3 §

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Föreskrifterna ska uppdateras minst vartannat år.

4 §

Vid bedömningen av vad som avses med en betydande störning enligt 3 § första stycket 1 lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster ska följande sektorsöverskridande faktorer beaktas:

1. antalet användare som är beroende av den tjänst som den berörda leverantören tillhandahåller,

2. hur beroende andra sektorer som omfattas av NIS-direktivet är av den tjänst som leverantören tillhandahåller,

3. vilken inverkan incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet,

4. leverantörens marknadsandel,

5. hur stort geografiskt område som skulle kunna påverkas av en incident, och

6. leverantörens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med hänsyn tagen till alternativa sätt för att tillhandahålla tjänsten.

När det är lämpligt ska även sektorsspecifika faktorer beaktas.

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vad som avses med en betydande störning.

7 §

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete enligt 11 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

8 §

Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrifter om säkerhetsåtgärder enligt 12–14 §§ lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster för sina respektive tillsynsområden. Socialstyrelsen får meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde. Innan föreskrifterna meddelas ska Myndigheten för civilt försvar ges tillfälle att yttra sig.

Myndigheten för civilt försvar ska lämna råd och stöd till tillsynsmyndigheterna och Socialstyrelsen när de tar fram föreskrifterna.

9 §

Vid bedömningen av om en incident har en betydande inverkan på kontinuiteten i en samhällsviktig tjänst enligt 18 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster ska följande särskilt beaktas:

1. det antal användare som påverkas av störningen i den samhällsviktiga tjänsten,

2. hur länge incidenten varar, och

3. hur stort geografiskt område som påverkas av incidenten.

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vad som avses med en betydande inverkan.

12 §¹⁾

1)

Senaste lydelse 2022:521.

Myndigheten för civilt försvar är CSIRT-enhet.

CSIRT-enheten ska

1. ta emot incidentrapporter som lämnas enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster eller enligt föreskrifter som har meddelats i anslutning till den lagen,

2. utan dröjsmål tillgängliggöra informationen i incidentrapporter för tillsynsmyndigheterna och Socialstyrelsen, och

3. skyndsamt uppmana leverantörer att till Polismyndigheten anmäla incidenter som kan antas ha sin grund i en brottslig gärning.

CSIRT-enheten ska även

1. uppfylla de krav och fullgöra de uppgifter som framgår av bilaga 1 till NIS-direktivet,

2. i vissa fall informera rapporterande leverantörer, andra medlemsstater och allmänheten om incidenter enligt artiklarna 14.5, 14.6, 16.6 och 16.7 i NIS-direktivet, och

3. på begäran av Post- och telestyrelsen bistå myndigheten i frågor om hantering av säkerhetsincidenter enligt lagen (2022:482) om elektronisk kommunikation när det gäller frågor som ingår i CSIRT-enhetens uppgifter enligt punkt 2 i bilaga 1 till NIS-direktivet.

13 §

En incidentrapport ska innehålla information som gör det möjligt för CSIRT-enheten att fastställa omfattningen av incidentens gränsöverskridande verkningar.

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vilken information en incidentrapport ska innehålla.

14 §

Myndigheten för civilt försvar får meddela närmare föreskrifter om inom vilken tid incidentrapportering ska göras och de närmare formerna för rapporteringen enligt 18 och 19 §§ lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

15 §

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om frivillig rapportering av incidenter enligt artikel 20 i NIS-direktivet för leverantörer som inte är leverantörer av samhällsviktiga tjänster eller leverantörer av digitala tjänster.

16 §

Myndigheten för civilt försvar får, efter att ha gett tillsynsmyndigheterna tillfälle att yttra sig, meddela närmare föreskrifter om anmälningsskyldigheten enligt 23 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Föreskrifterna får avse när i tiden en anmälan ska ske, vilken information en anmälan ska innehålla och de närmare formerna för fullgörandet av anmälningsskyldigheten.

19 §²⁾

2)

Senaste lydelse 2020:1142.

Tillsynsmyndigheterna ska, för sina respektive tillsynsområden,

1. utan dröjsmål lämna uppgifter till Myndigheten för civilt försvar om innehållet i anmälningar som har gjorts enligt 23 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster,

2. senast den 20 september vartannat år med start 2020 ge Myndigheten för civilt försvar uppgifter om de leverantörer av samhällsviktiga tjänster som myndigheten har tillsyn över, fördelat på de sektorer och delsektorer som anges i bilaga 2 till NIS-direktivet, samt uppgifter om leverantörernas betydelse för dessa sektorer,

3. inom ramen för sin tillsyn ge allmän vägledning vid tillämpningen av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och av föreskrifter som har meddelats i anslutning till den lagen,

4. samarbeta med Integritetsskyddsmyndigheten vid hantering av incidenter som även utgör personuppgiftsincidenter,

5. lämna stöd till Sveriges representant i den samarbetsgrupp som har inrättats genom artikel 11 i NIS-direktivet, och

6. samarbeta med och bistå tillsynsmyndigheter i andra medlemsstater inom Europeiska unionen när det gäller juridiska personer som tillhandahåller digitala tjänster och som har sitt huvudsakliga etableringsställe eller har utsett företrädare i andra medlemsstater.

21 §

Myndigheten för civilt försvar ska leda ett samarbetsforum där tillsynsmyndigheterna och Socialstyrelsen ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

22 §

Myndigheten för civilt försvar är gemensam nationell kontaktpunkt enligt NIS-direktivet.

Den nationella kontaktpunkten ska fullgöra de uppgifter som framgår av artiklarna 8.4, 10.3 andra stycket och 14.5 tredje stycket i NIS-direktivet.

Den nationella kontaktpunkten ska även fullgöra Sveriges skyldighet enligt artikel 5.4 i NIS-direktivet att samråda med andra medlemsstater samt rapportera resultatet av samrådet till berörd tillsynsmyndighet.

23 §

Myndigheten för civilt försvar är Sveriges representant i den samarbetsgrupp som har inrättats genom artikel 11 i NIS-direktivet.

24 §

Myndigheten för civilt försvar ska fullgöra Sveriges skyldighet enligt artikel 5.7 i NIS-direktivet att tillhandahålla information om genomförandet av NIS-direktivet till kommissionen.