Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

IT-rätt Ordning och säkerhet

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster är till stor del baserad på det EU-rättsliga NIS-direktivet. Syftet med lagen är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom bland annat energi- och transportsektorerna. För att uppnå syftet ska vissa leverantörer av samhällsviktiga och digitala tjänster vidta säkerhetsåtgärder för nätverk och informationssystem. Incidenter som påverkar kontinuiteten i tjänsterna ska rapporteras. Lagen ger tillsynsmyndigheten rätt att besluta om vitesföreläggande och sanktionsavgift för den som inte följer lagens bestämmelser.

SFS nr:

2018:1174
Departement/myndighet: Försvarsdepartementet
Utfärdad: 2018-06-20
Ändrad: t.o.m. SFS

2022:508
Ändringsregister: SFSR (Regeringskansliet)
Källa: Fulltext (Regeringskansliet)

Syftet med lagen

1 §   Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för
   1. samhällsviktiga tjänster inom sektorerna
   - energi,
   - transport,
   - bankverksamhet,
   - finansmarknadsinfrastruktur,
   - hälso- och sjukvård,
   - leverans och distribution av dricksvatten,
   - digital infrastruktur, och
   2. digitala tjänster.

Uttryck i lagen

2 §   I lagen avses med
   1. nätverk och informationssystem:
      a) ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2022:482) om elektronisk kommunikation,
      b) en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller
      c) digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas,
   2. säkerhet i nätverk och informationssystem: nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem,
   3. samhällsviktig tjänst: en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,
   4. digital tjänst: en tjänst i den mening som avses i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster, och som utgör en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst,
   5. internetbaserad marknadsplats: en tjänst som gör det möjligt för konsumenter eller näringsidkare enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning) att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används,
   6. internetbaserad sökmotor: en tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet,
   7. molntjänst: en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser,
   8. NIS-direktivet: Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen,
   9. företrädare: en fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör och till vilken myndigheter kan vända sig, i stället för till leverantören, i frågor som gäller de skyldigheter som leverantören har enligt NIS-direktivet,
   10. incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem, och
   11. risk: en rimligen identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk och informationssystem. Lag (2022:508).

Lagens tillämpningsområde

3 §   Lagen gäller för
   1. leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster), och
   2. juridiska personer som tillhandahåller en digital tjänst och som har sitt huvudsakliga etableringsställe i Sverige eller har utsett en företrädare som är etablerad här (leverantörer av digitala tjänster).

I 10 § finns en bestämmelse som gäller för andra leverantörer.

4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster och vad som avses med en betydande störning enligt 3 § första stycket 1.

Undantag från lagens tillämpningsområde

Leverantörer av elektroniska kommunikationstjänster

5 § Lagen gäller inte för företag som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av kraven i 8 kap. 1 och 3 §§ lagen (2022:482) om elektronisk kommunikation. Lag (2022:508).

Leverantörer av betrodda tjänster

6 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Leverantörer av digitala tjänster som är mikroföretag eller små företag

7 § Lagen gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

Säkerhetskänslig verksamhet

8 § Lagen gäller inte för verksamhet som omfattas av säkerhetsskyddslagen (2018:585). Lag (2018:1176).

Leverantörer som omfattas av krav på informationssäkerhet i andra författningar

9 § Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna.

Utseende av företrädare

10 § En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och inte heller har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, ska, om inte något undantag från lagens tillämpningsområde enligt 5-9 §§ är tillämpligt, utse en sådan företrädare.

Säkerhetsåtgärder

Skyldigheter för leverantörer av samhällsviktiga tjänster

11 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.

12 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen.

13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

14 § Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna.

Skyldigheter för leverantörer av digitala tjänster

15 § Leverantörer av digitala tjänster ska vidta de tekniska och organisatoriska åtgärder som de anser ändamålsenliga och proportionella och som hanterar risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller digitala tjänster inom Europeiska unionen. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

16 § Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder. Skyldigheten gäller endast i förhållande till verkningar som sådana incidenter har på digitala tjänster som leverantören erbjuder inom Europeiska unionen. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna.

Bemyndigande

17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om säkerhetsåtgärder enligt 11-16 §§.

Incidentrapportering

Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster

18 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till den myndighet som regeringen bestämmer.

Rapporteringsskyldighet för leverantörer av digitala tjänster

19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras till den myndighet som regeringen bestämmer.

Bemyndigande

20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt 18 och 19 §§.

Tillsyn

Tillsynsmyndighetens uppdrag

21 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

22 § Tillsynsåtgärder när det gäller leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en leverantör inte uppfyller kraven i 15, 16 eller 19 §.

Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster

23 § Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören tillhandahåller en samhällsviktig tjänst i två eller flera medlemsstater inom Europeiska unionen.

Tillsynsmyndighetens undersökningsbefogenheter

24 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

25 § Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av lagen.

26 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 24 och 25 §§.

