Prop. 2024/25:44

Digital operativ motståndskraft för finanssektorn

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 24 oktober 2024

Ebba Busch

Niklas Wykman (Finansdepartementet)

Propositionens huvudsakliga innehåll

Genom EU:s förordning om digital operativ motståndskraft för finanssektorn införs nya krav på företag inom den finansiella sektorn. Kraven omfattar bl.a. företagens riskhantering när det gäller informations- och kommunikationsteknik, incidentrapportering, hantering av utlagd verksamhet och testning av digital operativ motståndskraft. Förordningen ska tillämpas från och med den 17 januari 2025. Samtidigt införs ändringar i flera EU-direktiv på finansmarknadsområdet.

EU-förordningen och direktivändringarna kräver vissa nationella lagstiftningsåtgärder. I propositionen föreslås därför en ny lag med kompletterande bestämmelser till EU-förordningen. Den nya lagen innehåller bestämmelser om bl.a.

– ansvariga myndigheter för hotbildsstyrda penetrationstester, – Finansinspektionens tillsynsbefogenheter, – ingripanden och sanktioner vid överträdelser av EU-förordningen, och – avgifter för att bekosta Finansinspektionens och Riksbankens verksamhet enligt EU-förordningen.

Därutöver föreslås, med anledning av ändringarna i EU-direktiven, ändringar i flera lagar på finansmarknadsområdet.

I propositionen lämnas också förslag till ändringar som rör överklaganden av Finansinspektionens beslut i vissa frågor som inte har samband med EU-förordningen.

Den nya lagen och övriga lagändringar föreslås träda i kraft den 17 januari 2025.

1. Förslag till riksdagsbeslut

Regeringens förslag:

1. Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

2. Riksdagen antar regeringens förslag till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

3. Riksdagen antar regeringens förslag till lag om ändring i trafikskadelagen (1975:1410).

4. Riksdagen antar regeringens förslag till lag om ändring i lagen (1980:1097) om Svenska skeppshypotekskassan.

5. Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument.

6. Riksdagen antar regeringens förslag till lag om ändring i lagen (2004:46) om värdepappersfonder.

7. Riksdagen antar regeringens förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse.

8. Riksdagen antar regeringens förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden.

9. Riksdagen antar regeringens förslag till lag om ändring i lagen (2010:751) om betaltjänster. 10. Riksdagen antar regeringens förslag till lag om ändring i försäkringsrörelselagen (2010:2043). 11. Riksdagen antar regeringens förslag till lag om ändring i lagen (2011:755) om elektroniska pengar. 12. Riksdagen antar regeringens förslag till lag om ändring i lagen (2013:561) om förvaltare av alternativa investeringsfonder. 13. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1219) om försäkringsdistribution. 14. Riksdagen antar regeringens förslag till lag om ändring i lagen (2019:742) om tjänstepensionsföretag.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

Lagens syfte

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, i denna lag kallad EU-förordningen.

Termer och uttryck i denna lag har samma betydelse som i EU-förordningen.

Behörig myndighet

2 § Av artikel 46 i EU-förordningen följer att Finansinspektionen är behörig myndighet enligt förordningen.

Avgifter till Finansinspektionen

3 § För att bekosta Finansinspektionens verksamhet enligt EU-förordningen och denna lag ska de finansiella entiteter som står under inspektionens tillsyn betala årliga avgifter.

Regeringen får meddela föreskrifter om avgifterna.

Information om allvarliga IKT-relaterade incidenter

4 § Finansinspektionen ska i enlighet med artikel 19.6 i EU-förordningen informera Riksbanken om allvarliga IKT-relaterade incidenter hos en finansiell entitet.

2 kap. Hotbildsstyrda penetrationstester

Finansinspektionen

1 § Finansinspektionen ska besluta om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester enligt artikel 26 i EU-förordningen. Finansinspektionen ska också besluta om hur ofta en finansiell entitet ska genomföra sådana tester.

Riksbanken

2 § Riksbanken ska övervaka och samordna de hotbildsstyrda penetrationstester som ska genomföras enligt artiklarna 26 och 27 i EU-förordningen.

Riksbanken ska utfärda sådana intyg som avses i artikel 26.7 i EUförordningen.

Samverkan

3 § Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan

Finansinspektionen fattar beslut enligt 1 §.

Riksbanken ska ge Finansinspektionen tillfälle att yttra sig innan Riksbanken fattar beslut om hotbildsstyrda penetrationstester som berör Finansinspektionens tillsynsverksamhet. Detta gäller inte om en samverkan skulle leda till att ett test onödigt fördröjs. I ett sådant fall ska Riksbanken underrätta Finansinspektionen om beslutet.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Uppgiftsskyldighet

4 § På begäran av Riksbanken ska finansiella entiteter lämna de uppgifter som är nödvändiga för Riksbankens verksamhet enligt 2 §.

Förelägganden

5 § Riksbanken får besluta om de förelägganden som behövs för att en finansiell entitet ska följa uppgiftsskyldigheten i 4 §.

Avgifter till Riksbanken

6 § Riksbanken får ta ut avgifter från de finansiella entiteter som genomför hotbildsstyrda penetrationstester.

Riksbanken får meddela föreskrifter om avgifterna.

3 kap. Tillsyn

Tillsynens omfattning

1 § Finansinspektionen har tillsyn över att finansiella entiteter följer bestämmelserna i EU-förordningen, denna lag och andra författningar som har meddelats i anslutning till dessa.

Föreläggande om att lämna uppgifter

2 § För tillsynen enligt 1 § får Finansinspektionen besluta att förelägga

1. en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat, och

2. den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör på tid och plats som inspektionen bestämmer.

Första stycket gäller inte i den utsträckning uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater.

Platsundersökning

3 § Finansinspektionen får när det är nödvändigt för tillsynen enligt 1 § genomföra en undersökning i verksamhetslokalerna hos en finansiell entitet.

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1 § Finansinspektionen ska ingripa mot följande finansiella entiteter om de åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa:

1. Svenska skeppshypotekskassan,

2. en leverantör av kryptotillgångstjänster,

3. en emittent av tillgångsanknutna token,

4. en pensionsstiftelse,

5. en administratör av kritiska referensvärden,

6. en leverantör av gräsrotsfinansieringstjänster, och

7. ett transaktionsregister.

2 § Bestämmelser om ingripanden mot andra finansiella entiteter än de som anges i 1 § och som åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa finns i de lagar som reglerar den berörda verksamheten.

3 § Ett ingripande enligt 1 § mot Svenska skeppshypotekskassan sker genom beslut om föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande.

4 § Ett ingripande enligt 1 § mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister sker genom beslut om

1. föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2. anmärkning.

5 § Ett ingripande enligt 1 § mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster sker genom beslut om

1. föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2. anmärkning. Om överträdelsen är allvarlig får den finansiella entitetens auktorisation återkallas eller, om det är tillräckligt, en varning meddelas.

6 § Ett ingripande får inte ske om en överträdelse omfattas av ett föreläggande som har förenats med vite och en ansökan om utdömande av vitet har gjorts.

7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har meddelats, får Finansinspektionen besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

8 § Om en auktorisation återkallas enligt 5 § får Finansinspektionen bestämma hur verksamheten ska avvecklas.

Ett beslut om återkallelse får förenas med förbud att fortsätta med hela eller delar av verksamheten.

Ingripanden mot vissa företrädare för finansiella entiteter

9 § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för en finansiell entitet som anges i 1 § 2–7 eller är dess verkställande direktör, eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i EU-förordningen.

Ett ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet som avses i första stycket, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift. Ett ingripande får ske bara om den finansiella entitetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av

Finansinspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1. den fysiska person som föreläggandet avser,

2. överträdelsen och de omständigheter som behövs för att känneteckna den,

3. de bestämmelser som är tillämpliga på överträdelsen, och

4. den sanktion som föreläggs personen. Sanktionsföreläggandet ska också innehålla en upplysning om att ansökan om sanktion kan komma att ges in till domstol, om sanktionsföreläggandet inte godkänns inom den tid som Finansinspektionen anger.

12 § Om ett sanktionsföreläggande inte har godkänts inom angiven tid, får Finansinspektionen ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse.

Prövningstillstånd krävs vid överklagande till kammarrätten.

13 § Ett sanktionsföreläggande är utan verkan, om föreläggandet inte har delgetts den som det riktas mot inom två år från den tidpunkt då överträdelsen ägde rum. I ett sådant fall får inte heller någon sanktion enligt 12 § första stycket beslutas.

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 1 § och som är en juridisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2. tio procent av den finansiella entitetens omsättning närmast föregående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3. tre gånger den vinst som den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än 5 000 kronor.

Om en överträdelse har skett under den juridiska personens första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga, får omsättningen uppskattas när den högsta sanktionsavgiften ska beräknas.

15 § Sanktionsavgiften för en leverantör av kryptotillgångstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven i Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

Sanktionsavgiften för en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven enligt artikel 11 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro, eller

2. tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

17 § Sanktionsavgifter tillfaller staten.

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska

tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått samt graden av ansvar hos den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen.

19 § Utöver det som anges i 18 § ska det i försvårande riktning beaktas om den som har begått överträdelsen tidigare har begått en överträdelse.

Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått överträdelsen

1. i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2. snabbt upphört med överträdelsen eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

20 § När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till sådana omständigheter som anges i 18 och 19 §§ samt till den berörda fysiska eller juridiska personens finansiella ställning och, om det går att fastställa, den vinst som personen gjort till följd av överträdelsen.

Möjlighet att avstå från ett ingripande

21 § Finansinspektionen får avstå från ingripande, om

1. överträdelsen är ringa eller ursäktlig,

2. den fysiska eller juridiska personen i fråga gör rättelse,

3. den fysiska personen har verkat för att den juridiska personen ska göra rättelse, eller

4. någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms tillräckliga.

Verkställighet av beslut om sanktionsavgift

22 § En sanktionsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att ett beslut eller en dom om att ta ut avgiften har fått laga kraft eller ett sanktionsföreläggande har godkänts, eller inom den längre tid som anges i beslutet eller föreläggandet.

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

24 § En sanktionsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet eller domen om att ta ut avgiften fick laga kraft eller sanktionsföreläggandet godkändes.

5 kap. Överklagande, beslut som ska gälla omedelbart och vite

Överklagande

1 § Finansinspektionens beslut om sanktionsföreläggande enligt denna lag får inte överklagas.

Andra beslut av Finansinspektionen enligt denna lag och EU-förordningen får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

2 § Riksbankens beslut om föreläggande enligt 2 kap. 5 § och beslut om utfärdande av intyg enligt artikel 26.7 i EU-förordningen får överklagas till allmän förvaltningsdomstol.

Andra beslut av Riksbanken enligt denna lag och EU-förordningen får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som ska gälla omedelbart

3 § Finansinspektionen får bestämma att följande beslut ska gälla omedelbart:

1. beslut om hotbildsstyrda penetrationstester enligt 2 kap. 1 §,

2. beslut om föreläggande enligt 4 kap. 3 §, 4 § 1, 5 § första stycket 1 eller 9 § andra stycket 1, eller

3. beslut om återkallelse enligt 4 kap. 5 § andra stycket.

Vite

4 § Följande beslut får förenas med vite:

1. Riksbankens beslut om föreläggande enligt 2 kap. 5 §, och

2. Finansinspektionens beslut om föreläggande enligt 3 kap. 2 § första stycket, 4 kap. 3 §, 4 § 1, 5 § första stycket 1, 8 § andra stycket eller 9 § andra stycket 1.

5 § Beslut om viten enligt EU-förordningen får verkställas enligt utsökningsbalken på samma sätt som en svensk dom som har fått laga kraft.

Denna lag träder i kraft den 17 januari 2025.

2.2. Förslag till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

Härigenom föreskrivs1 att 16 g och 16 i §§ lagen (1967:531) om tryggande av pensionsutfästelse m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

16 g §2

En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1. riskhantering,

2. internrevision, och

3. verksamhet som omfattas av uppdragsavtal. Pensionsstiftelsen ska upprätta och vid behov följa en beredskapsplan som säkerställer att verksamheten kan bedrivas kontinuerligt.

Pensionsstiftelsen ska upprätta och vid behov följa en beredskapsplan som säkerställer att verksamheten kan bedrivas kontinuerligt.

Stiftelsen ska ha sådana nätverks- och informationssystem som avses i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Pensionsstiftelsen ska upprätta och följa en sund ersättningspolicy för personer som leder eller övervakar verksamheten eller på annat sätt kan påverka riskerna i verksamheten. Stiftelsen ska regelbundet offentliggöra relevant information om ersättningspolicyn.

16 i §3

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vad placeringsriktlinjerna och redogörelsen enligt 16 f § ska innehålla, och

2. vad de styrdokument som anges i 16 g § ska innehålla.

2. vad de styrdokument som anges i 16 g § första och tredje styckena ska innehålla.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur information om ersättningspolicyn ska offentliggöras enligt 16 g §.

1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse 2020:394. 3 Senaste lydelse 2020:394.

Denna lag träder i kraft den 17 januari 2025.

2.3. Förslag till lag om ändring i trafikskadelagen (1975:1410)

Härigenom föreskrivs att 5 § trafikskadelagen (1975:1410)1 ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §2

Trafikförsäkring får meddelas av

1. en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkringsrörelselagen (2010:2043),

2. en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och

3. en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.

En försäkringsgivare som får meddela trafikförsäkring är skyldig att på begäran meddela trafikförsäkring. I ett tillstånd enligt 2 kap. 4 § försäkringsrörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige kan dock skyldigheten begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Finansinspektionen kan efter ansökan besluta om motsvarande begränsning för försäkringsgivare som driver verksamhet här enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige. Finansinspektionens beslut får överklagas hos regeringen.

En försäkringsgivare som får meddela trafikförsäkring är skyldig att på begäran meddela trafikförsäkring. I ett tillstånd enligt 2 kap. 4 § försäkringsrörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige får dock skyldigheten begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Finansinspektionen får efter ansökan besluta om motsvarande begränsning för försäkringsgivare som driver verksamhet här enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige. Finansinspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

En försäkringsgivare som avser att meddela trafikförsäkring genom gränsöverskridande verksamhet med stöd av 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige men som inte har fast driftställe i Sverige ska ha en representant här i landet. Representanten ska vara bosatt i Sverige eller vara en svensk juridisk

1 Lagen omtryckt 1994:43. 2 Senaste lydelse 2023:666.

person. Försäkringsgivaren ska utfärda en fullmakt för representanten att gentemot skadelidande företräda försäkringsgivaren och att själv eller genom någon annan tala och svara för denne angående försäkringsfall. Representanten ska även ha behörighet att företräda försäkringsgivaren vid kontroll av om det finns en giltig trafikförsäkring. Försäkringsgivaren ska informera försäkringstagarna om vem som är försäkringsgivarens representant och om dennes adress. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om villkor för sådana representanter.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före den 17 januari 2025.

2.4. Förslag till lag om ändring i lagen (1980:1097) om Svenska skeppshypotekskassan

Härigenom föreskrivs att 38 § lagen (1980:1097) om Svenska skeppshypotekskassan ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

38§1

Kassan står under tillsyn av Finansinspektionen.

Regeringen meddelar ytterligare föreskrifter om tillsynsverksamheten.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före den 17 januari 2025.

1 Senaste lydelse 1998:310.

Vid meddelande av föreläggande eller förbud i samband med tillsynen kan Finansinspektionen förelägga vite.

Finansinspektionen får förena ett beslut om föreläggande med vite.

Inspektionens beslut enligt denna lag får överklagas hos regeringen.

Inspektionens beslut har omedelbar verkan, om inte annat beslutas.

Inspektionens beslut enligt denna lag gäller omedelbart, om inte myndigheten beslutar något annat.

Finansinspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

2.5. Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument

Härigenom föreskrivs att 9 kap. 12 § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument1 ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

12 §2

Finansinspektionen ska ingripa mot någon som ingår i en svensk värdepapperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1. tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

2. har fått auktorisationer som krävs enligt artikel 16 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, genom osanna uppgifter eller andra olagliga metoder enligt artikel 20.1 b i förordningen,

3. låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

4. låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5. låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

6. låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7. låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på länkar mellan värdepapperscentraler i strid med artikel 48 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, eller

8. låtit bli att uppfylla kraven på länkar mellan värdepapperscentraler i strid med artikel 48 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

9. utan giltig grund vägrat att bevilja olika typer av tillträde i strid med artiklarna 49–53 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen.

9. utan giltig grund vägrat att bevilja olika typer av tillträde i strid med artiklarna 49–53 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, eller

10. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1,

1 Senaste lydelse av lagens rubrik 2016:51. 2 Senaste lydelse 2016:51.

16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande enligt första stycket får ske endast om värdepapperscentralens överträdelse är allvarlig och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt första stycket får ske bara om värdepapperscentralens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande sker genom Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot, verkställande direktör eller ersättare för någon av dem i värdepapperscentralen, eller

2. beslut om sanktionsavgift.

Denna lag träder i kraft den 17 januari 2025.

2.6. Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder

Härigenom föreskrivs1 att 2 kap. 17 §, 12 kap. 1 a § och 13 kap. 1 § lagen (2004:46) om värdepappersfonder2 ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

17 §3

Ett fondbolag ska ha sunda rutiner för

1. förvaltning av verksamheten och redovisning,

2. intern kontroll, och

Fondbolaget ska särskilt upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

1. upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

dokumentera samtliga transaktioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

2. dokumentera samtliga transaktioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

3. ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

1 Jfr Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag), i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse av lagens rubrik 2013:563. 3 Senaste lydelse 2013:563.

3. drift och förvaltning av sina informationssystem.

3. drift och förvaltning av sina nätverks- och informationssystem.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

12 kap.

1 a §4

Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om fondbolaget

1. har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3. påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond i ett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspektionen i enlighet med 2 kap. 15 c §,

4. inte uppfyller grundläggande krav på organisation och drift av verksamheten enligt 2 kap. 17 eller 17 f § eller föreskrifter som har meddelats med stöd av 13 kap. 1 § 11 avseende dessa bestämmelser,

4. inte uppfyller grundläggande krav på organisation och drift av verksamheten enligt 2 kap. 17 § första stycket 1 eller 2 eller tredje stycket eller 17 f § eller föreskrifter som har meddelats med stöd av 13 kap. 1 § 11 avseende dessa bestämmelser,

5. åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6. påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7. vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informationsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

8. vid upprepade tillfällen placerar medel i en värdepappersfond i strid med det som anges i någon av 5 kap. 1, 3–22, 24 eller 25 §§ eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 21, 22, 24 och 25 avseende dessa bestämmelser,

9. inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 23 avseende dessa bestämmelser,

10. i strid med 11 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

11. i strid med 11 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier i bolaget samt storleken på innehavet, eller

11. i strid med 11 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier i bolaget samt storleken på innehavet,

12. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen.

12. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen, eller

4 Senaste lydelse 2023:234.

13. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 11 kap. 1 eller 4 § för förvärv eller avyttring av aktier i bolaget, ska första stycket 10 och 11 inte gälla för den personen i fråga om dessa aktier.

Ett ingripande enligt första stycket får ske endast om bolagets överträdelse är allvarlig och personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Ett ingripande enligt första stycket får ske bara om bolagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Ingripande sker genom Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot eller verkställande direktör i ett fondbolag, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

13 kap.

1 §5

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka åtgärder ett fondbolag ska vidta om det tar emot medel med redovisningsskyldighet enligt 1 kap. 4 § eller 7 kap. 1 §,

2. hur ett förvaltningsbolag eller fondföretag ska tillhandahålla information om de uppgifter som avses i 1 kap. 6 c § första stycket och 8 § första stycket,

3. på vilket språk ett förvaltningsbolag eller fondföretag ska tillhandahålla funktionerna i 1 kap. 6 c § första stycket och 8 § första stycket,

4. på vilket språk ett fondföretag ska tillhandahålla information enligt 1 kap. 9 § första stycket 1 och 2 och 9 a § första stycket,

5. hur ett fondföretag ska offentliggöra avsikten att upphöra med marknadsföringen av andelar i företaget enligt 1 kap. 9 § första stycket 2,

6. hur medel för distanskommunikation får användas när ett fondföretag som har upphört med marknadsföring i Sverige av andelar i företaget ska tillhandahålla kvarvarande andelsägare här i landet information enligt 1 kap. 9 a § första stycket,

7. vilka poster som får räknas in i startkapitalet enligt 2 kap. 4 §,

8. vilka poster som får räknas in i egna medel enligt 2 kap. 8–10 §§,

9. på vilket språk underrättelsen enligt 2 kap. 15 c § första stycket ska skrivas,

5 Senaste lydelse 2023:234.

10. hur fondbolaget ska offentliggöra handlingarna enligt 2 kap. 15 c § fjärde stycket,

11. vad ett fondbolag ska iaktta för att uppfylla skyldigheterna i 2 kap. 17, 17 c och 17 f§§,

11. vad ett fondbolag ska iaktta för att uppfylla skyldigheterna i 2 kap. 17 § första stycket 1 och 2 och tredje stycket, 17 c och 17 f §§,

12. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av 2 kap. 17 g §,

13. hur uppgifter enligt 2 kap. 20 § första stycket ska lämnas, 14. vilken information som ska lämnas i underrättelsen till andelsägare enligt 4 kap. 9 a § och på vilket sätt underrättelsen ska lämnas,

15. villkor som en andelsklass får vara förenad med enligt 4 kap. 10 § andra stycket 2 och under vilka förutsättningar en andelsklass får vara förenad med ett visst villkor,

16. utformningen och tillämpningen av metoder för justerat fondandelsvärde enligt 4 kap. 10 b § och vilka krav som ska uppfyllas när ett justerat fondandelsvärde beräknas och används,

17. tillhandahållande av informationsbroschyr och faktablad enligt 4 kap. 20 §,

18. på vilket språk informationen enligt 4 kap. 20 § ska tillhandahållas, 19. hur volatiliteten i skillnaden mellan fondens avkastning och jämförelseindexets avkastning enligt 4 kap. 26 § ska beräknas,

20. hur informationen enligt 4 kap. 28 § ska presenteras, 21. kriterier för de finansiella tillgångar som medel i en värdepappersfond får placeras i enligt 5 kap. 1 § andra stycket första meningen,

22. vilka tekniker och instrument ett fondbolag får använda enligt 5 kap. 1 § tredje stycket samt villkor och gränser för sådan användning,

23. det system för riskhantering ett fondbolag ska ha enligt 5 kap. 2 § första och andra styckena,

24. kriterier för indexfonder enligt 5 kap. 7 §, 25. beräkning av exponeringar enligt 5 kap. 13 och 14 §§, 26. på vilket sätt underrättelsen till andelsägarna enligt 5 a kap. 7 § ska lämnas,

27. vilka fel och försummelser som ska rapporteras enligt 5 a kap. 18 §, 28. förutsättningar för överföring av finansiella instrument och förvaltning enligt 5 a kap. 37 och 46 §§,

29. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av bestämmelserna i 7 kap. 3 §,

30. vad informationen enligt 8 kap. 8 § ska innehålla, hur den ska utformas, på vilket sätt den ska tillhandahållas och vad som ska bifogas informationen,

31. på vilket språk de handlingar som ska lämnas tillsammans med ansökan enligt 8 kap. 19 § ska upprättas,

32. vilka upplysningar fondbolag, förvaltningsbolag, fondföretag samt förvaringsinstitut ska lämna till Finansinspektionen enligt 10 kap. 2 § första stycket och när upplysningarna ska lämnas, och

33. sådana avgifter som avses i 10 kap. 11 §.

Denna lag träder i kraft den 17 januari 2025.

2.7. Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse

Härigenom föreskrivs1 i fråga om lagen (2004:297) om bank- och finansieringsrörelse2

dels att nuvarande 6 kap. 2 a och 2 b §§ ska betecknas 6 kap. 2 b och 2 c §§,

dels att den nya 6 kap. 2 c §, 10 kap. 1 §, 15 kap. 1 a §, 16 kap. 1 § och 17 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 6 kap. 2 a § ska sättas närmast före 6 kap. 2 b §,

dels att det ska införas en ny paragraf, 6 kap. 2 a §, och närmast före 6 kap. 2 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 kap.

Nätverks- och informationssystem

2 a §

Ett kreditinstituts nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

2 b §

2 c § 3

En anställd hos ett kreditinstitut som har gjort en anmälan till Finansinspektionen eller Europeiska värdepappers- och marknadsmyndigheten om misstänkta överträdelser av bestämmelser som gäller för verksamheten får inte göras ansvarig för att ha åsidosatt någon tystnadsplikt, om anmälaren hade anledning att anta att en överträdelse hade skett.

Detsamma gäller om en anställd har gjort en anmälan via det rapporteringssystem som avses i 2 a §.

Detsamma gäller om en anställd har gjort en anmälan via det rapporteringssystem som avses i 2 b §.

1 Jfr Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse av 6 kap. 2 a § 2018:327 rubriken närmast före 6 kap. 2 a § 2016:893. 3 Senaste lydelse av tidigare 2 b § 2016:893.

10 kap.

1 §4

För bankaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

23 kap. 45 b § aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

24 kap. 47 § aktiebolagslagen, och

3.24 kap. 47 § aktiebolagslagen, och

24 a kap. 24 § aktiebolagslagen.

4.24 a kap. 24 § aktiebolagslagen.

Lydelse enligt prop. 2024/25:43 Föreslagen lydelse

15 kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om kreditinstitutet

1. har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. i strid med 14 kap. 4 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

3. i strid med 14 kap. 4 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i institutet samt storleken på innehaven,

4. inte uppfyller kraven i 6 kap. 1–3 c, 4, 4 a, 4 c eller 5 § eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 5,

4. inte uppfyller kraven i 6 kap. 1, 2, 2 b–3 c, 4, 4 a, 4 c eller 5 § eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 5,

5. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om efterlevnaden av skyldigheten att uppfylla kapitalbaskraven enligt artikel 92 i tillsynsförordningen, i strid med artikel 430.1 i den förordningen,

6. låter bli att rapportera eller lämnar ofullständig eller felaktig information till Finansinspektionen när det gäller data som avses i artikel 430a i tillsynsförordningen,

7. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om en stor exponering i strid med artikel 394.1 i tillsynsförordningen,

8. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2 i tillsynsförordningen,

4 Senaste lydelse 2022:1649.

9. låter bli att lämna uppgifter till Finansinspektionen eller lämnar ofullständig eller felaktig information om sin bruttosoliditet i strid med artikel 430.1 och 430.2 i tillsynsförordningen,

10. vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i strid med artikel 412 i tillsynsförordningen,

11. utsätter sig för en exponering som överskrider gränserna enligt artikel 395 i tillsynsförordningen,

12. är exponerat för kreditrisken i en värdepapperiseringsposition utan att uppfylla villkoren i artikel 405 i tillsynsförordningen,

13. låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med någon av artiklarna 431.1–431.3 och 451.1 i tillsynsförordningen,

14. gör betalningar till innehavare av instrument som ingår i institutets kapitalbas i strid med 8 kap.3 och 4 §§ lagen (2014:966) om kapitalbuffertar eller artikel 28, 51 eller 63 i tillsynsförordningen, när dessa artiklar förbjuder sådana betalningar till innehavare av instrument som ingår i kapitalbasen,

15. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen,

16. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och om ändring av direktiv (EU) 2015/849,

17. har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i institutet eller kvarstå i institutet trots att kraven i 3 kap. 2 § första stycket 4 eller 5, 10 kap. 8 a–8 c §§ eller 12 kap. 6 a–6 c §§ eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 3 inte är uppfyllda,

18. i strid med 6 a kap. 1 eller 2 § låter bli att upprätta eller lämna in en återhämtningsplan eller en koncernåterhämtningsplan,

19. i strid med 6 b kap. 11 § låter bli att anmäla att koncerninternt finansiellt stöd ska lämnas,

20. i strid med 13 kap. 4 a och 5 a §§ låter bli att underrätta Finansinspektionen om institutet fallerar eller sannolikt kommer att fallera,

21. inte uppfyller kravet på kapitalbas och kvalificerade skulder enligt 4 kap. lagen (2015:1016) om resolution eller i strid med 28 kap. 1 § samma lag låter bli att lämna begärda upplysningar till Riksgäldskontoret,

22. är ett moderföretag enligt artikel 4.1.15 i tillsynsförordningen och inte uppfyller kraven i del tre, fyra, sex eller sju i den förordningen eller 2 kap. 1 eller 2 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag på grupp- eller undergruppsnivå,

23. omfattas av tillståndsplikt enligt lagen (2003:1223) om utgivning av säkerställda obligationer och

a) har fått tillstånd att ge ut säkerställda obligationer genom att lämna falska uppgifter eller på något annat otillbörligt sätt,

b) driver verksamhet med säkerställda obligationer utan tillstånd,

c) ger ut säkerställda obligationer som inte uppfyller 3 kap. 1, 2, 3, 4, 5, 6, 7, 10, 11 eller 15 § eller 16 § andra stycket lagen om utgivning av säkerställda obligationer,

d) låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med 3 kap. 16 § första stycket lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i en sådan likviditetsbuffert som avses i 3 kap. 9 a § lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i en sådan likviditetsbuffert som avses i 3 kap. 9 a § lagen om utgivning av säkerställda obligationer,

24. låter bli att lämna uppgifter om sin verksamhet med säkerställda obligationer till Finansinspektionen eller lämnar ofullständiga eller felaktiga uppgifter i strid med 13 kap. 3 §.

24. låter bli att lämna uppgifter om sin verksamhet med säkerställda obligationer till Finansinspektionen eller lämnar ofullständiga eller felaktiga uppgifter i strid med 13 kap. 3 §, eller

25. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 14 kap. 1 eller 3 § för förvärv eller avyttring av aktier eller andelar i institutet, ska första stycket 2 och 3 inte gälla för den personen i fråga om dessa aktier eller andelar.

Ett ingripande enligt första stycket får ske endast om institutets överträdelse är allvarlig och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande sker genom Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre år och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett kreditinstitut, eller ersättare för någon av dem, eller

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett kreditinstitut, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Nuvarande lydelse Föreslagen lydelse

16 kap.

1 §5

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilken information ett kreditinstitut ska lämna till sina kunder eller till dem som institutet erbjuder sina tjänster,

2. hur uppgifter enligt 1 kap. 11 § ska lämnas,

3. de krav som ska gälla för deltagande i ledningen av ett kreditinstitut enligt 3 kap. 2 § första stycket 4 och 5 och 14 kap. 2 § andra stycket 1,

4. vilka poster som får räknas in i startkapitalet enligt 3 kap. 5–7 §§,

5. vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, genomlysning, system för hantering av uppgifter om insättare och deras insättningar, amortering, sundhet, att inte bidra till finansiella obalanser på kreditmarknaden samt riktlinjer och instruktioner som avses i 6 kap. 1–5 §§,

5. vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, genomlysning, system för hantering av uppgifter om insättare och deras insättningar, amortering, sundhet, att inte bidra till finansiella obalanser på kreditmarknaden samt riktlinjer och instruktioner som avses i 6 kap. 1, 2 och 2 b–5 §§,

6. erkännande av utländska krav enligt 6 kap. 3 d §,

7. innehållet i en återhämtningsplan enligt 6 a kap. 1 § och en koncernåterhämtningsplan enligt 6 a kap. 2 §, när planerna ska upprättas och hur ofta de ska uppdateras,

8. innehållet i en ansökan om godkännande av avtal gällande koncerninternt finansiellt stöd enligt 6 b kap. 3 § första stycket,

9. vad det beslut som styrelsen i det stödgivande företaget fattar enligt 6 b kap. 8 § ska innehålla,

10. innehållet i en anmälan om givande av koncerninternt finansiellt stöd enligt 6 b kap. 11 §,

11. offentliggörandet av information enligt 6 b kap. 16 §, 12. vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på kreditprövning, dokumentation och beslutsunderlag som avses i 8 kap. 1–4 §§ i fråga om

– krediter till andra än konsumenter, och – sådana krediter till konsumenter som är bostadskrediter, 13. tillhandahållande av tjänster till en jävskrets som avses i 8 kap. 5 och 6 §§,

14. kreditinstituts mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

15. vilka begränsningar som gäller när ett bankaktiebolag eller ett kreditmarknadsbolag tar emot egna aktier eller aktier i sitt moderbolag som pant enligt 10 kap. 12 §,

16. vilka upplysningar ett kreditinstitut och sådana utländska kreditinstitut som inrättat filial i Sverige ska lämna till Finansinspektionen för dess tillsynsverksamhet,

5 Senaste lydelse 2018:1791.

17. vilka kreditinstitut som ska upprätta register som avses i 13 kap. 8 a §, vad registren ska innehålla och inom vilken tid kreditinstitutet ska ge in registren för olika typer av avtal, och

18. sådana avgifter för tillsyn, ansökningar, anmälningar och underrättelser som avses i 13 kap. 16 §.

17 kap.

1 §6

Finansinspektionens beslut enligt 13 kap. 12 § och 15 kap. 9 a § och 18 § tredje stycket får inte överklagas.

Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sammankallande av styrelse eller stämma enligt 13 kap. 12 §,

2. beslut om sanktionsföreläggande enligt 15 kap. 9 a §,

3. beslut om föreläggande att den som driver rörelsen ska lämna de upplysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 15 kap. 18 § tredje stycket,

4. beslut om begäran att den som är revisor i ett företag ska lämna sådana upplysningar om företagets rörelse enligt 15 kap. 18 § tredje stycket, eller

5. beslut om förordnande av sakkunnig enligt

– 10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller

– 10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen .

Finansinspektionens beslut som avses i 10 kap. 1 § andra stycket 1 får överklagas till regeringen.

Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Inspektionen får bestämma att ett beslut om förbud, föreläggande eller återkallelse ska gälla omedelbart.

6 Senaste lydelse 2018:817. Ändringen innebär bl.a. att andra stycket tas bort.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av följande beslut om beslutet har meddelats före den 17 januari 2025: – beslut om undantag från bosättningskravet för styrelseledamöter enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 9 § aktiebolagslagen (2005:551), – beslut om undantag från bosättningskravet för en verkställande direktör enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 30 § aktiebolagslagen, och – beslut om undantag från bosättningskravet för en särskild firmatecknare enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 37 § andra stycket aktiebolagslagen.

2.8. Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden

Härigenom föreskrivs1 i fråga om lagen (2007:528) om värdepappersmarknaden

dels att 8 kap. 10, 11, 23 och 35 §§, 13 kap. 1, 1 a och 1 d §§ och 25 kap. 1 a, 1 e, 1 i, 10 a och 15 a §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 25 kap. 1 j §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 kap.

10 §2

Ett värdepappersinstitut ska ha tillräckliga system, resurser och rutiner för att institutet ska kunna tillhandahålla investeringstjänster och utföra investeringsverksamhet kontinuerligt och regelbundet.

Informations- och kommunikationstekniksystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett värdepappersinstitut ska ha sunda skyddsmekanismer för att säkerställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till informationen.

Ett värdepappersinstitut ska ha sunda skyddsmekanismer för att, i enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2022/2554, säkerställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till informationen.

11 §

Ett värdepappersinstitut skall Ett värdepappersinstitut ska

1. tillämpa sunda rutiner för

a) förvaltning av verksamheten, och

b) redovisning,

2. ha rutiner för intern kontroll,

2. ha rutiner för intern kontroll, och

1 Jfr Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse 2017:679.

3. ha effektiva metoder för riskbedömning, och

3. ha effektiva metoder för riskbedömning.

4. ha effektiv drift och förvaltning av sina informationssystem.

23 §3

Ett värdepappersinstitut som bedriver algoritmisk handel ska ha effektiva system och riskkontroller som är anpassade för den verksamheten. Systemen och kontrollerna ska säkerställa att institutets handelssystem är motståndskraftiga och har tillräcklig kapacitet, att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.

Ett värdepappersinstitut som bedriver algoritmisk handel ska ha effektiva system och riskkontroller som är anpassade för den verksamheten. Systemen och kontrollerna ska säkerställa att institutets handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.

Värdepappersinstitutet ska också ha effektiva system och åtgärder för riskkontroll för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot marknadsmissbruksförordningen eller mot reglerna på en handelsplats till vilken institutet är anslutet.

Värdepappersinstitutet ska ha inrättat effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera driftavbrott i sina handelssystem och ska se till att systemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i första och andra styckena.

Värdepappersinstitutet ska ha inrättat effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera driftavbrott i sina handelssystem, inbegripet en IKTkontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner för informations- och kommunikationsteknik som inrättas i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554. Institutet ska se till att systemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i första och andra styckena och kraven i kapitlen II och IV i samma förordning.

3 Senaste lydelse 2017:679.

Värdepappersinstitutet ska dokumentera de åtgärder som det har vidtagit enligt första–tredje styckena så att Finansinspektionen har möjlighet att övervaka att institutet har följt denna lag.

35 §4

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka åtgärder ett värdepappersbolag ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, ersättningssystem och genomlysning samt riktlinjer och instruktioner som avses i 3–8 §§,

2. värdepappersbolags mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

3. de riktlinjer, regler och rutiner ett värdepappersinstitut ska upprätta och tillämpa enligt 9 §,

4. vilka system, resurser och rutiner ett värdepappersinstitut ska ha enligt 10 §,

5. vad ett värdepappersinstitut ska iaktta för att uppfylla skyldigheterna i 11 §,

4. vad ett värdepappersinstitut ska iaktta för att uppfylla skyldigheterna i 11 §,

6. de processer för produktgodkännande och översyn ett värdepappersinstitut ska ha enligt 13 §,

5. de processer för produktgodkännande och översyn ett värdepappersinstitut ska ha enligt 13 §,

7. den information ett värdepappersinstitut ska lämna enligt 14 § första stycket,

6. den information ett värdepappersinstitut ska lämna enligt 14 § första stycket,

8. de arrangemang ett värdepappersinstitut ska ha för att få information och för att förstå egenskaperna hos finansiella instrument och den fastställda målgruppen för instrumenten enligt 14 § andra stycket,

7. de arrangemang ett värdepappersinstitut ska ha för att få information och för att förstå egenskaperna hos finansiella instrument och den fastställda målgruppen för instrumenten enligt 14 § andra stycket,

9. de arrangemang ett värdepappersinstitut som distribuerar finansiella instrument ska ha för urvalet av finansiella instrument och tjänster som erbjuds eller rekommenderas till kunder,

8. de arrangemang ett värdepappersinstitut som distribuerar finansiella instrument ska ha för urvalet av finansiella instrument och tjänster som erbjuds eller rekommenderas till kunder,

10. kraven för bedömning av kunskap och kompetens enligt 15 §,

9. kraven för bedömning av kunskap och kompetens enligt 15 §,

11. dokumentation enligt 16 § och hur lång tid dokumentation ska sparas enligt 20 §, och

10. dokumentation enligt 16 § och hur lång tid dokumentation ska sparas enligt 20 §, och

12. övervakning av handeln och kursbildningen enligt 21 §.

11. övervakning av handeln och kursbildningen enligt 21 §.

4 Senaste lydelse 2021:480.

13 kap.

1 §5

En börs ska driva sin verksamhet hederligt, rättvist och professionellt och på ett sätt så att allmänhetens förtroende för värdepappersmarknaden upprätthålls.

När börsen driver en reglerad marknad, ska den tillämpa principerna om

1. fritt tillträde, som innebär att var och en som uppfyller de krav som ställs i denna lag och av börsen får delta i handeln,

2. neutralitet, som innebär att börsens regler för den reglerade marknaden tillämpas på ett likformigt sätt gentemot alla som deltar i handeln, och

3. god genomlysning, som innebär att deltagarna får en snabb, samtidig och korrekt information om handeln och att allmänheten får tillfälle att ta del av sådan information.

En börs ska också

1. identifiera och hantera de risker som kan uppstå i verksamheten,

1. identifiera och hantera de risker, inbegripet IKT-risker i enlighet med kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, som kan uppstå i verksamheten, och

2. ha säkra tekniska system, samt

3. identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

2. identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

En börs får inte i sitt regelverk ställa oskäliga krav på emittenter och deltagare vid en reglerad marknad. Vad som utgör ett oskäligt krav ska bedömas med hänsyn till dess ändamål, EG-rätten och övriga omständigheter.

En börs får inte i sitt regelverk ställa oskäliga krav på emittenter och deltagare vid en reglerad marknad. Vad som utgör ett oskäligt krav ska bedömas med hänsyn till dess ändamål, EU-rätten och övriga omständigheter.

1 a §6

En börs ska inrätta effektiva system, förfaranden och arrangemang för att säkerställa att handelssystemen

En börs ska inrätta och upprätthålla en operativ motståndskraft i enlighet med kraven i kapitel II i

Europaparlamentets och rådets förordning (EU) 2022/2554 för att säkerställa att handelssystemen

1. är motståndskraftiga,

2. har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och meddelandevolymer,

3. kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden,

5 Senaste lydelse 2009:588. 6 Senaste lydelse 2017:679.

4. är fullständigt testade, och

5. garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handelssystemet.

5. garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handelssystemet, inbegripet en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt

IKT-relaterade åtgärds- och återställningsplaner i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554.

1 d §7

En börs ska inrätta effektiva system, förfaranden och arrangemang för att säkerställa att deltagare som använder algoritmiska handelssystem på en reglerad marknad som börsen driver inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och för att kunna hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av användningen av sådana algoritmiska handelssystem.

I de förfaranden som avses i första stycket ska det ingå

1. krav på deltagarna att utföra lämpliga tester av algoritmer och att tillhandahålla miljöer för att underlätta sådana tester,

1. krav på deltagarna att utföra lämpliga tester av algoritmer och att tillhandahålla miljöer för att underlätta sådana tester, i enlighet med kraven i kapitlen II och IV i

Europaparlamentets och rådets förordning (EU) 2022/2554,

2. system för att begränsa andelen inte utförda order i förhållande till transaktionerna som kan läggas in i systemet av en deltagare,

3. system för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att taket för systemkapaciteten uppnås, och

4. system för att begränsa och upprätthålla den minsta prisändring som får tillämpas på den reglerade marknaden.

25 kap.

1 a §8

Finansinspektionen ska ingripa mot någon som ingår i ett svenskt värdepappersinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepappersinstitutet har åsidosatt sina skyldigheter enligt

1. 5 kap. 1, 3, 6 eller 7 §,

2. 6 kap. 1, 4 eller 6 §,

3. någon av 8 kap. 8 e eller 9–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–12,

3. någon av 8 kap. 8 e eller 9–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

7 Senaste lydelse 2017:679. 8 Senaste lydelse 2021:968.

4. någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

5. någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

6. någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

7. någon av 15 a kap. 7, 8 eller 10–14 §§,

8. 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §, eller

8. 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §,

9. 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §.

9. 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §, eller

10. någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

1 e §9

Finansinspektionen ska ingripa mot någon som ingår i en börs styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om börsen

1. har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i företaget eller kvarstå i företaget trots att kraven i 12 kap. 2 § 4 eller 5 eller någon av 6 b–6 d §§ inte är uppfyllda,

3. har åsidosatt sina skyldigheter enligt

a) 8 kap. 21 § eller föreskrifter som meddelats med stöd av 8 kap. 35 § 12,

a) 8 kap. 21 § eller föreskrifter som meddelats med stöd av 8 kap. 35 § 11,

b) någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

9 Senaste lydelse 2021:968.

c) 12 kap. 6 e, 7 eller 10 § eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 12 kap. 11 § 2–4,

d) någon av 13 kap. 1–2, 6–7 a eller 9 §§ eller 12 § femte stycket eller föreskrifter som meddelats med stöd av 13 kap. 17 § 1,

e) 14 kap. 1, 2 eller 3 §,

f) 15 kap. 1, 2, 5, 9 eller 10 §,

g) någon av 15 a kap. 7, 8 eller 10–12 §§,

h) 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 eller 3 §, eller

i) 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § andra stycket, 3 § första stycket eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §,

4. i strid med 24 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där, eller

4. i strid med 24 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

5. i strid med 24 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i företaget samt storleken på innehaven.

5. i strid med 24 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i företaget samt storleken på innehaven, eller

6. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som avses i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 24 kap. 1 eller 4 § för förvärv eller avyttring av aktier eller andelar i företaget, ska första stycket 4 och 5 inte gälla för den personen i fråga om dessa aktier eller andelar.

1 i §10

Finansinspektionen ska ingripa mot någon som ingår i en central motparts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om den centrala motparten har åsidosatt sina skyldigheter enligt förordningen om återhämtning och resolution av centrala motparter genom att inte

1. utarbeta, upprätthålla och uppdatera en återhämtningsplan (artikel 9),

2. tillhandahålla nödvändiga uppgifter för att utarbeta resolutionsplan (artikel 13), eller

10 Senaste lydelse 2022:743.

3. underrätta Finansinspektionen om att den centrala motparten fallerar eller sannolikt kommer att fallera (artikel 70.1).

Finansinspektionen ska även ingripa mot en sådan fysisk person som avses i första stycket om den centrala motparten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ingripande får ske genom en eller båda av följande sanktioner:

1. att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en central motpart, eller ersättare för någon av dem, eller

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en central motpart, eller ersättare för någon av dem, eller

2. sanktionsavgift.

2. beslut om sanktionsavgift.

Ett ingripande enligt första stycket får ske bara om den centrala motpartens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt första eller andra stycket får ske bara om den centrala motpartens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

1 j §

Finansinspektionen ska ingripa mot någon som ingår i en leverantör av datarapporteringstjänsters styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om leverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en leverantör av datarapporteringstjänster, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift. Ett ingripande får ske bara om Finansinspektionen har tillsyn över leverantören av datarapporteringstjänster och om leverantörens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

10 a §11

Frågor om ingripanden mot fysiska personer för överträdelser enligt någon av 1 a, 1 b, 1 d–1 f, 1 i, 15 a eller 15 b §§ tas upp av Finansinspektionen genom sanktionsföreläggande.

Frågor om ingripanden mot fysiska personer för överträdelser enligt någon av 1 a, 1 b, 1 d–1 f, 1 i, 1 j, 15 a eller 15 b §§ tas upp av Finansinspektionen genom sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande enligt 1 c § andra stycket, 1 d § fjärde stycket eller 1 i § andra stycket som är bestämt till tid eller belopp eller enligt 1 g § andra stycket eller 15 c § andra stycket som är bestämt till belopp.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande enligt 1 c § andra stycket, 1 d § fjärde stycket, 1 i § tredje stycket eller 1 j § andra stycket som är bestämt till tid eller belopp eller enligt 1 g § andra stycket eller 15 c § andra stycket som är bestämt till belopp.

När föreläggandet har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

15 a §12

Finansinspektionen ska ingripa mot den eller de personer som har ansvaret för ledningen av en filial till ett sådant företag som anges i 15 §, om företaget

1. har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. har tillåtit en person som har ansvaret för ledningen av filialen att åta sig ett sådant uppdrag i filialen eller att kvarstå i detta trots att kraven i 4 kap. 4 § 5 eller i föreskrifter som meddelats med stöd av 3 kap. 12 § 2 inte är uppfyllda, eller

3. har åsidosatt sina skyldigheter enligt

a) någon av 8 kap. 9–20 eller 21–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–12,

a) någon av 8 kap. 9–20 eller 21–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

11 Senaste lydelse 2022:743. 12 Senaste lydelse 2021:968.

b) någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–30, 31–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

c) någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

d) någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

e) 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §, eller

f) 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §.

Denna lag träder i kraft den 17 januari 2025.

2.9. Förslag till lag om ändring i lagen (2010:751) om betaltjänster

Härigenom föreskrivs1 i fråga om lagen (2010:751) om betaltjänster

dels att 5 b kap. 1, 3 och 6 §§, 8 kap. 9, 16 a och 23 b §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 8 kap. 8 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 b kap.

1 §2

En betaltjänstleverantör ska ha ett system med lämpliga åtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som den tillhandahåller. Inom ramen för detta system ska betaltjänstleverantören reglera hur incidenter ska hanteras.

För betaltjänstleverantörer som omfattas av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 gäller även kapitel II i den förordningen.

3 §3

En betaltjänstleverantör ska så snart det kan ske underrätta Finansinspektionen om en allvarlig operativ incident eller säkerhetsincident som uppkommit i verksamheten. Finansinspektionen ska så snart det kan ske informera Riksbanken, andra berörda svenska myndigheter, Europeiska bankmyndigheten och Europeiska centralbanken.

Om incidenten påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen, ska betaltjänstleverantören så snart det kan ske informera användarna om incidenten och om de åtgärder som kan vidtas för att begränsa risken för skada.

Första och andra styckena gäller inte för betaltjänstleverantörer som omfattas av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554.

1 Jfr Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse 2018:175. 3 Senaste lydelse 2018:175.

6 §4

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. hur ett system enligt 1 § ska utformas,

1. hur ett system enligt 1 § första stycket ska utformas,

2. vilka upplysningar en betaltjänstleverantör ska lämna enligt 2 § samt hur och när uppgifterna ska lämnas,

3. vad som utgör en allvarlig operativ incident eller säkerhetsincident enligt 3 § första stycket,

4. hur bedömningen av om en incident påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen enligt 3 § andra stycket ska göras, och

5. hur betaltjänstanvändarna ska informeras enligt 3 § andra stycket.

8 kap.

8 b §

Finansinspektionen ska ingripa mot någon som ingår i betalningsinstitutets styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett betalningsinstitut, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

4 Senaste lydelse 2018:175.

9 §5

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från ingripande enligt 8 och 8 a §§ om

Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om

1. en överträdelse är ringa eller ursäktlig,

2. betalningsinstitutet gör rättelse eller om den fysiska personen i betalningsinstitutets ledning verkat för att institutet gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen i betalningsinstitutets ledning som bedöms vara tillräckliga.

16 a §6

Frågor om ingripanden mot fysiska personer enligt 8 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Lydelse enligt prop. 2024/25:43 Föreslagen lydelse

23 b §

Finansinspektionen ska ingripa mot en person som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Finansinspektionen ska ingripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske endast om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

5 Senaste lydelse 2017:652. 6 Senaste lydelse 2017:652.

Finansinspektionen ska även ingripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade betaltjänstleverantörens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande sker genom Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en registrerad betaltjänstleverantör, eller

2. beslut om sanktionsavgift.

Denna lag träder i kraft den 17 januari 2025.

2.10. Förslag till lag om ändring i försäkringsrörelselagen (2010:2043)

Härigenom föreskrivs1 i fråga om försäkringsrörelselagen (2010:2043)2

dels att 21 kap. 2 § ska upphöra att gälla,

dels att 10 kap. 3 §, 11 kap. 1 §, 18 kap. 2 a och 18 a §§ och 21 kap. 1 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 18 kap. 1 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 kap.

3 §3

Ett försäkringsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna bedrivas med kontinuitet och i enlighet med gällande regler.

Ett försäkringsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna bedrivas med kontinuitet och i enlighet med gällande regler.

Nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett försäkringsföretag ska ha en beredskapsplan.

11 kap.

1 §4

För försäkringsaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om försäkringsaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

23 kap. 45 b § aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

24 kap. 47 § aktiebolagslagen, och

3.24 kap. 47 § aktiebolagslagen, och

1 Jfr Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II), i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse av 21 kap. 2 § 2019:766. 3 Senaste lydelse 2015:700. 4 Senaste lydelse 2022:1650.

24 a kap. 24 § aktiebolagslagen.

4.24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för försäkringsaktiebolag.

18 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i försäkringsföretagets styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

2 a §5

Ingripande enligt 1 a § sker genom

Ett ingripande enligt 1 a eller 1 b § får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket i ett försäkringsföretag, eller

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket och 1 b § första stycket i ett försäkringsföretag, eller

2. beslut om sanktionsavgift.

18 a §6

Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a eller 1 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

5 Senaste lydelse 2017:653. 6 Senaste lydelse 2017:653.

21 kap.

1 §7

Finansinspektionens beslut i ärenden enligt 17 kap. 13 § första stycket och 18 kap. 25 § andra stycket samt beslut om sanktionsföreläggande får inte överklagas.

Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sammankallande av styrelse eller stämma enligt 17 kap. 13 § första stycket,

2. beslut om sanktionsföreläggande enligt 18 kap. 18 a §,

3. beslut om föreläggande att den som driver rörelsen ska lämna de upplysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 18 kap. 25 § andra stycket,

4. beslut om begäran att den som är revisor i ett företag ska lämna sådana upplysningar om företagets rörelse enligt 18 kap. 25 § andra stycket, eller

5. beslut om förordnande av sakkunnig enligt

– 11 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 11 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller

– 11 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen .

Denna lag träder i kraft den 17 januari 2025.

7 Senaste lydelse 2019:766.

2.11. Förslag till lag om ändring i lagen (2011:755) om elektroniska pengar

Härigenom föreskrivs i fråga om lagen (2011:755) om elektroniska pengar

dels att 5 kap. 9, 16 a och 23 b §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 5 kap. 8 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

8 b §

Finansinspektionen ska ingripa mot någon som ingår i styrelsen för institutet för elektroniska pengar eller är dess verkställande direktör, eller ersättare för någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett institut för elektroniska pengar, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

9 §1

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från ingripande enligt 8 och 8 a §§ om

Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om

1. en överträdelse är ringa eller ursäktlig,

2. institutet för elektroniska pengar gör rättelse eller om den fysiska personen verkat för att institutet gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen som bedöms vara tillräckliga.

16 a §2

Frågor om ingripanden mot fysiska personer enligt 8 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Lydelse enligt prop. 2024/25:43 Föreslagen lydelse

23 b §

Finansinspektionen ska ingripa mot en person som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har befunnits ansvarig för överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Finansinspektionen ska ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har befunnits ansvarig för överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske endast om överträdelsen är allvarlig, systematisk eller upprepad och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, systematisk eller upprepad och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verk-

1 Senaste lydelse 2017:655. 2 Senaste lydelse 2017:655.

ställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1– 11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade utgivarens överträ-

delse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande sker genom Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en utgivare av elektroniska pengar, eller

2. beslut om sanktionsavgift.

Denna lag träder i kraft den 17 januari 2025.

2.12. Förslag till lag om ändring i lagen (2013:561) om förvaltare av alternativa investeringsfonder

Härigenom föreskrivs1 i fråga om lagen (2013:561) om förvaltare av alternativa investeringsfonder

dels att 8 kap. 2 § och 14 kap. 13 a § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 14 kap. 1 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 kap.

2 §

En AIF-förvaltare ska ha sunda rutiner för

1. förvaltning av verksamheten och redovisning,

2. drift och förvaltning av sina informationssystem, och

2. drift och förvaltning av sina nätverks- och informationssystem, och

3. intern kontroll.

AIF-förvaltaren ska särskilt

1. upprätta och tillämpa regler för anställdas egna transaktioner,

2. upprätta och tillämpa regler för investeringar som görs för förvaltarens egen räkning,

3. ha rutiner för att kunna säkerställa att varje transaktion som genomförs för en alternativ investeringsfonds räkning är möjlig att rekonstruera i efterhand med avseende på dess ursprung, art, parter, tidpunkt och plats, samt

4. ha rutiner för att säkerställa att tillgångarna i de alternativa investeringsfonder som förvaltaren förvaltar investeras i enlighet med denna lag och andra författningar som reglerar verksamheten eller lagstiftningen i det land där fonden är etablerad samt fondbestämmelser, bolagsordning eller motsvarande regelverk.

14 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i en AIF-

1 Jfr Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

Rutinerna enligt första stycket 2 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

förvaltares ledning eller styrelse eller är förvaltarens verkställande direktör eller motsvarande, eller ersättare för någon av dem, om förvaltaren har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om AIFförvaltarens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket i en AIF-förvaltare, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

13 a §2

Frågor om ingripanden mot fysiska personer enligt 1 a eller 9 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Frågor om ingripanden mot fysiska personer enligt 1 a, 1 b eller 9 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 12 kap.9 a9 d §§ lagen (2004:46) om värdepappersfonder.

Denna lag träder i kraft den 17 januari 2025.

2 Senaste lydelse 2017:658.

2.13. Förslag till lag om ändring i lagen (2018:1219) om försäkringsdistribution

Härigenom föreskrivs att 9 kap.2 och 4 §§ lagen (2018:1219) om försäkringsdistribution ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

2 §

Finansinspektionen ska besluta att ingripa mot någon som ingår i en svensk försäkringsförmedlares styrelse, är dess verkställande direktör eller på motsvarande sätt företräder försäkringsförmedlaren, eller är ersättare för någon av dem, om försäkringsförmedlaren

Finansinspektionen ska ingripa mot någon som ingår i en svensk försäkringsförmedlares styrelse, är dess verkställande direktör eller på motsvarande sätt företräder försäkringsförmedlaren, eller är ersättare för någon av dem, om försäkringsförmedlaren

1. bedriver försäkringsdistribution i Sverige och inte uppfyller kraven på tillstånd eller registrering i 2 kap.,

2. har fått tillstånd att bedriva försäkringsdistribution genom att lämna falska uppgifter eller på annat otillbörligt sätt,

3. för distribution av försäkringar använder någon som inte har rätt att bedriva försäkringsdistribution eller att distribuera sådana försäkringar som distributionen avser,

4. har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §, eller

4. har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §,

5. har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som meddelats med stöd av den lagen.

5. har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som meddelats med stöd av den lagen, eller

6. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012,

(EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande sker genom ett beslut om

Ingripande får ske genom en eller båda av följande sanktioner:

1. att personen i fråga under en viss tid, dock lägst tre år och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en försäkringsdistributör, eller

1. beslut att personen i fråga under en viss tid, dock lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en försäkringsdistributör, eller

2. sanktionsavgift.

2. beslut om sanktionsavgift.

4 §

Ett ingripande enligt 2 eller 3 § får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt 2 § första stycket 1–5 eller 3 § får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt 2 § första stycket 6 får ske bara om överträdelsen är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Denna lag träder i kraft den 17 januari 2025.

2.14. Förslag till lag om ändring i lagen (2019:742) om tjänstepensionsföretag

Härigenom föreskrivs1 i fråga om lagen (2019:742) om tjänstepensionsföretag

dels att 9 kap. 2 §, 10 kap. 1 §, 15 kap. 3, 4, 18, 20 och 23 §§ och 17 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast efter rubriken till 15 kap. ska lyda ”Ingripande mot tjänstepensionsföretag och vissa fysiska personer”,

dels att det ska införas fyra nya paragrafer, 15 kap. 1 a, 2 a, 17 a och 18 a §§, och närmast före 15 kap. 18 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

2 §

Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler.

Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler.

Nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett tjänstepensionsföretag ska ha en beredskapsplan.

10 kap.

1 §2

För tjänstepensionsaktiebolag gäller bestämmelserna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller av sådana bestämmelser i försäkringsrörelselagen (2010:2043) som det hänvisas till i denna lag. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag eller i försäkringsrörelselagen som gäller i stället för eller utöver aktiebolagslagen.

I fråga om tjänstepensionsaktiebolag ska det som sägs om Bolagsverket i följande bestämmelser avse Finansinspektionen:

8 kap. 9 och 30 §§ och 37 § andra stycket aktiebolagslagen,

1. 8 kap. 9 och 30 §§ och 37 § andra stycket aktiebolagslagen,

1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556. 2 Senaste lydelse 2022:1651.

23 kap. 45 b § aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

24 kap. 47 § aktiebolagslagen, och

3.24 kap. 47 § aktiebolagslagen, och

24 a kap. 24 § aktiebolagslagen.

4.24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för tjänstepensionsaktiebolag.

15 kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i tjänstepensionsföretagets styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

2 a §

Ett ingripande enligt 1 a § får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket i ett tjänstepensionsföretag, eller

2. beslut om sanktionsavgift.

3 §

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

I försvårande riktning ska det beaktas om tjänstepensionsföretaget tidigare har begått en överträdelse.

I försvårande riktning ska det beaktas om tjänstepensionsföretaget tidigare har begått en överträdelse eller om den fysiska

personen tidigare orsakat en sådan överträdelse.

I förmildrande riktning ska det beaktas om

1. företaget i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

1. företaget eller den fysiska personen i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2. företaget snabbt har upphört med överträdelsen sedan den anmälts till eller påtalats av Finansinspektionen.

2. företaget snabbt har upphört med överträdelsen, eller den fysiska personen snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

4 §

Finansinspektionen får avstå från ingripande om

1. en överträdelse är ringa eller ursäktlig,

2. tjänstepensionsföretaget gör rättelse, eller

2. tjänstepensionsföretaget gör rättelse eller om den fysiska personen verkat för att företaget gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot företaget och dessa åtgärder bedöms tillräckliga.

3. någon annan myndighet har vidtagit åtgärder mot företaget eller den fysiska personen och dessa åtgärder bedöms tillräckliga.

17 a §

En sanktionsavgift för en fysisk person ska som högst fastställas till det högsta av

1. två gånger den vinst som den fysiska personen gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller

2. ett belopp som per den 16 januari 2023 i kronor motsvarade fem miljoner euro.

Avgiften tillfaller staten.

18 §

När sanktionsavgiftens storlek fastställs, ska särskild hänsyn tas till sådana omständigheter som anges i 3 § samt till tjänstepensionsföretagets finansiella ställning och, om det går att fastställa, den vinst som gjorts till följd av regelöverträdelsen.

När sanktionsavgiftens storlek fastställs, ska särskild hänsyn tas till sådana omständigheter som anges i 3 § samt till tjänstepensionsföretagets eller den fysiska personens finansiella ställning och, om det går att fastställa, den vinst som gjorts till följd av regelöverträdelsen.

Sanktionsföreläggande

18 a §

Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap. 9 a 9 d §§ lagen ( 2004:297 ) om bank- och finansieringsrörelse.

20 §

En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att beslutet om den har fått laga kraft eller inom den längre tid som anges i beslutet.

