SFS 2018:1174 Lag om informationssäkerhet för samhällsviktiga och digitala tjänster

SFS2018-1174.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

Svensk författningssamling

Lag

om informationssäkerhet för samhäl sviktiga och digitala

tjänster
Utfärdad den 20 juni 2018

Enligt riksdagens beslut1 föreskrivs2 följande.

Syftet med lagen
1 §
Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk

och informationssystem för

1. samhällsviktiga tjänster inom sektorerna

energi,

transport,

bankverksamhet,

finansmarknadsinfrastruktur,

hälso- och sjukvård,

leverans och distribution av dricksvatten,

digital infrastruktur, och

2. digitala tjänster.

Uttryck i lagen
2 §
I lagen avses med

1. nätverk och informationssystem:

a) ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2003:389)

om elektronisk kommunikation,

b) en enhet eller en grupp enheter som är sammankopplade eller hör

samman med varandra, av vilka en eller flera genom ett program utför auto-

matisk behandling av digitala uppgifter, eller

c) digitala uppgifter som lagras, behandlas, hämtas eller överförs med

sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas,

användas, skyddas och underhållas,

2. säkerhet i nätverk och informationssystem: nätverks och informations-

systems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som

undergräver tillgängligheten, autenticiteten, riktigheten eller konfiden-

tialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de

besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk

och informationssystem,

3. samhällsviktig tjänst: en tjänst som är viktig för att upprätthålla kritisk

samhällelig eller ekonomisk verksamhet,

1

Prop. 2017/18:205, bet. 2017/18:FöU14, rskr. 2017/18:375.

2

Jfr Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för

en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, i den

ursprungliga lydelsen.

SFS 2018:1174

Publicerad

den 27 juni 2018

background image

2

SFS

4. digital tjänst: en tjänst i den mening som avses i artikel 1.1 b i Europa-

parlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015

om ett informationsförfarande beträffande tekniska föreskrifter och be-

träffande föreskrifter för informationssamhällets tjänster, och som utgör en

internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst,

5. internetbaserad marknadsplats: en tjänst som gör det möjligt för

konsumenter eller näringsidkare enligt definitionen i artikel 4.1 a respektive

4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj

2013 om alternativ tvistlösning vid konsumenttvister och om ändring av

förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om

alternativ tvistlösning) att ingå internetbaserade köpeavtal eller tjänsteavtal

med näringsidkare, antingen på webbplatsen för den internetbaserade

marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där

datatjänster som til handahålls av en internetbaserad marknadsplats används,

6. internetbaserad sökmotor: en tjänst som gör det möjligt för användare

att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst

språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord,

en fras eller någon annan inmatning, och som returnerar länkar som inne-

håller information om det begärda innehållet,

7. molntjänst: en tjänst som möjliggör tillgång till en skalbar och elastisk

pool av delbara dataresurser,

8. NIS-direktivet: Europaparlamentets och rådets direktiv (EU) 2016/1148

av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i

nätverks- och informationssystem i hela unionen,

9. företrädare: en fysisk eller juridisk person som uttryckligen har utsetts

att agera för en leverantör och till vilken myndigheter kan vända sig, i stället

för till leverantören, i frågor som gäller de skyldigheter som leverantören

har enligt NIS-direktivet,

10. incident: en händelse med en faktisk negativ inverkan på säkerheten i

nätverk och informationssystem, och

11. risk: en rimligen identifierbar omständighet eller händelse med en

potentiell negativ inverkan på säkerheten i nätverk och informationssystem.

Lagens tillämpningsområde
3 §
Lagen gäller för

1. leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som

tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören

är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk

och informationssystem och att en incident skulle medföra en betydande

störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga

tjänster), och

2. juridiska personer som tillhandahåller en digital tjänst och som har sitt

huvudsakliga etableringsställe i Sverige eller har utsett en företrädare som

är etablerad här (leverantörer av digitala tjänster).

I 10 § finns en bestämmelse som gäller för andra leverantörer.

