Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida

Rättsliga krav på informationssäkerhet i olika verksamheter

Samhällsviktiga tjänster och NIS-regleringen

EU:s NIS-direktiv ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Direktivet  införlivas i den svenska rättsordningen genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Lagen och förordningen träder i kraft 1 augusti 2018.

MSB:s föreskrifter och annat informationsmaterial finns på msb.se/nis

Statliga myndigheter
Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen, grundas på risk- och sårbarhetsanalyser och rätt vidtagna åtgärder. Krav på att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet finns i förordning (2015:1052) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att myndigheterna dels ska rapportera it-incidenter och dels ska införa ett ledningssystem för informationssäkerhet. I det arbetet ska standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017 beaktas.

MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter;

MSBFS 2020:7 föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter

MSBFS 2020:8 föreskrifter om rapportering av it-incidenter för statliga myndigheter

Samlad information om dessa föreskrifter finns på msb.se


Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap

Elektronisk kommunikation
Lagen om elektronisk kommunikation reglerar hur information ska hanteras i elektroniska medier och vänder sig främst till telekommunikationsoperatörer. Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska se till att verksamheten uppfyller rimliga krav på god funktion och teknisk säkerhet. Detta bland annat för att säkerställa att de elektroniska kommunikationerna fungerar.

Det är även viktigt att skydda uppgifterna som hanteras i de elektroniska näten. Enligt lagen ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst även vidta lämpliga åtgärder för att skydda behandlade uppgifter. Vilka åtgärder som vidtas är beroende på risken för integritetsintrång, tillgänglig teknik och kostnaderna.
 
Lag (2003:389) om elektronisk kommunikation

Post- och Telestyrelsens allmänna råd om god funktion och teknisk säkerhet samt uthållighet och tillgänglighet vid extraordinära händelser i fredstid, PTSFS 2007:2

Hälso- och sjukvård
Inom hälso- och sjukvården hanteras stora mängder ur integritetssynpunkt känslig information. Det är av stor vikt att informationshanteringen inom hälso- och sjukvården är organiserad så att den tillgodoser patientsäkerhet och god kvalitet och kostnadseffektivitet. Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med att säkerställa att inga obehöriga får tillgång till dokumenterade personuppgifter.
 
Patientdatalag (2008:355) 
Patientdataförordning (2008:360)
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)

 

Publicerad: 2013-04-05
Uppdaterad: 2020-11-03
Skribent: Redaktionen
Innehållsansvarig: MSB