En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att beslutet om den har fått laga kraft eller sanktionsföreläggandet godkänts eller inom den längre tid som anges i beslutet.

23 §

En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft eller sanktionsföreläggandet godkändes.

17 kap.

1 §

Finansinspektionens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol.

Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sanktionsföreläggande enligt 15 kap. 18 a §, eller

2. beslut om förordnande av sakkunnig enligt

– 10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller

– 10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen .

Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Denna lag träder i kraft den 17 januari 2025.

3. Ärendet och dess beredning

Europaparlamentet och rådet antog den 14 december 2022 förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, i det följande benämnd DORA-förordningen. Förordningen trädde i kraft den 16 januari 2023 och ska tillämpas från och med den 17 januari 2025. Förordningen finns i bilaga 1.

Tillsammans med DORA-förordningen gjordes ändringar i flera EUdirektiv på finansmarknadsområdet genom Europaparlamentets och rådets direktiv (EU) 2022/2556 av den 14 december 2022 om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn, i det följande benämnt ändringsdirektivet. Ändringarna ska tillämpas från och med den 17 januari 2025. Ändringsdirektivet finns i bilaga 2.

DORA-förordningen och ändringsdirektivet kräver vissa nationella lagstiftningsåtgärder. Finansdepartementet har tagit fram promemorian Digital operativ motståndskraft för finanssektorn som innehåller förslag till sådana åtgärder. I promemorian lämnas också förslag till vissa ändringar som rör överklaganden av Finansinspektionens beslut i frågor som inte har samband med DORA-förordningen. En sammanfattning av promemorian finns i bilaga 3. Promemorians lagförslag finns i bilaga 4.

Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren finns tillgängliga på regeringens webbplats (regeringen.se) och i Finansdepartementet (Fi2024/00073).

I propositionen behandlas promemorians förslag. En jämförelsetabell finns i bilaga 8. I tabellen visas de bestämmelser som föreslås för att i svensk rätt genomföra de ändringar som genom ändringsdirektivet görs i de olika EU-direktiven på finansmarknadsområdet.

Lagrådet

Regeringen beslutade den 15 augusti 2024 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6. Lagrådets yttrande finns i bilaga 7.

Regeringen har i huvudsak följt Lagrådets förslag och synpunkter. Lagrådets synpunkter behandlas i avsnitt 5.5, 10.2.2 och 10.4. I förhållande till lagrådsremissen har det i propositionen dessutom gjorts vissa språkliga och redaktionella ändringar.

Hänvisningar till S3

4. EU:s förordning om digital operativ motståndskraft för finanssektorn

4.1. Bakgrund och förordningens syfte

DORA-förordningen syftar till att genom enhetliga krav i nätverks- och informationssystem uppnå en hög gemensam nivå av digital operativ motståndskraft i den finansiella sektorn (artikel 1.1). I Europeiska kommissionens förslag till förordning samt i skälen till förordningen betonas de senaste årtiondenas snabba digitalisering (skäl 1) och hur användningen av informations- och kommunikationsteknologi (IKT) i dag är avgörande för driften av alla finansiella entiteters vanliga dagliga funktioner (skäl 2). Samtidigt påpekas att en ökad digitalisering innebär ökade sårbarheter (skäl 1) och att Europeiska systemrisknämnden i en rapport från 2020 bekräftar att den höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknadsinfrastruktur kan utgöra en systemsårbarhet som kan få negativa konsekvenser för den finansiella stabiliteten i EU (skäl 3). Det enhetliga regelverk som nu styr unionens finansiella sektor och som reformerades efter finanskrisen 2008 syftar främst till att stärka den finansiella motståndskraften i finanssektorn (skäl 5). Även om IKT-säkerhet och digital motståndskraft ingår i de operativa riskerna som omfattas av befintligt regelverk, uppmärksammas de inte i tillräckligt hög omfattning i unionslagstiftningen (skäl 5 och 8). Detta har lett till skillnader i lagstiftning och olika nationella reglerings- och tillsynsstrategier för IKT-risk, vilket riskerar att utgöra ett hinder för den inre marknadens funktion (skäl 9). Det har därför identifierats ett behov av att utveckla det gemensamma regelverket och tillsynssystemet för den finansiella sektorn så att det även omfattar harmoniserande bestämmelser kring digital operativ motståndskraft (skäl 8 och 11).

Hänvisningar till S4-1

  • Prop. 2024/25:44: Avsnitt 5.1

4.2. Andra EU-rättsakter om ökad motståndskraft

NIS2 och CER

DORA-förordningen är en del av ett samlat EU-rättsligt ramverk för en ökad motståndskraft inom EU. Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148, i det följande benämnt NIS2-direktivet, ersätter det tidigare s.k. NIS-direktivet. NIS-direktivet var den första övergripande ramen för cybersäkerhet som antogs på unionsnivå. Syftet med NISdirektivet var att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom unionen som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer och säkerställa kontinuiteten i sådana tjänster när de utsätts för incidenter. NIS-direktivet omfattar tre typer av finansiella entiteter: kreditinstitut, handelsplatser och

centrala motparter. Direktivet har genomförts i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

I och med NIS2-direktivet har tillämpningsområdet utökats till att omfatta aktörer inom fler sektorer, men direktivet omfattar fortfarande samma typer av finansiella entiteter som det tidigare NIS-direktivet. NIS2direktivet fastställer till skillnad från det tidigare direktivet enhetliga kriterier för att avgöra vilka entiteter som omfattas av dess tillämpningsområde utifrån en storleksbaserad regel. Ett större antal finansiella entiteter omfattas därför av NIS2-direktivet. I NIS2-direktivet skärps kraven på entiteterna genom minimikrav för åtgärder som ska tillämpas för att hantera risker kopplade till säkerheten i entiteters nätverks- och informationssystem. Direktivet innehåller även mer precisa rapporteringskrav. I likhet med vad som gäller enligt NIS-direktivet ska medlemsstaterna enligt NIS2-direktivet utse en eller flera behöriga myndigheter och en nationell gemensam kontaktpunkt. Liksom NIS-direktivet föreskriver NIS2-direktivet att det ska finnas en eller flera enheter för hantering av it-säkerhetsincidenteter (s.k. CSIRT-enheter) som bl.a. ska ansvara för hanteringen av incidenter. I NIS2-direktivet åläggs dessa ytterligare uppgifter. NIS2-direktivet innehåller dessutom nya regler om ett ramverk för storskaliga cybersäkerhetsincidenter och cyberkriser. Varje medlemsstat ska enligt direktivet utse en eller flera behöriga myndigheter som ansvarar för hanteringen av sådana incidenter och kriser (cyberkrishanteringsmyndighet). Vidare ställer NIS2-direkivet större krav på såväl strategiskt som operativt samarbete mellan medlemsstaterna. I NIS2-direktivet regleras även nya former för samarbete mellan medlemsstaterna. Ett forum för samarbete är det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska verka stödjande vid samordning och hantering av storskaliga incidenter och cyberkriser.

Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG, i det följande benämnt CERdirektivet, innehåller bestämmelser som syftar till att förebygga, motstå och hantera störningar eller avbrott i samhällsviktig verksamhet, inbegripet kritisk infrastruktur. Direktivet inrättar en övergripande ram för att hantera kritiska entiteters motståndskraft med hänsyn till alla faror, oberoende av om det är naturliga faror eller orsakade av människan, olyckshändelser eller avsiktligt framkallade faror (skäl 1–4). CERdirektivet ålägger de kritiska entiteterna skyldigheter att bl.a. vidta åtgärder för att stärka sin motståndskraft och att rapportera incidenter. Det innehåller också bestämmelser om tillsyn och sanktioner. Vidare fastställs i CER-direktivet en ram för samarbete mellan medlemsstaterna. CERdirektivet omfattar samma finansiella entiteter som NIS2-direktivet.

NIS2-direktivet och det kompletterande CER-direktivet ska vara genomförda i svensk rätt den 17 oktober 2024. Regeringen har gett en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att direktiven ska kunna genomföras (dir. 2023:30 och dir. 2024:3, se även delbetänkandet Nya regler om cybersäkerhet [SOU 2024:18]).

DORA-förordningen har företräde framför direktiven

Av NIS2-direktivet och CER-direktivet följer att berörda bestämmelser i direktiven inte ska vara tillämpliga om det i en sektorsspecifik EU-rättsakt ställs åtminstone likvärda krav som i direktiven på att entiteter ska vidta åtgärder för att stärka sin motståndskraft (artikel 4 i NIS2-direktivet och artikel 1.3 i CER-direktivet). DORA-förordningen är en sektorsspecifik EU-rättsakt i förhållande till både NIS2-direktivet och CER-direktivet (artikel 1.2 i DORA-förordningen). I DORA-förordningen fastställs strängare krav på IKT-riskhantering och IKT-relaterad incidentrapportering än i motsvarande bestämmelser i NIS2-direktivet (jfr skäl 16 i DORA-förordningen). Det innebär att bestämmelserna i NIS2-direktivet om riskhanterings- och rapporteringsskyldigheter beträffande cybersäkerhet och om tillsyn och efterlevnadskontroll inte gäller för de finansiella entiteter som omfattas av DORA-förordningen (skäl 28 och artikel 4 i NIS2-direktivet). DORA-förordningens krav på IKT-riskhantering inbegriper även skydd av fysisk IKT-infrastruktur (jfr skäl 21 i CER-direktivet). De finansiella entiteterna som omfattas av DORAförordningen ska därför undantas från artikel 11 och kapitlen 3, 4 och 6 i CER-direktivet (artikel 8 i CER-direktivet). De finansiella entiteterna ska dock ingå i den förteckning som ska upprättas över entiteter som omfattas av direktiven (artikel 3.3 i NIS2 direktivet och artikel 6.3 i CERdirektivet).

Det är viktigt att upprätthålla en stark koppling mellan finanssektorn och EU:s övergripande ram för cybersäkerhet för att säkerställa överensstämmelse med de strategier för cybersäkerhet som ska antas av medlemsstaterna och göra det möjligt för finansiella tillsynsmyndigheter att få kännedom om cyberincidenter som påverkar andra sektorer som omfattas av NIS2-direktivet (jfr skäl 16 i DORA-förordningen och skäl 28 i NIS2direktivet). De europeiska tillsynsmyndigheterna och de behöriga myndigheterna enligt DORA-förordningen ska därför ha möjlighet att delta i samarbetsgruppens verksamhet och att utbyta information och samarbeta med de gemensamma kontaktpunkterna och med CSIRT-enheterna och de behöriga myndigheterna enligt NIS2-direktivet (artikel 47 i DORAförordningen). De behöriga myndigheterna enligt DORA-förordningen ska även översända uppgifter om större IKT-relaterade incidenter och, i förekommande fall, betydande cyberhot till CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt NIS2direktivet (artikel 19.6 c i DORA-förordningen). Medlemsstaterna kan även reglera att finansiella entiteter som frivilligt rapporterar betydande cyberhot till den behöriga myndigheten enligt DORA-förordningen även får vidarebefordra anmälan till en CSIRT-enhet (artikel 19.2, se även avsnitt 6) Vidare bör medlemsstaterna fortsätta att inkludera finanssektorn i sina strategier för cybersäkerhet, och CSIRT-enheterna kan inbegripa finanssektorn i sin verksamhet.

Hänvisningar till S4-2

  • Prop. 2024/25:44: Avsnitt 4.3, 6

4.3. Tillämpningsområde

DORA-förordningen är tillämplig på de flesta fysiska och juridiska personer som är verksamma inom den finansiella sektorn (artikel 2). I

förordningen benämns dessa som finansiella entiteter (artikel 2.2). Förvaltare av alternativa investeringsfonder, försäkrings- och återförsäkringsföretag, tjänstepensionsinstitut och försäkrings- och återförsäkringsförmedlare som inte uppfyller vissa storlekskrav undantas från tillämpningsområdet. Från förordningens tillämpningsområde undantas även postgiroinstitut, försäkringsförmedlare som bedriver förmedling som sidoverksamhet och personer som omfattas av artiklarna 2 och 3 i Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU. Förordningen ger även möjlighet att undanta bl.a. Svenska skeppshypotekskassan från tillämpningsområdet (se avsnitt 5.3). Som Myndigheten för samhällsskydd och beredskap framför, kan entiteter som undantas från tillämpningsområdet i DORAförordningen i stället omfattas av NIS2- och CER-direktiven (se avsnitt 4.2).

Förordningen gäller bara för de institut som anges i förordningen (artikel 2). Det innebär, som Finansinspektionen framför, att nationella konstruktioner, t.ex. bostadskreditinstitut och konsumentkreditinstitut, inte är att anse som finansiella entiteter enligt DORA-förordningen. Nationella konstruktioner kan dock, som Getswish AB tar upp, omfattas av DORA-förordningen i dess egenskap av tredjepartsleverantörer av IKTtjänster (artikel 2.1 u, se även avsnitt 4.4.4 och 4.4.5).

Förordningen gäller för flera olika typer av finansiella entiteter inom den finansiella sektorn där riskerna varierar utifrån den verksamhet som den enskilda entiteten får bedriva. Proportionalitetsprincipen är därmed central vid tillämpningen av förordningen (artikel 4 och skäl 21). Finansiella entiteter ska uppfylla kraven i förordningen med beaktande av bl.a. sin storlek och allmänna riskprofil samt karaktären på, omfattningen av och komplexiteten i sina tjänster. På motsvarande sätt ska tillsynsmyndigheterna beakta de finansiella entiteternas tillämpning av proportionalitetsprincipen när de utövar sin tillsyn.

Hänvisningar till S4-3

4.4. Centrala termer och uttryck i förordningen

4.4.1. Digital operativ motståndskraft

Digital operativ motståndskraft definieras i DORA-förordningen som en finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott (artikel 3.1). Begreppet syftar till att säkerställa både robusta IKT-system samt företagsledningar och organisationer som är rustade att stå emot och hantera alla möjliga former av IKT-relaterade incidenter.

4.4.2. IKT-tjänster

Med IKT-tjänster (informations- och kommunikationsteknikstjänster) avses digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare. Detta omfattar maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören. Traditionella analoga telefontjänster omfattas däremot inte (artikel 3.21).

4.4.3. Finansiell entitet

Med finansiell entitet avses aktörer på finansmarknaden, både juridiska och fysiska personer, som förordningen ska tillämpas på (artikel 2.1 a–t tillsammans med artikel 2.2). Detta gäller t.ex. kreditinstitut (artikel 2.1 a). Tredjepartsleverantörer av IKT-tjänster, som också omfattas av förordningens tillämpningsområde, ingår däremot inte i begreppet ”finansiell entitet” (artikel 2.1 u jämförd med artikel 2.2).

4.4.4. Tredjepartsleverantör av IKT-tjänster

Med tredjepartsleverantör av IKT-tjänster avses ett företag som tillhandahåller IKT-tjänster (artikel 3.19). Ett sådant företag ska dock inte anses som en finansiell entitet enligt förordningen (artikel 2.1 u tillsammans med artikel 2.2).

Hänvisningar till S4-4-4

  • Prop. 2024/25:44: Avsnitt 4.3

4.4.5. Kritisk tredjepartsleverantör av IKT-tjänster

En tredjepartsleverantör av IKT-tjänster kan i vissa fall klassificeras som en kritisk tredjepartsleverantör av IKT-tjänster (artikel 3.23). Detta gäller bl.a. om det skulle ske en systempåverkan på stabiliteten, kontinuiteten eller kvaliteten på tillhandahållandet av finansiella tjänster om tredjepartsleverantören skulle drabbas av ett omfattande driftsavbrott (se artikel 31.2).

Hänvisningar till S4-4-5

  • Prop. 2024/25:44: Avsnitt 4.3

4.4.6. IKT-risk

IKT-risk är varje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, genom att orsaka negativa effekter i den digitala eller fysiska miljön kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster (artikel 3.5).

4.4.7. IKT-tredjepartsrisk

Med IKT-tredjepartsrisk avses en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som

tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer (artikel 3.18).

4.4.8. Hotbildsstyrd penetrationstestning

Hotbildsstyrd penetrationstestning avser en testram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer som uppfattas som ett genuint cyberhot. Testramen ska ge ett kontrollerat, skräddarsytt och underrättelsestyrt test (s.k. red team-test) av de kritiska produktionssystem som är i drift hos den finansiella entiteten (artikel 3.17).

4.5. IKT-riskhantering

I DORA-förordningen anges vilka krav på IKT-riskhantering som ska gälla för de finansiella entiteterna. Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som ska göra det möjligt för de finansiella entiteterna att säkerställa en hög nivå av digital operativ motståndskraft (artikel 6.1). IKT-riskhanteringsramen ska innehålla en strategi för digital operativ motståndskraft som inbegriper metoder för att hantera IKT-risker och genomförandet av tester av den digitala operativa motståndskraften (artikel 6.8). Metoder för att hantera IKT-risker avser bl.a. regelbundna riskbedömningar (artikel 8), övervakning av IKT-systemens verksamhet (artikel 9), rutiner för säkerhetskopiering, återskapande och återställning (artikel 12) samt IKTkontinuitetspolicys (artikel 11). Strategin ska uppdateras regelbundet (artikel 6).

För vissa finansiella entiteter gäller en förenklad IKT-riskhanteringsram (se artikel 16).

Finansiella entiteter ska registrera alla IKT-relaterade incidenter och betydande cyberhot och inrätta lämpliga förfaranden och processer för att säkerställa en konsekvent och integrerad övervakning, hantering och uppföljning av IKT-relaterade incidenter (artikel 17.1 och 17.2). Allvarliga IKT-relaterade incidenter ska rapporteras till den behöriga myndigheten (artikel 19). Finansiella entiteter får också på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten.

Det finns också bestämmelser om klassificering av IKT-relaterade incidenter och cyberhot. Kommissionen har vidare möjlighet att komplettera förordningen med tekniska standarder inom detta område (artikel 18).

4.6. Testning av digital operativ motståndskraft

DORA-förordningen innehåller bestämmelser om testning av digital operativ motståndskraft. Enligt förordningen ska varje finansiell entitet som en integrerad del av sin IKT-riskhanteringsram inrätta, upprätthålla och se över ett sunt och heltäckande program för testning (artikel 24.1). Testprogrammet ska innehålla bestämmelser om utförande av lämpliga

tester såsom bl.a. sårbarhetsanalyser, nätverkssäkerhetsbedömningar, fysiska säkerhetsgranskningar och penetrationstester (artikel 25.1). Utifrån testresultatet ska den finansiella entiteten besluta en åtgärdsplan för att säkerställa att identifierade brister hanteras på ett tillfredsställande sätt (artikel 24.5).

Finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet ska dessutom regelbundet genomföra avancerad testning baserad på hotbildsstyrd penetrationstestning (artikel 26.1 och 26.8 samt skäl 56). Sådana tester ska som utgångspunkt genomföras vart tredje år.

4.7. Hantering av IKT-tredjepartsrisker

IKT-tredjepartsrisker ska hanteras som en integrerad del av IKT-riskhanteringsramen, vilken ska innehålla en strategi för IKT-tredjepartsrisk (artikel 28). Finansiella entiteter ska upprätthålla ett register med information om användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och åtminstone årligen rapportera till den behöriga myndigheten om antalet nya arrangemang. Innan en finansiell entitet ingår ett kontraktsmässigt arrangemang om användning av IKTtjänster ska den bl.a. genomföra due diligence-granskning av potentiella tredjepartsleverantörer, identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka samt identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken. Förordningen innehåller även krav på exitstrategier (artikel 28.8) och bestämmelser om innehållet i de kontraktsmässiga arrangemangen för användning av IKT-tjänster (artikel 30).

För kritiska tredjepartsleverantörer av IKT-tjänster ska det inrättas ett särskilt tillsynsforum som en underkommitté till de europeiska tillsynsmyndigheterna (artiklarna 31–44).

4.8. Det fortsatta arbetet inom EU

4.8.1. Ytterligare bestämmelser

De europeiska tillsynsmyndigheterna har genom den gemensamma kommittén, i vissa fall i samråd med antingen Europeiska unionens cybersäkerhetsbyrå (Enisa) eller med Europeiska centralbanken (ECB) eller med både Enisa och ECB, utarbetat förslag till tekniska standarder för tillsyn och genomförande på ett antal områden. Kommissionen har enligt DORA-förordningen befogenhet att anta sådana tekniska standarder (artiklarna 15, 16, 18, 20, 26, 28, 30 och 41).

Kommissionen ges enligt DORA-förordningen även befogenhet att anta delegerade akter för att komplettera förordningens bestämmelser om vilka kriterier de europeiska tillsynsmyndigheterna ska tillämpa för att identifiera kritiska tredjepartsleverantörer av IKT-tjänster (artikel 31.6) och för

att fastställa avgiftsbeloppen för tillsynen avseende kritiska tredjepartsleverantörer av IKT-tjänster (artikel 43.2).

Hänvisningar till S4-8-1

4.8.2. Kommande utvärdering

Kommissionen ska senast den 17 januari 2028, efter samråd med de europeiska tillsynsmyndigheterna och Europeiska systemrisknämnden (ESRB), genomföra en översyn och överlämna en rapport för Europaparlamentet och rådet. Översynen ska bl.a. omfatta vissa delar avseende tillämpningen av bestämmelserna om kritiska tredjepartsleverantörer av IKT-tjänster, den frivilliga karaktären avseende rapportering om betydande cyberhot samt lämpligheten i att utvidga förordningens tillämpningsområde till att omfatta försäkrings- och återförsäkringsförmedlare som använder automatiska försäljningssystem, men som på grund av sin storlek m.m. för närvarande exkluderas av förordningens tillämpningsområde (artikel 58.1). Kommissionen ska också senast den 17 januari 2026, efter samråd med de europeiska tillsynsmyndigheterna och kommittén för europeiska tillsynsorgan för revisorer, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet om behovet av att införa krav på digital operativ motståndskraft för lagstadgade revisorer (artikel 58.3). Rapporterna får åtföljas av lagstiftningsförslag, om lämpligt.

När det gäller tillämpningsområdet för DORA-förordningen har kommissionen, som Getswish AB framför, bedömt att det i nuläget skulle vara förhastat att inkludera betalsystemsoperatörer och andra enheter som deltar i betalningshantering (se artikel 58.2). Mot bakgrund av dessa oövervakade operatörers växande betydelse för tillhandahållandet av betaltjänster och de potentiella risker som deras verksamhet kan orsaka för betalningssystemen och den finansiella stabiliteten, har kommissionen annonserat att en ny översyn ska göras (se Rapport från kommissionen till Europaparlamentet, rådet, Europeiska centralbanken samt Europeiska ekonomiska och sociala kommittén om översynen av Europaparlamentets och rådets direktiv 2015/2366/EU om betaltjänster på den inre marknaden, COM/2023/365 final).

5. Kompletterande bestämmelser i nationell rätt

5.1. En ny lag införs

Regeringens förslag: Det ska införas en ny lag med kompletterande bestämmelser till DORA-förordningen.

Termer och uttryck i den nya lagen ska ha samma betydelse som i DORA-förordningen.

Bestämmelser om ingripande mot vissa företrädare för juridiska personer ska i första hand införas i befintlig lagstiftning.

Regeringens bedömning: Utgångspunkten bör vara att befintliga bestämmelser om ingripanden i respektive rörelselag ska tillämpas.

Promemorians förslag och bedömning överensstämmer i sak med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Finansinspektionen anser att det bör förtydligas hur bestämmelserna i den nya lagen och rörelselagarna förhåller sig till varandra när en finansiell entitet har mer än ett tillstånd.

Sveriges advokatsamfund föreslår att det i kompletteringslagen förtydligas vad som avses med transaktionsregister och värdepapperiseringsregister.

Skälen för regeringens förslag och bedömning: En EU-förordning är direkt tillämplig i varje medlemsstat. Till skillnad från ett EU-direktiv ska en EU-förordning inte, och får inte heller, genomföras i nationell rätt.

Några särskilda åtgärder för att genomföra DORA-förordningen i svensk rätt ska därför inte vidtas. För att förordningen ska kunna tillämpas krävs likväl att medlemsstaterna inför vissa nationella bestämmelser. Det krävs bl.a. att medlemsstaterna inför administrativa åtgärder och avhjälpande åtgärder mot finansiella entiteter och personer som ingår i ledningen för dessa när den finansiella entiteten har gjort sig skyldig till en överträdelse av förordningen (artikel 50.4 och 50.5).

Genom DORA-förordningen införs harmoniserade regler om digital operativ motståndskraft och krav på hantering av IKT-risk för finanssektorn. Krav på hantering av IKT-risker har tidigare behandlats separat i olika EU-rättsakter och som en del av de operativa riskkraven för de enskilda företagen. I Sverige finns det därför i dag inte någon lagstiftning som uttryckligen reglerar digital operativ motståndskraft och IKT-riskkrav (jfr avsnitt 4.1). DORA-förordningen har ett brett tillämpningsområde och ett stort antal företag på finansmarknadsområdet, s.k. finansiella entiteter, omfattas av kraven i förordningen. I avsnitt 5.3 föreslås att även Svenska skeppshypotekskassan ska omfattas.

För de flesta finansiella entiteter som omfattas av DORA-förordningen finns det i Sverige en särskild rörelsereglering, t.ex. lagen (2004:297) om bank- och finansieringsrörelse, med bestämmelser om bl.a. tillsynsbefogenheter och administrativa sanktioner vid överträdelser av respektive regelverk (se avsnitt 10.2.1). Tillsyns- och ingripandebestämmelserna i de olika rörelselagarna har samma struktur och överensstämmer i mångt och mycket med varandra. I huvudsak tillgodoser dessa befintliga bestämmelser kraven enligt DORA-förordningen. Vissa skillnader finns dock. Detta gäller t.ex. sanktionsavgifter där maximibeloppen skiljer sig åt liksom de ytterligare omständigheter som ska beaktas när avgiften ska bestämmas. Utgångspunkten bör vara att befintliga bestämmelser i respektive rörelselag ska tillämpas. Det innebär att samma regler, t.ex. om ingripanden, gäller oavsett om frågan rör krav om digital operativ motståndskraft eller krav som särskilt rör den verksamhet som den finansiella entiteten har tillstånd för. En sådan lagstiftningsmodell skapar även förutsättningar för att andra bestämmelser om t.ex. handräckning och beaktande av soliditets- och likviditetskrav vid fastställande av en sanktionsavgift (se t.ex. 25 kap. 9 § tredje stycket lagen [2007:528] om

värdepappersmarknaden) blir tillämpliga vid ingripanden enligt DORAförordningen, vilket bedöms vara i enlighet med den reglering av behörig myndighets befogenheter som förordningen kräver (jfr artikel 46). Det behöver dock införas bestämmelser om ingripande mot företrädare för finansiella entiteter vid överträdelser av DORA-förordningen (avsnitt 10.3). Även sådana bestämmelser bör införas i rörelselagarna för att så långt möjligt åstadkomma en enhetlig reglering för de enskilda finansiella entiteterna.

DORA-förordningen kräver även att behörig myndighet ska kunna ingripa med sanktioner och andra avhjälpande åtgärder mot vissa finansiella entiteter och personer i deras ledning som i dag saknar nationell rörelselagstiftning, t.ex. emittenter av tillgångsanknutna token (se avsnitt 10.2.2). Sådana kompletterande bestämmelser har i andra lagstiftningsärenden på finansmarknadsområdet införts i en särskild lag med kompletterande bestämmelser (se t.ex. lagen [2013:287] med kompletterande bestämmelser till EU:s förordning om OTC-derivat, centrala motparter och transaktionsregister). Bestämmelser som är nödvändiga till följd av DORA-förordningen bör därför tas in i en ny lag som kompletterar förordningen. Lagen bör benämnas lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn, i det följande benämnd kompletteringslagen.

Som Finansinspektionen tar upp kan en finansiell entitet ha mer än ett tillstånd och därmed omfattas av tillsyns- och ingripandebestämmelser i mer än en lag. Till exempel kan ett kreditinstitut ha tillstånd för både bank- eller finansieringsrörelse och att bedriva gräsrotsfinansieringstjänster. Redan i dag förekommer viss överlappning mellan olika lagar på finansmarknadsområdet (se t.ex. 18 kap. 1 § försäkringsrörelselagen [2010:2043] och 8 kap. 3 § lagen [2018:1219] om försäkringsdistribution, se även prop. 2017/18:216 s. 9091). Om ett förfarande anses strida mot flera lagar bör Finansinspektionen, som konstaterats i tidigare lagstiftningsärenden, kunna välja mellan de ingripandemöjligheter som finns tillgängliga och bestämma sig för det förfarande som framstår som mest effektivt i den enskilda situationen (se prop. 2016/17:22 s. 205 och prop. 2022/23:7 s. 86).

Kompletteringslagen bör utformas efter förebild av andra lagar på finansmarknadsområdet som kompletterar EU-förordningar, se t.ex. lagen med kompletterande bestämmelser till EU:s förordning om OTC-derivat, centrala motparter och transaktionsregister.

Bestämmelserna i kompletteringslagen och ändringar i befintliga lagar bör utformas i linje med motsvarande bestämmelser på finansmarknadsområdet, förutsatt att detta är förenligt med DORA-förordningen. Inriktningen bör vidare vara att inte införa några bestämmelser som går utöver vad som krävs enligt förordningen.

Enligt flera lagar på finansmarknadsområdet som kompletterar EUförordningar gäller att termer och uttryck i lagen ska ha samma betydelse som i EU-förordningen (se t.ex. 1 kap. 1 § andra stycket lagen [2022:1746] med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt [PEPP-produkt]). När det gäller vilka entiteter, dvs. företag inom finanssektorn, som ska anses som finansiella entiteter och i och med det omfattas av DORA-förordningen innehåller förordningen inte några självständiga definitioner för vad som avses med

respektive entitet. I stället gäller samma definition som enligt de EUrättsakter som reglerar entiteten (se artikel 2.1 tillsammans med artikel 3). Med t.ex. kreditinstitut avses således detsamma som enligt artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012, dvs. ett företag vars verksamhet består i att från allmänheten ta emot insättningar eller andra återbetalbara medel och att bevilja krediter för egen räkning (artikel 3.31 i DORA-förordningen). Vissa definitioner är i och för sig mindre tillgängliga än andra. Så är t.ex., som Sveriges advokatsamfund tar upp, fallet med transaktionsregister och värdepapperiseringsregister. Genom hänvisningarna i DORA-förordningen till andra EU-rättsakter framgår dock även för dessa entiteter vad som avses med respektive begrepp. Med ett transaktionsregister avses en juridisk person som centralt samlar in och registerför uppgifter om derivat (artikel 3.41 i DORA-förordningen tillsammans med artikel 2.2 i Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister). Ett värdepapperiseringsregister är å sin sida en juridisk person som centralt samlar in och registerför uppgifter om värdepapperiseringar (artikel 3.59 i DORA-förordningen tillsammans med artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven 2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012, i det följande benämnd EU:s förordning om värdepapperisering). Det bör inte utan starka skäl införas andra termer och uttryck i svensk rätt än de som används i en EU-rättsakt. Motsvarande gäller för förtydliganden av sådant som uteslutande definieras i EU-rättsakter. Regeringen anser därmed, till skillnad från Sveriges advokatsamfund, att termer och uttryck i kompletteringslagen bör ha samma betydelse som i DORA-förordningen. Inte heller bör det göras några förtydliganden av de begrepp som används i DORA-förordningen eller andra EU-rättsakter.

Hänvisningar till S5-1

5.2. Finansinspektionen är behörig myndighet

Regeringens förslag: En upplysningsbestämmelse ska införas i kompletteringslagen om att det följer av DORA-förordningen att

Finansinspektionen är behörig myndighet enligt förordningen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Enligt DORA-förordningen ska tillsynen av de krav som ställs upp i förordningen säkerställas av de behöriga myndigheter som har utsetts i enlighet med vissa särskilt angivna EUrättsakter (artikel 46). I Sverige är det Finansinspektionen som är behörig myndighet för nästan alla berörda finansiella entiteter, t.ex. kreditinstitut (se artikel 46 a). För kreditvärderingsinstitut och värdepapperiseringsregister är det dock Europeiska värdepappers- och marknadsmyndigheten

(Esma) som är behörig myndighet (se artikel 46 n om kreditvärderingsinstitut och artikel 46 q om värdepapperiseringsregister). För sådana kreditinstitut som har klassificerats som betydande i enlighet med artikel 6.4 i Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut, är även Europeiska centralbanken (ECB) behörig myndighet. Det följer därför direkt av DORA-förordningen att Finansinspektionen är behörig myndighet enligt förordningen. En upplysningsbestämmelse om detta bör införas i kompletteringslagen.

5.3. Svenska skeppshypotekskassan

Regeringens förslag: Svenska skeppshypotekskassan ska inte undantas från tillämpningsområdet för DORA-förordningen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Medlemsstaterna får utesluta vissa enheter från tillämpningsområdet för DORA-förordningen. Svenska skeppshypotekskassan är en sådan enhet (artikel 2.4 i DORA-förordningen tillsammans med artikel 2.5.23 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG, i det följande benämnt kapitaltäckningsdirektivet.

Svenska skeppshypotekskassan behandlas som ett kreditinstitut vid tillämpning av EU:s regelverk om kapitaltäckning (se 1 kap. 2 § 7 lagen [2014:968] om särskild tillsyn över kreditinstitut och värdepappersbolag). Det innebär att bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 som gäller för kreditinstitut också gäller för Svenska skeppshypotekskassan, utom i fråga om bestämmelserna om stora exponeringar. I och med att DORA-förordningen ska gälla för kreditinstitut, bör förordningen också gälla för Svenska skeppshypotekskassan. Möjligheten enligt förordningen att undanta denna enhet utnyttjas således inte.

Hänvisningar till S5-3

5.4. Hänvisningar till DORA-förordningen

Regeringens förslag: Hänvisningar till DORA-förordningen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. I några av de bestämmelser som nu föreslås krävs det en hänvisning till DORA-förordningen. För att eventuella ändringar i förordningen ska få omedelbart genomslag i den svenska lagstiftningen är det lämpligt att hänvisningarna till förordningen är dynamiska. När det gäller EU-förordningar är det också den hänvisningsteknik som har använts i senare lagstiftningsärenden (se t.ex. prop. 2016/17:22 s. 9596, prop. 2020/21:66 s. 4849, prop. 2020/21:206 s. 49 och prop. 2022/23:7 s. 8990).

Likväl förekommer det alltjämt statiska hänvisningar till EU-förordningar, se t.ex. 9 kap. 12 § första stycket 1–8 lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument. Den bestämmelsen kommer med de ändringar som föreslås (se avsnitt 18) att innehålla såväl statiska som dynamiska hänvisningar.

Hänvisningar till S5-4

  • Prop. 2024/25:44: Avsnitt 22.1

5.5. Förhållandet till nationella bestämmelser om säkerhet

Regeringens bedömning: DORA-förordningen kräver inga ändringar i lagstiftning inom områdena allmän säkerhet, försvar eller nationell säkerhet.

Det bör inte göras några tillägg i kompletteringslagen för bestämmelser om nationell säkerhet.

Promemorians bedömning överensstämmer i huvudsak med regeringens bedömning. Promemorian innehåller dock inte någon bedömning om behovet av tillägg i kompletteringslagen för bestämmelser om nationell säkerhet.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Några remissinstanser, bl.a. Finansinspektionen, Försvarsmakten, Försvarets radioanstalt, Riksbanken, Säkerhetspolisen och Totalförsvarets forskningsinstitut, anser att förhållandet mellan DORA-regelverket och säkerhetsskyddslagen (2018:585) bör förtydligas. Även Telia Sverige AB efterfrågar förtydliganden om detta och då särskilt utifrån de krav som gäller för finansiella entiteter vid avtal med tredjepartsleverantörer av IKT-tjänster.

Säkerhetspolisen anser att det av kompletteringslagen bör framgå att sådan säkerhetskänslig verksamhet som hanterar säkerhetsskyddsklassificerade uppgifter inte omfattas av DORA-förordningen. Myndigheten anser även att kompletteringslagen bör innehålla ett tillägg som innebär att förordningens krav gäller för övrig säkerhetskänslig verksamhet, dvs. sådan verksamhet som bedöms vara säkerhetskänslig utifrån ett riktighets- eller tillgänglighetsperspektiv.

Finansinspektionen, Försvarets radioanstalt och Säkerhetspolisen anser att skyldigheten att lämna uppgifter enligt DORA-förordningen inte ska

omfatta uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen.

Finansinspektionen och Riksbanken anser att det ska införas en skyldighet att lämna säkerhetsskyddsklassificerade uppgifter som omfattas av DORA-förordningen, men att denna skyldighet inte ska omfatta incidentrapportering.

Totalförsvarets forskningsinstitut framför att uppgiftsskyldigheten enligt kompletteringslagen kan innebära att säkerhetsskyddsklassificerad information begärs in av Riksbanken och efterfrågar en bedömning av hur sådan information ska hanteras.

Skälen för regeringens bedömning: I DORA-förordningen anges att förordningen inte påverkar medlemsstaternas ansvar när det gäller väsentliga statliga funktioner inom områdena allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten, t.ex. när det gäller tillhandahållande av information som står i strid med skyddet av den nationella säkerheten (artikel 1.3 och skäl 17). Det innebär att förordningen i sig inte kräver någon ändring i någon lagstiftning inom områdena allmän säkerhet, försvar och nationell säkerhet. För svensk del berör detta i första hand säkerhetsskyddslagen.

Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (1 kap. 1 §). Den är tillämplig på såväl allmän som enskild verksamhet. Med säkerhetsskydd avses skydd mot t.ex. spioneri och olika brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (1 kap. 2 §). Den som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys (2 kap. 1 §). Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Säkerhetsskyddsåtgärder kan avse informationssäkerhet, fysisk säkerhet och personalsäkerhet (2 kap. 2–4 §§). Finansinspektionen är tillsynsmyndighet för enskilda verksamhetsutövare inom området finansiella företag samt för motsvarande utländska företag som är etablerade i Sverige (8 kap. 1 § säkerhetsskyddsförordningen [2021:955]).

DORA-förordningen och säkerhetsskyddslagen kan båda bli tillämpliga i en verksamhet som helt eller delvis är säkerhetskänslig. En finansiell entitet som bedriver säkerhetskänslig verksamhet kan därmed behöva tillämpa såväl DORA-förordningen som säkerhetsskyddslagen för en och samma verksamhet. Detta gäller både finansiella entiteter och, som Telia

Sverige AB framför, tredjepartsleverantörer av IKT-tjänster. Tredjepartsleverantörer av IKT-tjänster, som inte klassificeras som kritiska, berörs i första hand genom de avtalsvillkor som ska gälla för denna typ av tjänster (se artiklarna 30 och 31 i DORA-förordningen). Även om det förekommer visst överlapp mellan de enskilda bestämmelserna i DORA-förordningen och säkerhetsskyddslagen har regelverken olika tillämpningsområden och

syften. Det kan t.ex. innebära att finansiella entiteter ska incidentrapportera både enligt DORA-förordningen och säkerhetsskyddslagen.

Inför genomförandet av ett hotbildsstyrt penetrationstest kan den finansiella entiteten behöva analysera behovet av ytterligare säkerhetsskyddsåtgärder. Utifrån analysen ska den finansiella entiteten vidta de åtgärder som krävs för att uppfylla kraven på säkerhetsskydd, t.ex. ingå säkerhetsskyddsavtal med aktörer som kan få tillgång till säkerhetsklassificerade uppgifter eller annan säkerhetskänslig verksamhet (se 4 kap. säkerhetsskyddslagen). Om det i ett enskilt fall inte skulle vara möjligt att vidta åtgärder för att upprätthålla ett tillräckligt säkerhetsskydd vid tillämpningen av DORA-förordningen bör säkerhetsskyddslagens krav, med hänvisning till artikel 1.3 i förordningen, få företräde. Detta gäller även i förhållande till de krav som enligt DORA-förordningen ska gälla när en finansiell entitet anlitar en tredjepartsleverantör av IKT-tjänster, t.ex. för avtalsvillkor med en skyldighet för en tredjepartsleverantör av IKT-tjänster att bistå den finansiella entiteten (artikel 30.1 f). Det bör inte krävas ett säkerhetsskyddsavtal med Riksbanken vid hotbildsstyrda penetrationstester (jfr prop. 2020/21:194 s. 32). Ett uppgiftslämnande som följer av lag är inte att anse som ett obehörigt röjande av uppgifter (se 8 kap.1 och 2 §§säkerhetsskyddslagen). En finansiell entitet kan därmed lämna säkerhetsskyddsklassificerade uppgifter till Finansinspektionen och Riksbanken enligt DORA-förordningen utan att det är att anse som ett otillåtet röjande enligt säkerhetsskyddslagen. Dessa uppgifter bör i sin tur omfattas av sekretess hos myndigheterna oavsett om de har sitt ursprung hos den finansiella entiteten eller en tredjepartsleverantör av IKT-tjänster (se avsnitt 11). Myndigheternas möjligheter att dela uppgifter med andra myndigheter berörs i avsnitt 7.2 och 14.

DORA-förordningen är, som utvecklas i avsnitt 5.1, en direkt tillämplig EU-förordning vilket innebär att medlemsstaternas utrymme att införa nationella bestämmelser är ytterst begränsat. De bestämmelser som föreslås i kompletteringslagen avser att uppfylla kraven i förordningen. Vidare innehåller DORA-förordningen, till skillnad från NIS2-direktivet och det tidigare NIS-direktivet, inte någon bestämmelse som ger medlemsstaterna möjlighet att besluta att finansiella entiteter som delvis bedriver verksamhet inom bl.a. nationell säkerhet ska undantas från krav på riskhantering och incidentrapportering. Det är därmed inte möjligt att, såsom

Försvarets radioanstalt och Riksbanken anför, införa bestämmelser om allmänna undantag i kompletteringslagen från de krav som gäller enligt

DORA-förordningen.

Finansinspektionen och Säkerhetspolisen framför att det bör framgå av kompletteringslagen att uppgiftsskyldigheten enligt DORA-förordningen inte omfattar säkerhetsskyddsklassificerade uppgifter. Eftersom det redan följer av artikel 1.3 och skäl 17 i förordningen att det inte finns någon skyldighet att lämna uppgifter om det skulle stå i strid med skyddet av den nationella säkerheten anser regeringen att det inte finns behov av någon nationell bestämmelse i den delen. När det gäller incidentrapporteringen enligt DORA-förordningen har Finansinspektionen en skyldighet att vidarebefordra sådana rapporter till bl.a. de europeiska tillsynsmyndigheterna och i vissa fall till Europeiska centralbanken (se artikel 19.6). Som Lagrådet framför är det viktigt att den finansiella entiteten säkerställer att en incidentrapport inte innehåller säkerhetsskyddsklassificerade uppgifter

och att sådana uppgifter inte förs vidare till Finansinspektionen i samband med rapporteringen. Finansinspektionen har att informera de finansiella entiteterna om vilka uppgifter som ska ges in och om de tekniska förutsättningarna för systemet för incidentrapportering. Detta bör samordnas med Finansinspektionens uppgifter kopplade till säkerhetsskydd. När en incidentrapport väl har getts in till Finansinspektionen gäller bestämmelserna i säkerhetsskyddslagen för myndighetens hantering av säkerhetsskyddsklassificerade uppgifter. För uppgifter i en incidentrapport kan sekretess gälla enligt bl.a. 18 kap. 8 § offentlighets- och sekretesslagen (se vidare avsnitt 11). I ett enskilt fall kan det, som Lagrådet berör, innebära att en svensk myndighet inte kan lämna vidare alla uppgifter om en allvarlig ITK-relaterad incident.

Hänvisningar till S5-5

  • Prop. 2024/25:44: Avsnitt 3

5.6. Rapportering och anmälan till Finansinspektionen

Regeringens bedömning: Regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela bestämmelser om hur finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter och anmäla betydande cyberhot. Detsamma gäller för bestämmelser om hur och när finansiella entiteter ska lämna uppgifter om tredjepartsleverantörer av IKT-tjänster.

Promemorian behandlar inte frågan. Remissinstanserna: Flertalet remissinstanser tar inte upp frågan.

Finansinspektionen efterfrågar ett bemyndigande för att kunna föreskriva om enligt vilket format som inrapportering enligt DORA-förordningen ska ske och vid vilken tidpunkt som rapporteringen ska göras.

Skälen för regeringens bedömning: Finansiella entiteter ska enligt

DORA-förordningen rapportera allvarliga IKT-relaterade incidenter till Finansinspektionen (artikel 19.1, se även avsnitt 6). Vidare får de, på frivillig basis, anmäla betydande cyberhot till Finansinspektionen (artikel 19.2). Finansiella entiteteter ska även, som en del av hanteringen av IKT-tredjepartsrisker, rapportera vissa uppgifter till Finansinspektionen. Det gäller uppgifter om antalet nya arrangemang för användningen av IKT-tjänster, kategorier av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls (artikel 28.3).

Kompletterande tekniska standarder ska tas fram på EU-nivå för att fastställa standardmallar för rapportering av allvarliga IKT-relaterade incidenter (artikel 20) och för det register över uppgifter om tredjepartsleverantörer av IKT-tjänster som avses i artikel 28.3 (artikel 28.9).

Själva rapporteringen av IKT-relaterade incidenter och cyberhot behöver dock göras i ett format som kan hanteras av de system som används av mottagaren, dvs. Finansinspektionen. Det finns därför, som

Finansinspektionen påpekar, skäl att reglera i vilket format som rapporteringen ska göras. Det finns även behov av bestämmelser för rapporteringen av uppgifter om tredjepartsleverantörer av IKT-tjänster ska göras. Detta gäller både hur och när det ska ske.

Bestämmelser om hur och när rapporteringen ska ske kan meddelas av regeringen eller den myndighet som regeringen bestämmer i form av verkställighetsföreskrifter (8 kap. 7 § regeringsformen). Det behövs således inte något bemyndigande i kompletteringslagen för detta.

Hänvisningar till S5-6

  • Prop. 2024/25:44: Avsnitt 10.2.2

6. IKT-relaterade incidenter och cyberhot

Regeringens bedömning: Sverige bör inte utnyttja möjligheten att bestämma att finansiella entiteter ska använda DORA-förordningens mallar när de överlämnar information om en IKT-relaterad incident till en enligt NIS2-direktivet behörig myndighet eller CSIRT-enhet.

Möjligheten att bestämma att finansiella entiteter som frivilligt rapporterar om allvarliga cyberhot också får vidarebefordra en anmälan till en enligt NIS2-direktivet särskilt utsedd CSIRT-enhet bör inte utnyttjas.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Myndigheten för samhällsskydd och beredskap rekommenderar att finansiella entiteter ska ges möjlighet att frivilligt dela information om allvarliga cyberhot med berörda myndigheter enligt NIS2-direktivet.

Myndigheten föreslår att samma rapporteringsformulär bör användas vid incidentrapportering enligt NIS2-direktivet och DORA-förordningen. Myndigheten anser även att det bör införas särskilda bestämmelser om informationsutbyte kring kritiska tredjepartsleverantörer och samverkan mellan myndigheten och Finansinspektionen. Försvaret radioanstalt anser att det finns andra aktörer som också kan ha nytta av information om IKTrelaterade incidenter, t.ex. CSIRT-enheter.

Skälen för regeringens bedömning

DORA-förordningen

I DORA-förordningen finns det flera bestämmelser om rapportering av allvarliga IKT-relaterade incidenter och betydande cyberhot. Allvarliga IKT-relaterade incidenter ska rapporteras till den relevanta behöriga myndigheten (artikel 19.1). Rapporteringen inleds med en första anmälan. En anmälan ska sedan följas upp av en delrapport – så snart statusen för den ursprungliga incidenten har förändrats avse-

värt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information, – när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en

relevant statusuppdatering finns tillgänglig, samt – på särskild begäran av den behöriga myndigheten.

Avslutningsvis ska det göras en slutrapport när analysen av grundorsakerna har slutförts och de faktiska påverkanssiffrorna finns tillgäng-

liga för att ersätta uppskattningar. Detta gäller oavsett om begränsande åtgärder redan har vidtagits (artikel 19.4).

Den första anmälan och rapporterna ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och även bedöma eventuella gränsöverskridande konsekvenser (artikel 19.1 femte stycket). Kommissionen har möjlighet att komplettera förordningen med tekniska standarder om själva rapporteringen (artikel 20).

Den behöriga myndigheten ska skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till flera andra myndigheter, t.ex. Europeiska bankmyndigheten (EBA), Europeiska värdepappers- och marknadsmyndigheten (Esma) eller Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) samt, som Försvarets radioanstalt påpekar, till de behöriga myndigheter, gemensamma kontaktpunkter eller CSIRTenheter som har utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.6). EBA, Esma eller Eiopa och Europeiska centralbanken (ECB) ska därefter, i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och i samarbete med den relevanta behöriga myndigheten, bedöma om den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska underrätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet (artikel 19.7).

Den behöriga myndigheten ska bekräfta mottagandet av en första anmälan och av varje rapport. När så är möjligt, får myndigheten skyndsamt tillhandahålla relevant och proportionell återkoppling eller vägledning på hög nivå till den finansiella entiteten. Myndigheten får också diskutera åtgärder som tillämpas på finansiell entitetsnivå och sätt att minimera och mildra de negativa effekterna i den finansiella sektorn. Finansiella entiteter är dock fortsatt fullt ansvariga för hanteringen av och konsekvenserna av de IKT-relaterade incidenterna (artikel 22).

För cyberhot gäller att finansiella entiteter får rapportera betydande cyberhot till den relevanta behöriga myndigheten när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får i sin tur informera andra relevanta myndigheter (EBA, Esma eller Eiopa m.fl.) om cyberhot som rapporteras till den. Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig grund också får vidarebefordra detta till de CSIRTenheter som utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.2). Som för IKT-relaterade incidenter har kommissionen möjlighet att komplettera förordningen med tekniska standarder om själva rapporteringen av cyberhot (artikel 20).

I vissa fall ska en finansiell entitets kunder informeras. Så är fallet om en allvarlig IKT-relaterad incident inträffar och den påverkar kunders ekonomiska intressen. På motsvarande sätt gäller vid ett betydande cyberhot att den finansiella entiteten ska informera de kunder som kan påverkas av hotet (artikel 19.3).

Information till myndigheter och enheter enligt NIS2-direktivet

Som utvecklas i avsnitt 5.1 är DORA-förordningen direkt tillämplig och det behövs därmed inte några ytterligare bestämmelser för att finansiella entiteter ska vara skyldiga att rapportera om allvarliga IKT-relaterade incidenter på de sätt som anges i förordningen. På motsvarande sätt behövs det inte heller några ytterligare bestämmelser för att Finansinspektionen ska kunna utföra de uppgifter som enligt förordningen ska utföras av den behöriga myndigheten (se avsnitt 9.1).

Medlemsstaterna ges ett visst handlingsutrymme för vad som ska gälla för rapportering av IKT-relaterade incidenter och frivillig anmälan av cyberhot. Enligt förordningen får de bestämma att vissa eller alla finansiella entiteter ska använda DORA-förordningens mallar för rapportering också när de överlämnar anmälan och rapporter till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.1 sjätte stycket i DORA-förordningen, se även avsnitt 4.2). När det gäller frivillig rapportering av betydande cyberhot får medlemsstaterna fastställa att de finansiella entiteter som rapporterar på frivillig basis också får vidarebefordra en anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.2 tredje stycket). Det är av särskild vikt att relevanta myndigheter informeras om allvarliga IKT-relaterade incidenter och betydande cyberhot. Detta bör ske så snart det är möjligt. Det är också angeläget att myndigheter får tillräcklig och korrekt information om vad som inträffat så att relevanta åtgärder kan vidtas på ett tidigt stadium. Samtidigt är det en avvägning om och när en myndighet ska informeras om en händelse. Det finns risker med att en myndighet informeras om en händelse med svag anknytning till dess verksamhet. En alltför omfattande informationsspridning kan leda till en mindre effektiv hantering av en uppkommen händelse. När det gäller finansiella entiteter torde det i första hand vara Finansinspektionen, i egenskap av tillsynsmyndighet, som har nytta av information om en allvarlig IKT-relaterad incident. Detta blir också fallet då Finansinspektionen ska vara behörig myndighet enligt DORA-förordningen (se avsnitt 5.2) till vilken finansiella entiteter ska rapportera om en allvarlig IKT-relaterad incident (artikel 19.1 första stycket). Finansinspektionen ska sedan skyndsamt lämna över uppgifter till flera andra myndigheter, bl.a. den behöriga myndigheten, den gemensamma kontaktpunkten eller de CSIRT-enheter som utsetts eller inrättats enligt NIS2-direktivet (artikel 19.6). Detta får, till skillnad från vad

Myndigheten för samhällsskydd och beredskap anför, anses tillräckligt för att relevanta myndigheter i ett tidigt skede ska få kännedom om en incident. Möjligheten enligt DORA-förordningen att bestämma om vilken information som en finansiell entitet ska lämna till en enligt NIS2direktivet behörig myndighet eller CSIRT-enhet bör därför inte utnyttjas (artikel 19.1 sjätte stycket). Inte heller bör möjligheten att bestämma att en finansiell entitet som gör en frivillig anmälan om ett allvarligt cyberhot också får vidarebefordra en anmälan till en enligt NIS2-direktivet särskilt utsedd CSIRT-enhet utnyttjas (artikel 19.2 tredje stycket). Att, så som

Myndigheten för samhällsskydd och beredskap efterfrågar, införa ytterligare nationella bestämmelser för att stärka informationsutbytet kring kritiska tredjepartsleverantörer och samverkan kring incidentrapportering

och cyberkrishantering i förhållande till det nationella genomförandet av NIS2-direktivet låter sig mot denna bakgrund inte göras inom ramen för detta lagstiftningsarbete.

Hänvisningar till S6

  • Prop. 2024/25:44: Avsnitt 11, 4.2, 5.6

7. Hotbildsstyrda penetrationstester

Hänvisningar till S7

  • Prop. 2024/25:44: Avsnitt 11

7.1. Ansvariga myndigheter

Regeringens förslag: Finansinspektionen ska bestämma vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta.

Riksbanken ska övervaka och samordna hotbildsstyrda penetrationstester. Riksbanken ska även utfärda intyg om att testerna uppfyller kraven i DORA-förordningen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Finansinspektionen och Sveriges riksbank (Riksbanken) efterfrågar en tydligare uppdelning av de uppgifter som myndigheterna ska utföra enligt artiklarna 26 och 27 i DORA-förordningen.

Kungl. Tekniska högskolan framför att kraven på hotbildsstyrda penetrationstester möjligen bör kompletteras med krav som skapar incitament för finansiella entiteter att nyttja IKT-lösningar som löpande utvecklas, drifthålls och förvaltas med hänsyn till snabbt förändrade hotbilder och med hjälp av kunskap från forskningens framkant om hur moderna säkra IKT-tjänster tas fram och vidmakthålls.

Skälen för regeringens förslag

Krav på avancerade tester enligt DORA-förordningen

I DORA-förordningen finns det bestämmelser om testning av digital operativ motståndskraft (artiklarna 24–27). Vissa finansiella entiteter ska regelbundet genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning. Syftet med testningen är att den finansiella entiteten ska kunna bedöma sin beredskap att hantera IKT-relaterade incidenter, identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder. Det är särskilt finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet som bör komma i fråga för hotbildsstyrda penetrationstester (skäl 56). Sådana tester ska genomföras vart tredje år om inte den behöriga myndigheten begär något annat (artikel 26.1).

De hotbildsstyrda penetrationstesterna ska utformas i enlighet med det av Europeiska centralbanken utvecklade testramverket TIBER-EU (TIBER = Threat Intelligence-Based Ethical Red teaming) och innehålla s.k. red-team-tester (artikel 26.11, se även skäl 56). Ett red-team-test innebär att en cyberattack under kontrollerade former simuleras mot en

organisations anställda, processer och teknik. Syftet med testet är att identifiera brister för att sedan kunna förbättra motståndskraften för organisationen.

När testet har avslutats och efter att rapporter och åtgärdsplaner har godkänts ska den finansiella entiteten förses med ett intyg som bekräftar att testet har genomförts i enlighet med kraven i DORA-förordningen. Intyget är tänkt att möjliggöra ett ömsesidigt erkännande av hotbildsstyrda penetrationstester mellan behöriga myndigheter i olika medlemsstater (artikel 26.7). Intyget bör enbart användas för ömsesidigt erkännande och bör inte utesluta några uppföljningsåtgärder som krävs för att hantera den IKT-risk som den finansiella entiteten är utsatt för. Avsikten med intyget är inte att det ska innebära tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-risk (skäl 61). För de finansiella entiteterna gäller alltjämt förordningens krav om IKTriskhantering med en skyldighet att regelbundet se över den egna styrningen och organisationen (se t.ex. artikel 5.2 e–h). Det finns inte anledning att, som Kungl. Tekniska högskolan framför, införa ytterligare krav om att verksamheten ska ses över.

De finansiella entiteterna är enligt förordningen skyldiga att genomföra hotbildsstyrda penetrationstester (artikel 26.1). De behöriga myndigheterna har enligt förordningen vissa uppgifter kopplade till testningen. I ett första steg ska myndigheterna identifiera vilka finansiella entiteter som ska testas (artikel 26.8 tredje stycket). Myndigheterna ska godkänna en finansiell entitets bedömning av vad som ska testas, dvs. om ett test ska omfatta flera eller alla av en finansiell entitets kritiska eller viktiga funktioner och ska utföras på produktionssystem i drift som stöder sådana funktioner (artikel 26.2). Själva testerna ska för de allra flesta finansiella entiteter utföras av en oberoende part (artikel 24.4). Detta hindrar inte att en finansiell entitet använder en intern testare, men det ställer särskilda krav på bl.a. avsatta resurser och hanteringen av intressekonflikter (artiklarna 26.8 och 27). Användande av en intern testare kräver även ett särskilt godkännande av den ansvariga myndigheten (artikel 27.2 a). Vart tredje test ska dock utföras av en extern testare (artikel 26.8 första stycket).

För att dra nytta av den expertis som redan i vissa fall förvärvats med avseende på genomförandet av TIBER-EU, får medlemsstaterna utse en enda offentlig myndighet inom finanssektorn för alla frågor som rör hotbildsstyrd penetrationstestning och ge myndigheten alla befogenheter och uppgifter i detta syfte (artikel 26.9). Om ingen sådan myndighet utses får en behörig myndighet delegera uppgifter som rör sådan testning till en annan nationell myndighet inom den finansiella sektorn (artikel 26.10).

I figur 7.1 ges en översiktlig bild av förfarandet för hotbildsstyrd penetrationstestning enligt DORA-förordningen.

Figur 7.1 Hotbilsstyrd penetrationstestning

Bör en eller flera myndigheter ansvara för testningen?

Medlemsstaterna ges enligt DORA-förordningen möjlighet att välja vilken myndighet som ska ansvara för frågor som rör hotbildsstyrd penetrationstestning. Det måste dock vara en myndighet inom den finansiella sektorn (artikel 26.9). Om ingen myndighet utses kommer den behöriga myndigheten att ansvara för testerna.

I Sverige finns det tre myndigheter inom den finansiella sektorn som kan vara aktuella. Dessa är Finansinspektionen, Riksbanken och Riksgäldskontoret.

Finansinspektionen är som behörig myndighet enligt DORA-förordningen (se avsnitt 5.2) den myndighet som utövar tillsyn över de finansiella entiteter som kan komma att omfattas att krav på hotbildsstyrda penetrationstester. Som tillsynsmyndighet på finansmarknadsområdet är Finansinspektionen den myndighet som kan antas ha mest regelbunden och upparbetad kontakt med samtliga finansiella entiteter som kommer att omfattas av krav om att genomföra tester. Inspektionen är också den myndighet som i dag har bäst kännedom om de finansiella entiteternas riskprofiler och entiteternas betydelse för den finansiella stabiliteten. Det kan dock ifrågasättas om den myndighet som utövar tillsyn också ska ha aktiv del i den typ av testverksamhet som ska utföras enligt DORA-förordningen. Finansinspektionen har i dag inte någon verksamhet som rör eller anknyter till hotbildsstyrda penetrationstester. Om Finansinspektionen ska utföra all testverksamhet skulle det innebära ett utvidgat uppdrag, bortom det nuvarande kärnuppdraget om tillsyn, regelgivning och tillståndsprövning som rör finansiella marknader och finansiella företag.

Riksbanken utövar inte tillsyn över enskilda företag och har en, i förhållande till Finansinspektionen, begränsad kontakt med företag som är verksamma inom den finansiella sektorn. De samordnar och övervakar dock redan hotbildsstyrda penetrationstester. Systemviktiga finansiella företag har i dag möjlighet att hos Riksbanken genomföra sådana frivilliga tester som regleras i TIBER-EU. Riksbanken har, som centralbank, även

Den behöriga myndigheten beslutar att en finansiella entitet

ska genomgå hotbildsstyrd

penetrationetestning

Den finansiella entiteten tar fram en plan för vad det hotbildsstyrda

penetrations-testet ska omfatta

Ansvarig myndighet godkänner planen och om testet ska utföras av en intern eller extern testare

Testet utförs under övervakning

av en ansvarig myndighet

Den finansiella entiteten ger in en sammanfattning av testresultatet, åtgärdsplaner och dokumentation

av testet till ansvarig myndighet

Ett intyg om att testet har

genomförts i enlighet med kraven

i DORA-förordningen utfärdas

Den finansiella entiteten underrättar den behöriga

myndigheten om att ett intyg har

utfärdats samt en

sammanfattning av testresultatet

och åtgärdsplaner

en samordnande roll och är kontaktpunkt i förhållande till andra länders TIBER-program. Ett uppdrag att också ansvara för testverksamhet enligt DORA-förordningen innebär emellertid att Riksbanken kan komma att behöva utvidga verksamheten. Det beror på att fler finansiella företag kommer att behöva genomgå tester enligt förordningen än vad som hittills erbjudits inom ramen för TIBER-EU. Riksbanken saknar å andra sidan den ingående kunskap om de enskilda finansiella entiteterna och deras riskprofiler som en tillsynsmyndighet besitter. Inte heller innebär myndighetens nuvarande verksamhet sådan myndighetsutövning mot enskild som den hotbildsstyrda penetrationstestningen enligt DORA-förordningen kommer att medföra.

