PTS inleder tillsyn av NIS-leverantörer

I september 2022 meddelade Post- och telestyrelsen (PTS) att myndigheten inleder granskning av NIS-leverantörers arbete med riskanalyser.

Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”) syftar till att uppnå en hög nivå av säkerhet i nätverk och informationssystem hos leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. I lagen ställs bland annat upp krav på att leverantörerna måste vidta säkerhetsåtgärder i sina nätverk och informationssystem. En del av det arbetet innebär att utföra riskanalyser.

PTS har tillsynsansvar för samhällsviktiga tjänster inom sektorn digital infrastruktur samt digitala tjänster. PTS uppgift är således att granska verksamheter inom dessa områden och bedöma om de uppfyller kraven på säkerhetsåtgärder och incidentrapportering som NIS-lagen ställer upp.

Riskanalys

Enligt 12 § NIS-lagen ska leverantörer av samhällsviktiga tjänster göra en riskanalys som ska ligga till grund för leverantörens tekniska och organisatoriska säkerhetsåtgärder. Analysen ska dokumenteras och uppdateras årligen och inkludera en åtgärdsplan. Av riskanalysen bör framgå relevanta hot och risker, hur effektiva befintliga säkerhetsåtgärder är i förhållande till riskerna samt vilka negativa konsekvenser en incident skulle kunna medföra (se Prop. 2017/18:205).

PTS föreskrift PTSFS 2021:3 reglerar närmare vad en riskanalys bör innehålla. Av 4 § framgår att en riskanalys åtminstone ska innefatta identifiering av hot samt bedömning av konsekvenser och sannolikhet för hotens förverkligande gällande de nätverk och informationssystem som används för att tillhandahålla den samhällsviktiga tjänsten.

Av 24 § NIS-lagen ska riskanalysen tillhandahållas PTS på deras begäran om den behövs för PTS tillsyn.

Vad tillsynen avser

Enligt NIS-lagen ska leverantörer av samhällsviktiga och digitala tjänster bedriva systematiskt och riskbaserat arbete. Som del av PTS tillsyn av leverantörer av samhällsviktiga tjänsters systematiska och riskbaserade arbete ska PTS följa upp hur leverantörer har använt sig av riskanalyser. Det innebär att PTS ska granska riskanalysarbetet hos leverantörer för att fastställa om det lever upp till framförallt de sektorspecifika krav som PTS ställt upp i och med sina föreskrifter. Tillsynen är en planlagd tillsyn som har sin bakgrund i att PTS följer upp sina föreskrifter kring riskanalyser. Tillsynen är således inte föranledd av en specifik händelse eller incident. Den aktuella tillsynen omfattar tre leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur som tillhandahåller DNS-tjänster och registreringsenheter för toppdomäner.