En stabil och väl fungerande finansmarknad för alla
En stabil och väl fungerande finansmarknad för alla
Samhällsviktiga tjänster (NIS2)
De företag inom finansbranschen som är samhällsviktiga leverantörer inom bankverksamhet eller finansmarknadsinfrastruktur ska anmäla det till FI.
NIS2-direktivet handlar om att höja cybersäkerhetsnivån för samhällskritisk infrastruktur inom EU. Reglerna omfattar samhällsviktiga tjänster och vissa digitala tjänster i bland annat sektorerna bankverksamhet och finansmarknadsinfrastruktur.
De samhällsviktiga leverantörer som omfattas av lagen måste bland annat kunna redovisa att de arbetar systematiskt och riskbaserat med informationssäkerhet samt rapportera incidenter.
Nya regelverk under 2026
Den svenska implementeringen av kraven i NIS2-direktivet har skett genom cybersäkerhetslagen (2025:1506) som trädde i kraft den 15 januari 2026.
Den 17 januari 2025 trädde Dora-förordningen i kraft. Dora är sektorsspecifik och tillämpas enligt lex specialisprincipen på finansiella entiteter. Det innebär att de flesta finansiella företag sedan 17 januari 2025 ska följa kraven om olika åtgärder, till exempel för skydd av IT-system och incidentrapportering, i Dora i stället för kraven i NIS2-regelverket.
Finansiella företag omfattas dock fortsatt av NIS-regelverkets anmälningskrav, och omfattas av anmälningsskyldigheten även enligt cybersäkerhetslagen.
Anmälan av leverantör
De företag inom sektorerna bankverksamhet och finansmarknadsinfrastruktur som identifierar sig som en leverantör av en samhällsviktig tjänst ska anmäla det till Myndigheten för civilt försvar (MCF).
För att undersöka om ert företag omfattas av cybersäkerhetslagen har MCF tagit fram föreskrifter om anmälan och identifiering, vilka kommer att lanseras inom kort. För mer information se MCF:s hemsida.
Anmälan av förändringar
Om ert företag inte längre uppfyller kriterierna som leverantör av samhällsviktig tjänst ska ni meddela MCF det. Ni ska även meddela förändringar av kontaktpersoner.
Incidentrapportering
Verksamhetsutövare inom sektorerna bankverksamhet och finansmarknadsinfrastruktur omfattas av Dora-förordningen, vilken i stor utsträckning är lex specialis i förhållande till cybersäkerhetslagen. Detta innebär att dessa verksamheter ska fortsätta att rapportera allvarliga IKT-relaterade incidenter enligt Dora:s bestämmelser via Fidac.
Finansinspektionen kommer att vidarebefordra incidentrapporter för verksamhetsutövare som har anmält att de omfattas av cybersäkerhetslagen, till MCF.