Liksom Finansinspektionen och Riksbanken verkar även Riksgäldskontoret inom den finansiella sektorn och skulle därmed kunna komma i fråga för uppgifter enligt DORA-förordningen. Riksgäldskontoret har vissa uppgifter som rör finansiella entiteter eftersom myndigheten bl.a. är resolutionsmyndighet. I förhållande till Finansinspektionen är dessa uppgifter mer begränsade och omfattar bara vissa företag inom det finansiella området. Inte heller bedriver Riksgäldskontoret i dag någon form av testning av digital operativ motståndskraft som påminner om den testning som ska utföras enligt förordningen, t.ex. TIBER-EU.

Sammantaget framstår det som mindre ändamålsenligt att ge någon av Finansinspektionen, Riksbanken eller Riksgäldskontoret ensam ansvaret för alla frågor som rör hotbildsstyrd penetrationstestning i Sverige. I stället bör Finansinspektionen och Riksbanken dela på ansvaret.

Ansvarsfördelning mellan Finansinspektionen och Riksbanken

Utgångspunkten bör vara att de kompetenser som Finansinspektionen och Riksbanken redan besitter tas tillvara vid fördelningen av ansvaret för olika delar av den hotbildsstyrda penetrationstestningen.

Finansinspektionen bör därför ansvara för uppgifter som ligger inom ramen för eller har nära anknytning till myndighetens nuvarande uppdrag. I första hand gäller detta myndighetens tillsynsverksamhet. Inspektionen bör i och med det vara den myndighet som enligt DORA-förordningen ska besluta om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och med vilken frekvens, dvs. hur ofta, testerna ska utföras.

Vissa uppgifter inom den hotbildsstyrda penetrationstestningen är, som anges ovan, mindre lämpliga att en tillsynsmyndighet utför. I första hand gäller det uppgifter som innebär att samordna och övervaka hotbildsstyrda penetrationstester. Detta omfattar bl.a. att initiera en ny testomgång med en finansiell entitet, att validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs i förordningen (artikel 27). Med att övervaka och samordna avses även att säkerställa att den finansiella entiteten tillämpar den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen. Riksbankens kompetens och erfarenhet av att genomföra hotbildsstyrda penetrationstester inom ramverket för TIBER-EU bör tas tillvara. Riksbanken bör därför ges i uppdrag att övervaka och samordna de hotbildsstyrda penetrationstester som ska genomföras enligt DORA-förordningen.

Som ett led i detta bör Riksbanken också utfärda ett sådant intyg som avses i artikel 26.7 i DORA-förordningen om att testerna uppfyller kraven i förordningen.

Bestämmelser om ansvarsfördelningen, i enlighet med artikel 26.9 och 26.10 i DORA-förordningen, bör tas in i kompletteringslagen. Finansinspektionen och Riksbanken efterfrågar ytterligare vägledning för ansvarsfördelningen mellan myndigheterna. Artiklarna 26 och 27 i DORA-förordningen om hotbildsstyrd penetrationstestning ska kompletteras med tekniska standarder för tillsyn i enlighet med TIBER-EU-ramen (artikel 26.11). De tekniska standarderna ska bl.a. närmare specificera kraven i fråga om omfattningen av den hotbildsstyrda penetrationstestningen som avses i artikel 26.2, den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen, testningens resultat och avslutnings- och åtgärdsfaser samt samarbetet kring testning av finansiella entiteter som är verksamma i mer än en medlemsstat. Den ansvarsfördelning som föreslås i kompletteringslagen bör gälla även för de uppgifter som ska utföras av nationella myndigheter enligt den tekniska standarden. Uppdraget att övervaka och samordna de hotbildsstyrda penetrationstesterna bör alltså innefatta de uppgifter för nationella myndigheter som regleras i den tekniska standarden, med undantag för de beslut som ska fattas av Finansinspektionen enligt kompletteringslagen.

Hänvisningar till S7-1

7.2. Samverkan mellan Finansinspektionen och Riksbanken

Regeringens förslag: Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finansinspektionen fattar beslut om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta.

Riksbanken ska ge Finansinspektionen möjlighet att yttra sig innan Riksbanken fattar beslut om testningen som berör Finansinspektionens tillsynsverksamhet. Om detta skulle innebära att testet onödigt fördröjs är det tillräckligt att Riksbanken underrättar Finansinspektionen om beslutet.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller inte någon begränsning av

Riksbankens skyldighet att samverka med Finansinspektionen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Riksbanken framför att skyldigheten att samverka med Finansinspektionen bör vara mer begränsad under den aktiva testfasen.

Skälen för regeringens förslag

Möjlighet att yttra sig

I avsnitt 7.1 föreslås att både Finansinspektionen och Riksbanken ska utföra uppgifter som rör de hotbildsstyrda penetrationstester som ska genomföras enligt DORA-förordningen. När ansvaret på detta sätt delas mellan två myndigheter är det viktigt med samarbete dem emellan. Detta är inte nödvändigt för alla delar av verksamheten, men fyller en viktig funktion i situationer där ett beslut som fattas av den ena myndigheten påverkar den andra myndighetens verksamhet. Det är inte alla åtgärder som vidtas i arbetet med hotbildsstyrda penetrationstester som påverkar den andra myndighetens verksamhet. Det finns därför inte skäl att kräva en generell samverkan mellan myndigheterna. Både Finansinspektionens och Riksbankens uppgifter kan dock väntas innefatta moment som påverkar den andra myndighetens verksamhet. I dessa delar bör det införas bestämmelser som reglerar hur Finansinspektionen och Riksbanken ska samverka med varandra.

Finansinspektionens beslut om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta testerna ska utföras, kommer att påverka Riksbankens verksamhet. Finansinspektionen bör därför ge Riksbanken möjlighet att yttra sig innan inspektionen fattar beslut i dessa frågor.

Riksbankens verksamhet med att övervaka och samordna genomförandet av de hotbildsstyrda penetrationstesterna involverar till stor del inte Finansinspektionen och dess tillsynsverksamhet, eftersom testerna ska vara skilda från tillsynen över de enskilda finansiella entiteterna. Vissa beslut och ställningstaganden kräver dock den behöriga myndighetens, dvs. tillsynsmyndighetens, medverkan. Så är t.ex. fallet när det gäller validering av vilka delar av den finansiella entitetens verksamhet som ska omfattas av testningen (artikel 26.2) och ett godkännande att använda interna testare (artikel 27.2). Det kan även uppstå andra fall som direkt berör Finansinspektionens tillsynsverksamhet. Riksbanken bör därför ge Finansinspektionen möjlighet att yttra sig innan Riksbanken fattar beslut som påverkar Finansinspektionens tillsynsverksamhet. Det finns dock vissa beslut där ett samråd riskerar att i onödan fördröja, och med det också fördyra, ett test. Som Riksbanken framför bör det framför allt kunna vara fråga om beslut som fattas under den aktiva testfasen, dvs. när testet pågår. Riksbanken bör därför inte vara skyldig att ge Finansinspektionen tillfälle att yttra sig om det skulle leda till att ett test onödigt fördröjs. I ett sådant fall är det tillräckligt att Finansinspektionen underrättas om beslutet.

Utbyte av känsliga uppgifter

Sekretess kan gälla för vissa uppgifter i en statlig myndighets verksamhet enligt DORA-förordningen (se avsnitt 11). Det är möjligt att Finansinspektionen och Riksbanken, inom ramen för den samverkan som föreslås ovan, kan behöva utbyta uppgifter som omfattas av denna eller annan sekretess.

Sekretess hindrar i och för sig inte att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § offentlighets- och sekretesslagen [2009:400], förkortad OSL). En sekretessbelagd uppgift kan också

lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda (10 kap. 27 § OSL).

Det är tveksamt om dessa bestämmelser i offentlighets- och sekretesslagen är tillräckliga för att Finansinspektionen och Riksbanken ska kunna samverka och lämna uppgifter till varandra på det sätt som krävs för att de ska kunna fullgöra sina uppgifter enligt DORA-förordningen och kompletteringslagen. I första hand är det den mottagande myndigheten som behöver information för att kunna fullgöra sina uppgifter. Riksbanken behöver uppgifter från Finansinspektionen för att kunna fatta beslut om själva genomförandet av testningen. På motsvarande sätt kan Finansinspektionen behöva uppgifter från Riksbanken för att fatta beslut om vilka finansiella entiteter som ska genomföra testningen. Denna typ av informationsutbyte kan inte ske med stöd av bestämmelsen om nödvändigt utlämnande (10 kap. 2 §), då ett sådant utlämnande bara är möjligt för att den utlämnande myndigheten ska kunna fullgöra sitt uppdrag. Ett utlämnande bör i och för sig kunna ske med stöd av generalklausulen (10 kap. 27 §) under förutsättning att det står klart att intresset av ett utlämnande har företräde framför det intresse som sekretessen ska skydda. Ett mer rutinmässigt utlämnande bör dock bara i undantagsfall kunna ske med stöd den bestämmelsen (se prop. 1979/80:2 del A s. 327).

För att Finansinspektionen och Riksbanken ska kunna utföra sina uppgifter enligt DORA-förordningen och kompletteringslagen bör det krävas ett nära samarbete, med ett omfattande och kontinuerligt informationsutbyte. Det bör lämpligen införas en bestämmelse om att myndigheterna ska lämna vissa uppgifter till varandra. På så sätt tydliggörs skyldigheterna för myndigheterna. En sådan bestämmelse medför också att sekretess inte hindrar att en uppgift lämnas (10 kap. 28 §). Ett utlämnande blir därmed inte beroende av att bestämmelsen om nödvändigt utlämnande (10 kap. 2 §) eller generalklausulen (10 kap. 27 §) är tillämplig. Det bör således införas en särskild uppgiftsskyldighet mellan Finansinspektionen och Riksbanken som möjliggör ett utbyte av uppgifter trots sekretess. Uppgiftsskyldigheten bör begränsas till det som myndigheterna ska samverka med varandra om.

7.3. Uppgiftsskyldighet för finansiella entiteter

Regeringens förslag: På begäran av Riksbanken ska finansiella entiteter lämna de uppgifter som är nödvändiga för Riksbankens verksamhet som rör hotbildsstyrda penetrationstester.

Riksbanken ska få besluta om de förelägganden som behövs för att en finansiell entitet ska följa sin uppgiftsskyldighet i förhållande till Riksbanken.

Ett beslut om föreläggande ska kunna förenas med vite.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: I avsnitt 9 föreslås flera olika tillsynsbefogenheter. Med den uppdelning mellan Finansinspektionens och Riks-

bankens ansvarsområden som föreslås i avsnitt 7.1 kommer befogenheterna bara gälla för Finansinspektionen. Frågan är därmed om Riksbanken behöver motsvarande befogenheter för den hotbildsstyrda penetrationstestningen.

Genomförande av den hotbildsstyrda penetrationstestningen bör i huvudsak ske genom frivillig dialog och samarbete mellan de finansiella entiteter som utför testerna och Riksbanken. Samtidigt rör det sig om krav enligt såväl DORA-förordningen som kompletteringslagen. Riksbanken har inte någon generell befogenhet för att säkerställa att de finansiella entiteterna följer myndighetens anvisningar.

För att Riksbanken ska kunna övervaka och samordna testerna (se avsnitt 7.1) bör myndigheten ges möjlighet att begära in uppgifter av den finansiella entiteten. Detta bör bara gälla de uppgifter som är nödvändiga för Riksbankens verksamhet som rör de hotbildsstyrda penetrationstesterna. Om den finansiella entiteten inte följer Riksbankens begäran bör Riksbanken kunna förelägga den finansiella entiteten att lämna den efterfrågade informationen. Ett föreläggande om att lämna uppgifter bör kunna förenas med vite.

Finansiella entiteter får anlita underleverantörer eller tredjepartsleverantörer av IKT-tjänster, s.k. utkontraktering (se artiklarna 29 och 30 i DORA-förordningen). I de fall ett hotbildsstyrt penetrationstest även ska omfatta den verksamhet som bedrivs av en tredjepartsleverantör av IKTtjänster kommer även leverantören att omfattas av testet. Enligt DORAförordningen är det likväl den finansiella entiteten som har fullt ansvar för att säkerställa att förordningen efterlevs och entiteten ska vidta nödvändiga åtgärder och skyddsåtgärder för att säkerställa att berörda tredjepartsleverantörer av IKT-tjänster deltar i den hotbildsstyrda penetrationstestningen (artikel 26.3). Även i dessa situationer med utkontraktering bör det vara tillräckligt att skyldigheten att lämna uppgifter bara gäller för den finansiella entiteten.

En bestämmelse om uppgiftsskyldighet bör tas in i kompletteringslagen. Bestämmelsen bör utformas efter förebild av motsvarande bestämmelse om uppgiftsskyldighet i lagen (2022:1568) om Sveriges riksbank (12 kap. 1 §).

8. IKT-tredjepartsrisker

Regeringens bedömning: Det bör inte införas ett undantag från

DORA-förordningen för verksamhet som bedrivs enligt lagen om clearing och avveckling av betalningar.

Promemorian behandlar inte frågan. Remissinstanserna: Flertalet remissinstanser tar inte upp frågan.

Getswish AB framför att det finns risk för regelkonflikter mellan DORAförordningen och lagen (2024:114) om clearing och avveckling av betalningar. Detta gäller särskilt olika krav på riskhantering och en finansiell entitets möjlighet enligt DORA-förordningen att säga upp ett avtal med en tredjepartsleverantör av IKT-tjänster. Bolaget anser att det ska tas in ett

förtydligande i kompletteringslagen om att avtalsvillkor för användning av IKT-tjänster inte får äventyra ett clearingbolags tillstånd och förmåga att följa nationell lag.

Skälen för regeringens bedömning: I DORA-förordningen finns det flera bestämmelser om utkontraktering av IKT-tjänster och hantering av risker som kan uppkomma vid sådan utkontraktering (artiklarna 28–30).

Med IKT-tredjepartsrisk avses enligt förordningen en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKTtjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang (artikel 3.18). En finansiell entitet ska hantera IKT-tredjepartsrisker inom sin IKT-riskhanteringsram (artikel 28.1). Redan innan avtalet ingås ska den finansiella entiteten identifiera och bedöma relevanta risker (artikel 28.4 c). Detta gäller även risker som kan uppkomma om en tredjepartsleverantör av IKT-tjänster anlitar annan för tjänsterna, s.k. underentreprenad (artikel 29.2). Den finansiella entiteten ska förbehålla sig rätten att avsluta ett uppdragsavtal, t.ex. om tredjepartsleverantören av IKT-tjänster på ett betydande sätt bryter mot tillämpliga lagar (artikel 28.7). I förordningen anges även krav om vad ett uppdragsavtal ska innehålla (artikel 30).

Såväl DORA-förordningen som lagen om clearing och avveckling av betalningar innehåller krav på riskhantering och att verksamheten ska kunna bedrivas utan avbrott (se t.ex. artiklarna 6 och 11 i DORA-förordningen jämförda med 3 kap. 2 § lagen om clearing och avveckling av betalningar). Det finns också krav om vad som ska gälla vid utkontraktering (artiklarna 28–30 i DORA-förordningen jämförda med 3 kap. 6 § lagen om clearing och avveckling av betalningar).

Bestämmelserna i DORA-förordningen riktar sig till de finansiella entiteterna och det är också de som ska uppfylla kraven i förordningen om utkontraktering (artiklarna 28 och 29). En tredjepartsleverantör av IKTtjänster påverkas i och för sig genom de avtalsvillkor som en finansiell entitet måste ställa för att kunna ingå ett avtal om utkontraktering av IKTtjänster. Vad som gäller för uppdragstagaren, dvs. tredjepartsleverantören, styrs däremot av de regelverk som gäller för den fysiska eller juridiska personen. Förvisso kan en tredjepartsleverantör av IKT-tjänster, om den är att anse som kritisk, omfattas av DORA-förordningens bestämmelser om tillsynsram (se artiklarna 31–44). Om företaget har tillstånd enligt lagen om clearing och avveckling av betalningar gäller bestämmelserna i den lagen. Det innebär att en finansiell entitets utkontraktering av en IKTtjänst, där tredjepartleverantören anlitar en underentreprenör, kan omfattas av mer än ett regelverk. Det är inte möjligt att, så som Getswish AB efterfrågar, införa undantag i kompletteringslagen från kraven i DORAförordningen för nationellt reglerad verksamhet. Hur olika regelverk förhåller sig till varandra är i stället i första hand en fråga för rättstillämpningen att hantera.

9. Tillsyn

Hänvisningar till S9

  • Prop. 2024/25:44: Avsnitt 11, 21, 7.3

9.1. Tillsynens omfattning

Regeringens förslag: Finansinspektionen ska ha tillsyn över att finansiella entiteter följer DORA-förordningen, kompletteringslagen och andra författningar som har meddelats i anslutning till dessa.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Enligt promemorians förslag ska dock tillsynen bara omfatta

DORA-förordningen och kompletteringslagen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Finansinspektionen anser att det bör tydliggöras att tillsynen också ska omfatta efterlevnaden av bl.a. tekniska standarder.

Sparbankernas Riksförbund framför att bestämmelser om tillsynsåtgärder redan finns i rörelselagstiftningen och avstyrker förslaget då det innebär en dubbelreglering.

Skälen för regeringens förslag: Enligt DORA-förordningen ska de behöriga myndigheterna säkerställa efterlevnaden av förordningen i enlighet med de befogenheter som myndigheten tilldelats i de EU-rättsakter som anger behörig myndighet för de finansiella entiteterna (artikel 46). Vidare ska de behöriga myndigheterna ha alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att de ska kunna fullgöra sina skyldigheter enligt förordningen. I DORA-förordningen anges uttryckligen de utredningsbefogenheter som den behöriga myndigheten som minst ska ha (artikel 50.2). Det anges också att utövandet av befogenheterna kan ske direkt, i samarbete med eller genom delegering till andra myndigheter eller genom ansökan till de behöriga rättsliga myndigheterna (artikel 51.1).

I svensk rätt regleras Finansinspektionens tillsyns- och utredningsbefogenheter i de finansiella entiteternas respektive rörelselagstiftningar och i de lagar som kompletterar olika EU-förordningar på finansmarknadsområdet.

Bestämmelserna i DORA-förordningen om de behöriga myndigheternas tillsyn riktar sig till myndigheterna och är direkt tillämpliga. I lagstiftningsärendet med anledning av EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt) gjordes dock bedömningen att det för tydlighets skull bör framgå av kompletteringslagen att Finansinspektionen, som behörig myndighet, har tillsyn över EU-förordningen och kompletteringslagen (se prop. 2022/23:7 s. 145). Detta bör gälla också i detta lagstiftningsärende. Vidare ges kommissionen enligt DORAförordningen befogenhet att anta tekniska standarder för tillsyn för att komplettera förordningens bestämmelser (se avsnitt 4.8.1). Som Finansinspektionen framför bör tillsynen omfatta även dessa andra författningar som reglerar en finansiell entitets verksamhet. Det bör därför framgå av kompletteringslagen att Finansinspektionen har tillsyn över att finansiella entiteter följer DORA-förordningen, kompletteringslagen och andra författningar som har meddelats i anslutning till dessa.

De utredningsbefogenheter som i dag finns på finansmarknadsområdet innefattar i huvudsak de befogenheter som anges i DORA-förordningen.

För flertalet av de finansiella entiteter som omfattas av rörelselagstiftning på finansmarknadsområdet har Finansinspektionen redan vissa tillsyns- och utredningsbefogenheter som är tillämpliga även när det gäller tillsynen av att entiteten följer kraven i DORA-förordningen (se t.ex. 23 kap. 1 § lagen om värdepappersmarknaden, 13 kap. 2 § lagen [2004:297] om bank- och finansieringsrörelse och 17 kap. 2 § försäkringsrörelselagen [2010:2043]). Som påtalas av remissinstanserna och berörs nedan finns det dock vissa skillnader enligt de olika regelverken (se avsnitt 9.3).

En konsekvens av att det införs bestämmelser i kompletteringslagen är att det, som Sparbankernas Riksförbund påtalar, uppstår en viss dubbelreglering. Det handlar framför allt om möjligheterna att inhämta uppgifter, hålla förhör och genomföra platsundersökningar. Motsvarande överlappning förekommer dock redan mellan flera lagar på finansmarknadsområdet (se t.ex. 17 kap. 1 § försäkringsrörelselagen och 8 kap. 3 § lagen [2018:1219] om försäkringsdistribution, se även prop. 2017/18:216 s. 9091). Finansinspektionen har i en sådan situation möjlighet att välja vilken bestämmelse som ska användas.

9.2. Rätt att få tillgång till dokument och information

Regeringens förslag: För tillsynen över att bestämmelserna i DORAförordningen följs ska Finansinspektionen få förelägga en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat.

Finansinspektionen ska även få förelägga den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör.

Ett föreläggande om upplysningar eller om inställelse till förhör ska få förenas med vite.

Ett föreläggande om upplysningar eller om inställelse till förhör ska dock inte få strida mot den i lag reglerade tystnadsplikten för advokater.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Sveriges advokatsamfund påtalar att en skyldighet att lämna information kan strida mot den grundläggande rätten för fysiska och juridiska personer att inte belasta sig själva och att det i vart fall bör lyftas att rätten att inte belasta sig själv ska särskilt iakttas av Finansinspektionen.

Sparbankernas Riksförbund påpekar att Finansinspektionen enligt förslaget ges befogenheter som går utöver vad som krävs enligt DORAförordningen.

Skälen för regeringens förslag: Enligt DORA-förordningen ska den behöriga myndigheten få tillgång till alla dokument eller uppgifter i vilken form som helst som enligt myndigheten är relevanta för fullgörandet av dess uppgifter och få eller ta en kopia av dem (artikel 50.2 a). Den behöriga myndigheten ska även kunna kalla till sig företrädare för finansiella entiteter och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med utredningen samt nedteckna svaren samt höra vilken annan fysisk eller

juridisk person som helst som går med på att höras i syfte att samla in information om föremålet för utredningen (artikel 50.2 b). Bestämmelserna i DORA-förordningen är en minimireglering som tillåter att medlemsstaterna ger dess behöriga myndigheter ytterligare befogenheter.

För tillsynen över att DORA-förordningen, kompletteringslagen och föreskrifter som meddelats med stöd av den lagen följs, bör Finansinspektionen ha möjlighet att begära in uppgifter och handlingar eller annat. Även om det, som Sparbankernas Riksförbund påpekar, går utöver vad förordningen kräver bör Finansinspektionen som enligt andra lagar på finansmarknadsområdet få kalla den som kan förväntas kunna lämna upplysningar i saken till förhör (se t.ex. 23 kap. 3 § lagen om värdepappersmarknaden). En bestämmelse om detta bör tas in i kompletteringslagen.

Rätten att inte belasta sig själv (artikel 6 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna [Europakonventionen] och artiklarna 47 och 48 i Europeiska unionens stadga om de grundläggande rättigheterna

[

EU-stadgan] har

behandlats i flera tidigare lagstiftningsärenden på finansmarknadsområdet (se t.ex. prop. 2022/23:124 s. 4142). Utifrån vad som hittills framkommit finns det inte anledning att göra några andra överväganden än de som tidigare gjorts. Således anser regeringen, till skillnad från Sveriges advokatsamfund, att det varken av Europadomstolens eller EU-domstolens praxis för närvarande går att dra slutsatsen att rätten att inte belasta sig själv skulle innebära ett generellt förbud mot uppgiftsskyldighet på finansmarknadsområdet. En bestämmelse om uppgiftsskyldighet måste dock tillämpas på ett sätt som är förenligt med Europakonventionen och EUstadgan och beakta den utveckling som kan ske i rättspraxis. Det innebär, som Sveriges advokatsamfund påpekar, att Finansinspektionen vid tillämpningen särskilt ska iaktta rätten att inte belasta sig själv.

Finansinspektionen har enligt flera lagar på finansmarknadsområdet även möjlighet att besluta om vite (se t.ex. 25 kap. 29 § lagen om värdepappersmarknaden). Det saknas skäl att behandla den nu aktuella situationen på något annat sätt. Finansinspektionen bör därför få motsvarande möjlighet att besluta om vite när den fattar tillsynsbeslut enligt kompletteringslagen. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff enligt Europakonventionen även anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69). Eftersom vite kan likställas med straff behöver Finansinspektionen även här iaktta rätten att inte belasta sig själv vid tillämpning av de föreslagna befogenheterna och göra en bedömning i varje enskilt fall (jfr prop. 2016/17:162 s. 550551 samt prop. 2022/23:124 s. 4042). Skyldigheten att inställa sig till förhör innebär t.ex. inte någon automatisk skyldighet att yttra sig vid förhöret (se prop. 2016/17:22 s. 142).

Enligt EU-förordningen ska behörig myndighet utöva sina befogenheter ”i enlighet med nationella rättsliga ramar” (artikel 51.1). I och med detta finns ett utrymme att beakta nationella regler om t.ex. anonymitetsskydd och efterforskningsförbud (prop. 2009/10:217 s. 1719). Skyldigheten att tillhandahålla Finansinspektionen information begränsas således även av bl.a. tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det innebär samtidigt att Finansinspektionen är förhindrad att förelägga den som omfattas av skydd enligt tryckfrihetsförordningen eller yttrandefrihets-

grundlagen. Eftersom det redan följer av principen att grundlag har företräde framför vanlig lag, behöver detta inte anges särskilt (jfr prop. 2011/12:175 s. 19 och prop. 2016/17:22 s. 142).

I likhet med flera lagar på finansmarknadsområdet bör det i kompletteringslagen tas in en uttrycklig bestämmelse om att en begäran om upplysningar eller ett beslut om inställelse till förhör inte får strida mot den i lag reglerade tystnadsplikten för advokater (se t.ex. 23 kap. 3 § lagen om värdepappersmarknaden). Det är endast när det gäller advokater som det är befogat att Finansinspektionen ska ha en skyldighet att i samband med föreläggandet beakta tystnadsplikten (se prop. 2018/19:38 s. 33). Frågan om den person som omfattas av en sådan tystnadsplikt har en skyldighet att lämna uppgifter till Finansinspektionen får avgöras i det enskilda fallet och beror på vilken tystnadsplikt det är fråga om (jfr Kammarrätten i Stockholms dom den 28 september 2006 i mål nr 4514-06).

9.3. Rätt att utföra platsundersökningar

Regeringens förslag: Om det är nödvändigt för tillsynen, ska Finansinspektionen få genomföra en undersökning i verksamhetslokalerna hos en finansiell entitet.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Finansinspektionen framför att myndigheten bör få genomföra platsundersökningar dels på andra platser än i verksamhetslokalerna hos en finansiell entitet, dels hos uppdragstagare.

Skälen för regeringens förslag: Enligt DORA-förordningen ska den behöriga myndigheten kunna utföra kontroller eller inspektioner på plats (artikel 50.2 b).

För att Finansinspektionen ska ha de befogenheter som krävs enligt DORA-förordningen bör inspektionen få rätt att genomföra platsundersökningar.

Finansinspektionen har befogenhet att genomföra platsundersökningar enligt flera lagar på finansmarknadsområdet. Som Finansinspektionen framför gäller detta i vissa fall inte bara i verksamhetslokalerna (se t.ex. 23 kap. 4 § första stycket lagen om värdepappersmarknaden och 13 kap. 4 § lagen om bank- och finansieringsrörelse). I vissa fall får platsundersökningar dessutom göras hos uppdragstagare (se 23 kap. 4 § andra stycket lagen om värdepappersmarknaden). Enligt andra lagar är detta begränsat till verksamhetslokalerna hos den som står under tillsyn (se t.ex. 8 kap. 3 § lagen [2022:1746] med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt [PEPP-produkt]).

En tillsynsåtgärd bör inte vara mer ingripande än vad som är nödvändigt för att fullgöra tillsynen. I DORA-förordningen anges bara att den behöriga myndigheten ska få utföra kontroller eller inspektioner på plats för att kunna fullgöra sina skyldigheter enligt förordningen (artikel 50.1 och 50.2 b). Utifrån vad som hittills framkommit anser regeringen, till skillnad från Finansinspektionen, att detta bör vara tillräckligt också när

det gäller tillsynen enligt DORA-förordningen. Det innebär att Finansinspektionen, om det är nödvändigt för tillsynen över att en finansiell entitet följer bestämmelserna i DORA-förordningen och kompletteringslagen, bör få genomföra en undersökning i dennes verksamhetslokaler. En bestämmelse om detta bör tas in i kompletteringslagen.

I likhet med det som annars gäller på finansmarknadsområdet saknas anledning att ge Finansinspektionen rätt att använda tvångsmedel för att genomföra platsundersökningar (jfr prop. 2022/23:7 s. 148).

Liksom när det gäller andra åtgärder krävs att en platsundersökning aldrig får vara mer långtgående än vad som behövs och att det avsedda resultatet av en sådan undersökning står i rimligt förhållande till de olägenheter som kan antas uppstå för den som undersökningen riktas mot (se 5 § förvaltningslagen [2017:900]).

Hänvisningar till S9-3

9.4. Finansinspektionens uppföljning av den ledande tillsynsmyndighetens rekommendationer

Regeringens bedömning: Det behövs inte några ytterligare bestämmelser för att Finansinspektionen ska kunna förbjuda användningen eller införandet av en tjänst som tillhandahålls av en kritisk tredjepartsleverantör.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Enligt DORA-förordningen ska tillsynen av kritiska tredjepartsleverantörer av IKT-tjänster utföras på unionsnivå av den ledande tillsynsmyndigheten (artikel 31). En av de tre europeiska tillsynsmyndigheterna EBA, Esma eller Eiopa ska utses till ledande tillsynsmyndighet för var och en av de kritiska tredjepartsleverantörerna. För att utföra sina uppgifter enligt DORA-förordningen får den ledande tillsynsmyndigheten bl.a. genomföra allmänna utredningar och inspektioner (artiklarna 38 och 39). Inom tre månader efter slutförandet av en utredning eller en inspektion, ska den ledande tillsynsmyndigheten anta rekommendationer som riktar sig till den kritiska tredjepartsleverantören (artikel 40.3).

Den ledande tillsynsmyndigheten ska bistås av en gemensam undersökningsgrupp. Denna grupp ska bestå av personal från de europeiska tillsynsmyndigheterna, relevanta behöriga myndigheter och, på frivillig basis, personal från nationell behörig myndighet enligt NIS2-direktivet och nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören är etablerad (artikel 40). Den ledande tillsynsmyndigheten kan även delegera befogenheter till tjänstemän och andra personer (se artiklarna 37–39 i DORA-förordningen). Befogenheterna för den ledande tillsynsmyndigheten att bedriva tillsyn och ingripa mot kritiska tredjepartsleverantörer regleras direkt i DORA-förordningen.

Efterlevnaden av rekommendationerna för kritiska tredjepartsleverantörer ska ingå i de behöriga myndigheternas tillsyn av de finansiella entiteterna (artikel 42). Om Finansinspektionen bedömer att en finansiell entitet i sin hantering av IKT-tredjepartsrisker inte tar hänsyn till eller i tillräcklig utsträckning hanterar de specifika risker som identifieras i rekommendationen får inspektionen underrätta den finansiella entiteten om att inspektionen kan komma att vidta åtgärder i avsaknad av lämpliga kontraktsmässiga arrangemang för hantering av sådana risker (artikel 42.4). Som en sista utväg får Finansinspektionen fatta beslut om att finansiella entiteter tillfälligt, helt eller delvis, ska avbryta användningen eller införandet av en tjänst som tillhandahålls av den kritiska tredjepartsleverantören till dess att riskerna har åtgärdats. Vid behov får Finansinspektionen även kräva att finansiella entiteter helt eller delvis ska avsluta relevanta kontraktsmässiga arrangemang som har ingåtts med de kritiska tredjepartsleverantörerna (artikel 42.6). Sådana beslut ska fattas i enlighet med artikel 50 om administrativa sanktioner och avhjälpande åtgärder i förordningen.

Finansinspektionen ska kunna ingripa, med stöd av kompletteringslagen eller med befintliga bestämmelser i rörelselagarna, mot finansiella entiteter genom beslut om föreläggande att inom viss tid vidta en viss åtgärd eller upphöra med ett visst agerande (se förslagen i avsnitt 10.2). Med stöd av detta har inspektionen möjlighet att fatta de beslut som krävs enligt artikel 40.6 i DORA-förordningen.

Hänvisningar till S9-4

10. Ingripanden

Hänvisningar till S10

  • Prop. 2024/25:44: Avsnitt 21

10.1. Överträdelser av DORA-förordningen bör inte kriminaliseras

Regeringens bedömning: Det bör inte införas några bestämmelser om straffansvar för överträdelser av DORA-förordningen.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Enligt DORA-förordningen får medlemsstaterna besluta att inte fastställa regler för administrativa sanktioner eller avhjälpande åtgärder för överträdelser som omfattas av straffrättsliga påföljder i deras nationella rätt (artikel 52.1). Detta innebär att medlemsstaterna har ett handlingsutrymme att, i stället för att införa administrativa sanktioner och andra avhjälpande åtgärder, kriminalisera överträdelser av DORA-förordningen.

I svensk rätt finns det inte någon straffrättslig reglering som tar sikte på de överträdelser som anges i DORA-förordningen. Frågor om sanktioner på finansmarknadsområdet har varit föremål för överväganden vid flera tidigare lagstiftningsärenden (se t.ex. prop. 2022/23:7 s. 150). Regeringen har i dessa gjort bedömningen att det inte är aktuellt att använda straff-

rättsliga sanktioner i stället för administrativa sanktioner. Inte heller när det gäller överträdelser av DORA-förordningen finns det skäl att införa straffrättsliga sanktioner. Sanktioner vid överträdelser av förordningen bör därför vara av administrativt slag.

10.2. Ingripanden mot finansiella entiteter

Hänvisningar till S10-2

  • Prop. 2024/25:44: Avsnitt 9.4

10.2.1. Ingripanden med stöd av befintliga bestämmelser i rörelselagar på finansmarknadsområdet

Regeringens förslag: I kompletteringslagen ska det införas en upplysningsbestämmelse om att bestämmelser om ingripanden mot finansiella entiteter som åsidosätter sina skyldigheter enligt DORAförordningen, kompletteringslagen eller andra författningar som har meddelats i anslutning till dessa finns i de lagar som reglerar den berörda entitetens verksamhet.

Regeringens bedömning: Finansinspektionens ingripandebefogenheter är tillräckliga för att uppfylla förordningens krav.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att det inte föreslås någon upplysning om att ett ingripande får ske även vid överträdelser av andra författningar som reglerar verksamheten.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Finansinspektionen anser att det bör tydliggöras att ett ingripande också kan ske vid överträdelser av bl.a. tekniska standarder.

Skälen för regeringens förslag och bedömning

Ingripandemöjligheter enligt andra lagar

Enligt DORA-förordningen ska medlemsstaterna fastställa regler om lämpliga administrativa sanktioner och avhjälpande åtgärder vid överträdelser av förordningen och säkerställa att de genomförs effektivt. Sådana sanktioner och åtgärder ska vara effektiva, proportionella och avskräckande (artikel 50.3). Förordningen innehåller inte någon uppräkning av vilka överträdelser av de materiella bestämmelserna som ska kunna leda till ingripanden. Det är en skillnad jämfört med flera andra EU-rättsakter på finansmarknadsområdet. Det finns därför inte skäl att ange vilka överträdelser av DORA-förordningen som ska kunna leda till ett ingripande i en s.k. överträdelsekatalog.

DORA-förordningen är tillämplig på nästan alla finansiella entiteter som verkar på finansmarknadsområdet (se artikel 2.1, se även avsnitt 4.3). Bestämmelser om ingripanden finns i regel i rörelselagarna för de olika finansiella entiteterna. Till exempel finns det för kreditinstitut en bestämmelse i lagen om bank- och finansieringsrörelse enligt vilken Finansinspektionen ska ingripa om ett kreditinstitut har åsidosatt sina skyldigheter enligt den lagen eller andra författningar som reglerar institutets verksamhet (15 kap. 1 §). Motsvarande bestämmelser finns för

betalningsinstitut och leverantörer av kontoinformationstjänster i lagen (2010:751) om betaltjänster (8 kap. 8 §). Ett betalningsinstitut är en juridisk person som har tillstånd att tillhandahålla betaltjänster. Betaltjänstleverantörer som beviljats undantag från tillståndsplikt och leverantörer av kontoinformationstjänster är i Sverige registrerade betaltjänstleverantörer (se prop. 2017/18:77 s. 217 och 8 kap. 23 § lagen om betaltjänster). Vidare finns det för institut för elektroniska pengar och registrerade utgivare (institut för elektroniska pengar som är undantagna från tillståndsplikt) bestämmelser i lagen (2011:755) om elektroniska pengar (1 kap. 2 § 7 och 5 kap. 8 § för institut för elektroniska pengar och 1 kap. 2 § 11 och 5 kap. 23 § för registrerade utgivare), för värdepappersföretag, som när det rör sig om svenska företag benämns värdepappersbolag, i lagen om värdepappersmarknaden (25 kap. 1 §), för värdepapperscentraler i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument (9 kap. 11 §), för centrala motparter i lagen om värdepappersmarknaden (1 kap. 1 a § första stycket och 25 kap. 1 §), för handelsplatser och leverantörer av datarapporteringstjänster i lagen om värdepappersmarknaden (25 kap. 1 §), för förvaltare av alternativa investeringsfonder i lagen (2013:561) om förvaltare av alternativa investeringsfonder (14 kap. 1 §), för förvaltningsbolag, som i lagen (2004:46) om värdepappersfonder benämns fondbolag (10 kap. 1 §), för försäkringsföretag (inklusive återförsäkringsbolag) i försäkringsrörelselagen (18 kap. 1 §) och för tjänstepensionsföretag, i dess egenskap av tjänstepensionsinstitut, i lagen (2019:742) om tjänstepensionsföretag (15 kap. 1 §).

Med andra författningar avses enligt rörelselagarna även EU-förordningar (se bl.a. prop. 2021/22:169 s. 59 och prop. 2006/07:115 s. 635636). Bestämmelserna om ingripanden i rörelselagarna omfattar därmed även finansiella entiteters skyldigheter enligt DORA-förordningen. För ovan uppräknade finansiella entiteter har Finansinspektionen således enligt gällande rätt befogenhet att ingripa vid överträdelser av bestämmelserna i DORA-förordningen. Det saknas skäl att därutöver införa bestämmelser i kompletteringslagen om ingripanden mot dessa finansiella entiteter vid överträdelser av DORA-förordningen (se avsnitt 5.1). DORA-förordningen kräver därför, i denna del, inte någon lagstiftningsåtgärd.

Frågor om ingripanden mot finansiella entiteter som inte omfattas av en svensk rörelselag behandlas i avsnitt 10.2.2.

DORA-förordningens krav på ingripandebefogenheter tillgodoses av gällande rätt

De behöriga myndigheterna ska enligt artikel 50.4 i DORA-förordningen ges befogenhet att tillämpa åtminstone följande administrativa sanktioner och andra avhjälpande åtgärder vid överträdelser av förordningen: – föreläggande om att upphöra med sitt agerande (punkt a), – kräva att varje praxis eller beteende som strider mot förordningen

tillfälligt eller permanent upphör och förhindra en upprepning av dessa (punkt b), – vidta vilken typ av åtgärd som helst, även av ekonomisk art, för att

säkerställa att finansiella entiteter fortsätter att uppfylla rättsliga krav (punkt c),

– kräva tillgång till befintliga uppgifter om datatrafik som innehas av en

teleoperatör, i den mån det är tillåtet i nationell rätt (punkt d), och – utfärda offentliga meddelanden, inbegripet offentliga uttalanden, med

uppgift om identitet och överträdelsens art (punkt e).

I de olika rörelselagarna på finansmarknadsområdet finns det bestämmelser om hur Finansinspektionen kan ingripa (dvs. besluta om sanktioner och andra åtgärder) mot olika finansiella entiteter. Finansinspektionen har enligt dessa lagar möjlighet att ingripa genom föreläggande att vidta rättelse inom viss tid, genom förbud att verkställa beslut eller genom anmärkning. Om en överträdelse är allvarlig, ska den finansiella entitetens tillstånd återkallas, eller om det är tillräckligt varning meddelas. Förelägganden och förbud kan förenas med vite. Vid anmärkning och varning kan sanktionsavgifter påföras.

Det finns en strävan efter enhetliga ingripandemöjligheter på finansmarknadsområdet. Utgångspunkten har hittills varit lagstiftningsmodellen på bankområdet. Motsvarande modell har sedan införts i de andra rörelselagarna på finansmarknadsområdet (se t.ex. 25 kap. 1 § lagen om värdepappersmarknaden och 18 kap. 2 § försäkringsrörelselagen).

Finansinspektionen har således enligt gällande rätt möjlighet att förelägga en finansiell entitet att upphöra med ett visst agerande. Vidare gäller att om en finansiell entitets tillstånd återkallas, kan Finansinspektionen förena beslutet om återkallelse med ett förbud om att fortsätta rörelsen (se t.ex. 25 kap. 6 § andra stycket lagen om värdepappersmarknaden). Motsvarande bestämmelser finns i flera EU-rättsakter på finansmarknadsområdet (se t.ex. artikel 42.2 första stycket a i Europaparlamentets och rådets förordning (EU) 2016/1011 av den 8 juni 2016 om index som används som referensvärden för finansiella instrument och finansiella avtal eller för att mäta investeringsfonders resultat, och om ändring av direktiven 2008/48/EG och 2014/17/EU och förordning (EU) nr 596/2014, i det följande benämnd EU:s förordning om referensvärden och artiklarna 69.2 första stycket k och 70.6 b i Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU, i det följande benämnt MiFID II).

Bestämmelserna i ovan nämnda lagar om att Finansinspektionen kan kräva att ett visst agerande upphör och inte upprepas har i en rad tidigare lagstiftningsärenden bedömts uppfylla motsvarande krav på befogenheter för behöriga myndigheter i andra EU-rättsakter (se t.ex. prop. 2013/14:228 s. 234 och prop. 2016/17:162 s. 488490 och 528529). Det finns inte anledning att göra en annan bedömning i detta lagstiftningsärende när det gäller kraven i artikel 50.4 a och b i DORA-förordningen. Dessa ingripandeåtgärder, tillsammans med andra åtgärder i form av anmärkning, varning och återkallelse av tillstånd, får också anses uppfylla kraven i förordningen om att den behöriga myndigheten ska kunna vidta vilken typ av åtgärd som helst, även av ekonomisk art, för att säkerställa att finansiella entiteter fortsätter att uppfylla rättsliga krav (artikel 50.4 c).

Vidare ska den behöriga myndigheten, i den mån det är tillåtet enligt nationell rätt, kunna få ut befintliga uppgifter över datatrafik som innehas av en teleoperatör, om det finns rimliga misstankar om överträdelser och om sådana uppgifter kan vara av betydelse för att undersöka överträdelser

av reglerna i DORA-förordningen (artikel 50.4 d). I tidigare lagstiftningsärenden på finansmarknadsområdet har det gjorts bedömningen att Finansinspektionen inte bör ges rätt att begära ut uppgifter om datatrafik från teleoperatör (se prop. 2015/16:170 s. 6869 och prop. 2016/17:22 s. 161165). De principer och krav för utlämnande av uppgifter över datatrafik som innehas av en teleoperatör som normalt tillämpas i Sverige bör tillämpas även i detta fall. För uppgifter över datatrafik som innehas av en teleoperatör har i svensk rätt avvägningen mellan den enskildes integritetsskydd och möjligheterna att kunna utreda brott lett till att det krävs brott av en viss svårighetsgrad för att brottsbekämpande myndigheter ska få tillgång till uppgifterna. Finansinspektionens utredningar på det område som omfattas av DORA-förordningen rör inte brott eller företeelser som tidigare varit kriminaliserade. Inspektionen bör därför inte heller ges en sådan rätt när det gäller DORA-förordningen.

Den behöriga myndigheten ska enligt DORA-förordningen även kunna besluta om ett offentligt meddelande med uppgift om den fysiska eller juridiska personens identitet och överträdelsens art (artikel 50.4 e). En befogenhet att utfärda offentliga meddelanden ska inbegripa offentliga uttalanden. En möjlighet för Finansinspektionen att meddela ett beslut om anmärkning bör, i enlighet med bedömningar i tidigare lagstiftningsärenden, uppfylla dessa krav i förordningen (se prop. 2019/20:37 s. 52 och prop. 2022/23:7 s. 156).

Sammantaget har Finansinspektionen, genom gällande bestämmelser i rörelselagarna, de befogenheter att ingripa mot finansiella entiteter som krävs enligt DORA-förordningen. För tydlighets skull bör det dock tas in en upplysningsbestämmelse i kompletteringslagen om att bestämmelser om ingripanden mot finansiella entiteter som åsidosätter sina skyldigheter enligt DORA-förordningen, kompletteringslagen eller, som Finansinspektionen framför och i enlighet med rörelselagarna, andra bestämmelser som har meddelats i anslutning till dessa finns i de lagar som reglerar deras verksamhet.

Lagrådets synpunkt om åtalspreskription behandlas i avsnitt 10.2.2.

Ingripanden mot personer som ingår i ledningen för finansiella entiteter behandlas i avsnitt 10.3.

10.2.2. Ingripanden med stöd av kompletteringslagen

Regeringens förslag: I kompletteringslagen ska det införas bestämmelser om ingripanden vid överträdelser av DORA-förordningen, kompletteringslagen eller andra författningar som har meddelats i anslutning till dessa mot vissa finansiella entiteter.

Finansinspektionen ska vid överträdelser av de skyldigheter som följer av DORA-förordningen få ingripa mot

– Svenska skeppshypotekskassan, – en emittent av s.k. tillgångsanknutna token, – en pensionsstiftelse, och – ett transaktionsregister. Ett ingripande mot Svenska skeppshypotekskassan ska få ske genom ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller upphöra med ett visst agerande. Ett ingripande mot en emittent av

tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister ska få ske genom ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller upphöra med ett visst agerande eller anmärkning.

Finansinspektionen ska vid överträdelser av de skyldigheter som följer av DORA-förordningen även få ingripa mot

– en leverantör av kryptotillgångstjänster, – en administratör av kritiska referensvärden, och – en leverantör av gräsrotsfinansieringstjänster. Ett ingripande mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster ska få ske genom ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller upphöra med ett agerande eller anmärkning. Vid allvarliga överträdelser ska ett ingripande även få ske genom beslut om återkallelse av auktorisation eller, om det är tillräckligt, varning.

Om ett beslut om anmärkning eller varning har meddelats, ska Finansinspektionen få besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

Om en auktorisation återkallas ska Finansinspektionen få besluta om hur verksamheten ska avvecklas. Ett beslut om återkallelse ska få förenas med ett förbud att fortsätta rörelsen.

Ett beslut om föreläggande eller återkallelse av auktorisation ska få förenas med vite.

Ett ingripande ska inte få ske om överträdelsen omfattas av ett föreläggande som har förenats med vite och en ansökan om vitet har gjorts.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag avviker från regeringens förslag genom att ett ingripande enligt promemorians förslag också kan göras mot ett kreditvärderingsinstitut och ett värdepapperiseringsregister. Promemorians förslag avviker även från regeringens förslag genom att ett ingripande bara kan ske vid överträdelser av DORA-förordningen och kompletteringslagen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Finansinspektionen anser att det bör tydliggöras att ingripande också kan ske vid överträdelser av bl.a. tekniska standarder.

Skälen för regeringens förslag

Bestämmelser i kompletteringslagen

DORA-förordningen är även tillämplig på vissa finansiella entiteter som inte omfattas av en svensk rörelselag (jfr avsnitt 10.2.1 och de finansiella entiteter som omfattas av en svensk rörelselag). Enligt artikel 2.1 i förordningen gäller det – leverantörer av kryptotillgångstjänster, – emittenter av tillgångsanknutna token, – administratörer av kritiska referensvärden, – leverantörer av gräsrotsfinansieringstjänster, och

– transaktionsregister.

Dessa finansiella entiteter omfattas i stället av direkt tillämpliga EUförordningar som kompletteras av vissa svenska bestämmelser i en kompletteringslag (se t.ex. lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering och lagen [2018:2024] med kompletterande bestämmelser till EU:s förordning om referensvärden). Enligt dessa regelverk kan Finansinspektionen vanligtvis bara ingripa vid överträdelser av respektive EU-förordning och kompletteringslag. Detta avviker från det som gäller för de finansiella entiteter som omfattas av en rörelselag där Finansinspektionen har möjlighet att ingripa om entiteten har åsidosatt en bestämmelse som gäller för dess verksamhet (se avsnitt 10.2.1). Finansinspektionen har således inte möjlighet att ingripa mot en finansiell entitet som inte omfattas av en rörelsereglering, om den gör sig skyldig till en överträdelse av DORAförordningen. För att uppfylla kraven enligt DORA-förordningen behöver det införas en sådan möjlighet för Finansinspektionen. En bestämmelse om detta bör tas in i kompletteringslagen. Finansinspektionen bör därmed ges möjlighet att ingripa mot finansiella entiteter som inte omfattas av en rörelselag vid överträdelser av DORA-förordningen eller kompletteringslagen. Såväl kommissionen som regeringen eller den myndighet som regeringen bestämmer ges möjlighet att meddela ytterligare bestämmelser för de finansiella entiteterna (se avsnitt 4.8.1 och avsnitt 5.6). Som

Finansinspektionen framför bör myndigheten få ingripa också vid överträdelser av sådana andra författningar som har meddelats i anslutning till

DORA-förordningen och kompletteringslagen.

När det gäller kreditvärderingsinstitut är det Esma som ansvarar för tillsynen och som ska ingripa mot sådana institut med tillsynsåtgärder och sanktioner (se prop. 2011/12:40 s. 1719). Motsvarande gäller för värdepapperiseringsregister (se artiklarna 10 och 14.1 i EU:s förordning om värdepapperisering, se även prop. 2019/20:37 s. 2829). Finansinspektionen har således enligt gällande rätt inte någon möjlighet att ingripa mot kreditvärderingsinstitut eller värdepapperiseringsregister. Till skillnad mot vad som föreslås i promemorian bör Finansinspektionen därför inte heller ges rätt att ingripa enligt den nya kompletteringslagen mot sådana finansiella entiteter vid överträdelser av DORA-förordningen.

Särskilt om Svenska skeppshypotekskassan

Svenska skeppshypotekskassan omfattas av DORA-förordningen (se förslagen i avsnitt 5.3). I kompletteringslagen bör det därför införas en möjlighet för Finansinspektionen att ingripa mot kassan om den åsidosätter sina skyldigheter enligt förordningen eller kompletteringslagen.

Finansinspektionen bör kunna ingripa genom att rikta ett föreläggande mot Svenska skeppshypotekskassan att inom viss tid vita en åtgärd eller upphöra med ett visst agerande. Det motsvarar nuvarande ingripandebefogenheter på finansmarknadsområdet mot kassan (se 8 kap. 1 § lagen om särskild tillsyn över kreditinstitut och värdepappersbolag). En sådan bestämmelse bör därför införas i den nya kompletteringslagen.

Särskilt om leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token

När det gäller leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token pågår arbetet med nationella bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937, i det följande benämnd Mica-förordningen (se prop. 2023/24:110 och propositionen En ny EU-reglering om marknader för kryptotillgångar, prop. 2024/25:43).

Finansinspektionen bör kunna ingripa med stöd av kompletteringslagen också mot leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token som åsidosätter sina skyldigheter enligt DORAförordningen. I likhet med vad som föreslås för andra finansiella entiteter som saknar rörelselag, bör sådana bestämmelser tas in i kompletteringslagen.

Särskilt om pensionsstiftelser

I Sverige finns det två typer av tjänstepensionsinstitut: tjänstepensionsföretag och pensionsstiftelser. Tjänstepensionsföretag behandlas i avsnitt 10.2.1.

Pensionsstiftelser omfattas i och för sig av en svensk rörelselag, lagen (1967:531) om tryggande av pensionsutfästelse m.m. Den lagen skiljer sig dock från de andra rörelselagarna på finansmarknadsområdet och Finansinspektionen har förhållandevis begränsade möjligheter att ingripa mot en pensionsstiftelse. Finansinspektionens tillsyn och möjligheter att ingripa mot en pensionsstiftelse är kopplade till de krav som följer av Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i det följande benämnt andra tjänstepensionsdirektivet, och en stiftelses förvaltning (se 35 § lagen om tryggande av pensionsutfästelse m.m. jämförd med t.ex. 18 kap. 1 § försäkringsrörelselagen). För att uppfylla kraven enligt DORA-förordningen krävs därmed att det införs bestämmelser om ingripanden mot en pensionsstiftelse. Sådana bestämmelser bör också de lämpligen tas in i kompletteringslagen.

Föreläggande att upphöra med en överträdelse och att inte upprepa den

På finansmarknadsområdet gäller vanligtvis att Finansinspektionen kan ingripa genom ett föreläggande om att vidta rättelse (se t.ex. 3 kap. 1 § första stycket 1 lagen [2019:1215] med kompletterande bestämmelser till EU:s förordning om värdepapperisering). Detta bör gälla även enligt kompletteringslagen. Ett föreläggande bör kunna riktas både mot juridiska och fysiska personer (jfr prop. 2020/21:206 s. 76 och prop. 2018/19:4 s. 68).

En överträdelse kan även bestå i en underlåtenhet att uppfylla vissa krav. Finansinspektionen bör därmed också kunna förelägga den finansiella entiteten att vidta en positiv åtgärd för att uppfylla kraven i DORA-förordningen. I likhet med det som gäller enligt flera lagar på finansmarknadsområdet bör Finansinspektionen också ha möjlighet att förelägga den som har överträtt DORA-förordningen att inom viss tid vidta en åtgärd för att

komma till rätta med situationen eller att upphöra med ett agerande (jfr t.ex. 3 kap. 3 § första stycket 2 lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering).

Som gäller enligt flera lagar på finansmarknadsområdet bör ett föreläggande enligt kompletteringslagen få förenas med vite (jfr t.ex. 4 kap. 3 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering).

Återkallelse av auktorisation, varning och anmärkning

När det gäller finansiella entiteter som omfattas av en rörelselag ska bestämmelserna om ingripanden i respektive rörelselag tillämpas vid en överträdelse av DORA-förordningen (se avsnitt 10.1.2). Det innebär att Finansinspektionen vid en allvarlig överträdelse av förordningen kan återkalla ett tillstånd för en finansiell entitet. Inspektionen kan också, om det är tillräckligt, besluta om en varning (se t.ex. 15 kap. 1 § tredje stycket lagen om bank- och finansieringsrörelse).

Leverantörer av kryptotillgångstjänster, administratörer av kritiska referensvärden och leverantörer av gräsrotsfinansieringstjänster måste ha ett särskilt tillstånd, dvs. vara auktoriserade av den behöriga myndigheten, för att få bedriva verksamhet och i och med det vara en finansiell entitet. (artikel 59 i Mica-förordningen, artikel 34 i EU:s förordning om referensvärden och artikel 12 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937). Om en sådan finansiell entitet inte följer bestämmelserna i de EU-förordningar som särskilt reglerar dess verksamhet får den behöriga myndigheten återkalla auktorisationen (se t.ex. 3 kap. 2 § första stycket 3 lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering).

Detta bör också gälla vid allvarliga överträdelser av DORA-förordningen. Finansinspektionen bör därmed, med stöd av kompletteringslagen, kunna återkalla auktorisationen för en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden och en leverantör av gräsrotsfinansieringstjänster. Liksom gäller enligt flera lagar på finansmarknadsområdet bör inspektionen också, om det är tillräckligt, kunna besluta om en varning (se t.ex. 3 kap. 2 § första stycket 3 lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering). En återkallelse av auktorisation är den allvarligaste formen av ingripande och åtgärden får stora konsekvenser såväl för den finansiella entiteten som dess kunder. Denna ingripandeåtgärd bör inte användas utan starka skäl. Varning bör därför, i enlighet med vad som gäller enligt flera lagar på finansmarkansområdet, vara ett alternativ till återkallelse som Finansinspektionen får tillgripa när förutsättningarna för återkallelse i och för sig föreligger, men en varning i det enskilda fallet framstår som en tillräcklig åtgärd (se prop. 2020/21:206 s. 77).

I de olika rörelselagarna finns det också en möjlighet att ingripa genom ett beslut om anmärkning. En anmärkning kan användas när det är fråga om överträdelser som inte är så allvarliga att det finns förutsättningar att återkalla tillståndet eller besluta om varning (se t.ex. 18 kap. 2 § första stycket försäkringsrörelselagen, se även prop. 2006/07:115 s. 499). Detta

bör även gälla vid överträdelser av DORA-förordningen. Finansinspektionen bör därmed, med stöd av kompletteringslagen, ha möjlighet att besluta om en anmärkning mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden och en leverantör av gräsrotsfinansieringstjänster.

Liksom gäller enligt flera lagar på finansmarknadsområdet bör ingripandeåtgärderna anmärkning och varning kunna förenas med sanktionsavgifter (se t.ex. 3 kap. 3 § lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering).

Lagrådet hänvisar till sitt yttrande över lagrådsremissen Europeiska gröna obligationer (Fi2024/01252) och frågan om åtalspreskription. I det yttrandet påpekar Lagrådet att det inte framgår av den föreslagna lagstiftningen hur länge Finansinspektionen kan dröja med att besluta om sanktionsavgifter och att frågan bör uppmärksammas i det fortsatta lagstiftningsarbetet. Enligt Lagrådet kan samma resonemang föras för nu aktuella bestämmelser om sanktionsavgifter.

Regeringen konstaterar att det på finansmarknadsområdet finns bestämmelser om preskription bara i fråga om vissa ingripanden (se t.ex. 6 kap. 3 l § lagen [1991:980] om handel med finansiella instrument, 25 kap. 20 § lagen om värdepappersmarknaden och 3 kap. 4 § andra stycket lagen [2019:277] med kompletterande bestämmelser till EU:s förordning om transparens i transaktioner för värdepapperisering och om återanvändning). Bestämmelser om att Finansinspektionen får besluta att den som har åsidosatt sina skyldigheter ska betala en sanktionsavgift finns emellertid som nämns ovan i ett stort antal lagar på finansmarknadsområdet. Bestämmelserna gäller i en del fall både fysiska och juridiska personer. I andra fall gäller bestämmelserna bara juridiska personer såsom tillståndspliktiga finansiella företag. De överträdelser som medför att Finansinspektionen ska besluta om sanktionsavgift kan också skilja sig åt i stor utsträckning. I en del fall kan en överträdelse vara enkel att upptäcka. Men i andra fall kan en överträdelse vara av den arten att den vanligtvis kan upptäckas först om Finansinspektionen gör en omfattande och tidskrävande undersökning. Frågan om hur länge Finansinspektionen bör kunna dröja med att besluta om en sanktionsavgift för en finansiell entitet när det, som i kompletteringslagen och berörda rörelselagar, inte finns några bestämmelser om det, får därför hanteras i ett annat sammanhang.

Frågan om preskription vid ingripande mot vissa företrädare för finansiella entiteter som ska tas upp genom sanktionsföreläggande behandlas i avsnitt 10.3.

Beräkningen av sanktionsavgifter behandlas i avsnitt 10.4. Ett ingripande genom ett föreläggande att vidta rättelse och ett beslut om anmärkning bör inte komma i fråga för samma överträdelse. Ett föreläggande kan endast användas när det krävs för att få den finansiella entiteten i fråga att vidta åtgärder för att rätta till något. En anmärkning bör i stället användas när det inte finns något att åtgärda men överträdelsen likväl bör medföra en sanktion (jfr prop. 2002/03:139 s. 548 och prop. 2022/23:7 s. 156).

Vid återkallelse av auktorisation gäller enligt flera rörelselagar på finansmarknadsområdet att Finansinspektionen har möjlighet att bestämma hur avvecklingen av rörelsen ska ske (se t.ex. 15 kap. 4 § första stycket lagen om bank- och finansieringsrörelse). Genom dessa bestämmelser får

Finansinspektionen möjlighet att i sitt beslut om återkallelse ge anvisningar om hur rörelsen ska avvecklas. Därigenom ges utrymme att ta hänsyn till individuella förhållanden hos den verksamhet som beslutet avser (se prop. 1990/91:142 s. 175, prop.1991/92:113 s. 208 och prop. 2006/07:115 s. 639). Också vid en återkallelse av auktorisationen för en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden och en leverantör av gräsrotsfinansieringstjänster är det av vikt att verksamheten avvecklas på ett ordnat sätt. I kompletteringslagen bör det införas en bestämmelse om att Finansinspektionen ska få besluta hur verksamheten ska avvecklas om en auktorisation återkallas.

I likhet med det som gäller enligt flera rörelselagar på finansmarknadsområdet bör ett beslut om återkallelse av auktorisation få förenas med förbud att fortsätta verksamheten och ett sådant förbud med vite (se t.ex. 15 kap. 4 § andra stycket och 20 § lagen om bank- och finansieringsrörelse). Bestämmelser om detta bör tas in i kompletteringslagen.