4 § Regeringen eller den myndighet som regeringen bestämmer får med-

dela föreskrifter om vilka tjänster som är samhällsviktiga tjänster och vad

som avses med en betydande störning enligt 3 § första stycket 1.

2018:1174

background image

3

SFS

Undantag från lagens tillämpningsområde
Leverantörer av elektroniska kommunikationstjänster
5 § Lagen gäller inte för företag som tillhandahåller allmänna kommunika-

tionsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och

därför omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elek-

tronisk kommunikation.

Leverantörer av betrodda tjänster
6 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av

kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr

910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda

tjänster för elektroniska transaktioner på den inre marknaden och om upp-

hävande av direktiv 1999/93/EG.

Leverantörer av digitala tjänster som är mikroföretag eller små företag
7 § Lagen gäller inte för leverantörer av digitala tjänster som är mikro-

företag eller små företag enligt definitionen i kommissionens rekommenda-

tion 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt

små och medelstora företag.

Säkerhetskänslig verksamhet
8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhets-

skydd enligt säkerhetsskyddslagen (1996:627).

Leverantörer som omfattas av krav på informationssäkerhet i andra

författningar
9 § Om det i lag eller annan författning finns bestämmelser som innehåller

krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna

gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt

denna lag, med beaktande av bestämmelsernas omfattning samt vilken till-

syn och vilka sanktioner som är kopplade till kraven i bestämmelserna.

Utseende av företrädare
10 §
En juridisk person som erbjuder digitala tjänster i Sverige men som

inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och

inte heller har utsett en företrädare som är etablerad i en medlemsstat där

tjänsterna erbjuds, ska, om inte något undantag från lagens tillämpnings-

område enligt 5–9 §§ är tillämpligt, utse en sådan företrädare.

Säkerhetsåtgärder
Skyldigheter för leverantörer av samhällsviktiga tjänster
11 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt

och riskbaserat informationssäkerhetsarbete avseende nätverk och informa-

tionssystem som de använder för att tillhandahålla samhällsviktiga tjänster.

12 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som

ska ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§.

I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och upp-

dateras årligen.

2018:1174

background image

4

SFS

13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga

och proportionella tekniska och organisatoriska åtgärder för att hantera

risker som hotar säkerheten i nätverk och informationssystem som de

använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska

säkerställa en nivå på säkerheten i nätverken och informationssystemen som

är lämplig i förhållande till risken.

14 § Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder

för att förebygga och minimera verkningar av incidenter som påverkar

nätverk och informationssystem som de använder för att tillhandahålla

samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa konti-

nuiteten i tjänsterna.

Skyldigheter för leverantörer av digitala tjänster
15 § Leverantörer av digitala tjänster ska vidta de tekniska och organisa-

toriska åtgärder som de anser ändamålsenliga och proportionella och som

hanterar risker som hotar säkerheten i nätverk och informationssystem som

de använder när de tillhandahåller digitala tjänster inom Europeiska unionen.

Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informa-

tionssystemen som är lämplig i förhållande till risken.

16 § Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga

och minimera verkningar av incidenter som påverkar nätverk och informa-

tionssystem som de använder. Skyldigheten gäller endast i förhållande till

verkningar som sådana incidenter har på digitala tjänster som leverantören

erbjuder inom Europeiska unionen. Åtgärderna ska syfta till att säkerställa

kontinuiteten i tjänsterna.

Bemyndigande
17 § Regeringen eller den myndighet som regeringen bestämmer får med-

dela föreskrifter om säkerhetsåtgärder enligt 11–16 §§.

Incidentrapportering
Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster
18 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål

rapportera incidenter som har en betydande inverkan på kontinuiteten i den

samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till

den myndighet som regeringen bestämmer.

Rapporteringsskyldighet för leverantörer av digitala tjänster
19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera

incidenter som har en avsevärd inverkan på tillhandahållandet av en digital

tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras

till den myndighet som regeringen bestämmer.

Bemyndigande
20 § Regeringen eller den myndighet som regeringen bestämmer får med-

dela föreskrifter om incidentrapportering enligt 18 och 19 §§.

