagen.
• SOC 2 / NIST CSF – Ramverk som kompletterar det systematiska arbetet, särskilt för organisationer med internationella kunder.

Cloud FinOps och styrning

Opsios perspektiv: Vad vi ser i praktiken

Från vår SOC i Karlstad och NOC i Bangalore hanterar vi infrastruktur för organisationer som faller under NIS-lagens krav. Tre mönster återkommer:

Efterlevnad som projekt vs. process. Organisationer som behandlar NIS-efterlevnad som ett avgränsat projekt med start och slut hamnar konsekvent efter. Hotlandskapet förändras kvartalsvis – säkerhetsarbetet måste göra detsamma.

Underinvestering i detektering. De flesta lägger resurser på prevention (brandväggar, endpoint-skydd) men för lite på detektering och respons. NIS-lagens incidentrapporteringskrav förutsätter att ni faktiskt upptäcker incidenter – och vår erfarenhet är att organisationer utan 24/7-övervakning ofta upptäcker intrång först efter veckor.

Leverantörskedjans blinda fläck. Många organisationer har god koll på sin egen infrastruktur men bristfällig insyn i underleverantörers säkerhet. NIS2 skärper detta markant, och vi rekommenderar att börja med kartläggning och kravställning redan nu.

Managerad DevOps med säkerhet inbyggd

Vanliga frågor

Vilka organisationer omfattas av NIS-lagen?

NIS-lagen träffar leverantörer av samhällsviktiga tjänster inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten och bankverksamhet, samt leverantörer av digitala tjänster (marknadsplatser, sökmotorer, molntjänster) med etablering i Sverige. Mikroföretag och småföretag kan undantas beroende på storlek och verksamhet.

Vad är skillnaden mellan NIS och NIS2?

NIS2-direktivet (EU 2022/2555) ersätter det ursprungliga NIS-direktivet och utökar antalet sektorer som omfattas, skärper sanktionerna avsevärt, inför personligt ansvar för ledningen och harmoniserar incidentrapporteringen inom EU. Sverige arbetar med att införliva NIS2 i nationell lagstiftning.

Vilka sanktioner riskerar organisationer som inte följer NIS-lagen?

Tillsynsmyndigheten kan utfärda förelägganden och vitesförelägganden. Under NIS2 ökar sanktionerna markant – med böter upp till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga entiteter, i linje med GDPR-nivåer.

Hur rapporterar man en incident enligt NIS-lagen?

Incidenter som väsentligt påverkar tjänstekontinuiteten ska rapporteras till MSB. Det sker i flera steg: tidig varning inom 24 timmar, fullständig incidentrapport inom 72 timmar och en slutrapport inom en månad. NIS2 formaliserar dessa tidsramar ytterligare.

Behöver vi ISO 27001 för att uppfylla NIS-lagen?

ISO 27001 är inte ett lagkrav, men ramverkets systematiska arbetssätt överlappar i hög grad med NIS-lagens krav på tekniska och organisatoriska åtgärder. Organisationer med certifierat ledningssystem har ett betydande försprång vid tillsyn.