Överträdelsen omfattas av ett föreläggande som förenats med vite

Som berörs ovan får begreppet straff i den mening som avses i Europakonventionen även anses omfatta t.ex. vite, se avsnitt 9.2. Om ett vite har dömts ut bör det inte vara möjligt att besluta om en sanktion för samma sak (jfr prop. 2016/17:22 s. 227229). I avsnitt 9.2 föreslås att Finansinspektionen ska få utfärda förelägganden om att tillhandahålla uppgifter eller inställa sig till förhör. Ovan föreslås att inspektionen ska kunna besluta om ett förbud att fortsätta verksamheten efter tillståndet återkallats och i avsnitt 10.3 föreslås bestämmelser om förbud att vara styrelseledamot eller verkställande direktör eller ersättare för någon av dem. Dessa beslut ska få förenas med vite.

Om ett föreläggande förenas med vite och det inte följs, bör Finansinspektionen välja mellan att ansöka om utdömande av vitet eller att ingripa mot överträdelsen (jfr samma prop. s. 228). Det bör tas in en bestämmelse i kompletteringslagen om att ett ingripande inte får ske om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

10.3. Ingripanden mot vissa företrädare för finansiella entiteter

Regeringens förslag: Det ska tas in bestämmelser om ingripanden mot fysiska personer vid en finansiell entitets överträdelse av DORAförordningen. För finansiella entiteter som omfattas av en rörelselag ska bestämmelserna tas in i respektive rörelselag. För andra finansiella entiteter ska det införas bestämmelser i kompletteringslagen.

Finansinspektionen ska få ingripa mot någon som ingår i styrelsen för andra finansiella entiteter än Svenska skeppshypotekskassan eller är dess verkställande direktör, eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt sina skyldigheter enligt DORAförordningen. För finansiella entiteter som är AIF-förvaltare ska detta också gälla förvaltarens ledning eller verkställande direktör eller motsvarande.

Ett ingripande ska få ske bara om den finansiella entitetetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande ska få ske genom en eller båda av följande administrativa sanktioner:

1. att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får företräda den finansiella entiteten, eller

2. sanktionsavgift. Ett beslut om förbud mot att företräda den finansiella entiteten ska få förenas med vite.

Frågor om ingripanden mot fysiska personer ska tas upp av Finansinspektionen genom ett sanktionsföreläggande. Ett godkänt sanktionsföreläggande gäller som ett domstolsavgörande som har fått laga kraft.

Det ska införas en bestämmelse om vilka uppgifter ett sanktionsföreläggande ska innehålla.

Om ett sanktionsföreläggande inte har godkänts inom angiven tid ska Finansinspektionen få ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Ett sanktionsföreläggande ska vara utan verkan om föreläggandet inte har delgetts den som det riktas mot inom viss tid, oavsett om det gäller handläggningen vid Finansinspektionen eller i domstol.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller dock inte en särskild bestämmelse om ingripande mot företrädare för försäkringsförmedlare.

Promemorians förslag avviker även från regeringens förslag genom att det enligt promemorians förslag ska vara möjligt att ingripa mot företrädare för Svenska skeppshypotekskassan, ett kreditvärderingsinstitut och ett värdepapperiseringsregister.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Myndigheten för samhällsskydd och beredskap framför att bestämmelserna, så långt möjligt, bör vara desamma som de bestämmelser som föreslås med anledning av NIS2-direktivet.

Svenska försäkringsförmedlares förening efterfrågar, på motsvarande sätt som för försäkringsföretag, en särskild bestämmelse i lagen om försäkringsdistribution.

Flera remissinstanser har frågor om kretsen som kan bli föremål för ett ingripande. Kungl. Tekniska högskolan anser att det bör förtydligas vilka som omfattas av begreppet ledningsorgan och under vilka omständigheter.

Finansinspektionen påpekar att den i dag inte har möjlighet att besluta om sanktionsavgifter mot företrädare för Svenska skeppshypotekskassan och ifrågasätter en sådan möjlighet vid överträdelser av DORA-förordningen.

När det gäller ingripanden mot företrädare för en AIF-förvaltare konstaterar såväl Finansinspektionen som Fondbolagens förening att inspektionen, till skillnad mot vad som gäller andra finansiella entiteter, ges möjlighet att ingripa mot förvaltarens ledning. Inspektionen anser att

det bör förtydligas vilka företrädare de får ingripa mot medan fondbolagens förening avstyrker förslaget.

Bolagsverket framför att det finns behov av bestämmelser som uttryckligen anger att Bolagsverket, efter en underrättelse från Finansinspektionen, ska avregistrera den som ett förbud att företräda en finansiell entitet avser. Bolagsverket anser vidare att om en person åter ska få företräda en finansiell entitet, ska den finansiella entiteten anmäla detta till

Bolagsverket.

Sparbankernas Riksförbund påpekar att vissa krav i DORAförordningen inte riktar sig till kreditinstitut och att det, som det får förstås, inte bör införas en möjlighet att ingripa enligt t.ex. lagen om bank- och finansieringsrörelse vid en överträdelse av sådana krav i förordningen.

Skälen för regeringens förslag

Bestämmelser behöver införas i rörelselagarna och i kompletteringslagen

Enligt DORA-förordningen ska medlemsstaterna ge den behöriga myndigheten befogenhet att, vid en juridisk persons överträdelse, tillämpa administrativa sanktioner och avhjälpande åtgärder på medlemmar i ledningsorganet och på andra personer som enligt nationell rätt är ansvariga för överträdelsen (artikel 50.5).

I de flesta rörelselagar på finansmarknadsområdet finns det bestämmelser om ingripanden mot fysiska personer som ingår i ledningen för en finansiell entitet. Bestämmelserna är anpassade utifrån den verksamhet som respektive finansiell entitet bedriver, t.ex. bank- och finansieringsrörelse. Det är vidare lämpligt att bestämmelser inom finansmarknadsområdet så långt möjligt är desamma. Dessa bestämmelser bör därför, till skillnad från vad Myndigheten för samhällsskydd och beredskap anser, ligga till grund för vad som ska gälla vid överträdelser av DORAförordningen.

Finansinspektionens möjligheter att ingripa är dock begränsade till överträdelser av rörelselagarna eller överträdelse av andra särskilt angivna bestämmelser såsom lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (se t.ex. 15 kap. 1 a § lagen om bank- och finansieringsrörelse och 18 kap. 1 a § försäkringsrörelselagen). Det finns således inte, som gäller för ingripanden mot den finansiella entiteten, en mer generell möjlighet att ingripa mot en företrädare för den finansiella entiteten om den finansiella entiteten har överträtt en bestämmelse som gäller för verksamheten (se t.ex. 15 kap. 1 § jämförd med 15 kap. 1 a § lagen om bank- och finansieringsrörelse, se även avsnitt 10.2.1).

Finansinspektionen har således enligt gällande rätt inte någon möjlighet att ingripa mot fysiska personer som ingår i ledningen för en finansiell entitet om den juridiska personen har åsidosatt sina skyldigheter enligt DORA-förordningen. För att uppfylla kraven enligt förordningen bör det införas bestämmelser om detta. I enlighet med vad som ovan anförs om ingripanden, bör bestämmelserna första hand införas i de rörelselagar som redan har tillämpliga bestämmelser om ingripanden, t.ex. i lagen om bank- och finansieringsrörelse (se avsnitt 10.2.1). Som Svenska försäkringsförmedlares förening framför bör detta också gälla försäkringsförmedlare och lagen (2018:1219) om försäkringsdistribution. Som utgångspunkt bör

Finansinspektionen ha samma möjligheter att ingripa oavsett överträdelse, dvs. om det är en överträdelse av DORA-förordningen eller någon annan bestämmelse som gäller för verksamheten. När det gäller preskription av Finansinspektionens möjlighet att ingripa gäller således som huvudregel att ett sanktionsföreläggande är utan verkan, om föreläggandet inte har delgetts den som det riktas mot inom två år från den tidpunkt då överträdelsen ägde rum (se t.ex. 15 kap. 9 d § lagen om bank- och finansieringsrörelse). När det gäller ingripanden mot företrädare med stöd av kompletteringslagen, se nedan.

Bestämmelser om ingripanden mot personer i ledningen för finansiella entiteter som inte omfattas av en rörelselag bör, också det i enlighet med vad som ovan anförs om ingripanden mot de finansiella entiteterna, införas i kompletteringslagen (se avsnitt 10.2.2).

En uppräkning av de överträdelser som kan leda till ingripande

I tidigare lagstiftningsärenden har regeringen när det gäller ingripanden mot fysiska personer för företags överträdelser ansett att det med hänsyn till bl.a. rättssäkerhet och förutsebarhet för den enskilde finns skäl att i lag uttryckligen ange de överträdelser som kan föranleda sanktion, inte minst eftersom bestämmelserna kan anses ha straffrättslig karaktär (se prop. 2016/17:162 s. 536537 och de hänvisningar som görs där). Detta gäller fortfarande. De överträdelser av en finansiell entitet som kan leda till ett ingripande mot en ansvarig fysisk person bör därför anges uttryckligen i bestämmelserna i rörelselagarna och i kompletteringslagen.

Som Sparbankernas Riksförbund påpekar gäller inte alla krav i DORAförordningen för samtliga finansiella entiteter. Till exempel är det bara värdepapperscentraler som ska förse de behöriga myndigheterna med kopior av resultatet av IKT-kontinuitetstesterna eller liknande övningar (artikel 11.9). Bestämmelserna om förenklad IKT-riskhanteringsram gäller, som sig bör, bara de finansiella entiteter som har rätt att tillämpa de bestämmelserna (se artikel 16). Det författningstekniskt mest lämpliga bör likväl vara att Finansinspektionen enligt rörelselagarna och kompletteringslagen ges möjlighet att ingripa vid överträdelser av de bestämmelser i förordningen som riktar sig mot finansiella entiteter.

Personer som Finansinspektionen ska kunna ingripa mot

De fysiska personer som enligt DORA-förordningen ska kunna bli föremål för en sanktion eller en åtgärd enligt förordningen är i allt väsentligt desamma som i motsvarande bestämmelser i andra EU-rättsakter på finansmarknadsområdet (artikel 50.5 i DORA-förordningen jämförd med t.ex. artikel 65.2 i kapitaltäckningsdirektivet och artikel 70.2 i MiFID II).

Bestämmelserna i kapitaltäckningsdirektivet har genomförts genom bestämmelser i bl.a. lagen om bank- och finansieringsrörelse (15 kap. 1 a §). Vid det genomförandet gjordes bedömningen att den personkrets som kan träffas av administrativa sanktioner och åtgärder bör vara styrelsen, den verkställande direktören och ersättare för dessa (prop. 2014/15:57 s. 3940). Motsvarande bedömning gjordes vid genomförandet av MiFID II för värdepappersinstitut och börser (prop. 2016/17:162 s. 537538). Också vid överträdelser av DORA-förordningen bör ingripanden kunna ske mot den som ingår i styrelsen för en finansiell

entitet eller är dess verkställande direktör, eller ersättare för någon av dem. Vilka som avses med dessa begrepp och hur de förhåller sig till EUrättsakterna har utvecklats i tidigare lagstiftningsärenden (se t.ex. prop. 2014/15:57 s. 3940). Till skillnad från Kungl. Tekniska högskolan anser regeringen därför att det inte finns anledning förtydliga detta ytterligare. När det gäller ersättare kan dock följande tilläggas. Genom bestämmelserna skapas en möjlighet att ingripa mot en företrädare för en finansiell entitet för en entitets överträdelse. I detta ligger att företrädaren har en betydande del i överträdelsen och, genom sin ställning, har haft möjlighet att agera för att förhindra överträdelsen. Detta tydliggörs genom kraven om företrädaren uppsåtligen eller av grov oaktsamhet ska ha orsakat överträdelsen (se nedan). För ersättare torde det innebära att ansvar bara kan komma i fråga om de haft samma ställning som den de är ersättare för, t.ex. när en ordinarie styrelseledamot vid ett sammanträde eller beslut har ersatts av en ersättare.

Såväl Finansinspektionen som Fondbolagens förening efterfrågar förtydliganden när det gäller ingripanden mot företrädare för en AIFförvaltare. För de flesta finansiella entiteter gäller att verksamheten ska bedrivas antingen som aktiebolag eller ekonomisk förening eller liknande juridiska former, t.ex. ömsesidigt försäkringsbolag. Det innebär att entiteten ska ha en styrelse (se t.ex. 2 kap. 1 § och 11 kap. 7 §försäkringsrörelselagen [2010:2043]). Vanligtvis finns också krav om att entiteten ska ha en verkställande direktör (se t.ex. 11 kap. 9 § försäkringsrörelselagen). För AIF-förvaltare gäller att verksamheten får bedrivas i andra former än aktiebolag, t.ex. handelsbolag (se prop. 2012/13:155 s. 375). De andra formerna omfattas inte av krav på att utse styrelse och verkställande direktör. Liksom gäller vid överträdelser av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism bör det vara möjligt att ingripa mot företrädare för en AIF-förvaltare också när verksamheten bedrivs i annan form än aktiebolag eller ekonomisk förening (jfr 14 kap. 1 a § första stycket lagen [2013:561] om förvaltare av alternativa investeringsfonder, se även prop. 2016/17:173 s. 367). Således ska Finansinspektionen kunna ingripa mot någon som ingår i en AIF-förvaltares ledning eller styrelse eller är dess verkställande direktör eller motsvarande.

Beträffande Svenska skeppshypotekskassan bör Finansinspektionen, som inspektionen tar upp, inte ha möjlighet att ingripa mot företrädare, vilket också gäller enligt annan reglering.

Ingripandeåtgärder och förutsättningarna för ett ingripande bör vara desamma som enligt andra lagar på finansmarknadsområdet

Det finns inte några särskilda och detaljerade bestämmelser i DORAförordningen om hur och när den behöriga myndigheten ska kunna ingripa mot medlemmar i ledningsorganet för en finansiell entitet.

Ett ingripande mot ledamöter i den juridiska personens styrelse, dess verkställande direktör eller ersättare för dessa bör kunna ske på samma sätt som enligt andra lagar på finansmarknadsområdet (se t.ex. 15 kap. 1 a § fjärde stycket lagen om bank- och finansieringsrörelse). Finansinspektionen bör därför kunna ingripa mot personer som ingår i ledningsorganet för en finansiell entitet genom ett förbud mot att utöva ledningsuppdrag

eller genom sanktionsavgift. Dessa två sanktioner bör också kunna kombineras.

Beräkningen av sanktionsavgifter behandlas i avsnitt 10.4. I flera lagar på finansmarknadsområdet gäller att ett förbud mot att utöva ledningsfunktioner ska gälla för viss tid, lägst tre år och högst tio år (se t.ex. 15 kap. 1 a § fjärde stycket 1 lagen om bank- och finansieringsrörelse). Detsamma bör gälla för de förbud som nu föreslås. Ett förbud bör även få förenas med vite. Bestämmelser om detta bör tas in i den nya kompletteringslagen, vilket överensstämmer med det som kommer att gälla enligt de olika rörelselagarna.

Ett beslut om förbud mot att utöva vissa ledningsfunktioner i en finansiell entitet innebär i första hand ett förbud att inneha en sådan ställning i den aktuella juridiska personen. Förbudet i är dock vidare än så och omfattar även motsvarande ledande funktioner i andra finansiella entiteter som omfattas av bestämmelsen (se prop. 2016/17:173 s. 370). Efterlevnaden är i första hand något som Finansinspektionen har att hantera vid en ledningsprövning (prop. 2014/15:57 s. 4849). Det är inte möjligt att, som Bolagsverket efterfrågar, inom ramen för detta lagstiftningsärende föreslå kompletterande bestämmelser om hur finansiella entiteter ska agera efter ett beslut. När det gäller Finansinspektionen bör en uppgiftsskyldighet regleras på annan nivå än lag (jfr 3 § förordningen [2022:1765] med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt [PEPP-produkt]).

Det bör krävas att överträdelsen är allvarlig och att personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen, eftersom sanktionerna endast ska kunna komma i fråga i särskilt allvarliga fall och de har straffrättslig karaktär. Detta överensstämmer med det som gäller enligt flera lagar på finansmarknadsområdet (se t.ex. 15 kap. 1 a § tredje stycket lagen om bank- och finansieringsrörelse, se även prop. 2016/17:162 s. 539542 och de hänvisningar som görs där). Enligt DORA-förordningen ska befogenheterna att tillämpa administrativa sanktioner och avhjälpande åtgärder mot fysiska personer som ingår i ledningsorganet för en finansiell entitet ges med förbehåll för villkor som föreskrivs i nationell rätt (artikel 50.5). Förordningen hindrar därför inte att ett sådant ingripande villkoras på det sättet.

Sanktionsföreläggande

Ingripanden mot fysiska personer som ingår i ledningsorganet för en finansiell entitet bör, i likhet med det som gäller enligt flera lagar på finansmarknadsområdet, ske genom ett sanktionsföreläggande (se t.ex. 25 kap. 10 a § lagen om värdepappersmarknaden, se även prop. 2016/17:162 s. 536 och de hänvisningar som görs där). Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. När ett sanktionsföreläggande har godkänts gäller det som ett domstolsavgörande som har fått laga kraft. Det innebär bl.a. att föreläggandet kan verkställas enligt utsökningsbalken om avgiften inte betalas i tid (jfr prop. 2014/15:57 s. 61). Ett godkännande som görs efter den tid som anges i föreläggandet är utan verkan.

Ett sanktionsföreläggande bör, i likhet med det som gäller enligt andra lagar på finansmarknadsområdet, innehålla vissa uppgifter (se t.ex. 25 kap. 10 b § lagen om värdepappersmarknaden). I kompletteringslagen och de rörelselagar som saknar bestämmelser om sanktionsförelägganden bör det därför anges att ett sanktionsföreläggande ska innehålla en uppgift om den fysiska person som föreläggandet avser, en uppgift om överträdelsen och de omständigheter som behövs för att känneteckna den, uppgift om de bestämmelser som är tillämpliga på överträdelsen och om den sanktion som föreläggs personen. Föreläggandet bör också innehålla en upplysning om att en ansökan om sanktion kan komma att ges in till domstol om föreläggandet inte godkänns inom den tid som Finansinspektionen anger.

Beträffande vad som ska gälla om ett sanktionsföreläggande inte godkänns, görs nu samma bedömning som i tidigare lagstiftningsärenden om sanktioner mot fysiska personer som ingår i en juridisk persons ledningsorgan (se t.ex. prop. 2014/15:57 s. 6162). Finansinspektionen bör alltså ha möjlighet att ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan bör göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den juridiska personen för samma överträdelse. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

Vidare bör ett sanktionsföreläggande mot en fysisk person vara utan verkan om föreläggandet inte har delgetts personen inom två år från den tidpunkt då överträdelsen ägde rum. I ett sådant fall bör inte heller domstol få besluta om en sanktion.

Bestämmelserna om sanktionsföreläggande i kompletteringslagen och berörda rörelselagar bör utformas efter förebild av motsvarande bestämmelser i andra lagar på finansmarknadsområdet (se t.ex. 25 kap. 10 c och 10 d §§ lagen om värdepappersmarknaden).

Hänvisningar till S10-3

10.4. Beräkning av sanktionsavgift

Regeringens förslag: En sanktionsavgift för en leverantör av kryptotillgångstjänster, en emittent av s.k. tillgångsanknutna token, en pensionsstiftelse, en administratör av kritiska referensvärden, en leverantör av gräsrotsfinansieringstjänster och ett transaktionsregister som är en juridisk person ska högst kunna fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2. tio procent av den finansiella entitetens omsättning närmast föregående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3. tre gånger den vinst den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften ska inte få bestämmas till ett lägre belopp än 5 000 kronor.

Sanktionsavgiften för en leverantör av kryptotillgångstjänster eller en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller de krav särskilda krav om soliditet och likviditet som gäller för sådana finansiella entiteter.

Om överträdelsen har skett under den juridiska personens första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga, ska omsättningen få uppskattas när den högsta sanktionsavgiften ska beräknas.

Sanktionsavgiften för en fysisk person ska som högst kunna fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro, eller

2. tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgifter ska tillfalla staten.

Regeringens bedömning: För andra finansiella entiteter är bestämmelserna i den lag som reglerar entitetens verksamhet tillräckliga för att uppfylla kraven i DORA-förordningen.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att det i promemorian föreslås hur en sanktionsavgift för ett kreditvärderingsinstitut och ett värdepapperiseringsregister ska beräknas. Promemorians förslag avviker även från regeringens förslag genom att det i promemorian inte föreslås någon begränsning av sanktionsavgifterna för en leverantör av kryptotillgångstjänster.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Sveriges advokatsamfund noterar att bestämmelsen i kompletteringslagen har en annan utformning än motsvarande bestämmelse i vissa rörelseregelverk.

Kommunförsäkringsföreningen anser att sanktionsavgiften bör vara densamma oavsett vilket regelverk som personen omfattas av.

Euroclear Sweden AB anser att sanktionsavgiften enligt kompletteringslagen åtminstone bör motsvara det som gäller för en sanktionsavgift enligt rörelseregelverket.

Finansinspektionen framför att även för en leverantör av kryptotillgångstjänster bör en sanktionsavgift inte få vara så stor att leverantören därefter inte uppfyller de krav om soliditet och likviditet som gäller för den. Finansinspektionen anser också att det bör förtydligas vilka andra bestämmelser om soliditet och likviditet som avses när det gäller leverantörer av gräsrotsfinansieringstjänster.

Skälen för regeringens förslag och bedömning

Beräkningsgrunder enligt andra EU-rättsakter och svenska lagar

I DORA-förordningen finns det inte några bestämmelser om storleken på sanktionsavgifter. Detta avviker från det som gäller enligt flera andra EUrättsakter på finansmarknadsområdet, som innehåller detaljerade bestämmelser om detta. Bestämmelser med beräkningsgrunder för sanktionsavgifter har införts i både rörelselagstiftning och lagar som kompletterar olika EU-förordningar på finansmarknadsområdet (se t.ex. 25 kap. 9 och 9 a §§ lagen om värdepappersmarknaden och 3 kap. 12 och 13 §§ lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering).

De sanktionsavgifter som ska kunna tas ut vid överträdelser av bestämmelser i de olika EU-rättsakterna ska i de flesta fall kunna tillämpas på ett antal olika överträdelser, på såväl juridiska som fysiska personer och på företag av olika storlek och med olika ekonomiska resurser och i samtliga medlemsstater. Maximibeloppen i de olika rättsakterna är således bestämda för att vara tillräckligt avskräckande och för att kunna uppväga eventuella vinster som en person kan ha gjort genom överträdelsen.

För juridiska personer finns i de flesta fallen tre alternativa beräkningsmetoder för avgifterna:

1. sanktionsavgiften ska kunna uppgå till det högsta av ett bestämt belopp i euro eller, i medlemsstater vars valuta inte är euro, motsvarande värde i nationell valuta vid ett bestämt datum,

2. en viss procentsats av den juridiska personens totala årsomsättning, eller i förekommande fall motsvarande omsättning på koncernivå, eller

3. ett visst antal gånger beloppet för den vinst som erhållits genom överträdelsen, om den kan fastställas.

Den lägsta sanktionsavgift som får tas ut av en juridisk person är 5 000 kronor. För fysiska personer används beräkningsmetoderna ett och tre, dvs. ett absolut högsta belopp och ett belopp som bestäms utifrån den vinst som personen gjort genom överträdelsen.

I flera lagar på finansmarknadsområdet finns det bestämmelser som förhindrar att en sanktionsavgift bestäms till ett så stort belopp att företaget därefter inte uppfyller de krav på soliditet och likviditet som gäller enligt dess rörelsereglering (se t.ex. 15 kap. 8 § tredje stycket lagen om bank- och finansieringsrörelse, 25 kap. 9 § tredje stycket lagen om värdepappersmarknaden och 18 kap. 17 § tredje stycket försäkringsrörelselagen). Avsikten är att förhindra att uttaget av avgiften leder till att tillståndet att bedriva verksamheten måste återkallas (se prop. 2006/07:115 s. 640641).

Befintliga bestämmelser i rörelselagarna om sanktionsavgifter ska tillämpas

När det gäller finansiella entiteter som omfattas av en rörelselag kan Finansinspektionen ingripa mot dem med stöd av bestämmelserna i rörelselagarna (se förslagen i avsnitt 10.2.1). Det föreslås även att det ska införas bestämmelser i rörelselagarna om att Finansinspektionen ska kunna ingripa mot fysiska personer som ingår i ledningsorganet för dessa finansiella entiteter när den juridiska personen har åsidosatt sina skyldigheter enligt vissa bestämmelser i DORA-förordningen (avsnitt 10.3). Detta innebär att befintliga bestämmelser om sanktionsavgifter i rörelselagarna blir tillämpliga också vid överträdelser av DORA-förordningen. Dessa bestämmelser bedöms uppfylla kraven i DORA-förordningen. Därmed krävs inga ändringar av bestämmelserna i rörelselagarna som rör beräkning av sanktionsavgifter.

Bestämmelser om sanktionsavgifter i kompletteringslagen

För finansiella entiteter som inte omfattas av en rörelselag finns det inte några bestämmelser om beräkning av sanktionsavgifter. För att uppfylla kraven enligt DORA-förordningen behöver det införas bestämmelser för leverantörer av kryptotillgångstjänster, emittenter av tillgångsanknutna

token, pensionsstiftelser, administratörer av kritiska referensvärden, leverantörer av gräsrotsfinansieringstjänster och transaktionsregister. Bestämmelserna bör, liksom andra bestämmelser om ingripanden införas i kompletteringslagen (se avsnitt 10.2.2 och 10.3).

I flera lagar på finansmarknadsområdet med kompletterande bestämmelser till EU-förordningar finns det bestämmelser med motsvarande beräkningsgrunder som i rörelselagarna (se t.ex. 4 kap. 6 § lagen med kompletterande bestämmelser till EU:s förordning om referensvärden jämförd med 25 kap. 9 och 9 a §§ lagen om värdepappersmarknaden). Bestämmelser om sanktionsavgifter för juridiska och fysiska personer i kompletteringslagen bör utformas på motsvarande sätt. Som Sveriges advokatsamfund noterar kommer en sådan bestämmelse inte fullt ut överensstämma med motsvarande bestämmelser i rörelseregelverken. Det förekommer dock skillnader även mellan bestämmelserna i de olika rörelseregelverken.

Följande bör gälla för beräkning av sanktionsavgifter enligt kompletteringslagen.

Det bör finnas ett högsta belopp för sanktionsavgifter. I enlighet med det som gäller enligt andra lagar på finansmarknadsområdet bör det högsta beloppet bestämmas till det högsta av olika belopp.

Ett första belopp bör vara ett fast belopp. En sanktionsavgift bör således, om det beloppet är högst, högst kunna uppgå till ett fast belopp. Detta bör anges i svenska kronor, som per datumet för ikraftträdande av EU-rättsakten motsvarar ett visst belopp i euro (se t.ex. 25 kap. 9 § första stycket 1 och 9 a § första stycket 1 lagen om värdepappersmarknaden). Som angetts ovan skiljer sig beloppen för beräkningen av den högsta sanktionsavgiften i de olika rörelselagarna och kompletteringslagarna. Detta beror delvis på bestämmelserna i de bakomliggande EU-rättsakterna och om det rör sig om bestämmelser som har sin grund i penningtvättsregelverket (se prop. 2016/17:173). Storleken på beloppen i kompletteringslagen bör bestämmas utifrån de finansiella entiteter som ska omfattas av den lagen. Till skillnad från Kommunförsäkringsföreningen och Euroclear Sweden AB anser regeringen att sanktionsavgiften enligt kompletteringslagen för juridiska personer enligt det fasta beloppet lämpligen bör bestämmas till en miljon euro. För fysiska personer bör motsvarande belopp bestämmas till 500 000 euro. När det gäller finansiella entiteter som redan omfattas av bestämmelser om högsta sanktionsavgift, t.ex. kreditinstitut bör de beloppen gälla också vid överträdelser av DORA-förordningen.

I tidigare lagstiftningsärenden på finansmarknadsområdet har det i ett flertal fall hänvisats till den valutakurs som motsvarar den s.k. fixingkursen, i äldre lagstiftnings–ärenden benämnd mittkurs (se t.ex. prop. 2020/21:206 s. 8586). Fixingkursen fastställs numera av Europeiska centralbanken och räknas om av Riksbanken till en kurs mot svenska kronor. Riksbanken publicerar sedan kursen på sin webbplats. Det är lämpligt att tillämpa denna fixingkurs för omräkning av sanktionsavgiften även i detta fall. Enligt fixingkursen den 16 januari 2023, det datum då DORA-förordningen trädde i kraft, motsvarade 1 euro 11,2691 svenska kronor. Eftersom beloppet för sanktionsavgiften knyts till eurons kurs ett visst datum kommer omräkningen mellan euro och svenska kronor inte att förändras.

När det gäller juridiska personer bestäms ett andra belopp vanligtvis utifrån företagets omsättning (se t.ex. 25 kap. 9 § första stycket 2 lagen om

värdepappersmarknaden). Detta bör också gälla enligt kompletteringslagen. Enligt flera andra lagar på finansmarknadsområdet bestäms detta belopp till tio procent av den finansiella entitetens omsättning närmast föregående räkenskapsår. Om en finansiell entitet ingår i en koncern ska omsättningen som regel beräknas utifrån koncernredovisningen och då utifrån ”motsvarande omsättning på koncernnivå” (se t.ex. 25 kap. 9 § första stycket 2 lagen om värdepappersmarknaden). Avsikten är att omsättning från verksamhet i koncernen som redovisas utifrån samma redovisningsregler ska ligga till grund för beräkningen av den högsta sanktionsavgiften (se prop. 2016/17:162 s. 600602). Frågan om vad som avses med omsättning har berörts i tidigare lagstiftningsärenden. När det gäller vilka poster i ett företags redovisning som ska ingå i beräkningen av omsättningen bör det avgöras utifrån tillämpliga redovisningsregler, dvs. de EU-rättsliga redovisningsdirektiven och hur de har genomförts i nationell rätt (se samma prop. s. 595–602). För finansiella entiteter rör det sig om tre typer av omsättning: omsättning från verksamhet som redovisas enligt årsredovisningslagen (1995:1554), omsättning från verksamhet som redovisas enligt lagen (1995:1559) om årsredovisning i kreditinstitut och värdepappersbolag och omsättning från verksamhet som redovisas enligt lagen (1995:1560) om årsredovisning i försäkringsföretag. Vilka närmare poster som bör ingå i omsättningen när den beräknas enligt de olika redovisningslagarna har behandlats mer utförligt i förarbetena till andra lagar på finansmarknadsområdet (se t.ex. samma prop. s. 764–765). Regeringen gör inte någon annan bedömning i det nu aktuella fallet.

När det gäller frågan om vilken redovisning som ska ligga till grund för beräkningen hänvisar Lagrådet till sitt yttrande över lagrådsremissen Europeiska gröna obligationer (Fi2024/01252) och förslaget till en ny lag med kompletterande bestämmelser till EU:s förordning om europeiska gröna obligationer. I det yttrandet föreslår Lagrådet en bestämmelse som innebär att den relevanta omsättningen ska vara omsättningen ”enligt den senaste årsredovisning som den juridiska personens ledningsorgan har beslutat”. Lagrådet anser att samma lydelse bör väljas i den nu aktuella kompletteringslagen. I propositionen Europeiska gröna obligationer (prop. 2024/25:21) föreslår regeringen att uttrycket ”närmast föregående räkenskapsår” ska användas i stället för Lagrådets föreslagna formulering. Som skäl anges bl.a. intresset av enhetliga regler då regeringens föreslagna formulering överensstämmer med motsvarande bestämmelser i ett flertal andra lagar på finansmarknadsområdet (se t.ex. 5 kap. 6 § lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning och 5 kap. 6 § lagen med kompletterande bestämmelser till EU:s prospektförordning). Regeringen gör samma bedömning i detta fall. Enligt kompletteringslagen bör därför också det aktuella beloppet bestämmas utifrån den finansiella entitetens omsättning närmast föregående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå. Beloppet bör lämpligen bestämmas till tio procent av omsättningen.

Enligt flera lagar på finansmarknadsområdet bestäms ett sista belopp utifrån den vinst som personen har gjort till följd av överträdelsen. Detta gäller såväl för juridiska som för fysiska personer, men bara om beloppet går att fastställa (se t.ex. 25 kap. 9 § första stycket 3 och 9 a § första stycket lagen om värdepappersmarknaden). I DORA-förordningen anges att den behöriga myndigheten, när den fastställer en administrativ

sanktion, ska ta hänsyn till omfattningen av de vinster som erhållits eller av de förluster som undvikits. Detta torde avse den vinning som den juridiska eller fysiska personen faktiskt gjort. Hur denna ska beräknas har berörts i tidigare lagstiftningsärenden (se t.ex. prop. 2016/17:162 s. 602– 603). Även om uttryckssättet varierar i olika EU-rättsakter på finansmarknadsområdet bör beräkningen också enligt kompletteringslagen knytas till ett nettobelopp. Liksom gäller enligt andra lagar på finansmarknadsområdet bör ett sådant belopp, också i detta fall, kunna uttryckas som den vinst som gjorts till följd av överträdelsen. Inom detta ryms såväl den vinst som erhållits som de förluster som undvikits till följd av överträdelsen, dvs. den sammantagna fördel som erhållits. Det sista beloppet bör därmed bestämmas till tre gånger den ”vinst” som den finansiella entiteten eller den fysiska personen har gjort till följd av överträdelsen.

Den sanktionsavgift som Finansinspektionen med stöd av kompletteringslagen får ta ut av en juridisk person bör, som gäller enligt andra lagar på finansmarknadsområdet, inte få bestämmas till ett lägre belopp än 5 000 kronor (se t.ex. 15 kap. 8 § andra stycket första meningen lagen om bank- och finansieringsrörelse och 25 kap. 9 § andra stycket första meningen lagen om värdepappersmarknaden).

I flera lagar på finansmarknadsområdet finns det bestämmelser som tar sikte på en situation där en juridisk persons överträdelse har ägt rum under företagets första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga. I sådana fall får det göras en uppskattning av omsättningen (se t.ex. 25 kap. 9 § andra stycket andra meningen lagen om värdepappersmarknaden). En motsvarande bestämmelse bör införas i kompletteringslagen.

För leverantörer av gräsrotsfinansieringstjänster gäller enligt lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering att en sanktionsavgift inte får vara så stor att leverantörens skyldigheter enligt andra bestämmelser om soliditet och likviditet äventyras (3 kap. 10 §). En sådan begränsning bör också gälla för sanktionsavgifter enligt kompletteringslagen. Finansinspektionen framför att det bör förtydligas vilka andra bestämmelser om soliditet och likviditet som avses. Med andra bestämmelser om soliditet och likviditet bör, liksom enligt motsvarande bestämmelse i lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, avses t.ex. 8 kap. 3 § lagen om värdepappersmarknaden eller 6 kap. 1 § lagen om bank- och finansieringsrörelse om leverantören även har tillstånd att bedriva sådan verksamhet (se prop. 2020/21:206 s. 85 och 141). Såväl Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937, i det följande benämnd EU:s förordning om gräsrotsfinansiering (artikel 11) som Micaförordningen (artikel 67) innehåller bestämmelser om försiktighetskrav. En motsvarande begränsning som för leverantörer av gräsrotsfinansieringstjänster föreslås också för leverantörer av kryptotillgångstjänster (se 3 kap. 10 § andra stycket andra meningen förslaget till lag med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar i propositionen En ny EU-reglering om marknader för kryptotillgångar, prop. 2024/25:43). Som Finansinspektionen framför bör

en sanktionsavgift enligt kompletteringslagen inte heller för en leverantör av kryptotillgångstjänster vara så stor att leverantören därefter inte uppfyller de krav om soliditet och likviditet som gäller för den.

I likhet med det som gäller enligt andra lagar på finansmarknadsområdet bör sanktionsavgifter som meddelas med stöd av kompletteringslagen tillfalla staten (se t.ex. 25 kap. 9 § fjärde stycket och 9 a § andra stycket lagen om värdepappersmarknaden).

10.5. Omständigheter som ska vara styrande vid ett beslut om ingripande

Regeringens förslag: Det ska tas in bestämmelser i kompletteringslagen om vad Finansinspektionens ska beakta vid ingripanden mot en finansiell entitet.

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått samt graden av ansvar för den som har begått överträdelsen.

Finansinspektionen ska i försvårande riktning beakta om den fysiska eller juridiska personen tidigare har begått en överträdelse. Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått överträdelsen i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och snabbt upphört med överträdelsen eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

De omständigheter som ska vara styrande vid valet av ingripande ska beaktas även vid bestämmande av sanktionsavgiftens storlek. Utöver detta ska särskild hänsyn tas till den juridiska eller fysiska personens finansiella ställning och den vinst som gjorts till följd av överträdelsen, om vinsten går att fastställa.

Finansinspektionen ska få avstå från ett ingripande om överträdelsen är ringa eller ursäktlig, den fysiska eller juridiska personen i fråga gör en rättelse, den fysiska personen har verkat för att den juridiska personen gör en rättelse, någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms som tillräckliga.

Regeringens bedömning: Tillämpliga bestämmelser i rörelselagarna om omständigheter som ska beaktas vid val av sanktion är tillräckliga för att uppfylla DORA-förordningens krav.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att bestämmelserna ska omfatta ingripanden mot ett kreditvärderingsinstitut och ett värdepapperiseringsregister.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Svenska Bankföreningen

anser att det i lagtexten bör förtydligas att även andra omständigheter, än de som uttryckligen anges, kan beaktas vid ett ingripande.

Skälen för regeringens förslag och bedömning

Bestämmelser i DORA-förordningen

Enligt DORA-förordningen ska de behöriga myndigheterna ta hänsyn till alla relevanta omständigheter när de fastställer typ och nivå på administrativa sanktioner eller avhjälpande åtgärder (artikel 51.2).

I förordningen anges särskilt att den behöriga myndigheten ska ta hänsyn till om överträdelsen är avsiktlig eller om den beror på försummelse. Vidare finns följande, icke uttömmande, uppräkning av omständigheter som ska beaktas (artikel 51.2 a–g):

a) Överträdelsens väsentlighet, svårighetsgrad och varaktighet.

b) Graden av ansvar hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

c) Den finansiella styrkan hos den fysiska eller juridiska personen som har gjort sig skyldig till överträdelsen.

d) Omfattningen av de vinster som erhållits eller av förluster som undvikits av den fysiska eller juridiska personen som gjort sig skyldig till överträdelsen, i de mån de kan bestämmas.

e) Förluster för tredje parter orsakade av överträdelsen, i den mån de kan fastställas.

f) Viljan hos den ansvariga fysiska eller juridiska personen att samarbeta med den behöriga myndigheten, utan att det påverkar behovet av att säkerställa återföring av den vinst som den fysiska eller juridiska personen gjort eller de förluster som denne undvikit.

g) Tidigare överträdelser av den fysiska eller juridiska personen som har gjort sig skyldig till överträdelsen.

Befintliga bestämmelser i rörelselagarna

Bestämmelser om vad den behöriga myndigheten ska ta hänsyn till när den fastställer typ och nivå på administrativa sanktioner eller avhjälpande åtgärder finns i flera EU-rättsakter på finansmarknadsområdet (se t.ex. artikel 72.2 i MiFID II). I huvudsak överensstämmer de bestämmelserna med motsvarande bestämmelser i DORA-förordningen.

Bestämmelserna i de andra EU-rättsakterna har i svensk rätt genomförts i rörelselagarna (se t.ex. 25 kap. 2 § första stycket och 2 a § lagen om värdepappersmarknaden). I rörelselagarna anges det således redan i dag omständigheter som ska beaktas vid ett ingripande. Dessa befintliga bestämmelser bedöms uppfylla kraven i DORA-förordningen. Därmed krävs inga ändringar av bestämmelserna i rörelselagarna som rör omständigheter som ska beaktas vid ett ingripande.

Bestämmelser i kompletteringslagen om omständigheter vid val av ingripande

Bestämmelsen i DORA-förordningen om vad som ska beaktas vid ett ingripande är utformad så att den är riktad till den behöriga myndigheten. Detta skulle kunna förstås som att den är direkt tillämplig och att det därmed inte krävs några lagstiftningsåtgärder.

En motsvarande bestämmelse finns i Europaparlamentets och rådets förordning (EU) 2017/1129 av den 14 juni 2017 om prospekt som ska offentliggöras när värdepapper erbjuds till allmänheten eller tas upp till handel på en reglerad marknad, och om upphävande av direktiv 2003/71/EG, i det följande benämnd EU:s prospektförordning (se artikel 39). Vid införandet av lagen med kompletterande bestämmelser till EU:s prospektförordning gjordes bedömningen att det, för att främja förutsägbarheten och enhetligheten i tillämpningen av bestämmelserna, är en rimlig utgångspunkt att de omständigheter som anges i förordningen om val av sanktioner anges även i lag (prop. 2018/19:83 s. 102104). Samma bedömning gjordes därefter vid införandet av dels lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering (prop. 2019/20:37 s. 63), dels lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering (prop. 2020/21:206 s. 88). Det finns inte skäl att nu göra någon annan bedömning. De omständigheter som anges i DORA-förordningen bör därför anges även i kompletteringslagen. I enlighet med vad som ovan anförs om förhållandet mellan rörelselagarna och kompletteringslagen (avsnitt 10.2.1 och 10.2.2) kommer dessa bestämmelser bara att gälla vid ingripanden mot Svenska skeppshypotekskassan, en leverantör av kryptotillgångstjänster, en emittent av tillgångsanknutna token, en pensionsstiftelse, en administratör av kritiska referensvärden, en leverantör av gräsrotsfinansieringstjänster och ett transaktionsregister.

Bestämmelsen i kompletteringslagen bör utformas efter förebild av motsvarande bestämmelser i andra lagar på finansmarknadsområdet som kompletterar EU-förordningar (se t.ex. 3 kap. 14 § lagen [2019:1215] med kompletterande bestämmelser till EU:s förordning om värdepapperisering och 3 kap. 13 § lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering). Liksom enligt de andra lagarna bör det som anges i lagtexten utgöra en exemplifierande och inte uttömmande uppräkning av omständigheter som ska beaktas vid valet av sanktion (jfr t.ex. prop. 2019/20:37 s. 6263 och prop. 2020/21:206 s. 8889). Det finns inte anledning att, som Svenska Bankföreningen efterfrågar, uttrycka detta på annat sätt än i de andra lagarna.

Det är inte lämpligt att ange vilken relativ vikt som ska tillmätas olika omständigheter eller hur de ska vägas i det enskilda fallet. Detta är i stället något som ankommer på tillämpande myndighet eller domstol (se även prop. 2013/14:228 s. 237239).

Den modell som har valts i tidigare lagstiftningsärenden utgår från att det bör stå klart vad som ska vara utgångspunkten vid val av ingripande. Därutöver bör det anges vilka omständigheter som i vart fall bör tillåtas att inverka på beslutet om vilken form av ingripande som slutligen ska väljas. De omständigheter som räknas upp i DORA-förordningen kan därmed delas in i sådana som är hänförliga till själva överträdelsen, och sådana som är att hänföra till den finansiella situationen hos den som begått den aktuella överträdelsen respektive sådana omständigheter som inträffat före eller efter överträdelsen och som är relevanta att beakta.

Med omständigheter som är hänförliga till själva överträdelsen bör avses objektiva faktorer som överträdelsens konkreta och potentiella effekter på det finansiella systemet, överträdelsens allvar och varaktighet och om det finns tredje parter som har orsakats förlust av överträdelsen. Det senare

bör, liksom vid tidigare införanden av liknande bestämmelser i EUrättsakter på finansmarknadsområdet, motsvaras av uttrycket ”skador som uppstått” (se prop. 2015/16:26 s. 104106). Vid bedömningen av själva överträdelsen bör hänsyn även tas till sådant som i DORA-förordningen uttrycks som ”graden av ansvar” (artikel 51.2 b). Med detta avses i huvudsak att någon kan vara mer eller mindre ansvarig för en överträdelse och ha en omfattande eller mer begränsad kännedom om de omständigheter som utgör överträdelsen. Detta innefattar även om överträdelsen är uppsåtlig eller om den har begåtts av oaktsamhet. Om nämnda faktorer bildar utgångspunkt för valet av ingripande kan därefter det slutliga utfallet påverkas av faktorer som inte är att hänföra till själva överträdelsen. Till sådana omständigheter bör hänföras omfattningen av erhållna fördelar till följd av överträdelsen, tidigare överträdelser och agerandet hos den som begått överträdelsen efter det att överträdelsen har avslöjats.

Omständigheter som bör beaktas särskilt vid bestämmande av sanktionsavgiftens storlek

I flera lagar på finansmarknadsområdet anges inte bara omständigheter som Finansinspektionen ska beakta vid valet av ingripande. Det anges även omständigheter som ska beaktas vid fastställande av sanktionsavgiftens storlek (se t.ex. 25 kap. 19 c § lagen om värdepappersmarknaden). Också i kompletteringslagen bör det anges omständigheter som Finansinspektionens ska beakta vid fastställande av sanktionsavgiftens storlek.

I likhet med det som gäller enligt flera andra lagar på finansmarknadsområdet bör Finansinspektionen, vid fastställande av storleken på sanktionsavgiften, ta hänsyn till samtliga relevanta omständigheter. Detta inbegriper sådana omständigheter som ska beaktas vid valet av ingripande. I fråga om sanktionsavgiftens storlek är det därutöver särskilt relevant att beakta den aktuella personens finansiella ställning och storleken på den vinst som personen gjort till följd av överträdelsen.

I DORA-förordningen anges att den finansiella styrkan hos den fysiska eller juridiska personen ska beaktas (artikel 51.2 c). I andra lagstiftningsärenden på finansmarknadsområdet har den finansiella ställningen bestämts utifrån den juridiska personens totala omsättning eller den ansvariga fysiska personens årsinkomst. Även andra ekonomiska förhållanden, såsom underhållsskyldighet i fråga om fysisk person och förmögenhetsförhållanden, bör dock kunna beaktas (se prop. 2020/21:206 s. 90).

Vidare anges det i DORA-förordningen att omfattningen av de vinster som erhållits eller förluster som undvikits av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen ska beaktas (artikel 51.2 d). I likhet med de bedömningar som gjorts i tidigare lagstiftningsärenden av motsvarande bestämmelser i andra EU-rättsakter, bör i bestämmelsen i den nya kompletteringslagen enbart vinst anges (se t.ex. prop. 2016/17:162 s. 602603). Den vinst som gjorts avser ett nettobelopp och omfattar de intäkter som erhållits och de förluster som undvikits, dvs. den fördel som faktiskt erhållits (jfr samma prop. s. 603).

Finansinspektionen ska kunna avstå från ett ingripande

Enligt flera lagar på finansmarknadsområdet får Finansinspektionen avstå från ett ingripande i vissa situationer (se t.ex. 25 kap. 2 § andra stycket lagen om värdepappersmarknaden). Denna möjlighet bör även finnas vid ett ingripande med stöd av kompletteringslagen.

I huvudsak bör Finansinspektionen få avstå från ett ingripande i samma situationer som enligt andra lagar på finansmarknadsområdet (jfr samma lag som ovan). Finansinspektionen bör således kunna avstå från ett ingripande om överträdelsen är ringa eller ursäktlig, den juridiska eller fysiska personen i fråga gör en rättelse eller den fysiska personen har verkat för att den juridiska personen ska göra rättelse. Inspektionen bör också kunna avstå från ett ingripande om någon annan myndighet eller något annat organ har vidtagit åtgärder mot den juridiska eller fysiska personen och dessa åtgärder bedöms tillräckliga. Detta täcker ett stort antal situationer, t.ex. en risk för dubbelprövning (jfr 5 kap. 17 § 3 lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning och prop. 2016/17:22 s. 392). Till skillnad från t.ex. lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning torde det inte bli aktuellt med ingripanden mot mycket unga och omyndiga personer (se samma prop. s. 227 och 392). Det är därmed svårt att se några ytterligare fall då Finansinspektionen bör kunna avstå från ett ingripande. I kompletteringslagen bör det därmed inte införas någon generell möjlighet för Finansinspektionen att avstå från ingripande om det finns andra särskilda skäl.

10.6. Betalning, preskription och verkställighet

Regeringens förslag: Sanktionsavgifter som tas ut med stöd av kompletteringslagen ska betalas inom 30 dagar efter det att ett beslut om att ta ut avgiften har fått laga kraft eller sanktionsföreläggandet godkänts eller den längre tid som anges i beslutet eller föreläggandet.

Om en sanktionsavgift inte betalas inom denna tid, ska Finansinspektionen lämna den obetalda avgiften för indrivning.

En sanktionsavgift ska falla bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet eller domen fick laga kraft eller sanktionsföreläggandet godkändes.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: I DORA-förordningen finns det inte några bestämmelser om betalning av sanktionsavgifter, preskription och verkställighet. Medlemsstaterna har således möjlighet att själva avgöra vad som ska gälla i sådana frågor.

I flera lagar på finansmarknadsområdet finns det bestämmelser om betalning, preskription och verkställighet av sanktionsavgifter som beslutas med stöd av de lagarna (se t.ex. 25 kap. 25–28 §§ lagen om värdepappersmarknaden). För sanktionsavgifter som beslutas med stöd av kompletteringslagen bör motsvarande bestämmelser införas. Sådana

bestämmelser bör utformas efter förebild av motsvarande bestämmelser i andra lagar på finansmarknadsområdet (se t.ex. 25 kap. 25–28 §§ lagen om värdepappersmarknaden).

En sanktionsavgift som beslutas med stöd av kompletteringslagen bör således betalas till Finansinspektionen inom 30 dagar efter det att ett beslut om avgiften har fått laga kraft eller den längre tid som anges i beslutet (jfr t.ex. 25 kap. 25 § lagen om värdepappersmarknaden). Finansinspektionens beslut om en sanktionsavgift bör få verkställas enligt utsökningsbalken (jfr t.ex. 25 kap. 26 § lagen om värdepappersmarknaden). Om avgiften inte betalas inom denna tid, bör Finansinspektionen lämna den obetalda avgiften för indrivning (jfr t.ex. 25 kap. 27 § lagen om värdepappersmarknaden).

Finansinspektionens beslut om sanktionsavgift ska kunna överklagas (se förslagen i avsnitt 17.1). Beslutet är därmed ett sådant beslut som enligt 3 kap. 1 § första stycket 6 a och 20 § första stycket utsökningsbalken får verkställas som en exekutionstitel när beslutet har fått laga kraft (se prop. 2021/22:206). Det behövs därför ingen särskild föreskrift om att beslutet får verkställas enligt utsökningsbalken. Även ett godkänt sanktionsföreläggande kan verkställas (se avsnitt 10.3). Ett mål om sanktionsavgift handläggs som allmänt mål hos Kronofogdemyndigheten (se 1 kap. 6 § och 3 kap. 1 § första stycke 6 utsökningsbalken).

I flera lagar på finansmarknadsområdet anges att en sanktionsavgift som beslutats faller bort, dvs. preskriberas, i den utsträckning verkställighet inte har skett inom fem år (se t.ex. 5 kap. 25 § lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning). Motsvarande bör gälla för sanktionsavgifter som beslutas med stöd av kompletteringslagen. Även i dessa fall bör preskriptionstiden vara fem år. Med verkställighet avses faktiska verkställighetsåtgärder. Preskriptionen är absolut. Det betyder att fullgörande inte kan krävas efter det att fem år har gått sedan beslutet fått laga kraft, även om verkställighet har skett under femårsperioden avseende en del av sanktionsavgiften. Det som preskriberas är den del av avgiften som ännu inte har drivits in (se prop. 2016/17:22 s. 255257).

Hänvisningar till S10-6

11. Sekretess

Regeringens bedömning: Det behöver inte införas några nya bestämmelser om sekretess för uppgifter som förekommer i svenska myndigheters verksamhet enligt DORA-förordningen.

Bestämmelsen i DORA-förordningen om tystnadsplikt kräver inga lagstiftningsåtgärder.

Promemorians förslag överensstämmer inte med regeringens bedömning. I promemorian föreslås en särskild bestämmelse om sekretess för uppgifter som förekommer i en statlig myndighets verksamhet enligt

DORA-förordningen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Svenska Bankföreningen och Sparbankernas Riksförbund framför att uppgifter om affärs- eller driftförhållanden hos den som myndighetens verksamhet avser kan vara särskilt känsliga och att det för sådana uppgifter bör vara en presumtion för sekretess.

TU – medier i Sverige och Svenska journalistförbundet anser att det finns ett stort insynsintresse för tredjemansuppgifter och avstyrker därmed förslaget om absolut sekretess. TU – medier i Sverige framför att det för dessa uppgifter, liksom för uppgifter om affärs- och driftförhållanden, bör vara en presumtion för offentlighet. TU – medier i Sverige och Svenska journalistförbundet avstyrker även förslaget om att tystnadsplikten för tredjemansuppgifter ska ges företräde framför meddelarfriheten.

Försvarets radioanstalt påpekar att vissa uppgifter kan komma att omfattas av även andra bestämmelser om sekretess än den som föreslås.

Uppgifterna kan t.ex. anses som säkerhets- eller bevakningsåtgärder, för vilka sekretessen inte är begränsad i tiden.

Riksbanken betonar vikten av en tydlig sekretess för såväl tester som det internationella samarbetet, dels med de europeiska tillsynsmyndigheterna, dels med andra medlemsstaters testmyndigheter. Riksbanken ser även ett behov av ett bredare och frivilligt samarbete på finansmarknadsområdet, utanför DORA-regelverket, och anser att regeringen bör utreda förutsättningarna för det.

Skälen för regeringens bedömning

Behov av skydd

De svenska myndigheternas verksamhet enligt DORA-förordningen rör sig i huvudsak om att utöva tillsyn, arbetsuppgifter som gäller hotbildsstyrda penetrationstester och att hantera incidentrapporter (se avsnitt 6, 7 och 9). I första hand är det Finansinspektionen och Riksbanken som kommer att utföra denna verksamhet. Myndigheterna kommer att behöva hantera uppgifter av olika slag som rör de berörda företagen. Vissa uppgifter kommer sannolikt att vara känsliga, såväl för enskilda företag som för det finansiella systemet. Myndigheterna bör hantera flertalet uppgifter utan att de delas med någon annan myndighet. Det bör dock röra sig om samma typ av uppgifter och ibland samma faktiska uppgift, oavsett i vilken verksamhet och hos vilken myndighet som de förekommer. I första hand bör det vara fråga om uppgifter om affärs- eller driftförhållanden, dvs. uppgifter om hur ett företag har valt att organisera och bedriva sin verksamhet. Det kan t.ex. vara uppgifter om hur företagets riskhanteringssystem är uppbyggt eller vilka it-system som företaget använder. Det kan också vara uppgifter om vilka andra företag som tillhandahåller och underhåller it-system. Det kan vara mer övergripande uppgifter om vilket itsystem som används, men också mer detaljerade uppgifter om hur systemet är konstruerat, t.ex. vilka algoritmer som används och vilka data som systemet bearbetar. Redan sådana enskilda och förhållandevis grundläggande uppgifter kan vara särskilt känsliga då de mer eller mindre påvisar vilket skydd ett företag har och i och med det också förmågan att stå emot ett angrepp. Det bör också, som utvecklas i avsnitt 15, kunna röra sig om personuppgifter, t.ex. namn och kontaktuppgifter för ledningspersoner. Detta gäller för såväl det enskilda företaget som en uppdragstagare. Dessa uppgifter är i sig inte känsliga, men om de sätts i sitt

sammanhang kan de ge grundläggande information om vilket skydd ett företag har, t.ex. om det är allmänt känt att en person har en särskild expertkunskap eller är knuten till ett företag som bara tillhandahåller en viss typ av it-tjänster.

Genom DORA-förordningen införs krav om att vissa företag ska genomföra tester (se avsnitt 7). Dessa tester kräver ett samspel och tilltro mellan företag och myndigheter. För företagen är det, som Riksbanken tar upp, av yttersta vikt att de uppgifter som företagen delar har ett tillräckligt skydd hos myndigheterna. Det kan motverka syftet med testerna om företagen väljer att begränsa vilka uppgifter som de delar bara utifrån risken att uppgifterna inte kan skyddas hos myndigheterna och förlängningen hamna i orätta händer. Detta skulle försvåra möjligheterna till erfarenhetsutbyte och ett samlat arbete med att öka motståndskraften i hela den finansiella sektorn, vilket är det huvudsakliga syftet med DORA-förordningen (se artikel 1). I stort gäller detta även för incidentrapporteringen där ett mer begränsat informationsutbyte riskerar att leda till att större och mer grundläggande brister inte identifieras, vilket kan påverka hela den finansiella sektorn och den finansiella stabiliteten.

I DORA-förordningen finns en särskild bestämmelse om tystnadsplikt. Bestämmelsen tar i första hand sikte på det samarbete och informationsutbyte som enligt förordningen ska äga rum mellan olika myndigheter. All information som utbyts mellan de behöriga myndigheterna och som avser affärs- eller driftförhållanden och andra ekonomiska eller personliga förhållanden ska anses vara konfidentiell och omfattas av tystnadsplikt (artikel 55.4). Tystnadsplikten ska gälla för alla personer som arbetar eller har arbetat för de behöriga myndigheterna, eller för en myndighet eller ett marknadsföretag eller en fysisk eller juridisk person som de behöriga myndigheterna har delegerat sina befogenheter till. Detta inbegriper revisorer och experter som arbetar på den behöriga myndighetens uppdrag (artikel 55.2). Information som omfattas av tystnadsplikt, inbegripet det informationsutbyte som ska ske mellan behöriga myndigheter enligt DORA-förordningen och behöriga myndigheter som har utsetts eller inrättats i enlighet med NIS2-direktivet, får inte lämnas ut till någon annan person eller myndighet utom när det föreskrivs i unionsrätt eller nationell rätt (artikel 55.3).

För svenska förhållanden torde bestämmelsen i DORA-förordningen främst gälla för de uppgifter som ska utbytas mellan Finansinspektionen och Riksbanken (se avsnitt 7.2). Den torde också omfatta det samarbete och informationsutbyte som ska ske mellan svenska myndigheter och myndigheter i andra medlemsstater och de europeiska tillsynsmyndigheterna (se t.ex. artikel 48 i DORA-förordningen, se även avsnitt 13). Bestämmelsen är, som förordningen i sig, direkt tillämplig (se avsnitt 5.1). Det som anges i artikel 55.3 om tystnadsplikt kommer därmed att gälla även utan lagstiftningsåtgärder. Möjligheterna för svenska myndigheter att lämna ut eller dela uppgifter styrs av bestämmelserna i offentlighets- och sekretesslagen.

Sammantaget finns det ett behov av skydd för uppgifter som de svenska myndigheterna kommer att hantera med anledning av DORA-förordningen. Frågan är vilket skydd som sådana känsliga uppgifter har enligt gällande rätt.

Skydd enligt gällande rätt

Bestämmelser om tystnadsplikt i det allmännas verksamhet finns i offentlighets- och sekretesslagen.

Inom finansmarknadsområdet gäller sekretess för vissa uppgifter i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på bank- och kreditväsendet, värdepappersmarknaden eller försäkringsväsendet (30 kap. 4 § OSL). Sekretess gäller bl.a. för uppgifter om affärs- eller driftförhållanden hos den som myndighetens verksamhet avser, om det kan antas att denne lider skada om uppgiften röjs (första stycket 1). Sekretess gäller också för uppgifter om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser (första stycket 2).

I första hand omfattas Finansinspektionens tillstånds- och tillsynsverksamhet av bestämmelsen. Ordet tillsyn ska emellertid inte ges en alltför snäv tolkning och torde omfatta alla de fall där en myndighet har en övervakande eller styrande funktion (prop. 1979/80:2 del A s. 233). Också verksamhet som syftar till att förhindra problem inom de angivna områdena kan klassas som tillsyn. Bestämmelsen omfattar även delar av Riksbankens verksamhet, t.ex. Riksbankens arbete med att övervaka bank- och kreditväsendet och betalningssystemets stabilitet (se prop. 2013/14:161 s. 36 och prop. 2015/16:5 s. 708).

Sekretessen enligt 30 kap. 4 § offentlighets- och sekretesslagen omfattar inte uppgifter om alla företag som är finansiella entiteter enligt DORAförordningen (se artikel 2.1 och 2.2). För verksamhet som avser tillsyn över pensionsstiftelser gäller i stället 30 kap. 18 § offentlighets- och sekretesslagen. I sådan verksamhet gäller sekretess för uppgift om stiftelsens affärs- eller driftförhållanden, om det kan antas att stiftelsen lider skada om uppgiften röjs (punkt 1). Sekretess gäller också för uppgift om någon annan enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs (punkt 2).

I allt väsentligt bör de ovan angivna bestämmelserna kunna vara tillämpliga på känsliga uppgifter som Finansinspektionen och Riksbanken kan komma att hantera vid verksamhet som rör tillsyn eller hotbildsstyrda penetrationstester enligt DORA-förordningen. I den mån uppgifter delas mellan myndigheterna bör de utifrån syftet med informationsutbytet, dvs. att myndigheten behöver uppgifterna för sin verksamhet (se avsnitt 7.2), också skyddas hos den myndighet som tar emot uppgifterna.

Vidare kan sekretess, som Försvarets radioanstalt påpekar, gälla för känsliga uppgifter om de rör säkerhets- och bevakningsåtgärder och avser telekommunikation eller system för automatiserad behandling av information eller behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling (18 kap. 8 § 3 eller 4 OSL). Detta omfattar bl.a. uppgifter om säkerheten hos telekommunikationer, t.ex. i allmänna datornät, uppgifter om behörighetsarrangemang för att få tillgång till upptagningar för automatisk databehandling, uppgifter om chiffer och liknande metoder som har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts samt uppgifter om nycklar till elektroniska signaturer

m.m. Sekretessen omfattar också uppgifter om säkerheten avseende t.ex. datorprogram i it-system eller de loggar som datorprogrammen genererar (prop. 2003/04:93 s. 81).