2018:1174

background image

5

SFS

Tillsyn
Tillsynsmyndighetens uppdrag
21 § Den myndighet som regeringen bestämmer ska vara tillsyns-

myndighet. Tillsynsmyndigheten ska utöva tillsyn över att denna lag och

föreskrifter som har meddelats i anslutning till lagen följs.

22 § Tillsynsåtgärder när det gäller leverantörer av digitala tjänster får

vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en

leverantör inte uppfyller kraven i 15, 16 eller 19 §.

Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster
23 § Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig

till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören till-

handahåller en samhällsviktig tjänst i två eller flera medlemsstater inom

Europeiska unionen.

Tillsynsmyndighetens undersökningsbefogenheter
24 § Den som står under tillsyn ska på begäran tillhandahålla tillsyns-

myndigheten den information som behövs för tillsynen.

25 § Tillsynsmyndigheten har i den omfattning det behövs för tillsynen

rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte

bostäder, som används i verksamhet som omfattas av lagen.

26 § Tillsynsmyndigheten får förelägga den som står under tillsyn att

tillhandahålla information och ge tillträde enligt 24 och 25 §§.

Ett sådant föreläggande får förenas med vite.

27 § Tillsynsmyndigheten får begära handräckning av Kronofogde-

myndigheten för att genomföra de åtgärder som avses i 24 och 25 §§. Vid

handräckning gäller bestämmelserna i utsökningsbalken om verkställighet

av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägs-

nande.

Ingripanden och sanktioner
Åtgärdsförelägganden
28 § Tillsynsmyndigheten får meddela de förelägganden som behövs för

att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhets-

åtgärder och incidentrapportering enligt 10, 12–16, 18 och 19 §§ och enligt

föreskrifter som har meddelats i anslutning till de paragraferna.

Ett sådant föreläggande får förenas med vite.

Sanktionsavgift
29 § Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som under-

låter att

1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt före-

skrifter som har meddelats i anslutning till den paragrafen,

2. vidta säkerhetsåtgärder enligt någon av 12–16 §§ eller enligt föreskrifter

som har meddelats i anslutning till de paragraferna, eller

3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som

har meddelats i anslutning till de paragraferna.

2018:1174

background image

6

SFS

30 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst

10 000 000 kronor.

31 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till

den skada eller risk för skada som uppstått till följd av överträdelsen, om

leverantören tidigare har begått en överträdelse och de kostnader som

leverantören har undvikit till följd av överträdelsen.

32 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är

ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna

skulle vara oskäligt att ta ut avgiften.

33 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett

föreläggande om vite och överträdelsen ligger till grund för en ansökan om

utdömande av vitet.

34 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut

av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde

rum.

Ett beslut om sanktionsavgift ska delges.

35 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar

från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den

längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket,

ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser

om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar

m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En sanktionsavgift tillfaller staten.

36 § En beslutad sanktionsavgift faller bort till den del beslutet om

avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Föreskrifter om verkställighet
37 §
Regeringen eller den myndighet som regeringen bestämmer kan med

stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet

av denna lag.

Förordnande om att beslut ska gälla omedelbart
38 §
Tillsynsmyndigheten får bestämma att ett beslut om föreläggande

enligt denna lag ska gälla omedelbart.

Överklagande
39 §
Tillsynsmyndighetens beslut enligt denna lag får överklagas till

allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsyns-

myndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Denna lag träder i kraft den 1 augusti 2018.

2018:1174

background image

7

SFS

På regeringens vägnar

YLVA JOHANSSON

MORGAN JOHANSSON

(Justitiedepartementet)

2018:1174

JP Infonets IT-rättsliga tjänster

JP Infonets IT-rättsliga tjänster

Hanterar du IT-rättsfrågor i ditt arbete? JP Infonets tjänster fungerar som verktyg och stöd stöd i ditt arbete. Vi erbjuder webbtjänster med juridisk information, lagbevakning, regelbundna uppdateringar, samt blanketter och checklistor. Vi ger också vägledning via kundanpassade grundutbildningar, fördjupningskurser och rådgivning. Se allt inom IT-rätt.