Ett sådant föreläggande får förenas med vite.

27 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 24 och 25 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Ingripanden och sanktioner

Åtgärdsförelägganden

28 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering enligt 10, 12-16, 18 och 19 §§ och enligt föreskrifter som har meddelats i anslutning till de paragraferna.

Ett sådant föreläggande får förenas med vite.

Sanktionsavgift

29 §   Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att
   1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
   2. vidta säkerhetsåtgärder enligt någon av 12-16 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna, eller
   3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna.

30 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

31 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare har begått en överträdelse och de kostnader som leverantören har undvikit till följd av överträdelsen.

32 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

33 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

34 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

35 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En sanktionsavgift tillfaller staten.

36 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Föreskrifter om verkställighet

37 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.

Förordnande om att beslut ska gälla omedelbart

38 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart.

Överklagande

39 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten.

Viktiga lagar inom ordning och säkerhet

Kamerabevakningslag (2018:1200)
Lag (2003:778) om skydd mot olyckor
Ordningslag (1993:1617)
Säkerhetsskyddslag (2018:585)

JP Infonets tjänster inom ordning och säkerhet

Arbetar du med frågor som rör ordning och säkerhet? I JP Infonets tjänster hittar du det juridiska grundmaterial du behöver som beslutsunderlag samt den senaste praxisutvecklingen snabbt analyserad och kommenterad. Se allt inom ordning och säkerhet.

Namn	Ändamål	Typ
.JpLogin	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Session	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
EPiStateMarker	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Antiforgery.#	Förebygger Cross-Site Request Forgery (CSRF) attacker.	Skydd mot förfalskade förfrågningar
__cf_bm	Kaka som används för att hämta teckensnitt.	Teckensnitt
jp-cookies	Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.	Godkännande av kakor
FedAuth	Denna kaka sätts för användare som använder federerad inloggning.	Federerad inloggning
CourseEvaluations	Denna kaka sätts för användare som skickat in kursutvärderingar.	Kursutvärderingar

Namn	Ändamål	Typ
JP_Download	Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.	Filnedladdning
ExamStudentId	Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.	Webbkursexaminationer
JSESSIONID	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
_fanplay_session	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
lang	Sparar språkval för Twitter-flödet.	Twitter
_gali	Denna kaka används för att särskilja användare.	Google Analytics
form.apsis.one	Denna kaka används för inbäddade formulär.	Form Apsis One
mediaflow	Kaka som kan användas. Mediaflow används för uppspelning av video	Mediaflow

Namn	Ändamål	Typ
_ga	Kakor som används för besöksmätning.	Google Analytics
_gid	Kakor som används för besöksmätning.	Google Analytics
_gat	Kakor som används för besöksmätning.	Google Analytics
_hjIncludedInSample	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
_hjid	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
www.uc.se	Används för risksigillet i sidfoten på publik sajt.	Upplysningscentralen (UC)
Apsis One	Används för att analysera användarbeteende och skräddarsy marknadsföring.	Apsis One

Namn	Ändamål	Typ
test_cookie	Kakor för Google Advertising	Google Advertising
IDE	Kakor för Google Advertising	Google Advertising
3135848f46	Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.	ProspectEye (Apsis Lead)

Tjänster

Utbildningar

Juridisk rådgivning

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

Syftet med lagen

Uttryck i lagen

Lagens tillämpningsområde

Undantag från lagens tillämpningsområde

Leverantörer av elektroniska kommunikationstjänster

Leverantörer av betrodda tjänster

Leverantörer av digitala tjänster som är mikroföretag eller små företag

Säkerhetskänslig verksamhet

Leverantörer som omfattas av krav på informationssäkerhet i andra författningar

Utseende av företrädare

Säkerhetsåtgärder

Skyldigheter för leverantörer av samhällsviktiga tjänster

Skyldigheter för leverantörer av digitala tjänster

Bemyndigande

Incidentrapportering

Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster

Rapporteringsskyldighet för leverantörer av digitala tjänster

Bemyndigande

Tillsyn

Tillsynsmyndighetens uppdrag

Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster

Tillsynsmyndighetens undersökningsbefogenheter

Ingripanden och sanktioner

Åtgärdsförelägganden

Sanktionsavgift

Föreskrifter om verkställighet

Förordnande om att beslut ska gälla omedelbart

Överklagande

Viktiga lagar inom ordning och säkerhet

JP Infonets tjänster inom ordning och säkerhet

Om Lagboken.se

Lag (2018:1174) om infor­ma­tions­sä­ker­het för sam­hällsvik­tiga och digi­tala tjäns­ter

Vik­tiga lagar inom ord­ning och säker­het

JP Info­nets tjäns­ter inom ord­ning och säker­het

Om Lag­bo­ken.se

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

Viktiga lagar inom ordning och säkerhet

JP Infonets tjänster inom ordning och säkerhet

Om Lagboken.se