Uppgifter som förekommer i incidentrapporter (se avsnitt 6) bör kunna omfattas av sekretess enligt denna bestämmelse. I första hand bör det röra sig om uppgifter som kan bidra till att lämna upplysningar om olika säkerhets- eller bevakningsåtgärder, t.ex. en uppgift om vilken typ och version av ett system eller program som används. Dessa uppgifter bör dock, utifrån vad som anses som tillsyn enligt 30 kap.4 och 18 §§offentlighets- och sekretesslagen, inte förekomma skilt från en myndighets tillsynsverksamhet. Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag (7 kap. 3 § OSL, se även prop. 2008/09:150 s. 318320).

I offentlighets- och sekretesslagen finns det även bestämmelser om sekretess i det internationella samarbetet. Sekretess gäller bl.a. för uppgifter som en myndighet får från ett utländskt organ på grund av en bindande EU-rättsakt, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs (15 kap. 1 a § första stycket OSL). Sekretess gäller vidare för uppgift som en myndighet har inhämtat i syfte att överlämna uppgiften till ett utländskt organ i enlighet med en sådan rättsakt (15 kap. 1 a § andra stycket OSL). Denna sekretess bör, som Riksbanken efterfrågar, omfatta samarbete inom ramen för DORA-förordningen mellan svenska myndigheter och myndigheter i andra medlemsstater och europeiska myndigheter, t.ex. EBA, Esma och Eiopa (se avsnitt 13). Sekretessen är dock begränsad till uppgifter som kommer till svenska myndigheter från utländska organ eller uppgifter som svenska myndigheter inhämtar för att lämna vidare till utländska organ.

För uppgifter som Finansinspektionen hämtar in från en behörig myndighet i ett annat land inom EES gäller sekretess för sådan uppgift om affärs- eller driftförhållanden och ekonomiska eller personliga förhållanden som Finansinspektionen har fått om det följer av ett avtal med en mellanfolklig organisation som riksdagen har godkänt (30 kap. 7 § första stycket OSL). I begreppet avtal ingår bl.a. rättsakter som gäller till följd av Sveriges medlemskap i EU, dvs. anslutningsfördragen och förordningar och direktiv som utfärdas av EU:s institutioner (se bl.a. prop. 2006/07:110 s. 38 och 41 samt RÅ 2007 ref. 45). I DORA-förordningen finns det, som anges ovan, även en särskild bestämmelse om tystnadsplikt (artikel 55). Bestämmelsen tar sikte på det informationsutbyte som ska ske enligt förordningen och information får bara lämnas om så föreskrivs i unionsrätt eller nationell rätt. Sekretess gäller därmed, oavsett form, för uppgifter om affärs- eller driftförhållanden och ekonomiska eller personliga förhållanden som Finansinspektionen tar emot från andra myndigheter enligt förordningen. Motsvarande bör gälla för Riksbankens verksamhet enligt DORA-förordningen.

Sekretessens styrka bestäms i regel utifrån olika skaderekvisit. Vid ett rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada eller men

uppkommer om uppgiften röjs. Motsatt gäller vid ett omvänt skaderekvisit. Sekretess gäller då om det inte står klart att uppgiften kan röjas utan att viss skada eller men uppstår. Ett rakt skaderekvisit kan också vara kvalificerat och då krävs särskilt mycket för att sekretess ska gälla. Vidare kan sekretessen vara absolut. I ett sådant fall ska uppgifter alltid hemlighållas utan att det görs någon skadeprövning om uppgifterna begärs ut.

De bestämmelser som berörs ovan har olika skaderekvisit. I vissa fall är sekretessen absolut medan det i andra fall råder en presumtion för offentlighet. När det gäller tillsyn över t.ex. kreditinstitut gäller sekretess för uppgift om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser (30 kap. 4 § första stycket 2 OSL). För samma typ av uppgifter vid tillsyn över en pensionsstiftelse gäller sekretess för uppgift om någon annan enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs (30 kap. 18 § första stycket 2 OSL).

Sekretessen kan därmed vara av olika styrka enbart beroende på vilken finansiell entitet det rör sig. Vanligtvis är detta inte ett problem utan de enskilda bestämmelserna i offentlighets- och sekretesslagen är utformade utifrån vilken typ av uppgifter det rör sig om och det sammanhang som de förekommer i.

För de nu aktuella uppgifterna är det ett begränsat antal företag som utvecklar och tillhandahåller tjänster som rör finansiella företags digitala operativa motståndskraft. Det är således möjligt att olika typer av finansiella entiteter har samma typ av skydd mot angrepp, t.ex. att ett kreditinstitut och en pensionsstiftelse anlitat samma tredjepartleverantör. I vissa fall finns det även en intressegemenskap mellan olika finansiella entiteter, t.ex. att ett försäkringsbolag är ett helägt dotterbolag till ett kreditinstitut eller att ett kreditinstitut har valt att trygga tjänstepensioner i en pensionsstiftelse. I dessa fall kan samma uppgifter, som torde vara lika känsliga oavsett vilken finansiell entitet det rör, i vissa fall anses vara offentliga, men inte i andra. Även i denna del finns dock anledning att beakta pensionsstiftelsernas särart (se avsnitt 18) och det är därmed tveksamt om samma uppgifter faktiskt kommer att hanteras hos myndigheterna.

Vidare kan en och samma uppgift från en finansiell entitet förekomma i mer än en typ av verksamhet hos myndigheterna, t.ex. dels i tillsynsverksamheten, dels i en incidentrapport. I tillsynen gäller sekretess för uppgift om t.ex. en finansiell entitets it-system om det kan antas att entiteten lider skada om uppgiften röjs (30 kap. 4 § första stycket 1 OSL). Om uppgiften i stället förekommer i en incidentrapport gäller sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs (18 kap. 8 § OSL). Uppgifterna bör i båda fallen vara lika känsliga och ha samma behov av skydd. Som anges ovan bör dock en uppgift inte kunna förekomma helt skilt från vad som anses som tillsyn enligt 30 kap.4 och 18 §§offentlighets- och sekretesslagen.

Flera remissinstanser har synpunkter som rör sekretessens styrka. När det gäller uppgifter om ett företags affärs- och driftförhållanden kan uppgifter som specifikt rör ett företags digitala motståndskraft, som

Svenska Bankföreningen och Sparbankernas Riksförbund framför, vara

särskilt känsliga. Som utvecklas ovan bör det dock vara samma typ av känsliga uppgifter som kan förekomma vid en myndighets verksamhet enligt DORA-förordningen som i dag förekommer vid annan tillstånds- och tillsynsverksamhet på finansmarknadsområdet. Behovet av skydd bör därmed vara detsamma oavsett om uppgifterna förekommer vid den vanliga finansiella tillsynen eller vid tillsyn enligt DORA-förordningen, de hotbildsstyrda penetrationstesterna eller i incidentrapporter. Regeringen anser därmed, till skillnad från Svenska Bankföreningen och Sparbankernas Riksförbund, att det nuvarande skyddet för affärs- eller driftförhållanden är tillräckligt.

För tredjemansuppgifter, dvs. uppgifter om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser, är det svårt att få en överblick av vilka uppgifter som är känsliga och vilka som inte är det. Som TU – medier i Sverige och Svenska journalistförbundet framför kan det finnas ett intresse för allmänheten att ta del av också denna typ av uppgifter. Dessa uppgifter kan dock, som utvecklas ovan, behöva ses i ett sammanhang. Uppgifterna kan då vara mycket känsliga även om de var för sig inte ger sken av det. Det kan t.ex. gälla uppgifter om en befattningshavare i en tredjepartsleverantör av IKT-tjänster som förenat med uppgifter om befattningshavarens kompetens och erfarenhet kan ge information om både vilket it-system som används och hur det fungerar. Vanligtvis bör tredjemannen även vara en enskild som bara står i affärsförbindelse med ett företag som omfattas av DORA-förordningen utan att själv omfattas av förordningen och dess krav. Vidare bör tredjemannens verksamhet som huvudregel vara specialiserad och i första hand riktad mot företag. Det rör sig således, till skillnad mot den som myndighetens verksamhet avser, inte om en verksamhet där konsumenter erbjuds finansiella tjänster. De nu aktuella tredjemansuppgifterna bör, liksom uppgifter om affärs- eller driftförhållanden, förekomma både i myndigheternas verksamhet enligt DORA-förordningen och i myndigheternas övriga tillsynsverksamhet. Detta gäller både typen av uppgifter och de faktiska uppgifterna. Regeringen anser därmed, till skillnad från TU – medier i Sverige och Svenska journalistförbundet, att det inte finns skäl att inskränka det nu gällande skyddet för denna typ av uppgifter om uppgifterna förekommer vid en myndighets verksamhet enligt DORA-förordningen.

Annat har inte framkommit än att den sekretesstid som gäller enligt ovan berörda bestämmelser är tillräcklig också för uppgifter som förekommer vid verksamhet enligt DORA-förordningen.

Sammantaget anser regeringen att de ovan nämnda bestämmelserna om sekretess tillgodoser behovet av skydd för sådana känsliga uppgifter som kan förekomma i de svenska myndigheternas verksamhet enligt DORAförordningen. Det finns därför inte behov av några ytterligare bestämmelser.

Frågan, som Riksbanken tar upp, om ett bredare samarbete på finansmarknadsområdet mellan företag och myndigheter och förutsättningarna för det ryms inte inom detta lagstiftningsärende.

Utlämnande trots sekretess berörs i avsnitt 7.2 och 13.

Meddelarfrihet

Sekretess innebär ett förbud att röja en uppgift, s.k. tystnadsplikt. Detta gäller vare sig det sker genom utlämnande av allmän handling, muntligt eller på annat sätt (3 kap. 1 § OSL). Den rätt att meddela och offentliggöra uppgifter som följer av 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen, den s.k. meddelarfriheten, har som regel företräde framför tystnadsplikten. Bestämmelser om tystnadsplikt kan dock genom särskilda bestämmelser i offentlighets- och sekretesslagen ges företräde framför rätten att meddela och offentliggöra uppgifter.

När det gäller tystnadsplikten för uppgifter som förekommer i tillstånds- och tillsynsverksamhet på finansmarknadsområdet gäller meddelarfriheten bara för vissa uppgifter. Tystnadsplikten inskränker inte rätten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter som rör affärs- eller driftförhållanden hos den som myndighetens verksamhet avser (se 30 kap. 4 § första stycket 1 och 18 § jämförda med 30 kap. 30 § första stycket OSL).

För tredjemansuppgifter som förekommer vid en statlig myndighets tillsynsverksamhet med avseende på bank- och kreditväsendet, värdepappersmarknaden eller försäkringsväsendet gäller absolut sekretess (30 kap. 4 § första stycket 2 OSL). Detta påverkar även tystnadsplikten som för dessa tredjemansuppgifter har företräde framför meddelarfriheten. Till skillnad från TU – medier i Sverige och Svenska journalistförbundet, anser regeringen att den tystnadsplikt för tredjemansuppgifter som följer av 30 kap. 4 § första stycket 2 offentlighets- och sekretesslagen inte bör inskränkas såvitt gäller uppgifter som förekommer vid verksamhet enligt DORA-förordningen (jfr 30 kap. 4 § första stycket 2 tillsammans med 30 kap. 30 § första stycket OSL).

Hänvisningar till S11

  • Prop. 2024/25:44: Avsnitt 12, 5.5, 7.2

12. Offentliggöranden av beslut

Regeringens bedömning: Kraven i DORA-förordningen om att den behöriga myndigheten ska offentliggöra beslut om administrativa sanktioner kräver inte någon lagstiftningsåtgärd.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: I DORA-förordningen finns det särskilda bestämmelser om offentliggörande av beslut. De behöriga myndigheterna ska offentliggöra alla beslut om att ålägga en administrativ sanktion som inte kan överklagas efter det att sanktionens adressat har underrättats om beslutet. Detta ska ske utan dröjsmål och på myndighetens officiella webbplats (artikel 54.1). Ett offentliggörande ska innehålla information om överträdelsens typ och art, de ansvariga personernas identitet och ålagda sanktioner (artikel 54.2). I vissa fall kan den behöriga myndigheten skjuta upp offentliggörandet, under en period offentliggöra

ett anonymiserat beslut eller helt avstå från ett offentliggörande. Så är t.ex. fallet om myndigheten anser att ett offentliggörande av de juridiska personernas identitet eller av de fysiska personernas identitet och personuppgifter är oproportionellt, kan hota stabiliteten på de finansiella marknaderna, kan äventyra en pågående brottsutredning eller kan vålla den berörda personen oproportionell skada (artikel 54.3). I förordningen finns det också bestämmelser om hur den behöriga myndigheten ska agera om ett beslut om administrativ sanktion överklagas (artikel 54.5) och om att ett offentliggörande bara ska ske så länge det är nödvändigt och inte längre än fem år (artikel 54.6).

Det som anges i DORA-förordningen om offentliggörande av beslut är formulerat som en skyldighet för de behöriga myndigheterna och får i och med det anses vara direkt tillämpligt för dem. Det är därmed inte nödvändigt att vidta några lagstiftningsåtgärder för att det som anges i förordningen ska gälla för Finansinspektionen, dvs. den svenska behöriga myndigheten (se avsnitt 5.2).

En fråga som uppkommer är emellertid om ett sådant offentliggörande som anges i DORA-förordningen är förenligt med bestämmelserna om sekretess i offentlighets- och sekretesslagen. Sekretess kan gälla för vissa uppgifter som förekommer hos myndigheterna och som rör DORA-förordningen (se avsnitt 11). Detta inbegriper de beslut som Finansinspektionen enligt förordningen ska offentliggöra (se artikel 54 i förordningen). Sekretess gäller då för uppgift om affärs- eller driftförhållanden hos den som myndighetens verksamhet avser, dvs. en finansiell entitet, om det kan antas att denne lider skada om uppgiften röjs. Presumtionen är därmed att Finansinspektionen får offentliggöra uppgifter om åtgärder eller sanktioner, men att sekretess råder om det kan antas att den berörde lider skada om uppgiften röjs. DORA-förordningen förutsätter ett offentliggörande av beslut om att påföra en administrativ sanktion, men tillåter samtidigt att besluten offentliggörs anonymiserat (artikel 54.3 b). Det finns också en möjlighet att i vissa fall inte alls offentliggöra beslutet (artikel 54.3 c) eller skjuta upp offentliggörandet (artikel 54.3 a). Motsvarande bestämmelser om offentliggöranden finns bl.a. i kapitaltäckningsdirektivet och Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012. I tidigare lagstiftningsärenden med anledning av de bestämmelserna gjordes bedömningen att den sekretess som gäller enligt i offentlighets- och sekretesslagen inte utgör hinder för att offentliggöra beslut (se prop. 2013/14:228 s. 233234 och prop. 2015/16:10 s. 244245). Det finns inte anledning att i detta lagstiftningsärende göra någon annan bedömning när det gäller bestämmelserna om offentliggörande i DORA-förordningen.

Kravet på offentliggörande av beslut gäller också beslut som rör fysiska personer (se artikel 54.2 och 54.3). Därmed uppkommer frågan om gällande regelverk för hantering av personuppgifter hindrar att kraven i förordningen uppfylls. I DORA-förordningen anges att personuppgifterna ska behandlas i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-

skyddsförordning), i det följande benämnd EU:s dataskyddsförordning, eller Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG, beroende på vilken förordning som är tillämplig (artikel 56.1). Möjligheten att offentliggöra ett beslut i anonymiserad form (artikel 54.3 b) innebär i sig ett skydd för personuppgifter. I enlighet med den bedömning som gjorts i ett tidigare lagstiftningsärende (prop. 2020/21:206 s. 92), bör gällande regelverk för hantering av personuppgifter inte innebära något hinder för uppfyllande kraven på offentliggörande av beslut enligt DORA-förordningen.

Hänvisningar till S12

  • Prop. 2024/25:44: Avsnitt 15

13. Samarbete och informationsutbyte mellan myndigheter

Regeringens bedömning: Det informationsutbyte som enligt DORAförordningen ska ske mellan myndigheter kan komma till stånd inom ramen för gällande svensk rätt.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Riksbanken påpekar att det inom ramen för TIBER-EU förekommer ett samarbete mellan såväl behöriga myndigheter som centralbanker och

Europeiska centralbanken.

Skälen för regeringens bedömning: I DORA-förordningen finns det flera bestämmelser om samarbete och informationsutbyte. Detta gäller dels mellan behöriga myndigheter, dels mellan behöriga myndigheter och europeiska myndigheter och andra organ. Till exempel ska de behöriga myndigheterna och den ledande tillsynsmyndigheten (någon av EBA,

Esma eller Eiopa) ömsesidigt utbyta all relevant information om kritiska tredjepartsleverantörer av IKT-tjänster som är nödvändig för att de ska kunna utföra sina respektive uppgifter enligt förordningen (artikel 48.2 i DORA-förordningen). De europeiska tillsynsmyndigheterna EBA, Esma och Eiopa får, i samarbete med bl.a. behöriga myndigheter, inrätta mekanismer för att möjliggöra utbyte av effektiv praxis mellan olika finansiella sektorer för att öka situationsmedvetenheten och identifiera gemensamma sårbarheter och risker på it-området (artikel 49.1 första stycket). Vidare ska de behöriga myndigheterna, de europeiska tillsynsmyndigheterna och ECB nära samordna sin tillsyn för att identifiera och åtgärda överträdelser av förordningen, utarbeta och främja bästa praxis, underlätta samarbete, främja en konsekvent tolkning och tillhandahålla bedömningar över jurisdiktionsgränserna om det uppstår meningsskiljaktigheter (artikel 49.2).

Frågor om samarbete och informationsutbyte mellan svenska myndigheter och såväl myndigheter i andra medlemsstater som de europeiska tillsynsmyndigheterna har berörts i flera lagstiftningsärenden. Vid införandet av kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) nr 1286/2014 av den 26 november 2014 om faktablad för paketerade och försäkringsbaserade investeringsprodukter för icke-professionella investerare (Priip-produkter) (prop. 2016/17:78 s. 49) anfördes i huvudsak följande. Beträffande svenska myndigheters möjlighet att lämna ut uppgifter till utländska myndigheter kan det inledningsvis konstateras att det kan komma att handla om uppgifter som omfattas av sekretess (t.ex. 30 kap. 4 eller 6 § OSL). En svensk myndighets möjlighet att lämna ut sekretessbelagda uppgifter till en utländsk myndighet regleras i 8 kap. 3 § offentlighets- och sekretesslagen. Enligt den bestämmelsen får en uppgift som är sekretessbelagd enligt offentlighets- och sekretesslagen inte lämnas ut till utländsk myndighet eller mellanfolklig organisation i andra fall än då utlämnandet sker i enlighet med föreskrift i lag eller förordning eller då uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller mellanfolkliga organisationen. En bestämmelse i en EU-förordning är att jämställa med en bestämmelse i svensk lag eller förordning (jfr prop. 1998/99:18 s. 41 och prop. 1999/2000:126 s. 160 och 283).

Detta bör också gälla för samarbete och informationsutbyte inom ramen för DORA-förordningen. Bestämmelserna i förordningen ger således Finansinspektionen och Riksbanken goda möjligheter att lämna ut handlingar och uppgifter till myndigheter i andra medlemsstater och de europeiska tillsynsmyndigheterna (se prop. 2011/12:40 s. 20, prop. 2011/12:175 s. 31 och prop. 2012/13:72 s. 34). I första hand gäller detta behöriga myndigheter i andra medlemsstater samt de europeiska tillsynsmyndigheterna och ECB. Som Riksbanken påpekar kan detta även omfatta centralbanker i andra medlemsstater om de har uppgifter enligt förordningen, t.ex. om de liksom Riksbanken har del i genomförandet av de hotbildsstyrda penetrationstesterna (se avsnitt 7.1). Det informationsutbyte som enligt DORA-förordningen ska ske mellan svenska myndigheter och myndigheter i andra medlemsstater och de europeiska tillsynsmyndigheterna kan därmed komma till stånd inom ramen för gällande svensk rätt, i första hand 8 kap. 3 § offentlighets- och sekretesslagen.

För samarbetet mellan Finansinspektionen och Riksbanken, se avsnitt 7.2.

Hänvisningar till S13

14. Informationsutbyte mellan finansiella entiteter

Regeringens bedömning: Kraven i DORA-förordningen om att finansiella entiteter ska få utbyta information med varandra kräver inte någon lagstiftningsåtgärd.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: I DORA-förordningen finns det bestämmelser om informationsutbyte mellan finansiella entiteter (artikel 45). Finansiella entiteter får utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg, i den mån sådant utbyte av information och underrättelser

a) syftar till att förbättra finansiella entiteters digitala operativa motståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra cyberhotens spridningsförmåga, varvid försvarsförmåga, metoder för att upptäcka hot, begränsningsstrategier eller åtgärds- och återställningsfaser stöds,

b) äger rum inom betrodda grupper av finansiella entiteter,

c) genomförs genom arrangemang för informationsutbyte som skyddar den potentiellt känsliga karaktären hos den information som utbyts och som styrs av uppföranderegler med full respekt för affärshemligheter, skydd av personuppgifter i enlighet med EU:s dataskyddsförordning och riktlinjer för konkurrenspolitiken.

I förordningen anges också att arrangemang för informationsutbyte ska innehålla fastställda villkor för deltagande och, när så är lämpligt, närmare uppgifter om offentliga myndigheters deltagande och på vilket sätt dessa kan knytas till arrangemangen för informationsutbyte, om deltagandet av tredjepartsleverantörer av IKT-tjänster och om operativa delar, inbegripet användningen av särskilda it-plattformar (artikel 45.2). Finansiella entiteter ska underrätta de behöriga myndigheterna om sitt deltagande i arrangemang för informationsutbyte, när deras medlemskap har godkänts eller, i tillämpliga fall, när medlemskapet upphör. Detta ska göras så snart det har skett (artikel 45.3).

Vidare framförs i skälen till förordningen att IKT-risker blir alltmer komplexa och sofistikerade och därmed kommer effektiva åtgärder för att upptäcka och förebygga en IKT-risk att i hög grad vara beroende av ett regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot. Tveksamheter om vilken typ av information som kan delas med andra marknadsaktörer, eller med myndigheter som inte är tillsynsmyndigheter leder till att användbar information inte lämnas ut. Finansiella entiteter bör därför uppmuntras att sinsemellan utbyta information och underrättelser om cyberhot, och kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt bedöma, övervaka, försvara och reagera på cyberhot genom att delta i arrangemang för informationsutbyte. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av mekanismer för frivilligt informationsutbyte som, när de genomförs i betrodda miljöer, skulle hjälpa finanssektorn att förebygga och kollektivt reagera på cyberhot genom att snabbt begränsa spridningen av IKT-risk och hindra potentiella spridningseffekter genom de finansiella kanalerna (skäl 32).

Bestämmelserna i DORA-förordningen är, som utvecklas i avsnitt 5.1, direkt tillämpliga och ger i och med det finansiella entiteter möjlighet att dela information på det sätt som anges i förordningen även utan svenska lagstiftningsåtgärder. Information får dock inte delas på ett sätt som strider mot bestämmelser som begränsar möjligheterna att dela information, t.ex. bestämmelser om tystnadsplikt, personuppgiftsskydd eller konkurrens.

Hänvisningar till S14

  • Prop. 2024/25:44: Avsnitt 5.5

15. Hantering av personuppgifter

Regeringens bedömning: EU:s dataskyddsförordning, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning utgör en tillräcklig reglering för den personuppgiftsbehandling som kommer att ske med anledning av DORA-förordningen och kompletteringslagen. Det behöver således inte införas någon ytterligare reglering om denna behandling.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: I DORA-förordningen anges att de europeiska tillsynsmyndigheterna och de behöriga myndigheterna endast får behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter och uppgifter enligt förordningen, särskilt när det gäller utredning, inspektion, begäran om information, kommunikation, offentliggörande, utvärdering, verifiering, bedömning och utarbetande av tillsynsplaner (artikel 56.1). Personuppgifterna ska då behandlas i enlighet med EU:s dataskyddsförordning eller Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG, beroende på vilken som är tillämplig. Utom där annat föreskrivs i andra sektorsspecifika rättsakter, ska de personuppgifter som hanteras lagras till dess att de tillämpliga tillsynsuppgifterna fullgjorts och under alla omständigheter i högst 15 år, utom i fall av pågående domstolsförfaranden som kräver ytterligare lagring av sådana uppgifter (artikel 56.2).

EU:s dataskyddsförordning utgör den generella regleringen för personuppgiftsbehandling inom EU. Förordningen kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Personuppgifter kommer att behandlas till följd av DORA-förordningen och kompletteringslagen. Detta gäller såväl hos enskilda (t.ex. finansiella entiteter och tredjepartsleverantörer av IKT-tjänster), som hos myndigheter, i första hand Finansinspektionen och Riksbanken.

För att få behandla personuppgifter krävs att det finns en rättslig grund för behandlingen (artikel 6.1 i EU:s dataskyddsförordning).

Finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kan behöva behandla olika typer av personuppgifter. I första hand rör det sig om namn och kontaktuppgifter för ledningspersoner för sådana aktörer. Det bör också kunna röra sig om motsvarande uppgifter till tredje part, t.ex. en uppdragstagare. När det gäller den behandling av personuppgifter som kan komma att ske hos finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kommer behandlingen att vara nödvändig för att antingen fullgöra en rättslig förpliktelse enligt DORA-förordningen eller kompletteringslagen (artikel 6.1 c i EU:s dataskyddsförordning) eller för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås till följd av den verksamhet som bedrivs (artikel 6.1 b i EU:s dataskyddsförordning). Den rättsliga grunden är, såvitt gäller att fullgöra en rättslig förpliktelse, fastställd i DORA-förordningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförordning).

Finansinspektionen kan bl.a. behöva behandla personuppgifter som är nödvändiga för tillsynen över att förordningen följs, t.ex. namn och kontaktuppgifter till ledningspersoner hos finansiella entiteter och tredjepartsleverantörer av IKT-tjänster. Samma typ av personuppgifter bör även kunna förekomma i handlingar som inspektionen får del av inom ramen för sin tillsyn (se avsnitt 9.2 och 9.3). Inspektionen kan också komma att behandla personuppgifter inom ramen för samarbetet mellan olika myndigheter, t.ex. någon av de europeiska tillsynsmyndigheterna EBA, Esma och Eiopa (se avsnitt 13). Frågan om offentliggörande av personuppgifter i samband med Finansinspektionens beslut om administrativa sanktioner och åtgärder behandlas i avsnitt 12. När det gäller Finansinspektionens behandling av personuppgifter är behandlingen nödvändig för att myndigheten ska kunna utföra sina uppgifter enligt DORA-förordningen och kompletteringslagen. Den rättsliga grunden för personuppgiftsbehandlingen är således att den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i EU:s dataskyddsförordning). Den rättsliga grunden är fastställd i DORA-förordningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförordning). Finansinspektionens ansvar för att utöva tillsyn och samarbeta med andra tillsynsmyndigheter, både nationella och europeiska, kan också ses som en rättslig förpliktelse (se artikel 6.1 c i EU:s dataskyddsförordning). Samma gäller för den testning som Riksbanken ska ansvara för enligt DORA-förordningen och kompletteringslagen (se avsnitt 7.1). Också i dessa fall är den rättsliga grunden fastställd i DORA-förordningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförordning).

Som nämns ovan kommer personuppgiftsbehandlingen med anledning av DORA-förordningen och kompletteringslagen i huvudsak att bestå av namn och kontaktuppgifter till ledningspersoner hos finansiella entiteter och tredjepartsleverantörer av IKT-tjänster eller uppdragstagare till sådana aktörer. Det bör inte bli aktuellt för vare sig enskilda eller myndigheter att behandla sådana särskilda kategorier av personuppgifter som avses i EU:s dataskyddsförordning (jfr artikel 9 i den förordningen). Risken för intrång i den personliga integriteten får därmed anses begränsad. Det eventuella

integritetsintrång som behandlingen av personuppgifter innebär får anses stå i proportion till de behov som motiverar behandlingen.

Sammanfattningsvis görs bedömningen att den personuppgiftsbehandling som förslagen ger upphov till är förenlig med EU:s dataskyddsförordning. Befintlig reglering på personuppgiftsområdet utgör en tillräcklig reglering för den personuppgiftsbehandling som kommer med anledning av DORA-förordningen och kompletteringslagen.

Hänvisningar till S15

  • Prop. 2024/25:44: Avsnitt 11

16. Avgifter

Hänvisningar till S16

  • Prop. 2024/25:44: Avsnitt 21

16.1. Finansinspektionens verksamhet

Regeringens förslag: Finansiella entiteter som står under Finansinspektionens tillsyn ska med årliga avgifter bekosta inspektionens verksamhet enligt DORA-förordningen och kompletteringslagen.

Regeringen ska få meddela föreskrifter om avgifter.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Euroclear Sweden AB framför att avgifterna ska sättas proportionerligt och mot bakgrund av de faktiska kostnader en sådan tillsyn och testning medför samt betonar vikten av transparens i detta.

Sparbankernas Riksförbund framför att det bör preciseras vad avgifterna för Finansinspektionens verksamhet ska bekosta.

Skälen för regeringens förslag: Finansinspektionen får i och med

DORA-förordningen ytterligare uppgifter (se förslagen i avsnitt 5.2). De nya uppgifterna kommer att bestå i tillsyn över att bestämmelserna i DORA-förordningen och kompletteringslagen följs. Det är också inspektionen som ska besluta vilka finansiella entiteter som ska genomgå hotbildsstyrda penetrationstester och hur ofta (se förslagen i avsnitt 7.1). Därtill ska Finansinspektionen utföra flera uppgifter inom ramen för samarbetet med de europeiska tillsynsmyndigheterna och andra behöriga myndigheter (se avsnitt 13).

Med nya uppgifter följer vanligtvis ökade kostnader, vilka kräver finansiering. Finansinspektionens verksamhet finansieras i dag dels via anslag i statens budget, dels via avgifter för prövning av ärenden.

De företag som enligt DORA-förordningen är finansiella entiteter står i dag under tillsyn hos Finansinspektionen och betalar årliga avgifter till inspektionen enligt förordningen (2007:1135) om årliga avgifter för finansiering av Finansinspektionens verksamhet. De årliga avgifterna ska stå i proportion till de kostnader som inspektionen har haft för tillsynen och övriga kostnader som inte finansieras på annat sätt (2 §). Dessa avgifter får Finansinspektionen inte disponera. I stället ska de redovisas mot inkomsttitel på statens budget. De årliga avgifterna ska i princip motsvara de medel som årligen anvisas Finansinspektionen på statsbudgeten. För att finansiera Finansinspektionens verksamhet enligt DORA-förordningen och kompletteringslagen bör Finansinspektionen få ta ut årliga

avgifter av de finansiella entiteter som står under Finansinspektionens tillsyn. En bestämmelse om detta bör tas in i kompletteringslagen. Det innebär, som Euroclear Sweden AB framför, att avgifterna ska uppgå till ett belopp som motsvarar Finansinspektionens årliga kostnader för den aktuella verksamheten (2 § förordningen om årliga avgifter för finansiering av Finansinspektionens verksamhet). Det finns inte anledning att, som Euroclear Sweden AB och Sparbankernas Riksförbund efterfrågar, närmare beröra avgiftssättningen inom ramen för detta lagstiftningsärende. Som gäller enligt flera lagar på finansmarknadsområdet (se t.ex. 23 kap. 12 § första stycket och 15 § 6 lagen om värdepappersmarknaden) bör regeringen få meddela föreskrifter om avgifterna.

16.2. Riksbankens verksamhet

Regeringens förslag: Riksbanken ska få ta ut avgifter från de finansiella entiteter som ska genomgå hotbildsstyrda penetrationstester.

Riksbanken ska få meddela föreskrifter om avgifterna.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Riksbanken kommer i och med

DORA-förordningen att få ytterligare uppgifter. Den ska samordna och övervaka utförandet av de hotbildsstyrda penetrationstesterna (se förslagen i avsnitt 7.1). Detta innebär att Riksbanken ska delta i planeringen och genomförandet av testningen genom att bl.a. validera vilka delar inom den finansiella entiteten som ska omfattas av testningen och säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs i DORA-förordningen. Riksbanken ska även utfärda intyg om att ett test har utförts i enlighet med kraven i förordningen.

De nya uppgifterna utgör myndighetsutövning mot enskilda och innebär ökade kostnader för Riksbanken. Inom den finansiella sektorn finansieras myndighetsutövning mot enskilda vanligtvis genom avgifter. Detta gäller t.ex. Riksbankens verksamhet som rör referensvärden (se 1 kap. 12 § andra stycket lagen om Sveriges riksbank). Också Riksbankens verksamhet som rör hotbildsstyrda penetrationstester enligt DORA-förordningen bör finansieras genom avgifter. Riksbanken bör därför få ta ut avgifter av de finansiella entiteter som ska genomgå tester. Som gäller för verksamhet som rör referensvärden bör Riksbanken få meddela föreskrifter om avgifterna (jfr 13 kap. 1 § 1 lagen om Sveriges riksbank).

17. Överklagande, beslut som ska gälla omedelbart och verkställighet

Hänvisningar till S17

  • Prop. 2024/25:44: Avsnitt 21

17.1. Finansinspektionens beslut

Regeringens förslag: Finansinspektionens beslut om sanktionsföreläggande enligt lagen om tjänstepensionsföretag och kompletteringslagen ska inte få överklagas. Andra beslut som Finansinspektionen fattar enligt DORA-förordningen och kompletteringslagen ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Finansinspektionen ska få bestämma att vissa beslut om föreläggande och återkallelse enligt kompletteringslagen ska gälla omedelbart. Detta ska även gälla för Finansinspektionens beslut om hotbildsstyrda penetrationstester.

Regeringens bedömning: Kraven i DORA-förordningen om att den behöriga myndigheten ska motivera sina beslut tillgodoses av gällande svensk rätt.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att det inte förslås att Finansinspektionen ska få bestämma att ett beslut om hotbildsstyrda penetrationstester ska gälla omedelbart.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Finansinspektionen och Riksbanken framför att även ett beslut om att en finansiell entitet ska genomföra hotbildsstyrda penetrationstester ska kunna gälla omedelbart.

Skälen för regeringens förslag och bedömning

Motiveringsskyldighet och en grundläggande överklagbarhet

Enligt DORA-förordningen ska alla beslut om att ålägga administrativa sanktioner eller avhjälpande åtgärder vara vederbörligen motiverade och kunna överklagas (artikel 50.6).

I förvaltningslagen finns det allmänna bestämmelser om krav på motivering av beslut (32 §). De förvaltningsbeslut som kan aktualiseras till följd av DORA-förordningen är t.ex. Finansinspektionens beslut om ingripanden genom administrativa sanktioner eller åtgärder. Sådana beslut bör omfattas av bestämmelsen i förvaltningslagen och därmed krävs det inte någon lagstiftningsåtgärd med anledning av DORA-förordningens krav på motivering av vissa beslut.

När det gäller finansiella entiteter som omfattas av en rörelselag kan Finansinspektionen, vid överträdelser av DORA-förordningen, ingripa med stöd av bestämmelserna i den rörelselag som reglerar den finansiella entitetens verksamhet (se avsnitt 10.2.1). De beslut som Finansinspektionen fattar till följd av ett sådant ingripande kan överklagas med stöd av bestämmelser i respektive lag (se t.ex. 26 kap. 1 § andra stycket lagen om värdepappersmarknaden). Möjligheten att överklaga sådana

beslut följer således redan av respektive rörelselag och därmed krävs det inte någon lagstiftningsåtgärd med anledning av DORA-förordningen.

Ingripanden mot finansiella entiteter som inte omfattas av en rörelselag ska ske med stöd av kompletteringslagen (se förslagen i avsnitt 10.2.2). För att uppfylla kraven i DORA-förordningen om överklagbarhet bör det införas en bestämmelse om detta i kompletteringslagen. På finansmarknadsområdet gäller som huvudregel att beslut av Finansinspektionen får överklagas och då prövas av allmän förvaltningsdomstol samt att krav på prövningstillstånd gäller vid överklagande till kammarrätten (se t.ex. 26 kap. 1 § andra och tredje styckena lagen om värdepappersmarknaden). Detta bör även gälla för Finansinspektionens beslut enligt kompletteringslagen.

Ett beslut om sanktionsföreläggande bör inte få överklagas

Ett ingripande mot en företrädare för en finansiell entitet ska ske genom ett sanktionsföreläggande (se förslagen i avsnitt 10.3). Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. När föreläggandet har godkänts gäller det som ett domstolsavgörande som har fått laga kraft. Om ett sanktionsföreläggande inte har godkänts inom angiven tid får Finansinspektionen ansöka hos domstol om att en sanktion ska beslutas. Ett beslut om sanktionsföreläggande är i sig ett förberedande beslut. Beslutet utgör inte hinder mot en senare och slutlig prövning i domstol av om det finns skäl för att meddela sanktionen, t.ex. en sanktionsavgift. Det finns även risk för att ett överklagande av ett beslut om sanktionsföreläggande fördröjer Finansinspektionens utredning i onödan.

Enligt andra lagar på finansmarknadsområdet gäller att ett beslut om sanktionsföreläggande inte får överklagas (se t.ex. 26 kap. 1 § första stycket lagen om värdepappersmarknaden). Det är också vad som kommer att gälla för sanktionsförelägganden som meddelas mot företrädare för finansiella entiteter som omfattas av en rörelselag (se avsnitt 10.2.1). Motsvarande bör gälla för sanktionsförelägganden som meddelas enligt lagen om tjänstepensionsföretag och den nya kompletteringslagen. En fysisk person som har fått ett felaktigt sanktionsföreläggande meddelat mot sig, har möjlighet att ansöka om resning (se prop. 2016/17:162 s. 573574).

Vissa beslut ska kunna gälla omedelbart

I flera lagar på finansmarknadsområdet finns det bestämmelser om att Finansinspektionen får bestämma att ett beslut om förbud, föreläggande eller återkallelse ska gälla omedelbart (se t.ex. 26 kap. 1 § fjärde stycket lagen om värdepappersmarknaden). Bestämmelser om att en myndighet i vissa fall kan verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det finns även i förvaltningslagen (35 §). Förvaltningslagen är subsidiär, vilket innebär att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från förvaltningslagen, tillämpas den bestämmelsen (4 §).

I fråga om ingripanden med stöd av kompletteringslagen bedöms allmänintresset av omedelbar verkställighet vara särskilt stort i vissa fall. Det gäller särskilt för förelägganden för att få en aktör att upphöra med ett

agerande som strider mot DORA-förordningen eller kompletteringslagen. Även vid ett beslut om att en fysisk person under en viss tid inte får vara styrelseledamot eller verkställande direktör är det av betydelse att beslutet gäller omedelbart. Slutligen kan det också vid ett beslut om återkallelse av tillstånd vara av stor vikt att beslutet gäller omedelbart. För att signalera att allmänintresset av omedelbar verkställighet kan vara särskilt högt i de nu aktuella fallen bör en bestämmelse tas in i kompletteringslagen om att Finansinspektionen får bestämma att dessa beslut ska gälla omedelbart (jfr bl.a. prop. 2020/21:206 s. 95).

Vid ingripanden mot finansiella entiteter som omfattas av en rörelselag finns bestämmelser i respektive rörelselag om omedelbar verkställighet av Finansinspektionens beslut om förbud, föreläggande och återkallelse av tillstånd (se avsnitt 10.2.1). De hotbildsstyrda penetrationstesterna är förhållandevis omfattande och såväl planeringen som genomförandet tar tid i anspråk. Testerna ska dessutom, som utgångspunkt, genomföras minst vart tredje år (se artikel 26.1 i DORA-förordningen). Därtill kommer den snabba utvecklingen inom området. Det är av vikt att testerna både påbörjas i tid och slutförs så snart det är möjligt. Även i dessa fall bedöms allmänintresset av omedelbar verkställighet vara särskilt stort. Det bör därför, som Finansinspektionen och Riksbanken framför, införas en bestämmelse i kompletteringslagen om att Finansinspektionen får bestämma att ett beslut om hotbildsstyrda penetrationstester ska gälla omedelbart.

17.2. Riksbankens beslut

Regeringens förslag: Riksbankens beslut om föreläggande enligt kompletteringslagen och om utfärdande av intyg enligt artikel 26.7 i

DORA-förordningen ska få överklagas till allmän förvaltningsdomstol. Andra beslut som Riksbanken fattar med stöd av kompletteringslagen ska inte få överklagas. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Riksbanken ska övervaka och samordna hotbildstyrda penetrationstester samt utfärda intyg som bekräftar att ett test har genomförts i enlighet med kraven i DORA-förordningen (se förslagen i avsnitt 7.1). För att kunna utföra dessa uppgifter ska Riksbanken få förelägga finansiella entiteter att lämna de uppgifter som är nödvändiga för myndighetens verksamhet som rör dessa tester (se förslagen i avsnitt 7.3).

En myndighets beslut som rör enskilda får vanligtvis överklagas till allmän förvaltningsdomstol. Riksbankens beslut om föreläggande enligt kompletteringslagen bör därmed få överklagas. Även Riksbankens beslut om utfärdande av intyg rör enskilda och bör därför få överklagas. För dessa beslut gäller de allmänna bestämmelserna att ett beslut bara får överklagas om det kan antas påverka någons situation på ett inte obetydligt sätt och då av den som beslutet angår, om det har gått honom eller henne emot (41

och 42 §§förvaltningslagen). Det bör, som vanligtvis gäller för en myndighets beslut, krävas prövningstillstånd vid överklagande till kammarrätten.

Under genomförandet av de hotbildsstyrda penetrationstesterna torde Riksbanken behöva fatta flera olika beslut. Bland annat ska Riksbanken säkerställa att den finansiella entiteten tillämpar den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen. Enligt DORA-förordningen ska Riksbanken också validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs i förordningen (artikel 27). Ett överklagande av dessa beslut skulle kunna fördröja testprocessen i onödan. Dessa beslut bör därför inte få överklagas. Ett beslut av detta slag kan likväl, om än i ett senare skede, komma att prövas av domstol. Detta kan t.ex. ske antingen genom att Riksbanken fattar ett beslut om att inte utfärda ett intyg om att testningen har utförts i enlighet med kraven i DORA-förordningen. Andra beslut än de som avser förelägganden eller utfärdande av intyg bör därför inte få överklagas.

17.3. Verkställighet av den ledande tillsynsmyndighetens beslut om viten

Regeringens förslag: Beslut om viten enligt DORA-förordningen ska få verkställas enligt utsökningsbalkens bestämmelser på samma sätt som en svensk dom som har fått laga kraft.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Enligt DORA-förordningen ska den ledande tillsynsmyndighetens beslut om viten vara verkställbara (artikel 35.9). Verkställigheten ska följa de civilprocessrättsliga regler som gäller i den medlemsstat inom vars territorium åtgärden ska genomföras.

Beslut om viten enligt DORA-förordningen, som fattas av den ledande tillsynsmyndigheten, bör därför få verkställas enligt utsökningsbalken på samma sätt som en svensk dom som har fått laga kraft. En bestämmelse om detta bör tas in i kompletteringslagen. Bestämmelsen bör utformas efter förebild av det som gäller enligt motsvarande bestämmelser för verkställighet av Esmas beslut om viten enligt förordningen om marknader för finansiella instrument (se 23 kap. 4 b § lagen om värdepappersmarknaden och prop. 2020/21:24 s. 47).

Enligt DORA-förordningen ska domstolarna i den berörda medlemsstaten vara behöriga att pröva klagomål som rör oegentligheter i verkställigheten (artikel 35.9).

Kronofogdemyndigheten är den svenska myndighet som kommer att ansvara för den praktiska verkställigheten och dess beslut kan överklagas till allmän domstol (se 1 kap. 3 § och 18 kap.utsökningsbalken). Dessa mål bör, liksom mål om avgifter eller viten enligt EU:s förordning om

marknader för finansiella instrument, hanteras som enskilda mål (se 1 kap. 6 § tredje stycket utsökningsbalken, se även samma prop.).

Hänvisningar till S17-3

  • Prop. 2024/25:44: Avsnitt 21, 22.1

18. Ändringsdirektivet

Hänvisningar till S18

18.1. EU-direktiv på finansmarknadsområdet som ändras

I samband med DORA-förordningen har Europaparlamentet och rådet genom ändringsdirektivet beslutat om ändringar i följande direktiv:

– Europaparlamentet och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag), i det följande benämnt UCITS-direktivet.

– Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet, i det följande benämnt Solvens II-direktivet.

– Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010, i det följande benämnt AIFMdirektivet.

– Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG, i det följande benämnt kapitaltäckningsdirektivet.

– Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europaparlamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012, i det följande benämnt krishanteringsdirektivet.

– Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU, i det följande benämnt MiFID II,

– Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG, i det följande benämnt andra betaltjänstdirektivet.

– Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i det följande benämnt andra tjänstepensionsdirektivet.

I avsnitt 18.2 och 18.3 behandlas vilken typ av ändringar det rör sig om i de olika EU-direktiven och behovet av lagstiftningsåtgärder.

Hänvisningar till S18-1

18.2. Ändringar som kräver lagstiftningsåtgärder

Regeringens förslag: Följande svenska bestämmelser ska ändras med anledning av ändringar i UCITS-direktivet, Solvens II-direktivet,

AIFM-direktivet, kapitaltäckningsdirektivet, MiFID II, andra betaltjänstdirektivet och andra tjänstepensionsdirektivet:

– Bestämmelserna i lagen om värdepappersfonder om krav på organisation av verksamheten.

– Bestämmelsen i försäkringsrörelselagen om krav på kontinuitet i verksamheten.

– Bestämmelsen i lagen om förvaltare av alternativa investeringsfonder om organisatoriska krav.

– Bestämmelsen i lagen om bank- och finansieringsrörelse om riskhantering.

– Bestämmelserna i lagen om värdepappersmarknaden om värdepappersbolags riskhantering, om värdepappersinstituts interna riktlinjer, rutiner och system, om krav för att värdepappersinstitut ska få bedriva algoritmisk handel och om allmänna verksamhetskrav för börser.

– Bestämmelserna i lagen om betaltjänster om betaltjänstleverantörers hantering av operativa risker.

– Bestämmelserna i lagen om tjänstepensionsföretag och lagen om tryggande av pensionsutfästelse m.m. om krav på kontinuitet i verksamheten.

Finansinspektionen ska informera Riksbanken om allvarliga IKTrelaterade incidenter.

Bemyndigandena i lagen om tryggande av pensionsutfästelse m.m., lagen om värdepappersfonder, lagen om bank- och finansieringsrörelse, lagen om värdepappersmarknaden och lagen om betaltjänster ska justeras så att de inte omfattar det som regleras av DORA-förordningen.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag avviker från regeringens förslag genom att det inte föreslås en särskild bestämmelse för kreditinstituts nätverks- och informationssystem. Promemorians förslag avviker även från regeringens förslag genom att det inte föreslås att Finansinspektionen ska informera

Riksbanken om allvarliga IKT-relaterade incidenter.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Myndigheten för samhällsskydd och beredskap betonar vikten av en enhetlig användning av de olika begreppen och anser att begreppen beredskapsplan, IKT-plan och IKT-kontinuitetsplan bör kunna ersättas med begreppet kontinuitetsplan.

Svensk Försäkring och Sveriges advokatsamfund ifrågasätter att mindre försäkringsföretag ska omfattas av de tillkommande kraven i försäkringsrörelselagen på ett företags nätverks- och informationssystem då dessa företag är undantagna från DORA-förordningen.

Svenska Bankföreningen och Sparbankernas Riksförbund anser att de tillkommande kraven på ett kreditinstituts nätverks- och informationssystem bör särskiljas från den mer övergripande bestämmelsen om riskhantering.

Finansinspektionen framför att det bör förtydligas att kraven på fondbolags och AIF-förvaltares rutiner för drift och förvaltning av verksamheten också bör omfatta deras nätverkssystem.

När det gäller betaltjänstleverantörer framför Finansinspektionen att det bör tydliggöras vilka betaltjänstleverantörer som fortsatt är rapporteringsskyldiga enligt lagen om betaltjänster. Riksbanken avstyrker förslaget om att de betaltjänstleverantörer som omfattas av DORA-förordningen bara ska incidentrapportera enligt förordningen. Myndigheten för samhällsskydd och beredskap anser å sin sida att Finansinspektionens informationsskyldighet enligt lagen om betaltjänster även bör gälla den gemensamma kontaktpunkten, Cyberkrishanteringsmyndigheten, den nationella CSIRTenheten enligt direktiv (EU) 2022/2555. Kungl. Tekniska högskolan framför att det bör förtydligas och utvecklas vad som omfattas av betaltjänster.

Svenska Pensionsstiftelsers Förening framför att regeringen bör överväga att utreda om pensionsstiftelser lämpligen ska ses som ett tjänstepensionsinstitut på det sätt som nu sker. Det framför även att regeringen tydligare bör ange hur proportionaliteten ska få genomslag för pensionsstiftelser, t.ex. genom att en pensionsstiftelse oavsett storlek ska få tillämpa den förenklade IKT-riskhanteringsramen. Utifrån pensionsstiftelsers särart bör även förtydligas vilka nätverks- och informationssystem som pensionsstiftelsen ska ansvara för enligt förordningen och vilka IKT-risker som ska beaktas inom stiftelsernas riskhantering inom

IKT-riskhanteringsramen.

Skälen för regeringens förslag

Skyldighet att uppfylla kraven i DORA-förordningen

En del ändringar i EU-direktiven kräver justeringar av de svenska bestämmelser som genomför direktiven. I huvudsak rör det bestämmelser om företagens riskhantering och att företagen framöver också ska uppfylla kraven i DORA-förordningen.

Det är, som Myndigheten för samhällsskydd och beredskap tar upp, viktigt med en enhetlig användning av olika begrepp. Begreppen i EUrättsakterna bör dock som utgångspunkt användas även i de svenska bestämmelserna. I såväl andra tjänstepensionsdirektivet som i det svenska genomförandet används begreppet beredskapsplan (se artikel 21.5 jämförd med 16 g § lagen [1967:531] om tryggande av pensionsutfästelse m.m. och 9 kap. 2 § andra stycket lagen [2019:742] om tjänstepensionsföretag). Samma begrepp används i ändringsdirektivet såvitt gäller ändringen av bestämmelsen i andra tjänstepensionsdirektivet (artikel 8 i ändringsdirektivet). Det finns inte anledning att inom ramen för detta lagstiftningsärende se över användningen av detta begrepp.

Fondbolag och AIF-förvaltare

När det gäller fondbolag bör det förtydligas att rutinerna för drift och förvaltning ska uppfylla kraven i DORA-förordningen (2 kap. 17 § första stycket 3 lagen om värdepappersfonder). Som Finansinspektionen framför gäller detta både nätverks- och informationssystem (se artikel 12.1 i UCITS-direktivet, i lydelsen enligt artikel 1.1 i ändringsdirektivet).

Motsvarande förtydliganden bör göras för AIF-förvaltare (8 kap. 2 § första stycket 2 lagen om förvaltare av alternativa investeringsfonder, se även artikel 18.1 i AIFM-direktivet, i lydelsen enligt artikel 3 i ändringsdirektivet).

Försäkringsföretag

För försäkringsföretag bör det förtydligas att företagets nätverks- och informationssystem ska uppfylla kraven i DORA-förordningen (10 kap. 3 § första stycket försäkringsrörelselagen). Som såväl Svensk Försäkring som Sveriges advokatsamfund påpekar är försäkringsföretag undantagna från DORA-förordningen (artikel 2.3 b). Detta undantag knyter an till de försäkringsföretag som är undantagna från Solvens II-direktivet (se artikel 4 i det direktivet). Vid genomförandet av Solvens II-direktivet gjordes dock bedömningen att ett s.k. mindre försäkringsföretag bara ska undantas från bestämmelser om solvens, offentliggörande och grupptillsyn, dvs. bestämmelser i 5–9, 16 och 19 kap. försäkringsrörelselagen. Det innebär att mindre försäkringsföretag, i den mån det är proportionerligt, omfattas av bestämmelserna om företagsstyrning i 10 kap. försäkringsrörelselagen (4 kap. 5 § samma lag). De nu tillkommande kraven på ett försäkringsföretags nätverks- och informationssystem avser företagsstyrning. Det är inte möjligt att inom ramen för detta lagstiftningsärende ompröva den tidigare bedömningen. Regeringen anser därmed, till skillnad från Svensk Försäkring och Sveriges advokatsamfund, att de tillkommande kraven bör gälla samtliga företag som omfattas av försäkringsrörelselagens bestämmelser om företagsstyrning.

Kreditinstitut och vissa värdepappersbolag

Också för kreditinstitut bör det förtydligas att deras nätverks- och informationssystem ska uppfylla kraven i DORA-förordningen. De tillkommande kraven rör i och för sig riskhanteringen (se skäl 3 i ändringsdirektivet). Likväl bör det för tydlighets skull, som Svenska

Bankföreningen och Sparbankernas Riksförbund framför, tas in en särskild bestämmelse om detta i lagen om bank- och finansieringsrörelse.

Kraven gäller även för s.k. mycket stora värdepappersbolag (8 kap. 1 c § lagen om värdepappersmarknaden). Det innebär att följande aktörer ska uppfylla de tillkommande kraven på riskhantering i lagen om bank- och finansieringsrörelse (se 1 kap. 2 § första stycket 7 c–g lagen om särskild tillsyn över kreditinstitut och värdepappersbolag): – värdepappersbolag med tillstånd att som sidotjänst ta emot kunders

medel på konto för att underlätta värdepappersrörelsen enligt 2 kap. 2 § första stycket 8 lagen om värdepappersmarknaden, – svenska aktiebolag som är sådana värdepappersföretag som avses i

artikel 1.2 a eller b i Europaparlamentets och rådets förordning (EU) 2019/2033 av den 27 november 2019 om tillsynskrav för värdepappersföretag och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 575/2013, (EU) nr 600/2014 och (EU) nr 806/2014, nedan benämnd värdepappersbolagsförordningen, – värdepappersbolag för vilka ett beslut av Finansinspektionen enligt

3 a § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag gäller,

– svenska aktiebolag som är sådana värdepappersföretag som avses i

artikel 1.5 i värdepappersbolagsförordningen och – svenska aktiebolag som är sådana värdepappersföretag som avses i

artikel 4.1.1 b i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012, nedan benämnd tillsynsförordningen,

Värdepappersinstitut och börser

Det bör även göras vissa förtydliganden för värdepappersinstitut. Ett värdepappersinstitut bör ha särskilda informations- och kommunikationstekniska system. Dessa system ska inrättas och förvaltas i enlighet det som anges i DORA-förordningen (8 kap. 10 § första stycket lagen om värdepappersmarknaden). Ett värdepappersinstitut bör också ha sunda skyddsmekanismer för att, i enlighet med kraven i DORA-förordningen, säkerställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till informationen (8 kap. 10 § andra stycket lagen om värdepappersmarknaden). Värdepappersinstitut som bedriver algoritmisk handel bör ha system och riskkontroller som säkerställer att institutets handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i DORAförordningen. Ett sådant värdepappersinstitutet bör också ha effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera driftavbrott i sina handelssystem. Detta inbegriper när det gäller informations- och kommunikationsteknik en kontinuitetspolicy med tillhörande kontinuitetsplan samt därmed relaterade åtgärds- och återställningsplaner. Dessa ska inrättas i enlighet med kraven i DORA-förordningen. Ett värdepappersinstitut ska även se till att systemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i förordningen (8 kap. 23 § första och tredje styckena lagen om värdepappersmarknaden).

För börser bör det förtydligas att arbetet med att identifiera och hantera de risker som kan uppstå i verksamheten också ska gälla informations- och kommunikationsteknikrisker i enlighet kraven i DORA-förordningen (13 kap. 1 § tredje stycket 1 lagen om värdepappersmarknaden). De tillkommande kraven enligt DORA-förordningen gör att de särskilda kraven om att en börs ska vara utrustad så att systemets tekniska operationer hanteras korrekt och ha vidtagit effektiva kompletterande åtgärder för att hantera riskerna för systemavbrott är överflödiga (se 13 kap. 1 § tredje stycket 2 lagen om värdepappersmarknaden). Vidare bör det förtydligas att en börs ska inrätta och upprätthålla en operativ motståndskraft, i enlighet med kraven i DORA-förordningen, för att säkerställa att handelssystemen är motståndskraftiga, har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och meddelandevolymer, kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden, är fullständigt testade och garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handelssystemet. För kontinuiteten inbegriper detta en IKT-kontinuitetspolicy och, som

Myndigheten för samhällsskydd och beredskap påpekar, IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner i enlighet med DORA-förordningen (13 kap. 1 a § lagen om värdepappersmark-

naden). När det gäller systemen och arrangemangen för att säkerställa att algoritmisk handel inte skapar eller bidrar till otillbörliga marknadsförhållanden bör det förtydligas att kraven om tester och miljöer för att underlätta tester ska gälla i enlighet med kraven i DORA-förordningen (13 kap. 1 d § lagen om värdepappersmarknaden).

Betaltjänstleverantörer

Ändringsdirektivet rör även betaltjänstleverantörer. Det bör förtydligas att de betaltjänstleverantörer som omfattas av DORA-förordningen ska uppfylla dels kraven enligt lagen om betaltjänster, dels de tillkommande kraven enligt DORA-förordningen (5 b kap. 1 § lagen om betaltjänster). Betaltjänstleverantörer som omfattas av DORA-förordningen behöver dock bara incidentrapportera enligt DORA-regelverket (5 b kap. 3 § samma lag, se även artikel 19 i DORA-förordningen). Liksom Finansinspektionen framför innebär det att kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar enbart ska följa DORA-förordningens bestämmelser om incidentrapportering. De betaltjänstleverantörer som inte är att anse som finansiella entiteter enligt DORA-förordningen, t.ex. statliga och kommunala myndigheter och postgiroinstitut, ska alltjämt underrätta Finansinspektionen och betaltjänstanvändarna om operativa incidenter eller säkerhetsincidenter i enlighet med det som gäller enligt lagen om betaltjänster (1 kap. 3 § lagen om betaltjänster jämförd med artikel 96.7 i andra betaltjänstdirektivet, i lydelsen enligt artikel 7.5 i ändringsdirektivet). Som

Riksbanken påpekar kan denna ändring leda till att de inte längre informeras om en allvarlig operativ incident eller säkerhetsincident hos de betaltjänstleverantörer som bara ska incidentrapportera enligt DORAförordningen. Riksbanken bör även i fortsättningen så snart det kan ske få del av uppgifter om allvarliga operativa incidenter och säkerhetsincidenter hos samtliga betaltjänstleverantörer (se prop. 2017/18:77 s. 229). Enligt

DORA-förordningen ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande till andra relevanta offentliga myndigheter enligt nationell rätt (artikel 19.6). För att säkerställa att Riksbanken, som en annan relevant offentlig myndighet enligt nationell rätt, informeras om denna typ av incidenter bör det tas in en bestämmelse i kompletteringslagen om att Finansinspektionen ska informera Riksbanken om allvarliga IKTrelaterade incidenter. När det gäller andra myndigheter ska Finansinspektionen enligt DORA-förordningen informera de behöriga myndigheter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 (artikel 19.6). Det finns inte anledning att, som Myndigheten för samhällsskydd och beredskap föreslår, införa en motsvarande informationsskyldighet för Finansinspektionen i lagen om betaltjänster. Betaltjänster definieras i 1 kap. 2 § lagen om betaltjänster. Den bestämmelsen genomför artikel 4.3 i och bilaga I till andra betaltjänstdirektivet (se prop. 2017/18:77 s. 331– 332). Det är inte möjligt att, som Kungl. Tekniska högskolan efterfrågar, inom ramen för detta lagstiftningsärende förtydliga vad som omfattas av begreppet betaltjänst.

Pensionsstiftelser och tjänstepensionsföretag

Regeringen har vid flera tidigare tillfällen gjort bedömningen att pensionsstiftelser är att anse som tjänstepensionsinstitut (se prop. 2004/05:165 s. 107111 och prop. 2018/19:159 s. 3234). Det är inte möjligt att, som

Svenska Pensionsstiftelsers Förening efterfrågar, närmare beröra detta ställningstagande inom ramen för detta lagstiftningsärende. Som föreningen också framför anser även regeringen att det är av vikt att pensionsstiftelsernas särart beaktas, t.ex. att en pensionsstiftelse inte får utfästa pension och därmed inte har någon pensionsskuld till de förmånsberättigade (se prop. 2004/05:165 s. 110 och prop. 2018/19:159 s. 3740).

Enligt DORA-förordningen gäller att de finansiella entiteterna ska genomföra reglerna om IKT-riskhantering i enlighet med proportionalitetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser. Vidare gäller att entiteternas tillämpning av bl.a. bestämmelserna om hantering av IKT-tredjepartsrisker ska stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta bestämmelserna (artikel 4.1 och 4.2). När det gäller IKT-riskhantering och hantering av IKT-tredjepartsrisker har kommissionen befogenhet att komplettera förordningen genom att anta tekniska standarder (se artiklarna 15, 28.9 och 30.5, se även avsnitt 4.8.1). Genomslaget för de olika och enskilda finansiella entiteterna är dock i första hand en fråga för rättstillämpningen.

För tjänstepensionsföretag och pensionsstiftelser bör det förtydligas att de, i egenskap av tjänstepensionsinstitut, ska ha de nätverks- och informationssystem som följer av DORA-förordningen (9 kap. 2 § lagen om tjänstepensionsföretag och 16 g § lagen om tryggande av pensionsutfästelse m.m.).

Inskränkta bemyndiganden

De nya EU-rättsliga bestämmelserna minskar medlemsstaternas handlingsutrymme att meddela ytterligare bestämmelser om riskhantering. Bemyndigandena i lagen om tryggande av pensionsutfästelse m.m. (16 i §), lagen om värdepappersfonder (13 kap. 1 § 11), lagen om bank- och finansieringsrörelse (16 kap. 1 § 5), lagen om värdepappersmarknaden (8 kap. 35 § 4) och lagen om betaltjänster (5 b kap. 6 §) bör ändras så att de inte omfattar krav som följer av DORA-förordningen.

Hänvisningar till S18-2

  • Prop. 2024/25:44: Avsnitt 18.1

18.3. Ändringar som inte kräver lagstiftningsåtgärder

Regeringens bedömning: Följande ändringar kan genomföras med stöd av befintliga bemyndiganden för regeringen eller den myndighet som regeringen bestämmer:

ändringarna i kapitaltäckningsdirektivet om krav på beredskaps- och kontinuitetspolicyer samt beredskaps- och kontinuitetsplaner,

– ändringarna i krishanteringsdirektivet om vad en resolutionsplan ska innehålla och vilka omständigheter som ska läggas till grund för resolutionsmyndighetens prövning av en resolutionsplan, och

– ändringarna i andra betaltjänstdirektivet om hur en betaltjänstleverantörs system för hantering av operativa risker och säkerhetsrisker ska utformas.

Följande ändringar i EU-rättsliga bestämmelser tillgodoses av gällande svensk rätt och kräver inga lagstiftningsåtgärder:

– Ändringarna i kapitaltäckningsdirektivet om att de behöriga myndigheterna ska ha alla de informationsinsamlings- och undersökningsbefogenheter som myndigheterna behöver för att utöva sina funktioner och om att de behöriga myndigheterna inom tillsynen ska utvärdera de risker som påvisats vid testning av digital operativ motståndskraft.

– Ändringarna i krishanteringsdirektivet om vad en återhämtningsplan ska innehålla och vilka uppgifter som resolutionsmyndigheter får begära in från institut för utarbetande och uppdatering av resolutionsplaner.

– Ändringarna i betaltjänstdirektivet om att direktivet inte är tillämpligt på tekniska stödtjänster och om utkontraktering av viktiga operativa funktioner.

Ändringar i EU-rättsliga bestämmelser som inte riktar sig till medlemsstaterna kräver inte några lagstiftningsåtgärder.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning

Ändringar på annan nivå än lag

I några fall har bestämmelserna i EU-direktiven som nu ändras genomförts i föreskrifter. Detta gäller artikel 85.2 i kapitaltäckningsdirektivet om krav på beredskaps- och kontinuitetspolicyer samt beredskaps- och kontinuitetsplaner (se prop. 2013/14:228 s. 642), artikel 10.7 och avsnitt C i bilagan till krishanteringsdirektivet om vad en resolutionsplan ska innehålla och vilka omständigheter som ska läggas till grund för resolutionsmyndighetens prövning av en resolutionsplan (se prop. 2015/16:5 s. 237240) och artikel 5.1 i andra betaltjänstdirektivet om hur en betaltjänstleverantörs system för hantering av operativa risker och säkerhetsrisker ska utformas (se prop. 2017/18:77 s. 223224 och 684).

Ändringarna i dessa EU-rättsliga bestämmelser bör, i enlighet med tidigare genomföranden, genomföras i föreskrifter. Detta kan ske med stöd av befintliga bemyndiganden (16 kap. 1 § 5 lagen om bank- och finansieringsrörelse, 29 kap. 2 § 1 lagen [2015:1016] om resolution och 2 kap. 10 § lagen om betaltjänster).

Ändringar som ryms inom gällande svenska bestämmelser

Vissa ändringar som görs i EU-direktiven är sådana att både äldre och nya lydelser ryms inom gällande svenska bestämmelser. I dessa fall krävs det inte några lagstiftningsåtgärder för att uppfylla kraven enligt EU-rätten.

Detta är fallet för bestämmelserna i kapitaltäckningsdirektivet om att de behöriga myndigheterna ska ha alla de informationsinsamlings- och undersökningsbefogenheter som myndigheterna behöver för att utöva sina

funktioner (artikel 65.3, se 13 kap. 6 § lagen om bank- och finansieringsrörelse, 23 kap. 2 och 3 §§ lagen om värdepappersmarknaden och 6 kap. 1 § lagen om särskild tillsyn över kreditinstitut och värdepappersbolag) och att de behöriga myndigheterna inom tillsynen ska utvärdera de risker som påvisats vid testning av digital operativ motståndskraft i enlighet med DORA-förordningen (artikel 97.1, se 9 § förordningen [2014:993] om särskild tillsyn och kapitalbuffertar). Också bestämmelserna i krishanteringsdirektivet om vad en återhämtningsplan ska innehålla (avsnitt A 16 i bilagan till direktivet, se 16 kap. 1 § 7 lagen om bank- och finansieringsrörelse, 5 kap. 2 § 9 förordningen (2004:329) om bank- och finansieringsrörelse och 3 § Finansinspektionens föreskrifter [FFFS 2016:6] om återhämtningsplaner, koncernåterhämtningsplaner och avtal om finansiellt stöd inom koncerner) och vilka uppgifter som resolutionsmyndigheter får begära från institut för utarbetande och uppdatering av resolutionsplaner (avsnitt B 14 och 14a i bilagan till direktivet, se 28 kap. 1 § lagen om resolution) tillgodoses genom gällande rätt. Till sist gäller detta även för bestämmelserna i andra betaltjänstdirektivet om att direktivet inte är tillämpligt på tekniska stödtjänster (artikel 3 j, se 1 kap. 6 § 4 lagen om betaltjänster) och om utkontraktering av viktiga operativa funktioner (artikel 19.6, se 3 kap. 28 § andra stycket lagen om betaltjänster).

Ändringar som inte riktar sig till medlemsstaterna

Flera ändringar i EU-direktiven rör bestämmelser som inte riktar sig till de enskilda medlemsstaterna. Detta gäller ändringarna i artikel 12.3 i UCITSdirektivet, artikel 50.1 i Solvens II-direktivet, artikel 18.2 i AIFMdirektivet, artikel 10.9 i krishanteringsdirektivet, artiklarna 17.7 och 48.12 i MiFID II och artikel 98.5 i andra betaltjänstdirektivet. Dessa ändringar kräver således inte några lagstiftningsåtgärder.

Hänvisningar till S18-3

  • Prop. 2024/25:44: Avsnitt 18.1

19. Några andra frågor om överklaganden av Finansinspektionens beslut

Hänvisningar till S19

  • Prop. 2024/25:44: Avsnitt 20

19.1. Förordnande av sakkunnig i gränsöverskridande förfaranden

Regeringens förslag: Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusioner, delningar och ombildningar ska inte få överklagas.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: I aktiebolagslagen (2005:551) finns det särskilda bestämmelser om fusion, delning och gränsöverskridande ombildning. Såväl en fusion som en delning kan vara gränsöverskridande.

För förfarandet gäller att det eller de bolag som vill genomföra ett gräns-

överskridande förfarande ska ansöka hos Bolagsverket om tillstånd att verkställa en fusions-, delnings- eller ombildningsplan (23 kap.20 och 36 a §§, 24 kap.22 och 31 §§ samt 24 a kap. 22 §aktiebolagslagen). Bolagsverket ska pröva om förutsättningarna för att verkställa en plan är uppfyllda och i så fall utfärda ett intyg om att den del av förfarandet som regleras av svensk lag har genomförts på föreskrivet sätt. Om det vid handläggningen av en ansökan om ett gränsöverskridande förfarande uppkommer en fråga som kräver särskild fackkunskap, får Bolagsverket förordna en lämplig person som sakkunnig. Bolagsverket ska ersätta den sakkunnige för utfört arbete och sökanden ska i sin tur ersätta Bolagsverket för denna kostnad enligt ett beslut som verket fattar (23 kap. 45 b §, 24 kap. 47 § och 24 a kap. 24 §aktiebolagslagen).

Om ett finansiellt företag, dvs. ett företag som omfattas av lagen om bank- och finansieringsrörelse, försäkringsrörelselagen eller lagen om tjänstepensionsföretag, vill genomföra ett gränsöverskridande förfarande finns det särskilda bestämmelser i de lagarna. I sådana fall är det Finansinspektionen som prövar en ansökan. Inspektionen kan, som Bolagsverket, förordna en sakkunnig vid handläggningen. Finansinspektionen ska i så fall också besluta om sökandens betalningsskyldighet för ersättning till en sakkunnig (jfr 10 kap. 1 § lagen om bank- och finansieringsrörelse, 11 kap. 1 § försäkringsrörelselagen och 10 kap. 1 § lagen om tjänstepensionsföretag).

Bolagsverkets beslut om betalningsskyldighet för ersättning till sakkunnig kan överklagas till allmän förvaltningsdomstol (31 kap. 2 § 5 aktiebolagslagen). Ett beslut om förordnande av sakkunnig kan dock inte överklagas. Frågan om en sakkunnig borde ha utsetts kan dock bli föremål för prövning i samband med överklagande av beslutet om fastställande av ersättning (prop. 2021/22:286 s. 202).

I lagen om bank- och finansieringsrörelse (17 kap. 1 § tredje stycket), i försäkringsrörelselagen (21 kap. 3 §) och i lagen om tjänstepensionsföretag (17 kap. 1 §) finns det generella bestämmelser om överklagande av Finansinspektionens beslut. Enligt dessa bestämmelser kan såväl ett beslut om förordnande av sakkunnig, som ett beslut om betalningsskyldighet för ersättning till sakkunnig överklagas till allmän förvaltningsdomstol.

Det saknas skäl för denna skillnad mellan Bolagsverkets och Finansinspektionens beslut om förordnande av sakkunnig. Om ett beslut om förordnande av sakkunnig kan överklagas finns det också risk för att ärendet i onödan fördröjs. Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusioner, delningar och ombildningar bör därför, som gäller för motsvarande beslut som fattas av Bolagsverket, inte få överklagas.

19.2. Undantag från bosättningskrav

Regeringens förslag: Finansinspektionens beslut enligt lagen om bank- och finansieringsrörelse om undantag från bosättningskraven för styrelseledamöter, verkställande direktör och särskild firmatecknare

ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: I aktiebolagslagen finns det särskilda bestämmelser om bosättningskrav för styrelseledamöter, verkställande direktör och särskilda firmatecknare. För styrelseledamöter gäller att minst hälften ska vara bosatta inom Europeiska ekonomiska samarbetsområdet (8 kap. 9 §). Den verkställande direktören ska vara bosatt inom Europeiska ekonomiska samarbetsområdet (8 kap. 30 §). Av de särskilda firmatecknarna ska minst en vara bosatt inom Europeiska ekonomiska samarbetsområdet (8 kap. 37 §). Bolagsverket får besluta om undantag från dessa bosättningskrav om det finns särskilda skäl. För företag som omfattas av lagen om bank- och finansieringsrörelse eller försäkringsrörelselagen får Finansinspektionen fatta ett motsvarande beslut om undantag (10 kap. 1 § andra stycket lagen om bank- och finansieringsrörelse och 11 kap. 1 § andra stycket försäkringsrörelselagen).

Bolagsverkets beslut om undantag från bosättningskraven överklagas till allmän förvaltningsdomstol (31 kap. 2 § första stycket 2 aktiebolagslagen). Även Finansinspektionens beslut i dessa frågor överklagas till allmän förvaltningsdomstol om det rör försäkringsföretag (21 kap. 2 § första stycket försäkringsrörelselagen, se även prop. 2018/19:158 s. 653). Finansinspektionens beslut om undantag enligt lagen om bank- och finansieringsrörelse överklagas dock till regeringen (17 kap. 1 § första stycket den lagen).

I enlighet med vad som anförts i tidigare lagstiftningsärenden torde det som regel inte finnas något behov av ett ställningstagande från regeringen, i dess egenskap av politiskt organ, i denna typ av ärenden. En överprövning bör då ske i domstol (prop. 2013/14:86 s. 6364). Även om det är olika myndigheter som fattar det grundläggande beslutet bör det inte finnas skäl för skilda förfaranden för ett överklagande. Särskilt inte som ett beslut enligt försäkringsrörelselagen överklagas på samma sätt som motsvarande beslut enligt aktiebolagslagen. Ett beslut om undantag från bosättningskraven som Finansinspektionen fattar enligt lagen om bank- och finansieringsrörelse bör därför i fortsättningen också överklagas till allmän förvaltningsdomstol. Liksom gäller vid överklagande av motsvarande beslut enligt aktiebolagslagen och försäkringsrörelselagen bör prövningstillstånd krävas vid överklagande till kammarrätten av beslut enligt lagen om bank- och finansieringsrörelse (jfr 31 kap. 8 § aktiebolagslagen och 21 kap. 2 § andra stycket försäkringsrörelselagen).

19.3. Begränsad skyldighet att meddela trafikförsäkring

Regeringens förslag: Finansinspektionens beslut enligt trafikskadelagen om begränsning av skyldigheten att meddela trafikförsäkring ska

få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Enligt trafikskadelagen (1975:1410) ska det som utgångspunkt finnas en trafikförsäkring för ett motordrivet fordon som är registrerat i vägtrafikregistret och inte är avställt samt för annat motordrivet fordon som brukas i trafik i Sverige (2 § första stycket).

Trafikförsäkring får meddelas av en svensk försäkringsgivare med tillstånd enligt 2 kap. 4 § försäkringsrörelselagen, en försäkringsgivare från tredje land med tillstånd enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, eller en EES-försäkringsgivare som är verksam i Sverige med stöd av 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige (5 § första stycket trafikskadelagen).

En försäkringsgivare som får meddela trafikförsäkring i Sverige är skyldig att på begäran meddela sådan försäkring, den s.k. kontraheringsplikten. I ett tillstånd att meddela försäkring enligt 2 kap. 4 § försäkringsrörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige kan denna skyldighet begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Finansinspektionen kan efter ansökan besluta om motsvarande begränsning för en försäkringsgivare som bedriver verksamhet i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige. Ett sådant beslut får överklagas hos regeringen (5 § andra stycket trafikskadelagen).

Som anförs ovan för ett beslut om undantag från bosättningskraven (avsnitt 19.2) torde det inte heller för ett beslut som begränsar kontraheringsplikten finnas skäl för att regeringen ska överpröva Finansinspektionens beslut. En motsvarande inskränkning för en svensk försäkringsgivare eller en försäkringsgivare från tredje land överklagas dessutom till allmän förvaltningsdomstol (se 21 kap. 3 § första stycket försäkringsrörelselagen och 10 kap. 4 § första stycket lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige). Denna typ av beslut enligt trafikskadelagen bör i stället, som vanligtvis gäller för Finansinspektionens beslut, överklagas till allmän förvaltningsdomstol. Som också vanligtvis gäller för Finansinspektionens beslut, bör prövningstillstånd krävas vid överklagande till kammarrätten (jfr t.ex. 21 kap. 3 § andra stycket försäkringsrörelselagen och 10 kap. 4 § andra stycket lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige).

Hänvisningar till S19-3

19.4. Tillsyn över Svenska skeppshypotekskassan

Regeringens förslag: Finansinspektionens beslut enligt lagen om

Svenska skeppshypotekskassan ska få överklagas till allmän

förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Svenska skeppshypotekskassan anser att Finansinspektionens beslut fortsatt bör överklagas till regeringen eller att frågan i vart fall bör utredas på ett djupare plan.

Skälen för regeringens förslag: Bestämmelser om Svenska skeppshypotekskassan finns i lagen (1980:1097) om Svenska skeppshypotekskassan. Svenska skeppshypotekskassan har till ändamål att medverka vid finansiering av rederiverksamhet som bedrivs av svenskt rederi eller av en utländsk juridisk person där svenska fysiska eller juridiska personer har ett betydande inflytande eller intresse (1 §).

Svenska skeppshypotekskassan står under tillsyn av Finansinspektionen. Inspektionen får i samband med tillsynen meddela förelägganden eller förbud. Dessa beslut får enligt lagen överklagas hos regeringen (38 §).

Som Svenska skeppshypotekskassan också framför bedriver den en speciell verksamhet som skiljer sig från andra aktörer på finansmarknaden. Likväl gäller de skäl som anförs i avsnitt 19.2 och 19.3 också för en överprövning av Finansinspektionens beslut som rör tillsynen över skeppshypotekskassan enligt lagen om Svenska skeppshypotekskassan. Detta är också vad som gäller för överklagande av andra beslut som rör tillsynen över skeppshypotekskassan (se 11 kap. 1 § lagen [2014:966] om kapitalbuffertar och 11 kap. 1 § lagen [2014:968] om särskild tillsyn över kreditinstitut och värdepappersbolag). Finansinspektionens beslut enligt lagen om Svenska skeppshypotekskassan bör därmed i fortsättningen överklagas till allmän förvaltningsdomstol. Vid ett överklagande bör, som vanligtvis gäller för Finansinspektionens beslut, prövningstillstånd krävas för överklagande till kammarrätten (jfr t.ex. 21 kap. 3 § andra stycket försäkringsrörelselagen).

20. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Kompletteringslagen och övriga lagändringar ska träda i kraft den 17 januari 2025.

Äldre föreskrifter ska tillämpas för överklaganden av Finansinspektionens beslut enligt lagen om bank- och finansieringsrörelse om undantag från bosättningskrav, enligt trafikskadelagen om begränsad skyldighet att meddela försäkring och enligt lagen om Svenska skeppshypotekskassan om beslutet har meddelats före ikraftträdandet.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag

Ikraftträdande

DORA-förordningen ska tillämpas från och med den 17 januari 2025 (artikel 64 andra stycket). Även de nationella bestämmelser som genomför de ändringar som görs genom ändringsdirektivet ska tillämpas från och med den 17 januari 2025 (artikel 9.1 andra stycket). Kompletteringslagen och övriga lagändringar som föranleds av DORA-förordningen och ändringsdirektivet bör därför träda i kraft vid denna tidpunkt.

De lagändringar som inte har samband med DORA-förordningen (se avsnitt 19) bör träda i kraft så snart det är möjligt. Detta bedöms också vara den 17 januari 2025.

Övergångsbestämmelser

I och med DORA-förordningen införs det nya bestämmelser om digital operativ motståndskraft på finansmarknadsområdet. I huvudsak rör det sig om tillkommande bestämmelser och inte äldre bestämmelser som ändras. Det finns således inte någon tidigare lagstiftning att förhålla sig till. Inte heller finns det några övergångsbestämmelser i vare sig DORA-förordningen eller ändringsdirektivet. Det finns därmed inte något behov av övergångsbestämmelser till de lagändringar som nu föreslås med anledning av dessa EU-rättsakter.

Inte heller finns det skäl för någon övergångsbestämmelse såvitt gäller Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusioner, delningar och ombildningar (se avsnitt 19.1).

Vissa beslut som tidigare har överklagats till regeringen ska i fortsättningen överklagas till allmän förvaltningsdomstol. Detta gäller beslut enligt lagen om bank- och finansieringsrörelse om undantag från bosättningskraven (se avsnitt 19.2), enligt trafikskadelagen om begränsad skyldighet att meddela trafikförsäkring (se avsnitt 19.3) och enligt lagen om Svenska skeppshypotekskassan (se avsnitt 19.4). I dessa fall, när handläggningsordningen ändras, finns det behov av övergångsbestämmelser. Beslut som har meddelats före ikraftträdandet bör därför fortsatt överklagas till regeringen (jfr prop. 2013/14:86 s. 8687).

21. Konsekvensanalys

Regeringens bedömning: Genom förslagen tillgodoses DORA-förordningens krav när det gäller kompletterande reglering i svensk nationell rätt.

Eventuella ökade kostnader för Finansinspektionen, Riksbanken och andra myndigheter bedöms vara begränsade.

De flesta företag som bedriver verksamhet inom finansmarknadsområdet berörs av förslagen. Förslagen innebär i varierande omfattning ökade krav och kostnader för dem.

Enskilda berörs i den mån bestämmelserna leder till minskad risk för avbrott i finansiella tjänster och ökad säkerhet inom tjänsterna.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Finansinspektionen anser att deras kostnader till följd av DORA-förordningen är omfattande då det kommer att krävas betydande informationsinsatser och en betydande ökning av tillsynen. Det kommer även finnas behov av att samla in, upprätthålla och vidarerapportera informationsregister om IKT-tredjepartsleverantörer samt att delta i arbetet med de gemensamma undersökningsgrupperna (JET).

Kungl. Tekniska högskolan anser att myndigheterna bör se över sina föreskrifter.

Regelrådet anser att det finns brister när det gäller beskrivningen av storlekskravet som avgör om vissa företag ska omfattas av förslaget och på vilket sätt proportionalitetsprincipen ska tillämpas. Detta gäller även för bedömningen av särskild hänsyn till små företag. Vidare anser Regelrådet det behövs tydligare beskrivningar av vilken påverkan förslaget och

DORA-förordningen kan komma att innebära för berörda företags kostnader, tidsåtgång och verksamhet samt när det gäller påverkan på konkurrensförhållanden för berörda företag. Regelrådet rekommenderar att det görs en nationell konsekvensutredning av DORA-förordningens effekter på svenska företag.

Totalförsvarets forskningsinstitut påpekar att Riksbanken och Finansinspektionen genom förslagen kommer att få del av stora mängder känslig information vilket ökar risken för angrepp mot myndigheterna.

Totalförsvarets forskningsinstitut efterfrågar även en mer detaljerad analys av företagens kostnader, särskilt hur de påverkar tredjepartsleverantörer av IKT-tjänster.

Skälen för regeringens bedömning

Ramen för konsekvensanalysen

Regelrådet framför att det bör göras en nationell konsekvensutredning av DORA-förordningens effekter på svenska företag. Förslagen i denna proposition kompletterar DORA-förordningen, som är direkt tillämplig i Sverige. Effekterna av DORA-förordningen har behandlats vid framtagandet av förordningen (se kommissionens konsekvensanalys och sammanfattningen av den SWD[2020] 198 final och SWD[2020] 199 final). Konsekvensanalysen i denna proposition är därför begränsad till de nationella lagförslag som lämnas.

Förslagens syfte och alternativa lösningar

Förslagen har till syfte att komplettera DORA-förordningen. Förordningen förutsätter att det införs vissa nationella bestämmelser, t.ex. om testning av digital operativ motståndskraft (artiklarna 24–27). Enligt förordningen krävs det även nationella bestämmelser som ger den behöriga myndigheten nödvändiga utrednings-, tillsyns- och sanktionsbefogenheter (artikel 50.1). För att förordningen ska få genomslag i svensk rätt krävs således att Sverige inför bestämmelser i dessa avseenden.

Förslagen innebär att kompletterande bestämmelser till DORA-förordningen införs i en ny lag (se avsnitt 5.1). Genom förslagen tillgodoses förordningens krav avseende kompletterande reglering i nationell rätt. Förslagen går inte utöver vad som krävs för att uppfylla kraven i förordningen.

Det bedöms inte finnas några alternativa lösningar som skulle vara lämpliga när det gäller de åtgärder som är nödvändiga för att anpassa den svenska lagstiftningen till förordningen. Om Sverige inte gör nödvändiga anpassningar av lagstiftningen är det sannolikt att Europeiska kommissionen inleder ett förfarande om fördragsbrott. Att avstå från att införa nödvändiga bestämmelser utgör alltså inte något alternativ.

Förslagen går inte längre än vad som är nödvändigt för att uppfylla kraven enligt DORA-förordningen. Vad gäller förslaget att Riksbanken får uppgifter som rör testning av finansiella företags digitala operativa motståndskraft innebär detta att Riksbankens upparbetade kompetens på området utnyttjas. För- och nackdelar med denna lösning berörs och utvecklas i avsnitt 7.1.

Berörda aktörer

Förordningen berör de flesta företag som är verksamma inom finansmarknadsområdet, i DORA-förordningen benämnda finansiella entiteter. Som anges i avsnitt 4.3 rör det sig om flera olika typer av företag, t.ex. kreditinstitut och försäkringsföretag. Förordningen berör också myndigheter. I första hand gäller detta Finansinspektionen som är behörig myndighet och ska utöva tillsyn enligt förordningen (se avsnitt 5.2). Även Riksbanken berörs då de ska övervaka och samordna hotbildsstyrda penetrationstester. Andra myndigheter, främst Kronofogdemyndigheten, och domstolarna berörs också, t.ex. vid verkställighet och överklaganden (se avsnitt 10.6 och 17).

Konsekvenser för Finansinspektionen

Finansinspektionen kommer att vara behörig myndighet enligt DORAförordningen (se avsnitt 5.2). Som behörig myndighet kommer Finansinspektionen bl.a. att ansvara för tillsynen över att förordningen följs och inspektionen får därför vissa utrednings- och tillsynsbefogenheter, liksom befogenheter att ingripa med administrativa sanktioner och andra åtgärder vid överträdelser av förordningen (se förslagen i avsnitt 9 och 10). Finansinspektionen ska också samarbeta med behöriga myndigheter i andra medlemsstater och med de europeiska tillsynsmyndigheterna EBA, Esma och Eiopa (se avsnitt 13). Enligt förslagen ska Finansinspektionens även bestämma vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationsteser och hur ofta testerna ska genomföras (se avsnitt 7.1).

Ett nytt regelverk innebär i regel ökade kostnader. Detta gäller särskilt i ett inledande skede. Finansinspektionen behöver utveckla nya arbetssätt för att utföra de tillkommande uppgifterna. Liksom Kungl. Tekniska högskolan framför behöver föreskrifter ses över. Det bör också krävas vissa informationsinsatser. Den nya tillsynsstrukturen med den ledande tillsynsmyndigheten bör också kräva vissa arbetsinsatser (artiklarna 31–44 i DORA-förordningen). Liksom Totalförsvarets forskningsinstitut påtalar

får inspektionen inom den nya tillsynen del av känsliga uppgifter, vilket i sig kan öka risken för angrepp mot myndigheten. Finansinspektionen hanterar dock redan mycket känslig information om såväl finansiella entiteter som det finansiella systemet. Den nya tillsynen bör inte ha någon större inverkan på myndighetens pågående säkerhetsarbete.

I nuläget är det svårt att göra en bedömning av de ekonomiska konsekvenserna för Finansinspektionen. Detta har bl.a. att göra med att de tekniska standarderna ännu inte beslutats. Som Finansinspektionen framför omfattas dock ett stort antal företag av de tillkommande kraven och ett antal regelverk behöver ses över och anpassas. Som inspektionen också tar upp ska en stor mängd ny information samlas in och vidarebefordras till bl.a. de europeiska tillsynsmyndigheterna. Finansinspektionen ska även delta i den centraliserade tillsynen.

Finansinspektionens verksamhet avseende bl.a. regelgivning och tillsyn finansieras via anslag i statens budget. Detta gäller även inspektionens avgifter till EU:s tillsynsmyndigheter. Kostnaderna för den verksamheten täcks genom avgifter som tas ut enligt förordningen om årliga avgifter för finansiering av Finansinspektionens verksamhet. Sådana avgifter ska uppgå till ett belopp som motsvarar kostnaden för den verksamhet som ska finansieras. Avgiftsintäkterna ska redovisas mot inkomsttitel på statens budget. Enligt förslagen ska Finansinspektionen få ta ut årliga avgifter av de aktörer som omfattas av det nya regelverket, de finansiella entiteterna, för att finansiera verksamheten med tillsyn enligt de nya reglerna (se avsnitt 16). Ändringar i förordningen om årliga avgifter för finansiering av Finansinspektionens verksamhet är därmed att vänta.

Liksom anges ovan kommer ett stort antal av de företag som i dag står under tillsyn av Finansinspektionen, som finansiella entiteter, att omfattas av kraven enligt DORA-förordningen. Europeiska kommissionen ska fastställa kriterier för bestämmande om ett företag ska omfattas fullt ut eller bara delvis av kraven i förordningen. Då arbetet med dessa kriterier fortfarande pågår är det svårt att avgöra hur många företag som kommer att omfattas av bestämmelserna i förordningen och i vilken mån och i och med det konsekvenserna för Finansinspektionens tillsynsarbete. Det torde inte röra sig om mer än ett 20-tal företag som omfattas fullt ut av förordningen och i och med det ska genomföra hotbildsstyrda penetrationstester. För andra företag innebär det i första hand skärpta krav på deras organisation och riskhantering. Finansinspektionen bör, till följd av den nuvarande tillsynen, ha en förhållandevis god kunskap om dessa företag. Nya krav bör i och för sig ställa högre krav på tillsynen. De flesta större företagen, t.ex. kreditinstitut och försäkringsföretag, omfattas dock redan i dag av bestämmelser med krav på dess organisation och riskhantering, vilket talar för begränsade konsekvenser för Finansinspektionen. Innan de tekniska standarderna har beslutats är det också svårt att göra någon bedömning av vilka tredjepartsleverantörer av IKT-tjänster som kommer att anses som kritiska och därmed påverka inspektionens arbete inom tillsynsramen för sådana tredjepartsleverantörer (se artiklarna 31–44).

Sammantaget bedöms förslagen leda till ökade, om än begränsade, kostnader för Finansinspektionen. Tillkommande kostnader ska hanteras inom befintliga ekonomiska ramar.

Konsekvenser för Riksbanken

Riksbanken får genom förslagen nya uppgifter och befogenheter då myndigheten, i enlighet med DORA-förordningen, får uppgifter som rör testning av finansiella företags digitala operativa motståndskraft (avsnitt 7.1).

Riksbanken utför i dag liknande, om än frivilliga, tester inom ramen för TIBER-EU. Myndigheten har således en upparbetad kompetens för de nya uppgifterna. Detta gäller kunskap dels om själva testerna, dels om företagen som ska genomföra testerna.

Som Totalförsvarets forskningsinstitut tar upp kommer Riksbanken i och med de nya och obligatoriska hotbildsstyrda penetrationstesterna att få in och hantera känsliga uppgifter om de finansiella entiteternas system och hantering av IKT-risker. Det bör dock inte utgöra någon större skillnad gentemot de nuvarande frivilliga TIBER-testerna som även de innehåller känsliga uppgifter. Myndigheten arbetar, liksom andra myndigheter inom den finansiella sektorn, aktivt med frågor som rör dess egna motståndskraft och förmåga att bedriva verksamheten utan avbrott. Detta bör, som för Finansinspektionen, inte leda till någon större inverkan på myndighetens pågående säkerhetsarbete.

Då det rör sig om en ny reglering bör det, på motsvarande sätt som för Finansinspektionen, krävas vissa informationsinsatser. Det bör också, som utvecklas ovan, bli något fler företag som ska genomföra tester när de nu blir obligatoriska. I huvudsak torde det dock vara samma företag som de som nu utför TIBER-tester, vilka Riksbanken har en förhållandevis god kunskap om. Riksbanken ska också få ta ut avgifter för verksamheten av de företag som ska genomföra testerna. Liksom Kungl. Tekniska högskolan tar upp kan det finnas ett behov av att se över Riksbankens föreskrifter.

Sammantaget bedöms därmed konsekvenserna vara begränsade för Riksbanken.

Konsekvenser för företag

De flesta företag som bedriver verksamhet inom finansmarknadsområdet och står under tillsyn hos Finansinspektionen kommer att vara finansiella entiteter enligt DORA-förordningen och i och med det omfattas av kraven i förordningen. Mindre företag omfattas dock inte av DORA-förordningen (se artikel 2.3, se även avsnitt 4.3). Andra företag omfattas inte fullt ut av förordningen (se artikel 16). Därtill gäller proportionalitetsprincipen för företagens IKT-riskhantering, hantering av IKT-relaterade incidenter och cyberhot, hotbildsstyrda penetrationstester och IKT-tredjepartsrisker (se artikel 4). Innan de tekniska standarderna för tillsyn har beslutats är det, som anges under konsekvenserna för Finansinspektionen, svårt att bedöma hur många företag och i vilken omfattning de omfattas av DORAregelverket. Beträffande proportionaliteten bör viss vägledning ges i de tekniska standarderna. I första hand är det dock en fråga för rättstillämpningen. Det är därmed inte lämpligt att, som Regelrådet efterfrågar, nu närmare beröra detta.

När det gäller förordningen i sig, tillkommer krav på företagens organisation och hantering av risker inom områdena för informations- och kommunikationssäkerhet. Det bör dock inte vara helt nya krav då de olika

regelverken på finansmarknadsområdet i dag har närliggande, om än mer generella och övergripande krav, t.ex. på kontinuitet och beredskapsplaner. Dessa delar av förordningen bör i första hand ses som förtydliganden och justeringar av redan gällande krav enligt de enskilda regelverken, vilket är i linje med de justeringar som görs i de grundläggande EU-rättsliga regelverken (se avsnitt 18). Vidare tillkommer också krav på incidentrapportering. Dessa krav torde företagen kunna hantera utan större ändringar då de redan, enligt de olika regelverken på finansmarknadsområdet, har omfattande krav på regelbunden rapportering till bl.a. Finansinspektionen.

Utifrån de krav som anges i förordningen och utkasten till kommissionens tekniska standarder för tillsyn torde det i första hand vara större kreditinstitut, enstaka försäkringsföretag, börser och värdepapperscentraler som kommer att omfattas fullt ut av förordningen och kraven om att genomföra hotbildsstyrda penetrationstester. Sammanlagt torde det röra sig om högst ett 20-tal svenska företag. Flera av dessa företag genomför dock redan motsvarande tester, dels i egen regi, dels inom ramen för TIBER-EU. Det finns inte anledning att, som Regelrådet efterfrågar, närmare beröra vilka enskilda företag det rör sig om.

Regelrådet efterfrågar vidare en djupare analys av kostnaderna för de enskilda företagen. Nya krav är vanligtvis förenade med ökade kostnader för de enskilda företagen. Detta gäller särskilt i ett kort tidsperspektiv. Det torde dock vara stora variationer mellan de olika företagen. Vissa företag omfattas redan i dag av omfattande krav på riskhantering. Därtill kommer att några företag har genomfört de frivilliga TIBER-testerna. För dessa företag bör de tillkommande kostnaderna vara mer begränsade. För andra företag bör det röra sig om mer kännbara kostnader för att uppfylla de nya kraven. Den nya tillsynen innebär därtill ökade kostnader då såväl Finansinspektionen som Riksbanken ges möjlighet att ta ut avgifter (se avsnitt 16).

Syftet med DORA-förordningen är att öka motståndskraften och i förlängningen möjligheten för företagen att tillhandahålla sina tjänster utan avbrott. Driftsavbrott kan vara förenade med stora och oförutsedda kostnader både för de företag som drabbas och marknaden i stort.

Regelrådet efterfrågar en analys av hur förordningen påverkar konkurrensförhållandena för berörda företag. För samtliga finansiella entiteter bör en hög driftssäkerhet för det enskilda företaget vara en konkurrensfördel, vilket kan berättiga ett högre pris för företagets tjänster. Genom förordningen fastställs enhetliga krav inom hela EU. Detta bör underlätta och påskynda företagens arbete med att öka sin egen motståndskraft i förhållande till om det är upp till varje medlemsstat eller enskilt företag att avgöra vilka krav som ska gälla. Kraven i DORA-förordningen bör i sig inte påverka finansiella entiteters möjlighet att bedriva verksamhet i andra medlemsstater då detta är något som regleras i de grundläggande EUrättsliga regelverken. Det är även stora skillnader mellan de olika finansiella entiteterna i den mån de bedriver verksamhet i andra medlemsstater.

De tillkommande kraven bör sammantaget inte ha någon större inverkan på finansiella entiteters möjlighet eller vilja att bedriva verksamhet i andra medlemsstater. Kraven bör i stället främst påverka tredjepartsleverantörer. Enhetliga krav bör underlätta deras verksamhet och förbättra möjligheterna att erbjuda sina tjänster till finansiella entiteter, vilket i sig ökar

utbudet på t.ex. IKT-tjänster. Detta gäller dels att fler svenska finansiella entiteter från olika delar av finansmarknadsområdet efterfrågar samma tjänster, dels att svenska finansiella entiteter efterfrågar samma tjänster som finansiella entiteter i andra medlemsstater. I ett längre perspektiv kan de nya kraven således innebära kostnadsbesparingar för finansiella entiteter och stärka allmänhetens förtroende, både för företagen och för marknaden i dess helhet.

När det, som Totalförsvarets forskningsinstitut efterfrågar, gäller tredjepartsleverantörer av IKT-tjänster är det än svårare att göra en bedömning av konsekvenserna. Enhetliga krav bör, som anges ovan, ge dem förbättrade möjligheter att tillhanda sina tjänster. I den mån de klassas som kritiska kommer de att omfattas av tillsyn enligt DORA-förordningen vilket sannolikt innebär ökade kostnader. Andra tredjepartsleverantörer bör främst drabbas av ytterligare krav från uppdragsgivarna, de finansiella entiteterna (se t.ex. artikel 30 om vad som ska regleras i ett avtal om IKTtjänster). Bestämmelser om uppdragsavtal finns dock i ett flertal regelverk på finansmarknadsområdet. I den mån detta leder till ökade kostnader torde det leda till ett högre pris för IKT-tjänster, vilket i första hand påverkar de finansiella entiteterna.

Beträffande de andra förslagen föreslås att Finansinspektionens beslut om förordnande av sakkunnig i ett gränsöverskridande ärende framöver inte ska få överklagas (avsnitt 19.1). Även om ett beslut inte får överklagas särskilt kan det prövas i samband med överklagande av ett beslut om fastställande av ersättning till den sakkunnige. Ändringen bedöms därmed inte ha några negativa konsekvenser för företagen. Vidare föreslås att vissa beslut som Finansinspektionen fattar fortsättningsvis får överklagas till allmän förvaltningsdomstol (se avsnitt 19.2–19.4). Dessa beslut har hittills överklagats till regeringen. Detta gäller vissa beslut om undantag från bosättningskrav för styrelseledamöter, verkställande direktörer och särskilda firmatecknare, beslut för försäkringsgivare från tredje land om undantag från kontraheringsplikten och beslut som rör Svenska skeppshypotekskassan. Detta är den överklagandeordning som normalt gäller för överklagande av Finansinspektionens beslut och bedöms därmed inte ha några negativa konsekvenser för företag.

Konsekvenser för domstolarna

De beslut som Finansinspektionen kommer att fatta enligt den nya lagen ska kunna överklagas till allmän förvaltningsdomstol (se avsnitt 17.1). Motsvarande gäller för de beslut som Riksbanken kommer att fatta (se avsnitt 17.2). Mål av nu aktuella slag kan i och för sig vara förhållandevis komplicerade och tidskrävande. Det är dock relativt få beslut från Finansinspektionen som överklagas. Sammanlagt torde det röra sig om ett begränsat antal beslut från myndigheterna per år och endast ett fåtal som överklagas.

Att vissa beslut framöver ska få överklagas till allmän förvaltningsdomstol i stället för till regeringen kan leda till en ökning av antalet ärenden hos de domstolarna (se avsnitt 19.2–19.4). Även i dessa fall torde det inte röra sig om annat än ett fåtal beslut per år om ens det.

Gränsöverskridande ombildningar är mindre vanliga vilket också torde gälla för beslut om förordnande av sakkunnig. Att förordnandebeslut inte

ska få överklagas (se avsnitt 19.1) bör inte få annat än ringa påverkan hos domstolarna.

Sammantaget bör det röra sig om ett begränsat antal ärenden som tillkommer för domstolarna. Eventuella ökade kostnader för detta bedöms därför kunna hanteras inom befintliga ekonomiska ramar.

Konsekvenser för Kronofogdemyndigheten

Kronofogdemyndigheten berörs då beslut om viten enligt DORA-förordningen ska få verkställas på samma sätt som en svensk dom som har fått laga kraft (se avsnitt 17.3). Det föreslås också att Finansinspektionen och Riksbanken ska få förena vissa beslut med vite (se t.ex. avsnitt 7.3 och 9.2). Kronofogdemyndigheten berörs även genom att obetalda sanktionsavgifter ska lämnas till myndigheten för indrivning (se avsnitt 10.6). Antalet mål om obetalda viten och sanktionsavgifter förväntas bli mycket begränsat. Tillkommande kostnader med anledning av det för Kronofogdemyndigheten ska hanteras inom befintliga ekonomiska ramar.

Konsekvenser för enskilda

De krav som införs genom förordningen och den nya lagen riktar sig till företag, medlemsstateter och tillsynsmyndigheter. Kraven bör i förlängningen kunna komma de enskilda till nytta, eftersom förordningen har till syfte att öka säkerheten för finansiella tjänster genom att minska risken för dels driftsavbrott, dels att känsliga uppgifter kommer i orätta händer.

Inte heller de bestämmelser som i övrigt föreslås riktar sig direkt mot enskilda.

Ikraftträdande och särskilda informationsinsatser

Det föreslås att lagändringarna ska träda i kraft den 17 januari 2025. De övergångsbestämmelser som föreslås rör hanteringen av överklaganden (avsnitt 20). Sammantaget torde det inte finnas något behov av särskilda informationsinsatser med anledning av förslagen.

Övriga konsekvenser

Förslagen får inga konsekvenser för jämställdheten mellan kvinnor och män och har inga sociala konsekvenser. De har inte heller några konsekvenser för miljön.

Förenlighet med EU-rätten

Förslagen bedöms vara förenliga med EU-rätten.

Hänvisningar till S21

22. Författningskommentar

22.1. Förslaget till lag med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn

1 kap. Inledande bestämmelser

Lagens syfte

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, i denna lag kallad EUförordningen.

Termer och uttryck i denna lag har samma betydelse som i EU-förordningen.

Paragrafen beskriver lagens syfte. Övervägandena finns i avsnitt 5.1 och 5.4.

I första stycket anges den EU-rättsakt som lagen kompletterar och som i lagen benämns EU-förordningen. Av tydlighetsskäl benämns förordningen dock i det följande som DORA-förordningen.

I andra stycket klargörs att termer och uttryck i lagen har samma betydelse som i DORA-förordningen.

Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Behörig myndighet

2 § Av artikel 46 i EU-förordningen följer att Finansinspektionen är behörig myndighet enligt förordningen.

Paragrafen innehåller en upplysningsbestämmelse om vilken myndighet som i Sverige är behörig myndighet enligt DORA-förordningen. Övervägandena finns i avsnitt 5.2.

Enligt DORA-förordningen är behörig myndighet den myndighet som har utsetts till behörig myndighet i enlighet med vissa särskilt angivna EUrättsakter. I Sverige är det enligt de angivna EU-rättsakterna Finansinspektionen som är behörig myndighet, förutom i de fall där Europeiska värdepappers- och marknadsmyndigheten (Esma) är behörig myndighet (se t.ex. artikel 46 n om kreditvärderingsinstitut och artikel 46 q om värdepapperiseringsregister).

Avgifter till Finansinspektionen

3 § För att bekosta Finansinspektionens verksamhet enligt EU-förordningen och denna lag ska de finansiella entiteter som står under inspektionens tillsyn betala årliga avgifter.

Regeringen får meddela föreskrifter om avgifterna.

Paragrafen innehåller bestämmelser om avgifter för finansiering av Finansinspektionens verksamhet. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 16.1.

Finansinspektionen får, med stöd av första stycket, ta ut årliga avgifter av finansiella entiteter under tillsyn och som är finansiella entiteter enligt DORA-förordningen (se artikel 2.1).

I andra stycket finns ett bemyndigande för regeringen att meddela föreskrifter om avgifterna.

Bestämmelser om avgifter för finansiering av Riksbankens verksamhet som rör hotbildsstyrda penetrationstester finns i 2 kap. 6 §.

Information om allvarliga IKT-relaterade incidenter

4 § Finansinspektionen ska i enlighet med artikel 19.6 i EU-förordningen informera Riksbanken om allvarliga IKT-relaterade incidenter hos en finansiell entitet.

Paragrafen innehåller en bestämmelse om en skyldighet för Finansinspektionen att informera om allvarliga IKT-relaterade incidenter. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 18.

En finansiell entitet, t.ex. ett kreditinstitut, ska enligt DORA-förordningen rapportera om allvarliga IKT-relaterade incidenter till den relevanta behöriga myndigheten. I Sverige ska sådana rapporter lämnas till Finansinspektionen (se 2 §). För vad som avses med en finansiell entitet, se artikel 2.1 a–t och 2.2 i DORA-förordningen. Enligt förordningen ska Finansinspektionen skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till bl.a. EBA, Esma eller Eiopa och andra relevanta offentliga myndigheter enligt nationell rätt (artikel 19.6). Genom bestämmelsen tydliggörs att med andra relevanta offentliga myndigheter enligt nationell rätt avses i vart fall Riksbanken.

När det gäller hanteringen är det upp till den finansiella entiteten att säkerställa att en rapport inte innehåller säkerhetsskyddsklassificerade uppgifter. Finansinspektionen har dock att informera om vilka tekniska förutsättningar som gäller för rapporteringen, t.ex. om rapporteringen ska ske i ett system som är anpassat till att hantera säkerhetsskyddsklassificerade uppgifter. Hos Finansinspektionen gäller bestämmelserna i offentlighets- och sekretesslagen (2009:400).

2 kap. Hotbildsstyrda penetrationstester

Finansinspektionen

1 § Finansinspektionen ska besluta om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester enligt artikel 26 i EU-förordningen. Finansinspektionen ska också besluta om hur ofta en finansiell entitet ska genomföra sådana tester.

Paragrafen anger de uppgifter som Finansinspektionen ska utföra som rör hotbildsstyrda penetrationstester. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 7.1.

Enligt DORA-förordningen ska det genomföras hotbildsstyrda penetrationstester. Finansinspektionen ska besluta om vilka finansiella entiteter som ska genomföra dessa tester (jfr artikel 26.10). För vad som avses med en finansiell entitet, se artikel 2.1 a–t och 2.2 i DORA-förordningen. Det kan t.ex. vara ett kreditinstitut eller ett försäkringsföretag. Med hotbildsstyrda penetrationstester avses en ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt och underrättelsestyrt test av de kritiska produktionssystem som är i drift hos den finansiella entiteten (artikel 3.17). Kriterierna för att identifiera vilka finansiella entiteter som ska genomföra dessa tester finns i artikel 26.8 tredje stycket och i Europeiska kommissionens (nedan kommissionen) tekniska standarder för tillsyn (artikel 26.11).

Finansinspektionen ska också besluta om hur ofta en finansiell entitet ska genomföra hotbildsstyrda penetrationstester. Utgångspunkten är att ett test ska genomföras minst vart tredje år. Baserat på den finansiella entitetens riskprofil och med beaktande av de operativa omständigheterna får Finansinspektionen bestämma att entiteten ska genomföra tester antingen oftare eller mer sällan (jfr artikel 26.1).

För överklagande av Finansinspektionens beslut, se 5 kap. 1 § och författningskommentaren till den paragrafen. Finansinspektionen får bestämma att ett beslut om hotbildsstyrda penetrationstester ska gälla omedelbart (se 5 kap. 3 §).

I 2 § anges uppgifter som rör de hotbildsstyrda penetrationstesterna som ska utföras av Riksbanken.

Riksbanken

2 § Riksbanken ska övervaka och samordna de hotbildsstyrda penetrationstester som ska genomföras enligt artiklarna 26 och 27 i EU-förordningen.

Riksbanken ska utfärda sådana intyg som avses i artikel 26.7 i EU-förordningen.

Paragrafen anger de uppgifter som Riksbanken ska utföra när det gäller hotbildsstyrda penetrationstester. Paragrafen införs till följd av artikel 26.10 i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 7.1.

Enligt DORA-förordningen ska det genomföras hotbildsstyrda penetrationstester. Riksbanken ska enligt första stycket övervaka och samordna dessa tester och inom ramen för detta fatta de beslut som krävs (jfr artikel 26.10). Det är de finansiella entiteterna som ska genomföra själva testerna (se artikel 26.1). Riksbankens roll blir därmed mer övergripande. I detta ingår bl.a. att validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och att säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs

i förordningen (artikel 27). Med att övervaka och samordna avses även att säkerställa att den finansiella entiteten tillämpar den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen. De krav som ska gälla för testmetod och tillvägagångssätt utvecklas i kommissionens tekniska standarder för tillsyn (artikel 26.11).

I andra stycket anges att Riksbanken ska utfärda intyg om att ett test har utförts i enlighet med kraven i DORA-förordningen (jfr artikel 26.7). Ett intyg ska bekräfta att ett hotbildsstyrt penetrationstest har genomförts i enlighet med kraven i förordningen och de krav som Riksbanken beslutat för det enskilda testet. Dessa krav ska framgå av intyget. Ett intyg ska möjliggöra ett ömsesidigt erkännande av hotbildsstyrda penetrationstester mellan behöriga myndigheter.

För överklagande av Riksbankens beslut, se 5 kap. 2 § och författningskommentaren till den paragrafen.

I 1 § anges uppgifter som rör de hotbildsstyrda penetrationstesterna som ska utföras av Finansinspektionen.

Samverkan

3 § Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finansinspektionen fattar beslut enligt 1 §.

Riksbanken ska ge Finansinspektionen tillfälle att yttra sig innan Riksbanken fattar beslut om hotbildsstyrda penetrationstester som berör Finansinspektionens tillsynsverksamhet. Detta gäller inte om en samverkan skulle leda till att ett test onödigt fördröjs. I ett sådant fall ska Riksbanken underrätta Finansinspektionen om beslutet.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Paragrafen innehåller bestämmelser om samverkan mellan Finansinspektionen och Riksbanken. Paragrafen är utformad efter förebild av 3 kap. 11 § lagen (2022:1568) om Sveriges riksbank. Övervägandena finns i avsnitt 7.2.

Finansinspektionen ska enligt första stycket ge Riksbanken tillfälle att yttra sig inför ett beslut enligt 1 § om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och med vilken frekvens som detta ska ske.

Riksbanken ska enligt andra stycket ge Finansinspektionen tillfälle att yttra sig inför ett beslut om hotbildsstyrda penetrationstester som berör inspektionens tillsynsverksamhet. Det kan t.ex. röra ett beslut om vilka funktioner hos den finansiella entiteten som ett test ska omfatta och att godkänna att den finansiella entiteten använder en intern testare. På motsvarande sätt som för Finansinspektionen, knyts skyldigheten att samverka till de uppgifter som Riksbanken ska utföra när det gäller hotbildsstyrda penetrationstester enligt DORA-förordningen (se 2 § och författningskommentaren till den paragrafen för vilka uppgifter det rör sig om). Skyldigheten gäller dock inte om en samverkan skulle leda till att ett test onödigt fördröjs, vilket i första hand gäller för beslut som fattas under ett pågående test. I ett sådant fall är det tillräckligt att Finansinspektionen underrättas om beslutet.

I tredje stycket finns en bestämmelse om utbyte av uppgifter. Finansinspektionen och Riksbanken ska till varandra lämna de uppgifter som

myndigheterna behöver för att kunna samverka. Bestämmelsen är sekretessbrytande och möjliggör att myndigheterna inom den samverkan som ska ske enligt första och andra styckena kan dela uppgifter utan hinder av sekretess (10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). Bestämmelsen utesluter inte samverkan inom andra områden. Ett utbyte av uppgifter får då prövas mot de generella sekretessbrytande bestämmelserna i offentlighets- och sekretesslagen, t.ex. som ett nödvändigt utlämnande med stöd av 10 kap. 2 § eller enligt generalklausulen i 10 kap. 27 §.

Uppgiftsskyldighet

4 § På begäran av Riksbanken ska finansiella entiteter lämna de uppgifter som är nödvändiga för Riksbankens verksamhet enligt 2

§

.

Paragrafen innehåller bestämmelser om uppgiftsskyldighet för finansiella entiteter. Paragrafen är utformad efter förebild av 12 kap. 1 § lagen om Sveriges riksbank. Övervägandena finns i avsnitt 7.3.

Finansiella entiteter är skyldiga att lämna vissa uppgifter till Riksbanken. Skyldigheten gäller efter begäran av Riksbanken och bara för uppgifter som är nödvändiga för Riksbankens verksamhet avseende hotbildsstyrda penetrationstester enligt DORA-förordningen, dvs. Riksbankens uppgifter enligt 2 §.

Ett hotbildsstyrt penetrationstest kan, förutom den finansiella entiteten, också omfatta en tredjepartsleverantör av IKT-tjänster. Med tredjepartsleverantör av IKT-tjänster avses ett företag som tillhandahåller IKTtjänster (artikel 3.19). För definitionen av IKT-tjänster, se artikel 3.21 samt skäl 1 i DORA-förordningen. En finansiell entitet som genomför ett hotbildsstyrt penetrationstest ska enligt DORA-förordningen ha det fulla ansvaret för att säkerställa att tredjepartsleverantörer av IKT-tjänster som omfattas av testet efterlever förordningens krav (artikel 26.3). Om en tredjepartsleverantör av IKT-tjänster omfattas av ett hotbildsstyrt penetrationstest gäller uppgiftsskyldigheten även de uppgifter som entiteten har tillgång till genom avtalet med tredjepartsleverantören.

Förelägganden

5 § Riksbanken får besluta om de förelägganden som behövs för att en finansiell entitet ska följa uppgiftsskyldigheten i 4 §.

Paragrafen innehåller bestämmelser om förelägganden mot en finansiell entitet. Paragrafen är utformad efter förebild av 12 kap. 2 § lagen om Sveriges riksbank. Övervägandena finns i avsnitt 7.3.

I paragrafen finns en bestämmelse om förelägganden kopplade till uppgiftsskyldigheten för finansiella entiteter. Med stöd av 4 § får Riksbanken begära att en finansiell entitet ska lämna de uppgifter som behövs för myndighetens verksamhet som rör hotbildsstyrda penetrationstester. Om en finansiell entitet inte följer en sådan begäran har Riksbanken möjlighet att besluta om ett föreläggande om att lämna uppgifter. Ett beslut om föreläggande att lämna uppgifter får förenas med vite (se 5 kap. 4 § och författningskommentaren till den paragrafen).

För Finansinspektionens tillsynsverksamhet finns det bestämmelser om förelägganden om att lämna uppgifter i 3 kap. 2 §.

Avgifter till Riksbanken

6 § Riksbanken får ta ut avgifter från de finansiella entiteter som genomför hotbildsstyrda penetrationstester.

Riksbanken får meddela föreskrifter om avgifterna.

Paragrafen innehåller bestämmelser om avgifter för finansiering av Riksbankens verksamhet som rör hotbildsstyrda penetrationstester. Paragrafen är utformad efter förebild av 1 kap. 12 § andra stycket och 13 kap. 1 § 1 lagen om Sveriges riksbank. Övervägandena finns i avsnitt 16.2.

Riksbanken får, med stöd av första stycket, ta ut avgifter för den del av myndighetens verksamhet som rör de hotbildsstyrda penetrationstesterna, dvs. de uppgifter som Riksbanken ska ansvara för enligt 2 §. För vilka uppgifter det rör sig om, se författningskommentaren till den paragrafen.

I andra stycket finns ett bemyndigande för Riksbanken att meddela föreskrifter om avgifter. Med stöd av bemyndigandet får Riksbanken meddela föreskrifter om avgifter för att bekosta dess verksamhet för de hotbildsstyrda penetrationstesterna som myndigheten ska ansvara för.

Bestämmelser om avgifter för finansiering av Finansinspektionens verksamhet finns i 1 kap. 3 §.

3 kap. Tillsyn

Tillsynens omfattning

1 § Finansinspektionen har tillsyn över att finansiella entiteter följer bestämmelserna i EU-förordningen, denna lag och andra författningar som har meddelats i anslutning till dessa.

Paragrafen innehåller en bestämmelse om Finansinspektionens tillsyn och vad den omfattar. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 9.1.

I enlighet med artikel 46 i DORA-förordningen gäller att Finansinspektionen ska ha tillsyn över finansiella entiteter som omfattas av en nationell behörig myndighets tillsyn. Denna tillsyn ska omfatta att entiteterna följer bestämmelserna i förordningen, t.ex. om hantering av IKT-risker i artiklarna 5–14. Tillsynen ska också omfatta att entiteterna följer bestämmelserna i denna lag, t.ex. skyldigheten att lämna uppgifter enligt 2 §, och andra författningar som har meddelats i anslutning till dessa. Med andra författningar avses dels tekniska standarder för tillsyn som kommissionen beslutat med stöd av bemyndigande i DORA-förordningen, dels föreskrifter som regeringen eller den myndighet som regeringen bestämmer har meddelat.

I artikel 46 i DORA-förordningen anges att de behöriga myndigheterna ska ha de befogenheter och uppgifter som de tilldelats i respektive rättsakt. I lagen införs samtidigt bestämmelser med utredningsbefogenheter för Finansinspektionen. En konsekvens av detta är att det uppstår en viss dubbelreglering. Det handlar framför allt om möjligheterna att inhämta uppgifter, hålla förhör och genomföra platsundersökningar. Finansinspektionen har då möjlighet att välja vilken bestämmelse som den ska lägga till grund för sin åtgärd, antingen en bestämmelse i denna lag eller i den lag

som särskilt reglerar den verksamhet som bedrivs av den finansiella entiteten, t.ex. försäkringsrörelselagen (2010:2043).

Föreläggande om att lämna uppgifter

2 § För tillsynen enligt 1 § får Finansinspektionen besluta att förelägga

1. en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat, och

2. den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör på tid och plats som inspektionen bestämmer.

Första stycket gäller inte i den utsträckning uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater.

Paragrafen innehåller bestämmelser om Finansinspektionens befogenhet att begära in uppgifter och kalla till förhör. Paragrafen införs till följd av artikel 50.2 i DORA-förordningen och är utformad efter förebild av bl.a. 23 kap. 3 § lagen (2007:528) om värdepappersmarknaden och 2 kap. 2 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering. Övervägandena finns i avsnitt 9.2.

Enligt första stycket 1 får Finansinspektionen förelägga både en fysisk och juridisk person att bl.a. ge in handlingar. Med handling avses framställning i skrift eller bild och upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med tekniska hjälpmedel (jfr 2 kap. 3 § första stycket tryckfrihetsförordningen).

Skyldigheten enligt första stycket 2 att inställa sig till förhör innebär inte någon skyldighet att yttra sig vid förhöret (se t.ex. prop. 2016/17:22 s. 142).

I andra stycket tydliggörs att ett föreläggande inte får beslutas om uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater (8 kap. 4 § rättegångsbalken). Att ett föreläggande inte heller får beslutas om uppgiftslämnandet skulle strida mot t.ex. anonymitetsskyddet och efterforskningsförbudet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen följer redan av principen att grundlag har företräde framför vanlig lag. Med begreppet ”uppgiftslämnande” avses samtliga uppgifter som Finansinspektionen får begära att någon lämnar, dvs. såväl uppgifter som handlingar och annat.

Ett föreläggande enligt första stycket får förenas med vite (se 5 kap. 4 § och författningskommentaren till den paragrafen). Om ett föreläggande ändå inte följs har Finansinspektionen möjlighet att ingripa mot den finansiella entiteten (se 4 kap. 1 och 2 §§).

När det gäller Riksbankens verksamhet som rör hotbildsstyrda penetrationstester finns det bestämmelser om uppgiftsskyldighet och förelägganden i 2 kap. 4 och 5 §§.

Platsundersökning

3 § Finansinspektionen får när det är nödvändigt för tillsynen enligt 1 § genomföra en undersökning i verksamhetslokalerna hos en finansiell entitet.

Paragrafen reglerar platsundersökningar i verksamhetslokaler hos finansiella entiteter. Paragrafen införs till följd av artikel 50.2 i DORA-förordningen och är utformad efter förebild av bl.a. 2 kap. 3 § lagen med

kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering. Övervägandena finns i avsnitt 9.3.

Finansinspektionen får, när det är nödvändigt för tillsynen, genomföra en undersökning i en finansiell entitets verksamhetslokaler. Undersökningen kan endast avse den fysiska eller juridiska person som utreds och får bara genomföras i den personens verksamhetslokaler. Finansinspektionen får således inte genomföra en undersökning hos uppdragstagare till den finansiella entiteten, t.ex. hos en tredjepartsleverantör av IKT-tjänster. Undersökningen är begränsad till det som omfattas av Finansinspektionens tillsyn (se 1 § och författningskommentaren till den paragrafen). Som regel torde det främst vara fråga om att ta del av handlingar och studera rutiner på plats (se prop. 2006/07:115 s. 630). Med verksamhetslokal avses utrymmen som huvudsakligen används i verksamhet som medför eller kan antas medföra bokföringsskyldighet enligt bokföringslagen (1999:1078) eller som bedrivs av en annan juridisk person än ett dödsbo (jfr 3 kap. 18 § skatteförfarandelagen [2011:1244]). Att en undersökning endast får genomföras i verksamhetslokaler innebär att en lokal som enbart används som privatbostad inte får undersökas (se samma prop. samma s., jfr även prop. 2004/05:142 s. 118119). Om verksamhet bedrivs i en privatbostad kan emellertid en undersökning genomföras där under vissa förutsättningar. För att en bostad ska kunna anses vara en verksamhetslokal krävs det att bostaden är den plats från vilken verksamheten i fråga huvudsakligen bedrivs. Att så är fallet kan t.ex. framgå genom att verksamheten är registrerad på samma adress som privatbostaden.

Finansinspektionen har inte någon möjlighet att tillgripa tvångsmedel om den person som är föremål för undersökningen inte medverkar till att undersökningen genomförs. En sådan vägran kan dock ligga till grund för ett ingripande mot den finansiella entiteten (se 4 kap. 1 och 2 §§).

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1 § Finansinspektionen ska ingripa mot följande finansiella entiteter om de åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa:

1. Svenska skeppshypotekskassan,

2. en leverantör av kryptotillgångstjänster,

3. en emittent av tillgångsanknutna token,

4. en pensionsstiftelse,

5. en administratör av kritiska referensvärden,

6. en leverantör av gräsrotsfinansieringstjänster, och

7. ett transaktionsregister.

Paragrafen reglerar ingripanden mot finansiella entiteter och införs till följd av artikel 50.4 i DORA-förordningen. Hänvisningen till DORAförordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 5.1 och 10.2.2.

Finansinspektionen ska ingripa mot en finansiell entitet som åsidosätter sina skyldigheter enligt DORA-förordningen, denna lag eller andra

författningar som har meddelats i anslutning till dessa. Ett ingripande kan t.ex. ske om en finansiell entitet inte uppfyller kraven på hantering av IKTrisker (se artiklarna 5–14 i DORA-förordningen). Med andra författningar avses dels bestämmelser som kommissionen meddelat med stöd av bemyndigande i DORA-förordningen, dels bestämmelser som regeringen eller den myndighet som regeringen bestämmer har meddelat. Paragrafen gäller bara för ingripanden mot de finansiella entiteter som särskilt anges, vilka som huvudregel inte omfattas av en rörelselag. När det gäller andra finansiella entiteter, som omfattas av en rörelselag, har Finansinspektionen möjlighet att ingripa med stöd av bestämmelserna i den lagen (se t.ex. 15 kap. 1 § första stycket lagen [2004:297] om bank- och finansieringsrörelse för ingripanden mot kreditinstitut; se även 2 § och författningskommentaren till den paragrafen).

2 § Bestämmelser om ingripanden mot andra finansiella entiteter än de som anges i 1 § och som åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa finns i de lagar som reglerar den berörda verksamheten.

Paragrafen innehåller en upplysning om att det finns bestämmelser om ingripanden mot finansiella entiteter i andra lagar. Den införs till följd av artikel 50.4 i DORA-förordningen. Paragrafen är utformad efter förebild av bl.a. 3 kap. 1 § lagen (2019:1215) med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Hänvisningen till DORAförordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 10.2.1.

Enligt artikel 46 i DORA-förordningen är det de behöriga myndigheter som har utsetts i medlemsstaterna enligt de i artikeln uppräknade EU-rättsakterna som ska utöva tillsynen över att finansiella entiteter uppfyller kraven i förordningen. I Sverige är det i samtliga dessa fall Finansinspektionen som är behörig myndighet (se 1 kap. 2 § och författningskommentaren till den paragrafen). I artikel 46 i förordningen anges också att de behöriga myndigheterna ska utöva sin tillsyn i enlighet med de befogenheter som dessa myndigheter har beviljats genom de uppräknade EU-rättsakterna. När de rättsakterna har genomförts i svensk rätt har det med vissa undantag gjorts i de rörelselagar som reglerar de aktuella verksamheterna. För kreditinstitut finns sådana bestämmelser i lagen (2004:297) om bank- och finansieringsrörelse (15 kap. 1 §), för betalningsinstitut och leverantörer av kontoinformationstjänster i lagen (2010:751) om betaltjänster (8 kap. 8 och 23 §§), för institut för elektroniska pengar och registrerade utgivare i lagen (2011:755) om elektroniska pengar (5 kap. 8 och 23 §§), för värdepappersföretag i lagen om värdepappersmarknaden (25 kap. 1 §), för värdepapperscentraler i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument (9 kap. 11 §), för centrala motparter i lagen om värdepappersmarknaden (1 kap. 1 a § första stycket och 25 kap. 1 §), för handelsplatser och leverantörer av datarapporteringstjänster i lagen om värdepappersmarknaden (25 kap. 1 §), för förvaltare av alternativa investeringsfonder (AIF-förvaltare) i lagen (2013:561) om förvaltare av alternativa investeringsfonder (14 kap. 1 §), för förvaltningsbolag i lagen (2004:46)

om värdepappersfonder (10 kap. 1 §), för försäkringsföretag och återförsäkringsbolag i försäkringsrörelselagen (18 kap. 1 §) och för tjänstepensionsinstitut i lagen (2019:742) om tjänstepensionsföretag (15 kap. 1 §).

3 § Ett ingripande enligt 1 § mot Svenska skeppshypotekskassan sker genom beslut om föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande.

Paragrafen reglerar hur Finansinspektionen får ingripa mot Svenska skeppshypotekskassan. Den införs till följd av artikel 50.4 i DORAförordningen. Övervägandena finns i avsnitt 10.2.2.

Ett ingripande mot Svenska skeppshypotekskassan ska ske genom ett föreläggande om att den ska vidta åtgärder för att rätta till något. Detta kan avse att kassan ska upphöra med ett visst agerande. Ett föreläggande kan också avse att kassan ska vidta en positiv åtgärd. Ett ingripande får bara ske om Svenska skeppshypotekskassan inte uppfyller kraven i DORAförordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa (se 1 §). Ett föreläggande kan förenas med vite enligt 5 kap. 4 §. Det är däremot inte möjligt att förena ett föreläggande med en sanktionsavgift (jfr 7 §).

I 4 och 5 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

4 § Ett ingripande enligt 1 § mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister sker genom beslut om

1. föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2. anmärkning.

Paragrafen innehåller bestämmelser om hur Finansinspektionen får ingripa mot de uppräknade finansiella entiteterna. Den införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a. 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Övervägandena finns i avsnitt 10.2.2.

Ett ingripande mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister ska ske genom ett föreläggande, punkt 1, eller en anmärkning, punkt 2. Ett ingripande får bara ske om den finansiella entiteten inte uppfyller kraven i DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Vid valet av ingripandeåtgärd bör den åtgärd väljas som bedöms vara mest verkningsfull i det enskilda fallet. De olika åtgärderna bör inte användas vid en och samma överträdelse.

Ett föreläggande kan bara användas när den finansiella entiteten ska vidta en åtgärd för att komma till rätta med något. Detta kan avse dels att upphöra med ett agerande, dels att vidta en positiv åtgärd. Om det inte finns något att åtgärda, men överträdelsen likväl är sådan att den bör medföra en sanktion, kan i stället Finansinspektionen ingripa genom en anmärkning.

Ett föreläggande kan förenas med vite enligt 5 kap. 4 §, men inte med en sanktionsavgift (jfr 7 §). För en anmärkning gäller det motsatta (se

samma paragrafer). I de fall en administrativ åtgärd eller sanktion ska påföras en juridisk person saknar det betydelse om verksamheten har överlåtits till någon annan efter det att den aktuella överträdelsen ägde rum (se prop. 2003/04:121 s. 158159). I 18 och 19 §§ anges omständigheter som ska beaktas vid valet av ingripande.

I 3 och 5 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

5 § Ett ingripande enligt 1 § mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster sker genom beslut om

1. föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2. anmärkning. Om överträdelsen är allvarlig får den finansiella entitetens auktorisation återkallas eller, om det är tillräckligt, en varning meddelas.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot vissa finansiella entiteter. Paragrafen införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 1 § andra stycket lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.2.2.

I första stycket anges de ingripandeåtgärder som Finansinspektionen kan använda mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster. Ingripandeåtgärderna bör bara användas vid överträdelser som inte är att anse som allvarliga. För ingripanden vid allvarliga överträdelser, se andra stycket. Ett ingripande får bara ske om den finansiella entiteten inte uppfyller kraven i DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Liksom gäller för ingripanden mot andra finansiella entiteter som inte omfattas av en rörelselag (se 4 §) ska ett ingripande ske genom ett föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, första stycket 1, eller en anmärkning, första stycket 2. För valet av ingripandeåtgärd och hur de förhåller sig till varandra, se författningskommentaren till 4 §. Ett föreläggande kan förenas med vite enligt 5 kap. 4 §, men inte en sanktionsavgift (jfr 7 §). För en anmärkning gäller det motsatta (se samma paragrafer).

Med stöd av andra stycket kan ett ingripande mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster också ske genom en återkallelse av auktorisationen. Ett sådant ingripande får bara ske vid allvarliga överträdelser av DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Bestämmelsen påverkar inte Finansinspektionens möjlighet att ingripa mot en finansiell entitet med stöd av bestämmelser i andra lagar (se t.ex. 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering). Om en finansiell entitet gör sig skyldig till en allvarlig överträdelse, men det utifrån omständigheterna inte bedöms vara nödvändigt att återkalla auktorisationen, kan i stället en varning meddelas. En varning kan förenas med en sanktionsavgift (se 7 §).

I de fall en administrativ åtgärd eller sanktion ska påföras en juridisk person saknar det betydelse om verksamheten har överlåtits till någon annan efter det att den aktuella överträdelsen ägde rum (se prop. 2003/04:121 s. 158159).

I 18 och 19 §§ anges omständigheter som ska beaktas vid valet av ingripande.

I 3 och 4 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

6 § Ett ingripande får inte ske om en överträdelse omfattas av ett föreläggande som har förenats med vite och en ansökan om utdömande av vitet har gjorts.

Paragrafen reglerar frågan om ingripande när Finansinspektionen redan har beslutat om ett föreläggande förenat med vite avseende samma överträdelse. Den är utformad efter förebild av bl.a. 3 kap. 2 § andra stycket lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering. Övervägandena finns i avsnitt 10.2.2.

Paragrafen syftar till att förhindra att någon prövas två gånger för samma sak på ett sätt som kan strida mot dubbelprövningsförbudet (artikel 4 i sjunde tilläggsprotokollet till den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna [Europakonventionen]). Om ett vitesföreläggande har beslutats och föreläggandet inte följs, kan Finansinspektionen välja att ansöka om att vitet ska dömas ut. Det faktum att ett föreläggande har beslutats utgör inte något hinder mot ett ingripande enligt 3–5 §§. Den avgörande tidpunkten för när hindret uppkommer är tidpunkten då en domstolsprocess inleds om utdömande av vitet (se prop. 2016/17:22 s. 227228).

7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har meddelats, får

Finansinspektionen besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

Paragrafen reglerar förutsättningarna för Finansinspektionen att besluta om sanktionsavgift. Den införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a. 3 kap. 3 § lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering. Övervägandena finns i avsnitt 10.2.2.

Bestämmelsen innebär att Finansinspektionen får besluta om en sanktionsavgift bara om beslut om en anmärkning eller varning enligt 4 eller 5 § har meddelats. Det är därmed inte möjligt att förena förelägganden eller beslut om återkallelse av auktorisation med sanktionsavgift. Inte heller får Finansinspektionen vid ett ingripande mot Svenska skeppshypotekskassan enligt 3 § besluta om en sanktionsavgift.

I 14–16 §§ finns bestämmelser om beräkningen av en sanktionsavgift.

8 § Om en auktorisation återkallas enligt 5 §, får Finansinspektionen bestämma hur verksamheten ska avvecklas.

Ett beslut om återkallelse får förenas med förbud att fortsätta med hela eller delar av verksamheten.

Paragrafen innehåller bestämmelser om ytterligare åtgärder vid återkallelse av en auktorisation och är utformad efter förebild av bl.a. 25 kap. 6 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.2.2.

Enligt första stycket får Finansinspektionen i ett beslut om återkallelse av en auktorisation ge anvisningar om hur verksamheten ska avvecklas. Inspektionen kan därmed ta hänsyn till de enskilda förhållandena hos den finansiella entitet som beslutet avser.

Om Finansinspektionen meddelar ett beslut om återkallelse av en auktorisation får inspektionen enligt andra stycket samtidigt meddela förbud för den finansiella entiteten att fortsätta verksamheten. Ett sådant förbud får förenas med vite enligt 5 kap. 4 §.

Ingripanden mot vissa företrädare för finansiella entiteter

9 § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för en finansiell entitet som anges i 1 § 2–7 eller är dess verkställande direktör, eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i EU-förordningen.

Ett ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet som avses i första stycket, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift. Ett ingripande får ske bara om den finansiella entitetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen innehåller bestämmelser om ingripanden mot företrädare för vissa finansiella entiteter. Den införs till följd av artikel 50.5 i DORAförordningen och är utformad efter förebild av bl.a. 9 kap. 7 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

I första stycket anges de grundläggande förutsättningarna för att Finansinspektionen ska få ingripa mot en företrädare för en finansiell entitet. Finansinspektionen får bara ingripa vid en överträdelse av de bestämmelser i DORA-förordningen som särskilt anges. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Även personkretsen är begränsad till de företrädare som särskilt anges. Ett ingripande med stöd av bestämmelsen kan t.ex. ske mot en verkställande direktör i en leverantör av kryptotillgångstjänster om leverantören inte har infört en IKT-kontinuitetspolicy i enlighet med artikel 11.1 i DORAförordningen. En ersättare kan bli föremål för ingripande om den inträtt i den ordinarie företrädarens ställe (se prop. 2016/17:173 s. 641). För ingripanden mot företrädare för andra finansiella entiteter än de som anges i 1 § 2–9 gäller bestämmelserna i entitetens rörelselagstiftning (se 2 § och författningskommentaren till den paragrafen).

I andra stycket anges hur Finansinspektionen får ingripa mot en företrädare för en finansiell entitet. Åtgärderna är inte alternativa utan en kombination av dem kan komma i fråga beroende på omständigheterna i det enskilda fallet. Finansinspektionen får utifrån förutsättningarna i varje enskilt fall avgöra vilken eller vilka åtgärder som bör komma i fråga. Bestämmelser om sanktionsavgift finns i 14–17 och 20 §§. Finansinspektionen har bara möjlighet att besluta om att en person inte får företräda en sådan finansiell entitet som anges i 1 § 2–7, t.ex. en pensionsstiftelse. Ett ingripande enligt bestämmelsen bör dock ha betydelse för den s.k. ledningsprövningen hos en finansiell entitet, dvs. prövningen av om en person är lämplig att vara t.ex. styrelseledamot i entiteten (se t.ex. 9 kap. 3 § lagen [2019:742] om tjänstepensionsföretag) Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 18, 19 och 21 §§.

I tredje stycket anges särskilda förutsättningar för ett ingripande mot en företrädare för en finansiell entitet. Ett ingripande får bara ske om omständigheterna i såväl första som andra stycket är uppfyllda. Först och främst krävs att det rör sig om en allvarlig överträdelse av DORAförordningen. Om en överträdelse är allvarlig eller inte ska bedömas utifrån omständigheterna i det enskilda fallet. Som utgångspunkt är det mer befogat med ett ingripande mot företrädare för finansiella entiteter vid sådana regelöverträdelser som kan medföra allvarliga konsekvenser för stabiliteten hos entiteten eller i det finansiella systemet som helhet. Detsamma gäller vid överträdelser som kan hota andra viktiga samhällsintressen, t.ex. bekämpningen av penningtvätt eller annan brottslighet. I regel bör det vara en allvarlig överträdelse om skyddet för enskilda konsumenter har äventyrats på ett särskilt påtagligt sätt. Det bör inte krävas att ett sanktionsbeslut har meddelats mot den finansiella entiteten för att en sanktion mot en fysisk person ska kunna komma i fråga utan detta ska vara en självständig bedömning. Således är det möjligt att ingripa mot en företrädare även om den finansiella entiteten inte längre bedriver någon verksamhet, t.ex. om auktorisationen återkallats innan överträdelsen upptäckts (jfr prop. 2014/15:57 s. 41). För ett ingripande krävs även att företrädaren, dvs. den fysiska personen, har agerat på ett sätt som kan läggas denne till last. Det krävs således att personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. En grov oaktsamhet kan t.ex. vara att företrädaren medvetet har tagit en risk när det gäller riktigheten hos vissa uppgifter som lämnas till Finansinspektionen. Det kan även vara fråga om ett sådant medvetet risktagande om styrelsen eller den verkställande direktören har underlåtit att se till att det finns en ändamålsenlig organisation på plats för rapportering eller informationslämnande, eller underlåtit att regelbundet följa upp hur organisationen fungerar. I många fall kan de finansiella entiteternas rapporteringsskyldigheter vara tekniskt komplicerade och regleringen vara otydlig, vilket lämnar utrymme för tolkning. För att ett agerande ska anses grovt oaktsamt bör det i sådana fall krävas att företrädaren har fått tydliga indikationer på att det föreligger brister, exempelvis genom Finansinspektionens påpekande eller en sanktion, och trots det har underlåtit att vidta åtgärder. Som utgångspunkt bör det anses som grovt oaktsamt att underlåta att sätta sig in i innebörden av de regler om styrning och intern kontroll som har väsentlig betydelse för den finansiella entitetens verksamhet (jfr samma prop. s. 42–43).

I 10 § finns bestämmelser om hur ett ingripande mot företrädare för finansiella entiteter ska beslutas, genom s.k. sanktionsföreläggande (se författningskommentaren till den paragrafen).

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av Finansinspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

Paragrafen reglerar, tillsammans med 11–13 §§, förfarandet för beslut om sanktioner mot en företrädare för en finansiell entitet. Den är utformad efter förebild av bl.a. 9 kap. 8 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPPprodukt). Övervägandena finns i avsnitt 10.3.

Enligt första stycket ska ingripanden mot en företrädare för en finansiell entitet tas upp av Finansinspektionen genom ett sanktionsföreläggande.

I andra stycket anges att ett sanktionsföreläggande innebär att den som bedöms vara ansvarig för en överträdelse föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp. Tidsfristen bör vara så lång att personen i fråga får skäligt rådrum att ta ställning till Finansinspektionens påståenden.

Enligt tredje stycket gäller ett godkänt sanktionsföreläggande som ett domstolsavgörande som fått laga kraft. Ett godkänt sanktionsföreläggande som avser sanktionsavgift kan därmed verkställas enligt utsökningsbalkens bestämmelser (se 3 kap. 1 § första stycket 3 utsökningsbalken). Ett godkännande som görs efter den tid som angetts i sanktionsföreläggandet är utan verkan. I ett sådant fall, eller när företrädaren inte godkänner föreläggandet överhuvudtaget, krävs en domstolsprövning (se 12 § och författningskommentaren till den paragrafen).

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1. den fysiska person som föreläggandet avser,

2. överträdelsen och de omständigheter som behövs för att känneteckna den,

3. de bestämmelser som är tillämpliga på överträdelsen, och

4. den sanktion som föreläggs personen. Sanktionsföreläggandet ska också innehålla en upplysning om att ansökan om sanktion kan komma att ges in till domstol, om sanktionsföreläggandet inte godkänns inom den tid som Finansinspektionen anger.

Paragrafen anger vad ett sanktionsföreläggande ska innehålla. Den är utformad efter förebild av bl.a. 9 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

I första stycket finns en uppräkning av vilka uppgifter som ett sanktionsföreläggande ska innehålla. Dessa uppgifter är nödvändiga för att identifiera och särskilja en enskild överträdelse (jfr 48 kap. 6 § rättegångsbalken och vad som gäller för ett strafföreläggande). Med de omständig-

heter som behövs för att känneteckna överträdelsen avses en beskrivning av vad som läggs den berörda fysiska personen till last. Genom Finansinspektionens uppgifter ska mottagaren enkelt kunna förstå vad inspektionen hävdar att han eller hon har gjort sig skyldig till och därigenom kunna bedöma hur det ska bemötas. Av sanktionsföreläggandet bör det framgå under vilken tid och på vilken plats som överträdelsen har ägt rum samt vilken juridisk person som har begått den. Dessutom bör det framgå varför Finansinspektionen anser att den juridiska personens överträdelse är allvarlig och på vilka grunder inspektionen bedömer att den fysiska personen i fråga har orsakat överträdelsen uppsåtligen eller av grov oaktsamhet (se 9 § tredje stycket).

Ett sanktionsföreläggande ska enligt andra stycket även innehålla en upplysning om vad som gäller för det fall föreläggandet inte godkänns inom den tid som anges (se även 12 § och författningskommentaren till den paragrafen).

12 § Om ett sanktionsföreläggande inte har godkänts inom angiven tid, får Finansinspektionen ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen anger vad som gäller om ett sanktionsföreläggande inte godkänns inom den tid som anges i föreläggandet. Den är utformad efter förebild av bl.a. 9 kap. 10 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPPprodukt). Övervägandena finns i avsnitt 10.3.

Finansinspektionen ska alltid ange inom vilken tid ett sanktionsföreläggande senast ska godkännas (se 10 § tredje stycket och 11 § andra stycket). Om ett föreläggande inte godkänns inom den tiden får Finansinspektionen enligt första stycket ansöka om att en sanktion ska beslutas av domstol. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse, dvs. Förvaltningsrätten i Stockholm. Huvudregeln bör vara att Finansinspektionen ska ansöka om sanktion om ett sanktionsföreläggande inte godkänns inom den tid som angetts. Finansinspektionen är dock inte bunden av den sanktion som angetts i ett föreläggande som inte har godkänts. Finansinspektionen bör därför innan ansökan sker göra en bedömning av om förutsättningarna för en sanktion fortfarande föreligger och om en lindrigare form av ingripande bör komma i fråga. Inspektionen kan utifrån bedömningen antingen helt avstå från att ge in en ansökan till domstol eller utfärda ett nytt sanktionsföreläggande med en lindrigare sanktion. Utgångspunkten bör dock vara att inspektionen vid tiden för föreläggandet har gjort en noggrann bedömning av vad som är en rimlig sanktion i det aktuella fallet. Den bedömningen bör normalt inte ändras för att föreläggandet inte godkänns och den sanktion som Finansinspektionen ansöker om bör i de allra flesta fallen vara densamma som angetts i föreläggandet (se prop. 2014/15:57 s. 60).

I andra stycket anges att det krävs prövningstillstånd vid överklagande av förvaltningsrättens beslut. Ett överklagande görs till kammarrätten.

13 § Ett sanktionsföreläggande är utan verkan, om föreläggandet inte har delgetts den som det riktas mot inom två år från den tidpunkt då överträdelsen ägde rum. I ett sådant fall får inte heller någon sanktion enligt 12 § första stycket beslutas.

I paragrafen finns en preskriptionsbestämmelse för sanktioner mot företrädare för finansiella entiteter. Den är utformad efter förebild av bl.a. 9 kap. 11 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

För en sanktion mot en företrädare för en finansiell entitet gäller en preskriptionstid om två år. Tiden ska räknas från tidpunkten för överträdelsen till tidpunkten för delgivning av sanktionsföreläggandet (jfr prop. 2014/15:57 s. 64). För delgivningen gäller bestämmelserna i delgivningslagen (2010:1932). Delgivning får inte ske på ett sätt som är olämpligt med hänsyn till omständigheterna i delgivningsärendet (se 4 § andra stycket den lagen). Vid delgivning av ett sanktionsföreläggande får det i normala fall anses vara olämpligt att använda kungörelsedelgivning och andra delgivningsformer enligt 3 § andra stycket, 3438 och 4751 §§delgivningslagen (jfr t.ex. prop. 2015/16:162 s. 222).

Preskriptionen gäller för förfarandet hos såväl Finansinspektionen som domstol (prop. 2022/23:124 s. 52). Ett sanktionsföreläggande är därmed utan verkan om det inte har delgetts företrädaren inom två år från det att överträdelsen ägde rum. Inte heller får en domstol, efter en ansökan från Finansinspektionen, besluta om en sanktion i ett sådant fall.

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 1 § och som är en juridisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2. tio procent av den finansiella entitetens omsättning närmast föregående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3. tre gånger den vinst som den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än 5 000 kronor. Om en överträdelse har skett under den juridiska personens första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga, får omsättningen uppskattas när den högsta sanktionsavgiften ska beräknas.

Paragrafen innehåller bestämmelser om storleken på en sanktionsavgift för en finansiell entitet som är en juridisk person. Den införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 9 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.4.

I första stycket anges alternativa modeller för att beräkna storleken på den högsta sanktionsavgiften som får tas ut av en finansiell entitet som är en juridisk person. En sanktionsavgift får inte överstiga det högsta av dessa tre belopp.

Beräkningen i punkt 1 ska göras utifrån den 16 januari 2023, dvs. dagen för ikraftträdandet av DORA-förordningen. Vid omräkning mellan euro och svenska kronor kan den s.k. fixingkursen tillämpas (jfr t.ex. prop. 2016/17:162 s. 564). Fixingkursen fastställs av Europeiska centralbanken och räknas om av Riksbanken till en kurs mot svenska kronor. Därefter publiceras kursen på Riksbankens webbplats varje svensk bankdag. Enligt fixingkursen den 16 januari 2023 motsvarade 1 euro 11,2691 svenska kronor.

Beloppet enligt punkt 2 bestäms utifrån den finansiella entitetens omsättning. Omsättningen på koncernnivå bör bestämmas utifrån den senast tillgängliga koncernredovisning som godkänts av ledningsorganet för det yttersta moderföretaget. Posterna för beräkningen av omsättningen på koncernnivå ska således hämtas ur koncernredovisningen för det yttersta moderföretaget. Det kan dock gälla olika redovisningsregler för företag inom en och samma koncern. För försäkringsföretag gäller t.ex. reglerna i lagen (1995:1560) om årsredovisning i försäkringsföretag och för kreditinstitut och värdepappersbolag gäller reglerna i lagen (1995:1559) om årsredovisning i kreditinstitut och värdepappersbolag. För andra företag gäller reglerna i årsredovisningslagen (1995:1554). Om den finansiella entiteten som en sanktion ska riktas mot upprättar sin årsredovisning enligt årsredovisningslagen, är den omsättning som ska ligga till grund för sanktionsavgiften summan av nettoomsättningen och övriga rörelseintäkter. Om sanktionsavgiften ska beräknas på koncernnivå ska motsvarande årsomsättning, dvs. summan av nettoomsättningen och övriga rörelseintäkter, ligga till grund för beräkningen av sanktionsavgiften. För en beskrivning av vilka poster som ska anses utgöra omsättning i ett kreditinstitut eller ett försäkringsföretag, se prop. 2016/17:162 s. 764 och prop. 2022/23:7 s. 245. Med ”motsvarande omsättning” avses det som utgör omsättning enligt de redovisningsregler som gäller för den juridiska personen som sanktionen riktas mot. Det är denna omsättning inom koncernen som ska ligga till grund för beräkningen av den högsta möjliga sanktionsavgiften. Om den finansiella entitet som är föremål för ingripande också är ett försäkringsföretag ska således all omsättning från försäkringsverksamhet inom koncernen anses vara motsvarande omsättning på koncernnivå. Om företaget som en sanktion ska riktas mot i stället upprättar sin årsredovisning enligt årsredovisningslagen, är den omsättning som ska ligga till grund för sanktionsavgiften summan av nettoomsättningen och övriga rörelseintäkter inom koncernen (prop. 2016/17:162 s. 764766).

Beloppet enligt punkt 3 beräknas utifrån den finansiella entitetens vinst. Med den vinst som gjorts avses ett nettobelopp som omfattar de vinster som erhållits och de förluster som undvikits, dvs. den fördel som den finansiella entiteten erhållit. Det innebär att den högsta sanktionsavgiften kan bestämmas utifrån både den vinst som erhållits och den förlust som undvikits (jfr samma prop. s. 640).

I andra stycket anges ett lägsta belopp för en sanktionsavgift. I tredje stycket finns en bestämmelse för beräkningen av den högsta sanktionsavgiften om överträdelsen har skett under det första verksamhetsåret eller om uppgifter om omsättningen annars saknas eller är bristfälliga. I sådana fall får det ske en uppskattning av omsättningen för bestämmandet av den högsta sanktionsavgiften enligt första stycket 2. Det

är endast i de fall det, av de skäl som anges i bestämmelserna, inte går att beräkna avgiftens storlek som en uppskattad omsättning får läggas till grund för sanktionsavgiftens storlek (prop. 2015/16:10 s. 251).

I 20 § finns bestämmelser om vilka omständigheter Finansinspektionen ska beakta när sanktionsavgiftens storlek fastställs.

För andra finansiella entiteter än de som anges i 1 § gäller bestämmelserna för beräkning av högsta sanktionsavgift i entitetens rörelselagstiftning (se 2 § och författningskommentaren till den paragrafen).

15 § Sanktionsavgiften för en leverantör av kryptotillgångstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven i Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

Sanktionsavgiften för en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven enligt artikel 11 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

Paragrafen innehåller särskilda bestämmelser för sanktionsavgifter för leverantörer av kryptotillgångstjänster och leverantörer av gräsrotsfinansieringstjänster. Hänvisningarna till EU-förordningarna är utformade på så sätt att de avser förordningarna i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 10.4.

För såväl leverantörer av kryptotillgångstjänster som leverantörer av gräsrotsfinansieringstjänster finns det bestämmelser om försiktighetskrav (se t.ex. artikel 67 i Mica-förordningen för leverantörer av kryptotillgångstjänster och artikel 11 i EU:s förordning om gräsrotsfinansiering för leverantörer av gräsrotsfinansieringstjänster).

I första stycket begränsas hur stor en sanktionsavgift får vara för en leverantör av kryptotillgångstjänster. En sådan avgift får inte vara så stor att leverantören därefter inte uppfyller kraven i Mica-förordningen, t.ex. försiktighetskravet i artikel 67, eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

I andra stycket begränsas, på motsvarande sätt som i första stycket hur stor en sanktionsavgift får vara för en leverantör av gräsrotsfinansieringstjänster. En sådan avgift får inte vara så stor att leverantören därefter inte uppfyller kraven enligt

artikel 11 i

EU:s förordning om gräsrotsfinansiering

för leverantörer av gräsrotsfinansieringstjänster eller andra bestämmelser om soliditet och likviditet som gäller för leverantören. Med andra bestämmelser om soliditet och likviditet som gäller för leverantören avses t.ex. 8 kap. 3 § lagen om värdepappersmarknaden för det fall leverantören även har tillstånd att bedriva värdepappersrörelse.

Genom bestämmelserna i första och andra styckena förhindras att uttaget av en sanktionsavgift får till följd att en leverantör inte längre uppfyller försiktighetskraven och att dess tillstånd att bedriva verksamhet i och med det måste återkallas. En motsvarande begränsning gäller för leverantörer av gräsrotsfinansieringstjänster enligt lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering (se

3 kap. 10 § tredje stycket andra meningen). Ingenting hindrar emellertid att inspektionens beslut får till följd att leverantörerna måste göra förändringar av sin verksamhet, t.ex. genom att ändra sin riskprofil (jfr prop. 2006/07:115 s. 641).

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro, eller

2. tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Paragrafen innehåller bestämmelser om storleken på en sanktionsavgift för en fysisk person. Den införs till följd av artikel 50.4 och 50.5 i DORAförordningen och är utformad efter förebild av bl.a. 25 kap. 9 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.4.

För fysiska personer finns det två alternativa beräkningsmodeller för den högsta sanktionsavgiften som får tas ut av en sådan person i de fall som avses i 9 §. Liksom gäller för finansiella entiteter som är juridiska personer (14 §) får en sanktionsavgift inte överstiga det högsta av dessa två belopp.

Liksom för finansiella entiteter som är juridiska personer (14 § första stycket 1) är det första beloppet ett fast belopp. Detta belopp uppgår enligt punkt 1 till ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro. I fråga om vilken valutakurs som bör tillämpas vid omräkning mellan euro och svenska kronor, se författningskommentaren till 14 § första stycket 1 och det som där anges för motsvarande belopp för sanktionsavgifter för finansiella entiteter som också är juridiska personer.

Även för sanktionsavgifter för fysiska personer ska ett av beloppen beräknas utifrån den vinst som den fysiska personen har gjort till följd av överträdelsen (jfr 14 § första stycket 3). För vad som avses med vinst, se författningskommentaren till 14 §. När det gäller fysiska personer torde det i första hand röra sig om ersättning som utgår enligt någon form av incitamentsprogram eller ett innehav som inte minskar i värde. Enligt punkt 2 ska beloppet bestämmas till tre gånger den vinst som den fysiska personen har gjort till följd av överträdelsen, om beloppet går att fastställa. I fråga om termen vinst, se författningskommentaren till 14 § första stycket 3.

I 20 § finns bestämmelser om vilka omständigheter som Finansinspektionen ska beakta när sanktionsavgiftens storlek fastställs.

17 § Sanktionsavgifter tillfaller staten.

Paragrafen innehåller en bestämmelse om att sanktionsavgifter enligt 14 och 16 §§ tillfaller staten. Övervägandena finns i avsnitt 10.4.

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella

systemet, skador som uppstått samt graden av ansvar hos den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen.

Paragrafen reglerar, tillsammans med 19–21 §§, vilka omständigheter som ska beaktas vid valet av ingripande. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 2 § första stycket lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

I paragrafen anges vilka omständigheter som är hänförliga till överträdelsen som ska beaktas vid valet av ingripande. Uppräkningen av omständigheter är inte uttömmande, utan en sammanvägd bedömning av alla relevanta omständigheter ska göras.

Sanktionerna ska alltid vara proportionella i förhållande till överträdelsen och ligga på en sådan nivå att de är avskräckande. I fråga om varaktighet gäller att en överträdelse som har pågått under lång tid i allmänhet är mer klandervärd än en som har varat kortare tid. En överträdelse bör dock inte regelmässigt leda till en lindrigare sanktion endast till följd av att den upptäckts tidigt och därmed upphört efter en förhållandevis kort tid (jfr prop. 2013/14:228 s. 39). Att graden av ansvar hos den som har begått överträdelsen ska beaktas innebär att en överträdelse som begås medvetet typiskt sett bör motivera en strängare sanktion än en överträdelse som begås av oaktsamhet. Att en överträdelse begås i vinningssyfte eller för att vilseleda bör i allmänhet inverka i försvårande riktning.

I 19 § anges ytterligare omständigheter som ska beaktas som försvårande respektive förmildrande. Bestämmelser om att Finansinspektionen i vissa fall får avstå från ingripande finns i 21 §.

Finansinspektionen kan utifrån vad som är motiverat i det enskilda fallet välja att ingripa med en eller flera sanktionsåtgärder. Om flera åtgärder används, måste inspektionen se till att sanktionerna sammantaget är väl avvägda.

19 § Utöver det som anges i 18 § ska det i försvårande riktning beaktas om den som har begått överträdelsen tidigare har begått en överträdelse. Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått överträdelsen

1. i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2. snabbt upphört med överträdelsen eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

Paragrafen reglerar, tillsammans med 18, 20 och 21 §§, vilka omständigheter som ska beaktas vid valet av ingripande. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 2 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

Av första stycket följer att det är en försvårande omständighet om den som har begått överträdelsen tidigare har begått en överträdelse. Särskild vikt ska fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna. Vid allvarliga och likartade överträdelser

torde även en förhållandevis lång tid mellan överträdelserna kunna beaktas i försvårande riktning.

I andra stycket anges två förmildrande omständigheter vid valet av ingripande.

När det gäller punkt 1 krävs att samarbetet i väsentlig utsträckning har underlättat utredningen. Det kan t.ex. handla om att personen i fråga självmant för fram viktig information som Finansinspektionen inte redan har eller inte utan väsentlig arbetsinsats kan få del av (jfr prop. 2001/02:167 s. 99). Att en finansiell entitet eller dess företrädare endast medverkar i utredningen på Finansinspektionens begäran och svarar på inspektionens frågor är inte tillräckligt för att detta krav ska anses uppfyllt. Särskilt stort avseende bör fästas vid om det är personen själv som frivilligt anmäler överträdelsen till Finansinspektionen och om det är först genom de uppgifter som personen lämnar som inspektionen får tillräckligt underlag för att kunna ingripa mot överträdelsen (jfr prop. 2013/14:228 s. 241). När det gäller en juridisk person bör det typiskt sett krävas att det är den juridiska personen som genom ställföreträdare eller ombud medverkar i utredningen. Att en enskild befattningshavare vid den juridiska personen anmäler en överträdelse bör alltså inte beaktas i förmildrande riktning enligt denna bestämmelse. Bestämmelsen ska inte tolkas motsatsvis på så sätt att den som förnekar en överträdelse eller försvårar utredningen drabbas av en hårdare sanktion än vad som annars hade blivit fallet.

Enligt punkt 2 ska Finansinspektionen i förmildrande riktning även beakta om den som har begått överträdelsen snabbt upphört med densamma eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av inspektionen.

20 § När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till sådana omständigheter som anges i 18 och 19 §§ samt till den berörda fysiska eller juridiska personens finansiella ställning och, om det går att fastställa, den vinst som personen gjort till följd av överträdelsen.

Paragrafen reglerar vilka omständigheter som ska beaktas när sanktionsavgiftens storlek ska fastställas. Den införs till följd av artikel 51.2 c och d i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 10 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

Bestämmelsen innebär att de omständigheter som har påverkat valet av ingripande i skälig utsträckning ska beaktas även när sanktionsavgiftens storlek bestäms. I bestämmelsen anges även andra omständigheter som ska beaktas när sanktionsavgiftens storlek bestäms. Storleken på en sanktionsavgift ska regleras i höjande riktning för att ta hänsyn till om en överträdelse har inneburit en vinst för personen i fråga. För vad som avses med vinst, se författningskommentaren till 14 §. Bestämmelsen kan också medföra att avgiften sänks till följd av personens finansiella ställning. Med finansiell ställning avses t.ex. en juridisk persons årsomsättning. Uppräkningen av omständigheter som ska beaktas är inte uttömmande.

I 14–16 §§ finns bestämmelser om högsta och lägsta belopp för sanktionsavgifter.

Möjlighet att avstå från ett ingripande

21 § Finansinspektionen får avstå från ingripande, om

1. överträdelsen är ringa eller ursäktlig,

2. den fysiska eller juridiska personen i fråga gör rättelse,

3. den fysiska personen har verkat för att den juridiska personen ska göra rättelse, eller

4. någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms tillräckliga.

Paragrafen innehåller bestämmelser om att Finansinspektionen i vissa fall får avstå från ingripande. Paragrafen är utformad efter förebild av bl.a. 25 kap. 2 § andra stycket lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 8.5.

Finansinspektionen får i vissa fall avstå från ingripande. Så kan vara fallet om en överträdelse är ringa eller ursäktlig (punkt 1) eller om det görs en rättelse (punkt 2). Det är också möjligt att avstå från ett ingripande om den fysiska personen har verkat för att den juridiska personen ska göra rättelse (punkt 3) eller om någon annan myndighet eller något annat organ, t.ex. börsens disciplinnämnd, har vidtagit åtgärder mot den juridiska eller fysiska personen och dessa åtgärder bedöms tillräckliga (punkt 4).

Finansinspektionen ska göra en bedömning av samtliga omständigheter i det enskilda fallet. Det bör t.ex. vara överträdelsens allvar som avgör om det faktum att företaget har gjort en rättelse också ska leda till att inspektionen avstår från att ingripa (jfr prop. 2006/07:115 s. 500501). Vid en allvarlig överträdelse bör det krävas starka skäl för att Finansinspektionen helt ska avstå från ett ingripande. För vad som kan anses som en allvarlig överträdelse, se författningskommentaren till 9 §.

Verkställighet av beslut om sanktionsavgift

22 § En sanktionsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att ett beslut eller en dom om att ta ut avgiften har fått laga kraft eller ett sanktionsföreläggande har godkänts, eller inom den längre tid som anges i beslutet eller föreläggandet.

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska

Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

24 § En sanktionsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet eller domen om att ta ut avgiften fick laga kraft eller sanktionsföreläggandet godkändes.

Paragraferna innehåller bestämmelser om verkställighet av ett beslut om sanktionsavgift och är utformade efter förebild av bl.a. 25 kap. 25, 27 och 28 §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.6.

I 22 § anges inom vilken tid en sanktionsavgift ska betalas. När beslutet har fått laga kraft får det verkställas som en exekutionstitel (se 3 kap. 1 § första stycket 6 a och 20 § första stycket utsökningsbalken). Det innebär

att verkställighet kan ske enligt utsökningsbalken utan att det krävs något domstolsavgörande.

Om en avgift inte betalas i tid ska Finansinspektionen enligt 23 § lämna den för indrivning. För detta gäller vanliga bestämmelser om indrivning av statliga fordringar. Ett mål om sanktionsavgift handläggs som allmänt mål hos Kronofogdemyndigheten (se 1 kap. 6 § och 3 kap. 1 § första stycket 6 utsökningsbalken).

Enligt 24 § faller sanktionsavgiften bort om verkställighet inte har skett inom viss tid. Det som preskriberas är den del av avgiften som inte har drivits in när fem år har gått sedan beslutet eller domen fick laga kraft.

5 kap. Överklagande, beslut som ska gälla omedelbart och vite

Överklagande

1 § Finansinspektionens beslut om sanktionsföreläggande enligt denna lag får inte överklagas.

Andra beslut av Finansinspektionen enligt denna lag och EU-förordningen får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen innehåller bestämmelser om överklagande av Finansinspektionens beslut. Den införs till följd av artikel 50.6 i DORA-förordningen och är utformad efter förebild av bl.a. 4 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Övervägandena finns i avsnitt 17.1.

Enligt första stycket gäller ett överklagandeförbud för Finansinspektionens beslut om sanktionsföreläggande. Ett godkänt sanktionsföreläggande, som visar sig vara felaktigt, kan därmed inte angripas med ordinära rättsmedel. I undantagsfall bör ett godkänt sanktionsföreläggande kunna undanröjas genom ett beslut om resning (jfr prop. 2014/15:57 s. 6465). Förutsättningarna för att bevilja resning regleras i 37 b § förvaltningsprocesslagen (1971:291).

Enligt andra stycket får Finansinspektionens beslut som inte gäller sanktionsföreläggande överklagas till allmän förvaltningsdomstol. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Närmare bestämmelser om överklagande finns i förvaltningslagen (2017:900).

Enligt tredje stycket krävs prövningstillstånd vid överklagande till kammarrätten.

2 § Riksbankens beslut om föreläggande enligt 2 kap. 5 § och beslut om utfärdande av intyg enligt artikel 26.7 i EU-förordningen får överklagas till allmän förvaltningsdomstol.

Andra beslut av Riksbanken enligt denna lag och EU-förordningen får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen innehåller bestämmelser om överklagande av Riksbankens beslut och är utformad efter förebild av 12 kap. 3 § lagen om Sveriges riksbank. Övervägandena finns i avsnitt 17.2.

I första stycket anges de beslut som får överklagas till allmän förvaltningsdomstol. Det gäller dels beslut om föreläggande att inkomma med uppgifter (se 2 kap. 4 och 5 §§ och författningskommentarerna till de paragraferna), dels beslut om intyg om ett hotbildsstyrt penetrationstest. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Enligt andra stycket får andra beslut än de som avses i första stycket inte överklagas. Det handlar t.ex. om sådana delbeslut som Riksbanken fattar vid övervakningen och samordningen av de hotbildsstyrda penetrationstesterna.

Enligt tredje stycket krävs prövningstillstånd vid överklagande till kammarrätten.

Beslut som ska gälla omedelbart

3 § Finansinspektionen får bestämma att följande beslut ska gälla omedelbart:

1. beslut om hotbildsstyrda penetrationstester enligt 2 kap. 1 §,

2. beslut om föreläggande enligt 4 kap. 3 §, 4 § 1, 5 § första stycket 1 eller 9 § andra stycket 1, eller

3. beslut om återkallelse enligt 4 kap. 5 § andra stycket.

Paragrafen reglerar när Finansinspektionen får bestämma att ett beslut ska gälla omedelbart. Den är utformad efter förebild av bl.a. 10 kap. 2 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 17.1.

Finansinspektionen får bestämma att de beslut som särskilt anges ska gälla omedelbart. Detta kan gälla ett beslut om hotbildsstyrda penetrationstester, t.ex. för ett grundläggande beslut om att ett visst företag ska genomföra ett test och hur ofta, punkt 1. Finansinspektion har enligt punkt 2 också möjlighet att bestämma att ett beslut om föreläggande ska gälla omedelbart, t.ex. om det behövs för att få en finansiell entitet att upphöra med ett visst agerande med omedelbar verkan. Enligt punkt 3 får Finansinspektionen även bestämma att ett beslut om återkallelse, och ett med det förenat förbud om att fortsätta bedriva verksamheten, ska gälla omedelbart.

När det gäller andra beslut av Finansinspektionen gäller förvaltningslagens bestämmelser om omedelbar verkställighet (se 35 § tredje stycket den lagen).

Vite

4 § Följande beslut får förenas med vite:

1. Riksbankens beslut om föreläggande enligt 2 kap. 5 §, och

2. Finansinspektionens beslut om föreläggande enligt 3 kap. 2 § första stycket, 4 kap. 3 §, 4 § 1, 5 § första stycket 1, 8 § andra stycket eller 9 § andra stycket 1.

Paragrafen innehåller en bestämmelse om att Riksbanken och Finansinspektionen får förena vissa beslut med vite. Övervägandena finns i avsnitt 7.2, 9.2, 10.2.2 och 10.3.

Riksbanken och Finansinspektionen får förena de beslut som särskilt anges med vite. Riksbanken får enligt punkt 1 förena ett föreläggande om att lämna uppgifter som behövs för ett hotbildsstyrt penetrationstest med vite. På motsvarande sätt får Finansinspektionen enligt punkt 2 förena ett föreläggande om att lämna uppgifter som behövs för tillsynen med vite (3 kap. 2 § första stycket). Finansinspektionen får enligt samma punkt förena även andra typer av förelägganden med vite, t.ex. om att en finansiell entitet ska vidta en åtgärd eller upphöra med ett agerande (4 kap. 4 § 1, 4 kap. 5 § första stycket 1 eller 4 kap. 9 § andra stycket 1). Även ett förbud att fortsätta verksamheten som meddelas samtidigt som ett beslut om återkallelse får förenas med vite (4 kap. 8 § andra stycket).

Ingripanden mot en företrädare för en finansiell entitet ska ske genom ett sanktionsföreläggande (se 4 kap. 10 § och författningskommentaren till den paragrafen). Det är inte möjligt att förena ett sådant föreläggande med vite. Man kan således inte förelägga någon att svara på ett sanktionsföreläggande vid äventyr av vite (se 4 kap. 10 § andra stycket). Dock får själva sanktionen i sanktionsföreläggandet, t.ex. ett förbud för en fysisk person om att företräda den finansiella entiteten, t.ex. som styrelseledamot, förenas med vite (4 kap. 11 § första stycket 4).

Finansinspektionen har inte rätt att själv besluta om utdömande av vite utan måste ansöka om det hos allmän förvaltningsdomstol (se 6 § lagen [1985:206] om viten).

5 § Beslut om viten enligt EU-förordningen får verkställas enligt utsökningsbalken på samma sätt som en svensk dom som har fått laga kraft.

Paragrafen reglerar verkställighet av beslut om viten enligt DORAförordningen. Den införs till följd av artikel 35.9 i DORA-förordningen och är utformad efter förebild av bl.a. 2 kap. 5 § lagen (2019:1215) med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 17.3.

Av paragrafen följer att beslut om viten är verkställbara enligt utsökningsbalken. Bestämmelsen innebär att den ledande tillsynsmyndighetens beslut om viten enligt DORA-förordningen är att anse som en utländsk exekutionstitel som får verkställas i Sverige (jfr 3 kap. 2 § utsökningsbalken). Den ledande tillsynsmyndigheten är den europeiska tillsynsmyndighet (EBA, Esma eller Eiopa) som utsetts till tillsynsmyndighet för en kritisk tredjepartsleverantör av IKT-tjänster (se artikel 31.1 i DORAförordningen). Myndighetens beslut om viten ska därvid likställas med en svensk lagakraftvunnen dom.

Bestämmelser om viten, bl.a. om den ledande tillsynsmyndighetens befogenhet att besluta om vite, vilka förseelser som kan leda till ett beslut om vite och om förfarandet finns i artikel 35.6–35.11 i DORA-förordningen.

Kronofogdemyndigheten är den myndighet som ansvarar för den praktiska verkställigheten och dess beslut kan överklagas till allmän

domstol. Hos myndigheten handläggs detta som ett enskilt mål (se 1 kap. 6 § andra stycket utsökningsbalken). De belopp som åläggs i form av viten ska tillfalla Europeiska unionens allmänna budget (artikel 35.9 fjärde meningen i DORA-förordningen).

Hänvisningar till S22-1

22.2. Förslaget till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

16 g § En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1. riskhantering,

2. internrevision, och

3. verksamhet som omfattas av uppdragsavtal. Pensionsstiftelsen ska upprätta och vid behov följa en beredskapsplan som säkerställer att verksamheten kan bedrivas kontinuerligt. Stiftelsen ska ha sådana nätverks- och informationssystem som avses i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Pensionsstiftelsen ska upprätta och följa en sund ersättningspolicy för personer som leder eller övervakar verksamheten eller på annat sätt kan påverka riskerna i verksamheten. Stiftelsen ska regelbundet offentliggöra relevant information om ersättningspolicyn.

Paragrafen innehåller bestämmelser om styrdokument för pensionsstiftelser. Ändringen genomför delvis artikel 21.5 i andra tjänstepensionsdirektivet, i lydelsen enligt artikel 8 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I andra stycket förtydligas att en pensionsstiftelse ska ha sådana nätverks- och informationssystem som avses i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En pensionsstiftelse som tryggar utfästelser om pension till minst 16 personer omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 p och 2.2 jämförd med 2.3 c i DORA-förordningen). Kraven enligt paragrafen och DORA-förordningen gäller dock bara för pensionsstiftelser som tryggar utfästelser om pension till minst 100 personer (se 9 a § och prop. 2018/19:159 s. 3437). Pensionsstiftelser som tryggar utfästelser om pension till minst 16 men färre än 100 personer omfattas i stället av DORA-förordningens bestämmelser om förenklad IKT-riskhanteringsram (se artikel 16). De närmare kraven på nätverks- och informationssystemen och hur de ska utformas anges i DORAförordningen. En motsvarande ändring görs för tjänstepensionsföretag i lagen (2019:742) om tjänstepensionsföretag (se 9 kap. 2 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.15).

16 i § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vad placeringsriktlinjerna och redogörelsen enligt 16 f § ska innehålla, och

2. vad de styrdokument som anges i 16 g § första och tredje styckena ska innehålla.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur information om ersättningspolicyn ska offentliggöras enligt 16 g §.

Paragrafen innehåller bl.a. bemyndiganden. Övervägandena finns i avsnitt 18.

I första stycket 2 görs en ändring med anledning av ändringen i 16 g § andra stycket. Bemyndigandet omfattar därmed inte innehållet i en pensionsstiftelses beredskapsplan (se 16 g § andra stycket och författningskommenteraren till den paragrafen).

Hänvisningar till S22-2

22.3. Förslaget till lag om ändring i trafikskadelagen (1975:1410)

5 § Trafikförsäkring får meddelas av

1. en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkringsrörelselagen (2010:2043),

2. en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och

3. en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.

En försäkringsgivare som får meddela trafikförsäkring är skyldig att på begäran meddela trafikförsäkring. I ett tillstånd enligt 2 kap. 4 § försäkringsrörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige får dock skyldigheten begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Finansinspektionen får efter ansökan besluta om motsvarande begränsning för försäkringsgivare som driver verksamhet här enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige. Finansinspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

En försäkringsgivare som avser att meddela trafikförsäkring genom gränsöverskridande verksamhet med stöd av 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige men som inte har fast driftställe i Sverige ska ha en representant här i landet. Representanten ska vara bosatt i Sverige eller vara en svensk juridisk person. Försäkringsgivaren ska utfärda en fullmakt för representanten att gentemot skadelidande företräda försäkringsgivaren och att själv eller genom någon annan tala och svara för denne angående försäkringsfall. Representanten ska även ha behörighet att företräda försäkringsgivaren vid kontroll av om det finns en giltig trafikförsäkring. Försäkringsgivaren ska informera försäkringstagarna om vem som är försäkringsgivarens representant och om dennes adress. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om villkor för sådana representanter.

Paragrafen innehåller bestämmelser om meddelande av trafikförsäkring. Övervägandena finns i avsnitt 19.3.

En försäkringsgivare som får meddela trafikförsäkring har enligt andra stycket också en skyldighet att meddela sådan försäkring, den s.k. kontraheringsplikten. Finansinspektionen får begränsa denna skyldighet till att bara gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Detta kan för svenska försäkringsgivare och för försäkringsgivare från tredjeland ske i det grundläggande tillståndet att meddela försäkring. En EES-försäkringsgivare, dvs. en försäkringsgivare med hemvist i ett annat land inom EES, som inte behöver tillstånd av Finansinspektionen för att meddela försäkringar i Sverige kan i stället ansöka hos Finansinspektionen om en motsvarande begränsning. Stycket ändras så att ett sådant beslut av Finansinspektionen får överklagas till allmän förvaltningsdomstol, i stället för som hittills gällt till regeringen. Prövningstillstånd krävs vid överklagande till kammarrätten. I stycket görs även språkliga ändringar. Inga ändringar i sak avses.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före den 17 januari 2025.

Ikraftträdande- och övergångsbestämmelser

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft. Enligt punkt 2 gäller äldre föreskrifter för överklagande av beslut som meddelats före ikraftträdandet. Det innebär att ett beslut om begränsad kontraheringsplikt för en EES-försäkringsgivare får överklagas till regeringen om Finansinspektionen har meddelat beslutet före ikraftträdandet.

22.4. Förslaget till lag om ändring i lagen (1980:1097) om Svenska skeppshypotekskassan

38 § Kassan står under tillsyn av Finansinspektionen.

Finansinspektionen får förena ett beslut om föreläggande med vite.

Inspektionens beslut enligt denna lag gäller omedelbart, om inte myndigheten beslutar något annat.

Finansinspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Regeringen meddelar ytterligare föreskrifter om tillsynsverksamheten.

Paragrafen innehåller bestämmelser om tillsynen över Svenska skeppshypotekskassan. Övervägandena finns i avsnitt 19.4.

I andra stycket görs språkliga ändringar. Ingen ändring avses i sak. Ett förbud, som tidigare särskilt angavs, kan således fortsatt förenas med vite men det sker då i form av ett föreläggande.

I tredje stycket görs redaktionella och språkliga ändringar. Efter ändringarna innehåller stycket bara en bestämmelse om besluts giltighet. I denna del avses ingen ändring i sak. Bestämmelsen om överklagande flyttas till det nya fjärde stycket.

I det nya fjärde stycket finns bestämmelser om överklagande. Finansinspektionens beslut får framöver överklagas till allmän förvaltningsdomstol. Dessa beslut har tidigare överklagats till regeringen. Prövningstillstånd krävs vid överklagande till kammarrätten.

Det nya femte stycket överensstämmer med hittillsvarande fjärde stycket.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före den 17 januari 2025.

Ikraftträdande- och övergångsbestämmelser

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft. Enligt punkt 2 gäller äldre föreskrifter för överklagande av beslut som meddelats före ikraftträdandet. Det innebär att Finansinspektionens beslut enligt lagen får överklagas till regeringen om inspektionen har meddelat beslutet före ikraftträdandet.

22.5. Förslaget till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument

9 kap.

12 § Finansinspektionen ska ingripa mot någon som ingår i en svensk värdepapperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1. tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

2. har fått auktorisationer som krävs enligt artikel 16 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, genom osanna uppgifter eller andra olagliga metoder enligt artikel 20.1 b i förordningen,

3. låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

4. låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5. låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

6. låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7. låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på länkar mellan värdepapperscentraler i strid med artikel 48 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

9. utan giltig grund vägrat att bevilja olika typer av tillträde i strid med artiklarna 49–53 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, eller

10. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27,

28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande enligt första stycket får ske bara om värdepapperscentralens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot, verkställande direktör eller ersättare för någon av dem i värdepapperscentralen, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripanden mot företrädare för en värdepapperscentral. Övervägandena finns i avsnitt 10.3.

Genom första stycket 10, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en värdepapperscentral om centralen har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Bestämmelsen gäller bara för en svensk värdepapperscentrals överträdelser. Övriga ändringar i stycket är redaktionella.

I andra stycket görs en språklig ändring. Ingen ändring avses i sak. I tredje stycket görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

22.6. Förslaget till lag om ändring i lagen (2004:46) om värdepappersfonder

2 kap.

17 § Ett fondbolag ska ha sunda rutiner för

1. förvaltning av verksamheten och redovisning,

2. intern kontroll, och

3. drift och förvaltning av sina nätverks- och informationssystem.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Fondbolaget ska särskilt

1. upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

2. dokumentera samtliga transaktioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

3. ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

Paragrafen innehåller bestämmelser om grundläggande krav på ett fondbolags organisation. Genom ändringen genomförs artikel 12.1 i UCITSdirektivet, i lydelsen enligt artikel 1.1 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket 3 förtydligas att kraven på sunda rutiner för drift och förvaltning gäller både nätverks- och informationssystem. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett fondbolag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 l och 2.2 i DORA-förordningen).

I det nya andra stycket förtydligas kraven på ett fondbolags nätverks- och informationssystem. Rutinerna för drift och förvaltning av dessa system ska uppfylla de krav som närmare anges i DORA-förordningen. En motsvarande ändring görs för AIF-förvaltare i lagen (2013:561) om förvaltare av alternativa investeringsfonder (se 8 kap. 2 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.12).

I det nya tredje stycket, hittillsvarande andra stycket, görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

12 kap.

1 a § Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om fondbolaget

1. har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3. påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond i ett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspektionen i enlighet med 2 kap. 15 c §,

4. inte uppfyller grundläggande krav på organisation och drift av verksamheten enligt 2 kap. 17 § första stycket 1 eller 2 eller tredje stycket eller 17 f § eller föreskrifter som har meddelats med stöd av 13 kap. 1 § 11 avseende dessa bestämmelser,

5. åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6. påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7. vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informationsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

8. vid upprepade tillfällen placerar medel i en värdepappersfond i strid med det som anges i någon av 5 kap. 1, 3–22, 24 eller 25 §§ eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 21, 22, 24 och 25 avseende dessa bestämmelser,

9. inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 23 avseende dessa bestämmelser,

10. i strid med 11 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

11. i strid med 11 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier i bolaget samt storleken på innehavet,

12. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen, eller

13. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 11 kap. 1 eller 4 § för förvärv eller avyttring av aktier i bolaget, ska första stycket 10 och 11 inte gälla för den personen i fråga om dessa aktier.

Ett ingripande enligt första stycket får ske bara om bolagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot eller verkställande direktör i ett fondbolag, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett fondbolag. Övervägandena finns i avsnitt 10.3.

I första stycket 4 görs en följdändring med anledning av ändringen i 2 kap. 17 §.

Genom första stycket 13, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett fondbolag om bolaget har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar i stycket är redaktionella.

I tredje stycket görs en språklig ändring. I fjärde stycket görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

13 kap.

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka åtgärder ett fondbolag ska vidta om det tar emot medel med redovisningsskyldighet enligt 1 kap. 4 § eller 7 kap. 1 §,

2. hur ett förvaltningsbolag eller fondföretag ska tillhandahålla information om de uppgifter som avses i 1 kap. 6 c § första stycket och 8 § första stycket,

3. på vilket språk ett förvaltningsbolag eller fondföretag ska tillhandahålla funktionerna i 1 kap. 6 c § första stycket och 8 § första stycket,

4. på vilket språk ett fondföretag ska tillhandahålla information enligt 1 kap. 9 § första stycket 1 och 2 och 9 a § första stycket,

5. hur ett fondföretag ska offentliggöra avsikten att upphöra med marknadsföringen av andelar i företaget enligt 1 kap. 9 § första stycket 2,

6. hur medel för distanskommunikation får användas när ett fondföretag som har upphört med marknadsföring i Sverige av andelar i företaget ska tillhandahålla kvarvarande andelsägare här i landet information enligt 1 kap. 9 a § första stycket,

7. vilka poster som får räknas in i startkapitalet enligt 2 kap. 4 §,

8. vilka poster som får räknas in i egna medel enligt 2 kap. 8–10 §§,

9. på vilket språk underrättelsen enligt 2 kap. 15 c § första stycket ska skrivas, 10. hur fondbolaget ska offentliggöra handlingarna enligt 2 kap. 15 c § fjärde stycket,

11. vad ett fondbolag ska iaktta för att uppfylla skyldigheterna i 2 kap. 17 § första stycket 1 och 2 och tredje stycket, 17 c och 17 f §§,

12. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av 2 kap. 17 g §,

13. hur uppgifter enligt 2 kap. 20 § första stycket ska lämnas, 14. vilken information som ska lämnas i underrättelsen till andelsägare enligt 4 kap. 9 a § och på vilket sätt underrättelsen ska lämnas,

15. villkor som en andelsklass får vara förenad med enligt 4 kap. 10 § andra stycket 2 och under vilka förutsättningar en andelsklass får vara förenad med ett visst villkor,

16. utformningen och tillämpningen av metoder för justerat fondandelsvärde enligt 4 kap. 10 b § och vilka krav som ska uppfyllas när ett justerat fondandelsvärde beräknas och används,

17. tillhandahållande av informationsbroschyr och faktablad enligt 4 kap. 20 §, 18. på vilket språk informationen enligt 4 kap. 20 § ska tillhandahållas, 19. hur volatiliteten i skillnaden mellan fondens avkastning och jämförelseindexets avkastning enligt 4 kap. 26 § ska beräknas,

20. hur informationen enligt 4 kap. 28 § ska presenteras, 21. kriterier för de finansiella tillgångar som medel i en värdepappersfond får placeras i enligt 5 kap. 1 § andra stycket första meningen,

22. vilka tekniker och instrument ett fondbolag får använda enligt 5 kap. 1 § tredje stycket samt villkor och gränser för sådan användning,

23. det system för riskhantering ett fondbolag ska ha enligt 5 kap. 2 § första och andra styckena,

24. kriterier för indexfonder enligt 5 kap. 7 §, 25. beräkning av exponeringar enligt 5 kap. 13 och 14 §§, 26. på vilket sätt underrättelsen till andelsägarna enligt 5 a kap. 7 § ska lämnas, 27. vilka fel och försummelser som ska rapporteras enligt 5 a kap. 18 §, 28. förutsättningar för överföring av finansiella instrument och förvaltning enligt 5 a kap. 37 och 46 §§,

29. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av bestämmelserna i 7 kap. 3 §,

30. vad informationen enligt 8 kap. 8 § ska innehålla, hur den ska utformas, på vilket sätt den ska tillhandahållas och vad som ska bifogas informationen,

31. på vilket språk de handlingar som ska lämnas tillsammans med ansökan enligt 8 kap. 19 § ska upprättas,

32. vilka upplysningar fondbolag, förvaltningsbolag, fondföretag samt förvaringsinstitut ska lämna till Finansinspektionen enligt 10 kap. 2 § första stycket och när upplysningarna ska lämnas, och

33. sådana avgifter som avses i 10 kap. 11 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18.

I punkt 11 görs en ändring med anledning av ändringen i 2 kap. 17 §. Bemyndigandet omfattar därmed inte rutinerna för ett fondbolags drift och förvaltning av sina nätverks- och informationssystem (se 2 kap. 17 § första stycket 3 och andra stycket och författningskommenteraren till den paragrafen). I punkten görs även en redaktionell ändring.

Hänvisningar till S22-6

22.7. Förslaget till lag om ändring i lagen (2004:297) om bank och finansieringsrörelse

6 kap.

Nätverks- och informationssystem

2 a § Ett kreditinstituts nätverks- och informationssystem ska uppfylla kraven

i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

I paragrafen, som är ny, finns bestämmelser om ett kreditinstituts nätverks- och informationssystem. Paragrafen genomför artikel 74.1 i kapitaltäckningsdirektivet, i lydelsen enligt artikel 4.2 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I paragrafen förtydligas att ett kreditinstituts nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett kreditinstitut omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 a och 2.2 i DORA-förordningen).

Bestämmelsen omfattar inte bara kreditinstitut. Även sådana värdepappersbolag som avses i 1 kap. 2 § första stycket 7 c–g lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag omfattas. Således gäller kraven om nätverks- och informationssystem också för värdepappersbolag med tillstånd att som sidotjänst ta emot kunders medel på konto för att underlätta värdepappersrörelsen enligt 2 kap. 2 § första stycket 8 lagen (2007:528) om värdepappersmarknaden, svenska aktiebolag som är ett sådant värdepappersföretag som avses i artikel 1.2 a eller b i värdepappersbolagsförordningen, värdepappersbolag för vilket ett beslut av Finansinspektionen enligt 3 a § gäller, svenska aktiebolag som är ett sådant värdepappersföretag som avses i artikel 1.5 i värdepappersbolagsförordningen och svenska aktiebolag som är ett sådant värdepappersföretag som avses i artikel 4.1.1 b i tillsynsförordningen (se 8 kap. 1 c § lagen om värdepappersmarknaden, se även prop. 2020/21:173 s. 134142) .

2 c § En anställd hos ett kreditinstitut som har gjort en anmälan till Finans-

inspektionen eller Europeiska värdepappers- och marknadsmyndigheten om misstänkta överträdelser av bestämmelser som gäller för verksamheten får inte göras ansvarig för att ha åsidosatt någon tystnadsplikt, om anmälaren hade anledning att anta att en överträdelse hade skett.

Detsamma gäller om en anställd har gjort en anmälan via det rapporteringssystem som avses i 2 b §.

Paragrafen, som i hittillsvarande lydelse betecknas 2 b §, innehåller bestämmelser om ansvarsfrihet.

I andra stycket görs en följdändring med anledning av att hittillsvarande 2 a § byter beteckning till 2 b §.

10 kap.

1 § För bankaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

3.24 kap. 47 § aktiebolagslagen, och

4.24 a kap. 24 § aktiebolagslagen.

Av paragrafen framgår vilka associationsrättsliga regler som gäller för bankaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

15 kap.

1 a § Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om kreditinstitutet

1. har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. i strid med 14 kap. 4 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

3. i strid med 14 kap. 4 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i institutet samt storleken på innehaven,

4. inte uppfyller kraven i 6 kap. 1, 2, 2 b–3 c, 4, 4 a, 4 c eller 5 § eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 5,

5. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om efterlevnaden av skyldigheten att uppfylla kapitalbaskraven enligt artikel 92 i tillsynsförordningen, i strid med artikel 430.1 i den förordningen,

6. låter bli att rapportera eller lämnar ofullständig eller felaktig information till Finansinspektionen när det gäller data som avses i artikel 430a i tillsynsförordningen,

7. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om en stor exponering i strid med artikel 394.1 i tillsynsförordningen,

8. låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2 i tillsynsförordningen,

9. låter bli att lämna uppgifter till Finansinspektionen eller lämnar ofullständig eller felaktig information om sin bruttosoliditet i strid med artikel 430.1 och 430.2 i tillsynsförordningen,

10. vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i strid med artikel 412 i tillsynsförordningen,

11. utsätter sig för en exponering som överskrider gränserna enligt artikel 395 i tillsynsförordningen,

12. är exponerat för kreditrisken i en värdepapperiseringsposition utan att uppfylla villkoren i artikel 405 i tillsynsförordningen,

13. låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med någon av artiklarna 431.1–431.3 och 451.1 i tillsynsförordningen,

14. gör betalningar till innehavare av instrument som ingår i institutets kapitalbas i strid med 8 kap.3 och 4 §§ lagen (2014:966) om kapitalbuffertar eller artikel 28, 51 eller 63 i tillsynsförordningen, när dessa artiklar förbjuder sådana betalningar till innehavare av instrument som ingår i kapitalbasen,

15. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen,

16. har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och om upphävande av direktiv (EG) 2015/849,

17. har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i institutet eller kvarstå i institutet trots att kraven i 3 kap. 2 § första stycket 4 eller 5, 10 kap. 8 a–8 c §§ eller 12 kap. 6 a–6 c §§ eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 3 inte är uppfyllda,

18. i strid med 6 a kap. 1 eller 2 § låter bli att upprätta eller lämna in en återhämtningsplan eller en koncernåterhämtningsplan,

19. i strid med 6 b kap. 11 § låter bli att anmäla att koncerninternt finansiellt stöd ska lämnas,

20. i strid med 13 kap. 4 a och 5 a §§ låter bli att underrätta Finansinspektionen om institutet fallerar eller sannolikt kommer att fallera,

21. inte uppfyller kravet på kapitalbas och kvalificerade skulder enligt 4 kap. lagen (2015:1016) om resolution eller i strid med 28 kap. 1 § samma lag låter bli att lämna begärda upplysningar till Riksgäldskontoret,

22. är ett moderföretag enligt artikel 4.1.15 i tillsynsförordningen och inte uppfyller kraven i del tre, fyra, sex eller sju i den förordningen eller 2 kap. 1 eller 2 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag på grupp- eller undergruppsnivå,

23. omfattas av tillståndsplikt enligt lagen (2003:1223) om utgivning av säkerställda obligationer och

a) har fått tillstånd att ge ut säkerställda obligationer genom att lämna falska uppgifter eller på något annat otillbörligt sätt,

b) driver verksamhet med säkerställda obligationer utan tillstånd,

c) ger ut säkerställda obligationer som inte uppfyller 3 kap. 1, 2, 3, 4, 5, 6, 7, 10, 11 eller 15 § eller 16 § andra stycket lagen om utgivning av säkerställda obligationer,

d) låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med 3 kap. 16 § första stycket lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i en sådan likviditetsbuffert som avses i 3 kap. 9 a § lagen om utgivning av säkerställda obligationer,

24. låter bli att lämna uppgifter om sin verksamhet med säkerställda obligationer till Finansinspektionen eller lämnar ofullständiga eller felaktiga uppgifter i strid med 13 kap. 3 §, eller

25. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27,

28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 14 kap. 1 eller 3 § för förvärv eller avyttring av aktier eller andelar i institutet, ska första stycket 2 och 3 inte gälla för den personen i fråga om dessa aktier eller andelar.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett kreditinstitut, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett kreditinstitut. Övervägandena finns i avsnitt 10.3.

I första stycket 4 görs en följdändring med anledning av den nya 6 kap. 2 a §. Vid åsidosättanden som rör ett kreditinstituts nätverks- och informationssystem gäller nya punkt 25.

Genom första stycket 25, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett kreditinstitut om institutet har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar i stycket är redaktionella.

I tredje stycket görs en språklig ändring. Ingen ändring avses i sak. I fjärde stycket görs redaktionella och språkliga ändringar. Inga ändringar avses i sak.

16 kap.

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilken information ett kreditinstitut ska lämna till sina kunder eller till dem som institutet erbjuder sina tjänster,

2. hur uppgifter enligt 1 kap. 11 § ska lämnas,

3. de krav som ska gälla för deltagande i ledningen av ett kreditinstitut enligt 3 kap. 2 § första stycket 4 och 5 och 14 kap. 2 § andra stycket 1,

4. vilka poster som får räknas in i startkapitalet enligt 3 kap. 5–7 §§,

5. vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, genomlysning, system för hantering av uppgifter om insättare och deras insättningar, amortering, sundhet, att inte bidra till finansiella obalanser på kreditmarknaden samt riktlinjer och instruktioner som avses i 6 kap. 1, 2 och 2 b–5 §§,

6. erkännande av utländska krav enligt 6 kap. 3 d §,

7. innehållet i en återhämtningsplan enligt 6 a kap. 1 § och en koncernåterhämtningsplan enligt 6 a kap. 2 §, när planerna ska upprättas och hur ofta de ska uppdateras,

8. innehållet i en ansökan om godkännande av avtal gällande koncerninternt finansiellt stöd enligt 6 b kap. 3 § första stycket,

9. vad det beslut som styrelsen i det stödgivande företaget fattar enligt 6 b kap. 8 § ska innehålla,

10. innehållet i en anmälan om givande av koncerninternt finansiellt stöd enligt 6 b kap. 11 §,

11. offentliggörandet av information enligt 6 b kap. 16 §, 12. vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på kreditprövning, dokumentation och beslutsunderlag som avses i 8 kap. 1–4 §§ i fråga om

– krediter till andra än konsumenter, och – sådana krediter till konsumenter som är bostadskrediter, 13. tillhandahållande av tjänster till en jävskrets som avses i 8 kap. 5 och 6 §§, 14. kreditinstituts mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

15. vilka begränsningar som gäller när ett bankaktiebolag eller ett kreditmarknadsbolag tar emot egna aktier eller aktier i sitt moderbolag som pant enligt 10 kap. 12 §,

16. vilka upplysningar ett kreditinstitut och sådana utländska kreditinstitut som inrättat filial i Sverige ska lämna till Finansinspektionen för dess tillsynsverksamhet,

17. vilka kreditinstitut som ska upprätta register som avses i 13 kap. 8 a §, vad registren ska innehålla och inom vilken tid kreditinstitutet ska ge in registren för olika typer av avtal, och

18. sådana avgifter för tillsyn, ansökningar, anmälningar och underrättelser som avses i 13 kap. 16 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18.

I punkt 5 görs en följdändring med anledning av den nya 6 kap. 2 a §. Bemyndigandet omfattar därmed inte ett kreditinstituts nätverks- och informationssystem och kraven på dem (se 6 kap. 2 a § och författningskommenteraren till den paragrafen).

17 kap.

1 § Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sammankallande av styrelse eller stämma enligt 13 kap. 12 §,

2. beslut om sanktionsföreläggande enligt 15 kap. 9 a §,

3. beslut om föreläggande att den som driver rörelsen ska lämna de upplysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 15 kap. 18 § tredje stycket,

4. beslut om begäran att den som är revisor i ett företag ska lämna sådana upplysningar om företagets rörelse enligt 15 kap. 18 § tredje stycket, eller

5. beslut om förordnande av sakkunnig enligt – 10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller – 10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen .

Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Inspektionen får bestämma att ett beslut om förbud, föreläggande eller återkallelse ska gälla omedelbart.

Paragrafen innehåller bestämmelser om överklagande av Finansinspektionens beslut. Övervägandena finns i avsnitt 19.1 och 19.2.

Första stycket ändras så att ett beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusion, delning eller ombildning inte får

överklagas. Finansinspektionen kan förordna en sakkunnig om det vid handläggningen uppkommer en fråga som kräver särskild fackkunskap (se t.ex. 23 kap. 45 b § aktiebolagslagen och 10 kap. 1 § denna lag). Sökanden ska ersätta inspektionen för kostnaden för den sakkunniga. Finansinspektionens beslut om betalningsskyldighet kan överklagas enligt den allmänna överklagandebestämmelsen (andra stycket). Vid överklagande av ett sådant beslut kan, utöver det debiterade beloppets skälighet, även prövas huruvida det var motiverat att förordna en sakkunnig. I stycket görs även redaktionella och språkliga ändringar då det införs en punktlista. Motsvarande ändringar görs i 21 kap. 1 § försäkringsrörelselagen (2010:2043) och 17 kap. 1 § lagen (2019:742) om tjänstepensionsföretag (se de paragraferna och tillhörande författningskommentarer i avsnitt 23.10 och 23.14).

Det hittillsvarande andra stycket om att Finansinspektionens beslut om undantag från bosättningskravet för styrelseledamöter, verkställande direktörer och särskilda firmatecknare ska överklagas till regeringen utgår. I stället ska de allmänna bestämmelserna för överklaganden gälla, dvs. det nya andra stycket (hittillsvarande tredje stycket) och det nya tredje stycket (hittillsvarande fjärde stycket). Ett beslut i dessa frågor får således överklagas till allmän förvaltningsdomstol och prövningstillstånd krävs vid överklagande till kammarrätten.

Andrafjärde styckena överensstämmer med hittillsvarande tredje–femte styckena.

1. Denna lag träder i kraft den 17 januari 2025.

2. Äldre föreskrifter gäller fortfarande för överklagande av följande beslut om beslutet har meddelats före den 17 januari 2025: – beslut om undantag från bosättningskravet för styrelseledamöter enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 9 § aktiebolagslagen (2005:551), – beslut om undantag från bosättningskravet för en verkställande direktör enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 30 § aktiebolagslagen, och – beslut om undantag från bosättningskravet för en särskild firmatecknare enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 37 § andra stycket aktiebolagslagen.

Ikraftträdande- och övergångsbestämmelser

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft. Enligt punkt 2 gäller äldre föreskrifter för överklagande av vissa beslut som meddelats före ikraftträdandet. Finansinspektionens beslut om undantag från bosättningskraven för styrelseledamöter, verkställande direktör och särskild firmatecknare får därmed fortsatt överklagas till regeringen om inspektionen har meddelat beslutet före ikraftträdandet.

Hänvisningar till S22-7

22.8. Förslaget till lag om ändring i lagen (2007:528) om värdepappersmarknaden

8 kap.

10 § Ett värdepappersinstitut ska ha tillräckliga system, resurser och rutiner för att institutet ska kunna tillhandahålla investeringstjänster och utföra investeringsverksamhet kontinuerligt och regelbundet.

Informations- och kommunikationstekniksystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett värdepappersinstitut ska ha sunda skyddsmekanismer för att, i enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2022/2554, säkerställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till informationen.

Paragrafen innehåller bl.a. bestämmelser om ett värdepappersinstituts skyddssystem. Genom ändringarna genomförs artikel 16.4 och delvis artikel 16.5 i MiFID II, i lydelsen enligt artikel 6.1 a och b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I det nya andra stycket förtydligas att ett värdepappersinstituts informations- och kommunikationstekniksystem (s.k. IKT-system) ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett värdepappersinstitut omfattas av DORAförordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 e och 2.2 i DORA-förordningen).

I det nya tredje stycket, hittillsvarande andra stycket, förtydligas att ett värdepappersinstitut för att uppfylla det särskilda kravet om skydd för viss information, också ska uppfylla kraven enligt DORA-förordningen. Också i detta fall anges de närmare kraven i DORA-förordningen.

11 § Ett värdepappersinstitut ska

1. tillämpa sunda rutiner för

a) förvaltning av verksamheten, och

b) redovisning,

2. ha rutiner för intern kontroll, och

3. ha effektiva metoder för riskbedömning.

Paragrafen innehåller bl.a. bestämmelser om ett värdepappersinstituts rutiner för verksamheten. Genom ändringen genomförs delvis artikel 16.5 i MiFID II, i lydelsen enligt artikel 6.1 b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

Hittillsvarande punkt 4, med krav om att ett värdepappersinstitut ska ha effektiv drift och förvaltning av sina informationssystem, utgår då motsvarande och mer detaljerade krav gäller enligt DORA-förordningen. I paragrafen görs också en språklig ändring. Ingen ändring avses i sak.

23 § Ett värdepappersinstitut som bedriver algoritmisk handel ska ha effektiva system och riskkontroller som är anpassade för den verksamheten. Systemen och kontrollerna ska säkerställa att institutets handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.

Värdepappersinstitutet ska också ha effektiva system och åtgärder för riskkontroll för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot marknadsmissbruksförordningen eller mot reglerna på en handelsplats till vilken institutet är anslutet.

Värdepappersinstitutet ska ha inrättat effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera driftavbrott i sina handelssystem, inbegripet en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner för informations- och kommunikationsteknik som inrättas i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554. Institutet ska se till att systemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i första och andra styckena och kraven i kapitlen II och IV i samma förordning.

Värdepappersinstitutet ska dokumentera de åtgärder som det har vidtagit enligt första–tredje styckena så att Finansinspektionen har möjlighet att övervaka att institutet har följt denna lag.

I paragrafen finns bestämmelser om allmänna krav för algoritmisk handel. Genom ändringarna genomförs artikel 17.1 i MiFID II, i lydelsen enligt artikel 6.2 a i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett värdepappersinstituts handelssystem ska uppfylla de krav på IKT-riskhantering som anges i DORAförordningen.

I tredje stycket förtydligas att ett värdepappersinstituts arrangemang för kontinuerlig drift av verksamheten ska uppfylla kraven i DORA-förordningen. Detta gäller krav på IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner för informations- och kommunikationsteknik. Även i detta fall anges de närmare kraven i DORA-förordningen. Det förtydligas även att ett institut ska se till att handelssystemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i dels första och andra styckena, dels DORA-förordningen. I stycket görs även en redaktionell ändring.

35 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka åtgärder ett värdepappersbolag ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, ersättningssystem och genomlysning samt riktlinjer och instruktioner som avses i 3–8 §§,

2. värdepappersbolags mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

3. de riktlinjer, regler och rutiner ett värdepappersinstitut ska upprätta och tillämpa enligt 9 §,

4. vad ett värdepappersinstitut ska iaktta för att uppfylla skyldigheterna i 11 §,

5. de processer för produktgodkännande och översyn ett värdepappersinstitut ska ha enligt 13 §,

6. den information ett värdepappersinstitut ska lämna enligt 14 § första stycket,

7. de arrangemang ett värdepappersinstitut ska ha för att få information och för att förstå egenskaperna hos finansiella instrument och den fastställda målgruppen för instrumenten enligt 14 § andra stycket,

8. de arrangemang ett värdepappersinstitut som distribuerar finansiella instrument ska ha för urvalet av finansiella instrument och tjänster som erbjuds eller rekommenderas till kunder,

9. kraven för bedömning av kunskap och kompetens enligt 15 §, 10. dokumentation enligt 16 § och hur lång tid dokumentation ska sparas enligt 20 §, och

11. övervakning av handeln och kursbildningen enligt 21 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18.

Hittillsvarande punkt 4 utgår med anledning av ändringen i 10 §.

Punkterna 4–11, hittillsvarande punkterna 5–12, får ny numrering till följd av att hittillsvarande punkt 4 utgår.

13 kap.

1 § En börs ska driva sin verksamhet hederligt, rättvist och professionellt och på ett sätt så att allmänhetens förtroende för värdepappersmarknaden upprätthålls.

När börsen driver en reglerad marknad, ska den tillämpa principerna om

1. fritt tillträde, som innebär att var och en som uppfyller de krav som ställs i denna lag och av börsen får delta i handeln,

2. neutralitet, som innebär att börsens regler för den reglerade marknaden tillämpas på ett likformigt sätt gentemot alla som deltar i handeln, och

3. god genomlysning, som innebär att deltagarna får en snabb, samtidig och korrekt information om handeln och att allmänheten får tillfälle att ta del av sådan information.

En börs ska också

1. identifiera och hantera de risker, inbegripet IKT-risker i enlighet med kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, som kan uppstå i verksamheten, och

2. identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

En börs får inte i sitt regelverk ställa oskäliga krav på emittenter och deltagare vid en reglerad marknad. Vad som utgör ett oskäligt krav ska bedömas med hänsyn till dess ändamål, EU-rätten och övriga omständigheter.

Paragrafen innehåller bestämmelser med allmänna krav på en börs verksamhet. Genom ändringarna genomförs artikel 47.1 b och c i MiFID II, i lydelsen enligt artikel 6.3 a och b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I tredje stycket 1 förtydligas att en börs ska identifiera och hantera IKTrisker i enlighet med de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En börs omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 i och 2.2 i DORA-förordningen).

Hittillsvarande tredje stycket 2, med krav om att en börs ska ha säkra tekniska system, utgår då motsvarande och mer detaljerade krav gäller enligt DORA-förordningen. Nya tredje stycket 2, med krav om intressekonflikter, överensstämmer med hittillsvarande tredje stycket 3.

I fjärde stycket görs en språklig ändring. Ingen ändring avses i sak.

1 a § En börs ska inrätta och upprätthålla en operativ motståndskraft i enlighet med kraven i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554 för att säkerställa att handelssystemen

1. är motståndskraftiga,

2. har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och meddelandevolymer,

3. kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden,

4. är fullständigt testade, och

5. garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handelssystemet, inbegripet en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt

IKT-relaterade åtgärds- och återställningsplaner i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Paragrafen innehåller bestämmelser med krav på en börs handelssystem. Genom ändringarna genomförs artikel 48.1 i MiFID II, i lydelsen enligt artikel 6.4 a i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I paragrafen förtydligas att en börs ska inrätta och upprätthålla en operativ motståndskraft för handelssystemen i enlighet med kraven på IKT-riskhantering i DORA-förordningen. Vidare förtydligas i punkt 5 att en börs ska ha en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner i enlighet med de krav som anges i DORA-förordningen.

1 d § En börs ska inrätta effektiva system, förfaranden och arrangemang för att säkerställa att deltagare som använder algoritmiska handelssystem på en reglerad marknad som börsen driver inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och för att kunna hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av användningen av sådana algoritmiska handelssystem.

I de förfaranden som avses i första stycket ska det ingå

1. krav på deltagarna att utföra lämpliga tester av algoritmer och att tillhandahålla miljöer för att underlätta sådana tester, i enlighet med kraven i kapitlen II och

IV i Europaparlamentets och rådets förordning (EU) 2022/2554,

2. system för att begränsa andelen inte utförda order i förhållande till transaktionerna som kan läggas in i systemet av en deltagare,

3. system för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att taket för systemkapaciteten uppnås, och

4. system för att begränsa och upprätthålla den minsta prisändring som får tillämpas på den reglerade marknaden.

Paragrafen innehåller bestämmelser för en börs algoritmiska handelssystem. Genom ändringen genomförs artikel 48.6 i MiFID II, i lydelsen enligt artikel 6.4 b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I andra stycket anges krav på de förfaranden som en börs ska inrätta för att inte deltagare som använder algoritmiska handelssystem ska kunna skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och

för att börsen ska kunna hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av användningen av algoritmiska handelssystem. Genom ändringen i andra stycket 1 förtydligas att kraven om att deltagarna ska utföra lämpliga tester av algoritmer och tillhandahålla miljöer för att underlätta att sådana tester omfattar kraven inom dessa områden enligt DORA-förordningen.

25 kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i ett svenskt värde-

pappersinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepappersinstitutet har åsidosatt sina skyldigheter enligt

1. 5 kap. 1, 3, 6 eller 7 §,

2. 6 kap. 1, 4 eller 6 §,

3. någon av 8 kap. 8 e eller 9–34 §§eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

4. någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

5. någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

6. någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

7. någon av 15 a kap. 7, 8 eller 10–14 §§,

8. 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §,

9. 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §, eller

10. någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett värdepappersinstitut. Övervägandena finns i avsnitt 10.3.

I punkt 3 görs en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkterna 4–11.

Genom punkt 10, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett värdepappersinstitut om institutet har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORAförordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Övriga ändringar är redaktionella.

1 e § Finansinspektionen ska ingripa mot någon som ingår i en börs styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om börsen

1. har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i företaget eller kvarstå i företaget trots att kraven i 12 kap. 2 § 4 eller 5 eller någon av 6 b–6 d §§ inte är uppfyllda,

3. har åsidosatt sina skyldigheter enligt

a) 8 kap. 21 § eller föreskrifter som meddelats med stöd av 8 kap. 35 § 11,

b) någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

c) 12 kap. 6 e, 7 eller 10 § eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 12 kap. 11 § 2–4,

d) någon av 13 kap. 1–2, 6–7 a eller 9 §§ eller 12 § femte stycket eller föreskrifter som meddelats med stöd av 13 kap. 17 § 1,

e) 14 kap. 1, 2 eller 3 §,

f) 15 kap. 1, 2, 5, 9 eller 10 §,

g) någon av 15 a kap. 7, 8 eller 10–12 §§,

h) 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 eller 3 §, eller

i) 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § andra stycket, 3 § första stycket eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §,

4. i strid med 24 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

5. i strid med 24 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i företaget samt storleken på innehaven, eller

6. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Om en sådan person som avses i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 24 kap. 1 eller 4 § för förvärv eller avyttring av aktier eller andelar i företaget, ska första stycket 4 och 5 inte gälla för den personen i fråga om dessa aktier eller andelar.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en börs. Övervägandena finns i avsnitt 10.3.

I första stycket 3 a görs det en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkterna 4–11.

Genom punkt 6, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en börs om börsen har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Övriga ändringar är redaktionella.

1 i §

Finansinspektionen ska ingripa mot någon som ingår i en central motparts

styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om den centrala motparten har åsidosatt sina skyldigheter enligt förordningen om återhämtning och resolution av centrala motparter genom att inte

1. utarbeta, upprätthålla och uppdatera en återhämtningsplan (artikel 9),

2. tillhandahålla nödvändiga uppgifter för att utarbeta resolutionsplan (artikel 13), eller

3. underrätta Finansinspektionen om att den centrala motparten fallerar eller sannolikt kommer att fallera (artikel 70.1).

Finansinspektionen ska även ingripa mot en sådan fysisk person som avses i första stycket om den centrala motparten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en central motpart, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift. Ett ingripande enligt första eller andra stycket får ske bara om den centrala motpartens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en central motpart. Övervägandena finns i avsnitt 10.3.

Genom andra stycket, som är nytt, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en central motpart om motparten har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORAförordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

I tredje stycket, hittillsvarande andra stycket, görs språkliga ändringar. Inga ändringar avses i sak.

I fjärde stycket, hittillsvarande tredje stycket, görs en följdändring med anledningen av att det införs ett nytt andra stycke i paragrafen.

1 j §

Finansinspektionen ska ingripa mot någon som ingår i en leverantör av

datarapporteringstjänsters styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om leverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ingripande sker genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en leverantör av datarapporteringstjänster, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift. Ett ingripande får ske bara om Finansinspektionen har tillsyn över leverantören av datarapporteringstjänster och om leverantörens överträdelse är allvarlig och

den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot en företrädare för en leverantör av datarapporteringstjänster. Paragrafen införs till följd av artikel 50.5 i DORA-förordningen och är utformad efter förebild av 1 b § och 1 c § andra stycket. Övervägandena finns i avsnitt 10.3.

Genom bestämmelsen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en leverantör av datarapporteringstjänster vid en sådan leverantörs överträdelse av DORA-förordningen.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse kan leda till ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i styrelsen för en leverantör av datarapporteringstjänster, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i leverantör av datarapporteringstjänster eller ersättare för någon av dem. Denna tid ska vara lägst tre år och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 2 och 2 a §§. Bestämmelser om sanktionsavgift finns i 9 a och 10 §§.

Genom tredje stycket begränsas Finansinspektionens möjlighet att ingripa mot en företrädare för en leverantör av datarapporteringstjänster. Finansinspektionen får bara ingripa om inspektionen har tillsyn över leverantören. Bestämmelser om Finansinspektionens tillsyn och dess omfattning finns i 23 kap. 1 §. Av den paragrafen framgår att Finansinspektionens tillsyn över leverantörer av datarapporteringstjänster bara omfattar sådana svenska APA-leverantörer och ARM-leverantörer för vilka inspektionen i egenskap av behörig myndighet ansvarar för tillståndsgivning och tillsyn enligt Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (se även prop. 2020/21:24 s. 4041). Av 10 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande. För att ett ingripande ska kunna komma i fråga krävs även dels att leverantören av datarapporteringstjänsters överträdelse är allvarlig, dels att den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller enligt t.ex. 1 c § första stycket och 1 g § första stycket denna lag och 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn (se även författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn och prop. 2014/15:57 s. 4043 och prop. 2016/17:162 s. 540542

10 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt någon av 1 a, 1 b, 1 d–1 f, 1 i, 1 j, 15 a eller 15 b §§ tas upp av Finansinspektionen genom sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande enligt 1 c § andra stycket, 1 d § fjärde stycket, 1 i § tredje stycket eller 1 j § andra stycket som är bestämt till tid eller belopp eller enligt 1 g § andra stycket eller 15 c § andra stycket som är bestämt till belopp.

När föreläggandet har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för bl.a. ett svenskt värdepappersinstitut. Övervägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya bestämmelsen om ingripande mot en företrädare för en leverantör av datarapporteringstjänster (se 1 j § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som gäller för ingripanden mot företrädare för andra finansiella entiteter, t.ex. ett svenskt värdepappersinstitut, vid överträdelser av DORA-förordningen. I stycket görs även en följdändring med anledning av ändringarna i 1 i §.

Även i andra stycket görs ett tillägg för den nya bestämmelsen om ingripande mot en företrädare för en leverantör av datarapporteringstjänster (1 j §). Ett sanktionsföreläggande ska även vid överträdelser av DORA-förordningen innebära att företrädaren föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. Också detta överensstämmer med det som gäller för ingripanden mot företrädare för andra finansiella entiteter, t.ex. ett svenskt värdepappersinstitut, vid överträdelser av DORA-förordningen. I stycket görs, liksom i första stycket, en följdändring med anledning av ändringarna i 1 i §.

15 a Finansinspektionen ska ingripa mot den eller de personer som har ansvaret

för ledningen av en filial till ett sådant företag som anges i 15 §, om företaget

1. har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2. har tillåtit en person som har ansvaret för ledningen av filialen att åta sig ett sådant uppdrag i filialen eller att kvarstå i detta trots att kraven i 4 kap. 4 § 5 eller i föreskrifter som meddelats med stöd av 3 kap. 12 § 2 inte är uppfyllda, eller

3. har åsidosatt sina skyldigheter enligt

a) någon av 8 kap. 9–20 eller 21–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

b) någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–30, 31–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

c) någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

d) någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

e) 22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §, eller

f) 23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som

meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för ett utländskt företag som hör hemma utanför EES och som driver värdepappersrörelse från filial i Sverige.

I punkt 3 a görs en görs en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkterna 4–11.

Hänvisningar till S22-8

22.9. Förslaget till lag om ändring i lagen (2010:751) om betaltjänster

5 b kap.

1 § En betaltjänstleverantör ska ha ett system med lämpliga åtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som den tillhandahåller. Inom ramen för detta system ska betaltjänstleverantören reglera hur incidenter ska hanteras.

För betaltjänstleverantörer som omfattas av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 gäller även kapitel II i den förordningen.

Paragrafen innehåller bestämmelser om en betaltjänstleverantörs system för hantering av operativa risker och säkerhetsrisker. Genom ändringen genomförs artikel 95.1 i betaltjänstdirektivet, i lydelsen enligt artikel 7.4 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I det nya andra stycket förtydligas att en betaltjänstleverantör som omfattas av DORA-förordningen, dvs. ett kreditinstitut, ett betalningsinstitut, en leverantör av kontoinformationstjänster eller ett institut för elektroniska pengar, även ska uppfylla de krav på hantering av IKT-risker som anges i förordningen. Genom DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). De betaltjänstleverantörer som omfattas av DORAförordningen är även finansiella entiteter enligt förordningen (artikel 2.1 a, b och d och 2.2 i DORA-förordningen).

3 § En betaltjänstleverantör ska så snart det kan ske underrätta Finansinspektionen om en allvarlig operativ incident eller säkerhetsincident som uppkommit i verksamheten. Finansinspektionen ska så snart det kan ske informera Riksbanken, andra berörda svenska myndigheter, Europeiska bankmyndigheten och Europeiska centralbanken.

Om incidenten påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen, ska betaltjänstleverantören så snart det kan ske informera användarna om incidenten och om de åtgärder som kan vidtas för att begränsa risken för skada.

Första och andra styckena gäller inte för betaltjänstleverantörer som omfattas av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554.

Paragrafen innehåller bl.a. bestämmelser om att en betaltjänstleverantör i vissa fall ska underrätta Finansinspektionen och informera betaltjänstanvändare om operativa incidenter eller säkerhetsincidenter. Genom ändringen genomförs artikel 96.7 i betaltjänstdirektivet, i lydelsen enligt artikel 7.5 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I det nya tredje stycket förtydligas att bestämmelserna om underrättelser till Finansinspektionen och information till betaltjänstanvändare (första och andra styckena) inte ska gälla för betaltjänstleverantörer som omfattas av DORA-förordningen, t.ex. kreditinstitut (se författningskommentaren till 1 § för vilka betaltjänstleverantörer som omfattas av DORA-förordningen). För sådana betaltjänstleverantörer gäller i stället motsvarande bestämmelser om underrättelser och information i DORA-förordningen (se t.ex. artikel 19). Första och andra styckena kommer i och med ändringen i första hand att gälla för de statliga och kommunala myndigheter och postgiroinstitut som är att anse som betaltjänstleverantörer.

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. hur ett system enligt 1 § första stycket ska utformas,

2. vilka upplysningar en betaltjänstleverantör ska lämna enligt 2 § samt hur och när uppgifterna ska lämnas,

3. vad som utgör en allvarlig operativ incident eller säkerhetsincident enligt 3 § första stycket,

4. hur bedömningen av om en incident påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen enligt 3 § andra stycket ska göras, och

5. hur betaltjänstanvändarna ska informeras enligt 3 § andra stycket.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18.

I punkt 1 görs en följdändring med anledning av ändringen i 1 §. Bemyndigandet omfattar därmed inte krav som rör en betaltjänstleverantörs hantering av IKT-risker (se 1 § och författningskommenteraren till den paragrafen).

8 kap.

8 b § Finansinspektionen ska ingripa mot någon som ingår i betalningsinstitutets

styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett betalningsinstitut, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot företrädare för betalningsinstitut. Den införs till följd av artikel 50.5 i

DORA-förordningen och är utformad efter förebild av 25 kap. 1 b och 1 c §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett betalningsinstitut vid ett sådant instituts överträdelser av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för betalningsinstitut, dvs. ett aktiebolag eller en ekonomisk förening som har fått tillstånd att tillhandahålla betaltjänster enligt 2 kap. (se 1 kap. 4 §). För ingripanden mot företrädare för en registrerad betaltjänstleverantör, dvs. en betaltjänstleverantör som undantagits från krav på tillstånd, se 23 b §.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i betalningsinstitutets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att institutets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller för ett ingripande mot en företrädare för en leverantör av datarapporteringstjänster (se 25 kap. 1 k § lagen om värdepappersmarknaden och författningskommentaren till den paragrafen i avsnitt 23.8).

I tredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i ett betalningsinstitut eller ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 9 och 9 a §§ och bestämmelser om sanktionsavgift i 15 b och 16 §§.

Av 16 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

9 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om

1. en överträdelse är ringa eller ursäktlig,

2. betalningsinstitutet gör rättelse eller om den fysiska personen i betalningsinstitutets ledning verkat för att institutet gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen i betalningsinstitutets ledning som bedöms vara tillräckliga.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid valet av ingripande mot ett betalningsinstitut. Paragrafen ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5.

I andra stycket görs ett tillägg för den nya bestämmelsen om ingripande mot företrädare för betalningsinstitut vid överträdelser av DORA-förordningen (se 8 b § och författningskommentaren till den paragrafen). Finansinspektionen får i och med det även vid överträdelser av DORA-förordningen i vissa fall avstå från ett ingripande.

16 a § Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av

Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för betalningsinstitut. Övervägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya bestämmelsen om ingripande mot företrädare för betalningsinstitut vid överträdelser av DORA-förordningen (se 8 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för betalningsinstitut (se 8 a §).

23 b §

Finansinspektionen ska ingripa mot någon som ingår i en registrerad

betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade betaltjänstleverantörens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en registrerad betaltjänstleverantör, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot företrädare för registrerade betaltjänstleverantörer. Paragrafen ändras till följd av artikel 50.5 i DORA-förordningen. Övervägandena finns i avsnitt 10.3.

I första och andra stycket görs en språklig ändring. Ingen ändring avses i sak.

Genom det nya tredje stycket införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en registrerad betaltjänstleverantör vid en sådan leverantörs överträdelse av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för registrerade betaltjänstleverantörer, dvs. en betaltjänstleverantör som undantagits från krav på tillstånd enligt 2 kap. 3 § (se 1 kap. 4 §). För ingripanden mot företrädare för ett betalningsinstitut, dvs. ett aktiebolag eller en ekonomisk förening som har fått tillstånd att tillhandahålla betaltjänster, se 8 b §. Finansinspektionen får bara ingripa om betaltjänstleverantören har överträtt de bestämmelser som särskilt anges. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

I fjärde stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. Utöver det som anges i tredje stycket krävs för ett ingripande dels att betaltjänstleverantörens, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn i avsnitt 23.1.

Av 23 c § följer att 15 b § om sanktionsavgifter för fysiska personer och 16 a § om sanktionsföreläggande gäller vid beslut om ingripande och 18–20 §§ i fråga om verkställighet av beslut om sanktionsavgifter. Av 23 d § följer att Finansinspektionen, vid valet av åtgärd och sanktion, ska ta hänsyn till de omständigheter som anges i 9 § första stycket, 9 a § och 16 §.

I det nya femte stycket, hittillsvarande tredje stycket, görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

Hänvisningar till S22-9

22.10. Förslaget till lag om ändring i försäkringsrörelselagen (2010:2043)

10 kap.

3 § Ett försäkringsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna bedrivas med kontinuitet och i enlighet med gällande regler. Nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett försäkringsföretag ska ha en beredskapsplan.

Paragrafen innehåller bestämmelser om kontinuitet i verksamheten för ett försäkringsföretag. Genom ändringen genomförs artikel 41.4 i Solvens IIdirektivet, i lydelsen enligt artikel 2.1 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett försäkringsföretags nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella

entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett försäkringsföretag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 n och 2.2 i DORAförordningen).

11 kap.

1 § För försäkringsaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om försäkringsaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

3.24 kap. 47 § aktiebolagslagen, och

4.24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för försäkringsaktiebolag.

Av paragrafen framgår vilka associationsrättsliga bestämmelser som gäller för försäkringsaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

18 kap.

1 b § Finansinspektionen ska ingripa mot någon som ingår i försäkringsföretagets

styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen, som är ny, innehåller bestämmelser om ingripanden mot företrädare för försäkringsföretag. Den införs till följd av artikel 50.5 i DORAförordningen och är utformad efter förebild av bl.a. 25 kap. 1 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett försäkringsföretag vid ett försäkringsföretags överträdelser av DORA-förordningen.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk

hänvisning. Finansinspektionen ska kunna ingripa mot företrädare som ingår i försäkringsföretagets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att försäkringsföretagets, dvs. den juridiska personens, överträdelse är av allvarligt slag, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Av 18 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

2 a § Ett ingripande enligt 1 a eller 1 b § får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket och 1 b § första stycket i ett försäkringsföretag, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot en företrädare för ett försäkringsföretag och ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.3.

I paragrafen görs tillägg för den nya paragrafen om ingripande mot företrädare för försäkringsföretag vid överträdelser av DORA-förordningen (se 1 b § och författningskommentaren till den paragrafen). Också vid sådana överträdelser ska ett ingripande ske genom ett beslut om att företrädaren inte får inneha en ledande ställning i ett försäkringsföretag eller ett beslut om sanktionsavgift. I paragrafen görs även en redaktionell och språklig ändring.

18 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a eller 1 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för försäkringsföretag. Övervägandena finns i avsnitt 8.3.

I första stycket görs ett tillägg för den nya paragrafen om ingripanden mot företrädare för försäkringsföretag vid överträdelser av DORA-förordningen (se 1 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för försäkringsföretag (se 1 a §).

21 kap.

1 § Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sammankallande av styrelse eller stämma enligt 17 kap. 13 § första stycket,

2. beslut om sanktionsföreläggande enligt 18 kap. 18 a §,

3. beslut om föreläggande att den som driver rörelsen ska lämna de upplysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 18 kap. 25 § andra stycket,

4. beslut om begäran att den som är revisor i ett företag ska lämna sådana upplysningar om företagets rörelse enligt 18 kap. 25 § andra stycket, eller

5. beslut om förordnande av sakkunnig enligt – 11 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 11 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller – 11 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen .

Paragrafen innehåller bestämmelser om att vissa beslut av Finansinspektionen inte får överklagas. Övervägandena finns i avsnitt 19.1.

Paragrafen ändras så att Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusion, delning eller ombildning inte får överklagas. Finansinspektionen kan förordna en sakkunnig om det vid handläggningen uppkommer en fråga som kräver särskild fackkunskap (se t.ex. 23 kap. 45 b § aktiebolagslagen och 11 kap. 1 § denna lag). Sökanden ska ersätta inspektionen för kostnaden för den sakkunniga. Finansinspektionens beslut om betalningsskyldighet kan överklagas enligt den allmänna överklagandebestämmelsen (3 §). Vid överklagande av ett sådant beslut kan, utöver det debiterade beloppets skälighet, även prövas huruvida det var motiverat att förordna en sakkunnig. I paragrafen görs även redaktionella och språkliga ändringar då det införs en punktlista. Motsvarande ändringar görs i 17 kap. 1 § lagen (2004:297) om bank och finansieringsrörelse och 17 kap. 1 § lagen (2019:742) om tjänstepensionsföretag (se de paragraferna och tillhörande författningskommentarer i avsnitt 23.7 och 23.14).

Hänvisningar till S22-10

22.11. Förslaget till lag om ändring i lagen (2011:755) om elektroniska pengar

5 kap.

8 b § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för institutet

för elektroniska pengar eller är dess verkställande direktör, eller ersättare för någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett institut för elektroniska pengar, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot företrädare för institut för elektroniska pengar. Den införs till följd av artikel 50.5 i DORA-förordningen och är utformad efter förebild av 25 kap. 1 b och 1 c §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett institut för elektroniska pengar vid ett sådant instituts överträdelse av DORA-förordningen. Paragrafen gäller för ingripanden mot företrädare för ett institut för elektroniska pengar, dvs. ett svenskt aktiebolag eller en svensk ekonomisk förening som har fått tillstånd att ge ut elektroniska pengar (1 kap. 2 § 7). För ingripanden mot företrädare för en registrerade utgivare, dvs. en svensk juridisk person som beviljats undantag från kravet på tillståndsplikt enligt 1 kap. 1 § (1 kap. 4 §), se 23 b §.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i institutets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att institutets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I tredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i ett institut för elektroniska pengar eller ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 9 och 9 a §§ och bestämmelser om sanktionsavgift i 15 b och 16 §§.

Av 16 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

9 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om

1. en överträdelse är ringa eller ursäktlig,

2. institutet för elektroniska pengar gör rättelse eller om den fysiska personen verkat för att institutet gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen som bedöms vara tillräckliga.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid valet av ingripande mot ett institut för elektroniska pengar och ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5.

I andra stycket görs ett tillägg för den nya paragrafen om ingripande mot företrädare för institut för elektroniska pengar vid överträdelser av DORAförordningen (se 8 b § och författningskommentaren till den paragrafen). Finansinspektionen får i och med det även vid överträdelser av DORAförordningen i vissa fall avstå från ett ingripande.

16 a § Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av

Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap.9 a9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för institut för elektroniska pengar. Övervägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya paragrafen om ingripanden mot företrädare för institut för elektroniska pengar vid överträdelser av DORA-förordningen (se 8 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en verkställande direktör, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för institut för elektroniska pengar.

23 b § Finansinspektionen ska ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har befunnits ansvarig för överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av

Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, systematisk eller upprepad och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade utgivarens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en utgivare av elektroniska pengar, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot företrädare för registrerade utgivare och ändras till följd av artikel 50.5 i DORAförordningen. Övervägandena finns i avsnitt 10.3.

I första och andra stycket görs en språklig ändring. Ingen ändring avses i sak.

Genom det nya tredje stycket införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en registrerad utgivare vid en sådan utgivares överträdelse av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för en registrerade utgivare, dvs. en svensk juridisk person som beviljats undantag från kravet på tillståndsplikt enligt 1 kap. 1 § (1 kap. 4 §). För ingripanden mot företrädare för ett institut för elektroniska pengar, dvs. ett svenskt aktiebolag eller en svensk ekonomisk förening som har fått tillstånd att ge ut elektroniska pengar, se 8 b §. Finansinspektionen får bara ingripa om den registrerade utgivaren har överträtt de bestämmelser som särskilt anges. Hänvisningen till DORAförordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Ett ingripande får då ske mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem.

I fjärde stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. Utöver det som anges i tredje stycket krävs för ett ingripande dels att den registrerade utgivarens, dvs. juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Av 23 c § följer att 15 b § om sanktionsavgifter för fysiska personer och 16 a § om sanktionsföreläggande gäller vid beslut om ingripande och 18–20 §§ i fråga om verkställighet av beslut om sanktionsavgifter. Av 23 d § följer att Finansinspektionen, vid valet av åtgärd och sanktion, ska ta hänsyn till de omständigheter som anges i 9 § första stycket, 9 a § och 16 §.

I det nya femte stycket, hittillsvarande tredje stycket, görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

Hänvisningar till S22-11

22.12. Förslaget till lag om ändring i lagen (2013:561) om förvaltare av alternativa investeringsfonder

8 kap.

2 § En AIF-förvaltare ska ha sunda rutiner för

1. förvaltning av verksamheten och redovisning,

2. drift och förvaltning av sina nätverks- och informationssystem, och

3. intern kontroll.

Rutinerna enligt första stycket 2 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

AIF-förvaltaren ska särskilt

1. upprätta och tillämpa regler för anställdas egna transaktioner,

2. upprätta och tillämpa regler för investeringar som görs för förvaltarens egen räkning,

3. ha rutiner för att kunna säkerställa att varje transaktion som genomförs för en alternativ investeringsfonds räkning är möjlig att rekonstruera i efterhand med avseende på dess ursprung, art, parter, tidpunkt och plats, samt

4. ha rutiner för att säkerställa att tillgångarna i de alternativa investeringsfonder som förvaltaren förvaltar investeras i enlighet med denna lag och andra författningar som reglerar verksamheten eller lagstiftningen i det land där fonden är etablerad samt fondbestämmelser, bolagsordning eller motsvarande regelverk.

Paragrafen innehåller bestämmelser om organisatoriska krav för en AIFförvaltare. Genom ändringen genomförs artikel 18.1 i AIFM-direktivet, i lydelsen enligt artikel 3 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket 2 förtydligas att kraven på sunda rutiner för drift och förvaltning gäller både nätverks- och informationssystem. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En AIF-förvaltare omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 k och 2.2 i DORA-förordningen). AIF-förvaltare vars alternativa investeringsfonders sammanlagda tillgångar inte överstiger vissa tröskelvärden, s.k. registrerade AIF-förvaltare, omfattas dock vare sig av DORA-förordningen eller denna paragraf (se artikel 2.3 a i DORA-förordningen och 2 kap. 1 § första stycket).

I det nya andra stycket förtydligas att rutinerna för en AIF-förvaltares drift och förvaltning av nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förordningen. En motsvarande ändring görs för fondbolag i lagen (2004:46) om värdepappersfonder (se 2 kap. 17 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.6).

Den nya tredje stycket överensstämmer med hittillsvarande andra stycket.

14 kap.

1 b § Finansinspektionen ska ingripa mot någon som ingår i en AIF-förvaltares

ledning eller styrelse eller är förvaltarens verkställande direktör eller motsvarande, eller ersättare för någon av dem, om förvaltaren har åsidosatt sina skyldigheter enligt någon av artiklarna artikel 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om AIF-förvaltarens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket i en AIF-förvaltare, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot företrädare för AIF-förvaltare. Den införs till följd av artikel 50.5 i DORAförordningen och är utformad efter förebild av 1 a §. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en AIF-förvaltare vid en sådan förvaltares överträdelser av DORA-förordningen.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot en företrädare som ingår i en AIF-förvaltares styrelse eller är förvaltarens verkställande direktör eller ersättare för någon av dem. När det gäller AIF-förvaltare kan verksamheten bedrivas i en form som inte omfattas av krav på att utse styrelse eller verkställande direktör, t.ex. handelsbolag. I ett sådant fall får inspektionen ingripa mot förvaltarens ledning och verkställande direktör eller motsvarande, t.ex. en bolagsman i ett handelsbolag. Avgörande är om företrädaren själv eller som ledamot i ett kollektivt beslutsorgan på den högsta ledningsnivån kan fatta ett beslut som är bindande för den juridiska personen (jfr prop. 2012/13:155 s. 509 och prop. 2016/17:173 s. 641).

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att AIFförvaltarens, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I tredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut att den fysiska personen i fråga under en viss tid inte får upprätthålla en funktion som avses i första stycket. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa två ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 2 och 2 a §§ och bestämmelser om sanktionsavgift i 12 a och 13 §§.

Av 13 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

13 a § Frågor om ingripanden mot fysiska personer enligt 1 a, 1 b eller 9 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 12 kap.9 a9 d §§ lagen (2004:46) om värdepappersfonder.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för AIF-förvaltare. Övervägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya paragrafen om ingripanden mot företrädare för AIF-förvaltare (se 1 b § och författningskommentaren

till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en verkställande direktör, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för AIF-förvaltare.

Hänvisningar till S22-12

22.13. Förslaget till lag om ändring i lagen (2018:1219) om försäkringsdistribution

9 kap.

2 § Finansinspektionen ska ingripa mot någon som ingår i en svensk försäkringsförmedlares styrelse, är dess verkställande direktör eller på motsvarande sätt företräder försäkringsförmedlaren, eller är ersättare för någon av dem, om försäkringsförmedlaren

1. bedriver försäkringsdistribution i Sverige och inte uppfyller kraven på tillstånd eller registrering i 2 kap.,

2. har fått tillstånd att bedriva försäkringsdistribution genom att lämna falska uppgifter eller på annat otillbörligt sätt,

3. för distribution av försäkringar använder någon som inte har rätt att bedriva försäkringsdistribution eller att distribuera sådana försäkringar som distributionen avser,

4. har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §,

5. har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som meddelats med stöd av den lagen, eller

6. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att personen i fråga under en viss tid, dock lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en försäkringsdistributör, eller

2. beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en försäkringsförmedlare. Övervägandena finns i avsnitt 10.3.

Genom första stycket 6, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en försäkringsförmedlare, t.ex. som styrelseledamot, om förmedlaren har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar är redaktionella och språkliga. Inga ändringar avses i sak.

I andra stycket görs redaktionella och språkliga ändringar. Inga ändringar avses i sak.

4 § Ett ingripande enligt 2 § första stycket 1–5 eller 3 § får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ett ingripande enligt 2 § första stycket 6 får ske bara om överträdelsen är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

I paragrafen anges särskilda krav för ingripande mot en företrädare för en försäkringsförmedlare. Ändringen görs till följd av artikel 50.5 i DORAförordningen. Övervägandena finns i avsnitt 10.3.

De grundläggande förutsättningarna för ett ingripande mot en företrädare för en försäkringsförmedlare vid en förmedlares överträdelse av DORA-förordningen anges i 2 §.

I första stycket görs en ändring med anledning av den nya bestämmelsen om ingripanden mot företrädare för försäkringsförmedlare (se 2 § första stycket 6 och författningskommentaren till den paragrafen).

I andra stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. För att ett ingripande ska kunna komma i fråga krävs, utöver det som anges i 2 §, dels att försäkringsförmedlarens överträdelse är allvarlig, dels att den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller enligt t.ex. 25 kap. 1 c § första stycket och 1 g § första stycket lagen om värdepappersmarknaden (se även prop. 2014/15:57 s. 4043 och prop. 2016/17:162 s. 540542). För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn i avsnitt 23.1.

Hänvisningar till S22-13

22.14. Förslaget till lag om ändring i lagen (2019:742) om tjänstepensionsföretag

9 kap.

2 § Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler. Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler. Nätverks- och informationssystem ska uppfylla kraven i

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett tjänstepensionsföretag ska ha en beredskapsplan.

Paragrafen innehåller bestämmelser om kontinuitet i verksamheten för ett tjänstepensionsföretag. Genom ändringen genomförs delvis artikel 21.5 i andra tjänstepensionsdirektivet, i lydelsen enligt artikel 8 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett tjänstepensionsföretags nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella

entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett tjänstepensionsföretag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 p och 2.2 i DORA-förordningen). En motsvarande ändring görs för pensionsstiftelser i lagen (1967:531) om tryggande av pensionsutfästelse m.m. (se 16 g § den lagen och författningskommentaren till den paragrafen i avsnitt 23.2).

10 kap.

1 § För tjänstepensionsaktiebolag gäller bestämmelserna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller av sådana bestämmelser i försäkringsrörelselagen (2010:2043) som det hänvisas till i denna lag. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag eller i försäkringsrörelselagen som gäller i stället för eller utöver aktiebolagslagen.

I fråga om tjänstepensionsaktiebolag ska det som sägs om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1. 8 kap. 9 och 30 §§ och 37 § andra stycket aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

3.24 kap. 47 § aktiebolagslagen, och

4.24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för tjänstepensionsaktiebolag.

Av paragrafen framgår vilka associationsrättsliga bestämmelser som gäller för tjänstepensionsaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

15 kap.

Ingripande mot tjänstepensionsföretag och vissa fysiska personer

1 a § Finansinspektionen ska ingripa mot någon som ingår i tjänste-

pensionsföretagets styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen, som är ny, innehåller bestämmelser om ingripanden mot företrädare för tjänstepensionsföretag. Den införs till följd av artikel 50.5 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 1 a § i lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett tjänstepensionsföretag vid ett tjänstepensionsföretags överträdelser av DORA-förordningen.

I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen kan ingripa mot företrädare som ingår i tjänstepensionsföretagets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att tjänstepensionsföretagets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Av 18 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

2 a § Ett ingripande enligt 1 a § får ske genom en eller båda av följande

sanktioner:

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket i ett tjänstepensionsföretag, eller

2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om hur Finansinspektionen ska ingripa mot en företrädare för ett tjänstepensionsföretag. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av 18 kap. 2 a § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.3.

Ett ingripande mot en företrädare för ett tjänstepensionsföretag får enligt punkt 1 ske genom ett beslut om att företrädaren under en viss tid inte får vara styrelseledamot eller verkställande direktör, eller är ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift, punkt 2. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 3 och 4 §§. Bestämmelser om sanktionsavgift finns i 17 a §.

3 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

I försvårande riktning ska det beaktas om tjänstepensionsföretaget tidigare har begått en överträdelse eller om den fysiska personen tidigare orsakat en sådan överträdelse.

I förmildrande riktning ska det beaktas om

1. företaget eller den fysiska personen i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2. företaget snabbt har upphört med överträdelsen, eller den fysiska personen snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid ett ingripande mot ett tjänstepensionsföretag och ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5.

Genom den nya 1 a § införs en möjlighet för Finansinspektionen att ingripa mot vissa företrädare för tjänstepensionsföretag, dvs. vissa fysiska personer med en ledande ställning i ett tjänstepensionsföretag. I 1 a § anges vilka företrädare det rör sig om. Även en sådan företrädares agerande ska beaktas vid valet av ingripande.

I och med ändringen i andra stycket ska Finansinspektionen i försvårande riktning också beakta om företrädaren tidigare har orsakat en överträdelse.

I tredje stycket anges förmildrande omständigheter. Det kan i och med ändringen också vara att företrädaren har underlättat Finansinspektionens utredning, tredje stycket 1, eller verkat för att överträdelsen ska upphöra, tredje stycket 2.

Uppräkningen av försvårande och förmildrande omständigheter är inte uttömmande utan även andra omständigheter kan beaktas (jfr prop. 2018/19:158 s. 767).

4 § Finansinspektionen får avstå från ingripande om

1. en överträdelse är ringa eller ursäktlig,

2. tjänstepensionsföretaget gör rättelse eller om den fysiska personen verkat för att företaget gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot företaget eller den fysiska personen och dessa åtgärder bedöms tillräckliga.

Paragrafen reglerar när Finansinspektionens får avstå från ett ingripande. Övervägandena finns i avsnitt 10.5.

Genom den nya 1 a § införs en möjlighet för Finansinspektionen att ingripa mot vissa företrädare för tjänstepensionsföretag. Liksom annars gäller vid en överträdelse ska Finansinspektionen i vissa kunna avstå från ett ingripande mot en företrädare. Detta kan i och med ändringen också ske om företrädaren verkat för att tjänstepensionsföretaget gör en rättelse, punkt 2, eller någon annan myndighet redan har vidtagit åtgärder mot företrädaren, punkt 3.

17 a § En sanktionsavgift för en fysisk person ska som högst fastställas till det

högsta av

1. två gånger den vinst som den fysiska personen gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller

2. ett belopp som per den 16 januari 2023 i kronor motsvarade fem miljoner euro.

Avgiften tillfaller staten.

Paragrafen, som är ny, innehåller bestämmelser om storleken på en sanktionsavgift för en fysisk person. Den införs till följd av artikel 50.4 och 50.5 i DORA-förordningen och är utformad efter förebild av 18 kap. 17 b § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.4.

För fysiska personer finns det två alternativa beräkningsmodeller för den högsta sanktionsavgift som får tas ut av en sådan person i de fall som avses i 1 a §. En sanktionsavgift får inte överstiga det högsta av dessa två belopp.

Det första beloppet utgår från den vinst som den fysiska personen har gjort till följd av överträdelsen. Enligt punkt 1 ska beloppet bestämmas till två gånger den vinst som den fysiska personen gjort till följd av överträdelsen, om beloppet går att fastställa. Med vinst som gjorts avses ett nettobelopp som omfattar de vinster som erhållits och de förluster som undvikits, dvs. den fördel som erhållits (jfr prop. 2016/17:162 s. 640).

Det andra beloppet är ett fast belopp. Detta belopp uppgår enligt punkt 2 till ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 5 000 000 euro. För omräkningen mellan euro och svenska kronor, se författningskommentaren till 4 kap. 14 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I andra stycket anges att sanktionsavgiften tillfaller staten. I 18 § finns bestämmelser om vilka omständigheter Finansinspektionen ska beakta när sanktionsavgiftens storlek fastställs.

18 § När sanktionsavgiftens storlek fastställs, ska särskild hänsyn tas till sådana omständigheter som anges i 3 § samt till tjänstepensionsföretagets eller den fysiska personens finansiella ställning och, om det går att fastställa, den vinst som gjorts till följd av regelöverträdelsen.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid fastställande av sanktionsavgiftens storlek. Den ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.4.

Genom den nya 1 a § införs en möjlighet att ingripa mot vissa företrädare för tjänstepensionsföretag. Finansinspektionen kan vid fastställande av en sanktionsavgift mot en sådan företrädare i och med ändringen också ta hänsyn till företrädarens finansiella ställning.

Sanktionsföreläggande

18 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a §

tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap. 9 a 9 d §§ lagen ( 2004:297 ) om bank- och finansieringsrörelse.

Paragrafen, som är ny, innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för tjänstepensionsföretag. Den är utformad efter förebild av 18 kap. 18 a § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.3.

Enligt första stycket ska ett ingripande mot en företrädare för ett tjänstepensionsföretag, t.ex. en verkställande direktör, ske genom ett s.k. sanktionsföreläggande.

Enligt andra stycket ska bestämmelserna om sanktionsföreläggande i 15 kap. 9 a–9 d §§ lagen om bank- och finansieringsrörelse tillämpas också vid ett sådant ingripande som avses i första stycket. Detta överensstämmer med det som gäller vid ett motsvarande ingripande mot en företrädare för ett försäkringsföretag (se 18 kap. 18 a § försäkringsrörelselagen).

20 § En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att beslutet om den har fått laga kraft eller sanktionsföreläggandet godkänts eller inom den längre tid som anges i beslutet.

23 § En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft eller sanktionsföreläggandet godkändes.

Paragraferna innehåller bestämmelser om verkställighet av bl.a. sanktionsavgifter och är utformade efter förebild av 18 kap.20 och 23 §§försäkringsrörelselagen. Övervägandena finns i avsnitt 10.6.

Genom den nya 1 a § införs en möjlighet att ingripa mot vissa företrädare för tjänstepensionsföretag. Paragraferna ändras så att möjligheten att verkställa enligt 20 § och hinder mot verkställighet enligt 23 § även gäller ett godkänt sanktionsföreläggande.

17 kap.

1 § Följande beslut av Finansinspektionen får inte överklagas:

1. beslut om sanktionsföreläggande enligt 15 kap. 18 a §, eller

2. beslut om förordnande av sakkunnig enligt – 10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551) ,

– 10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen , eller – 10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen . Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen innehåller bestämmelser om överkl