SOU 2024:18

Nya regler om cybersäkerhet

Till statsrådet Carl-Oskar Bohlin

Regeringen beslutade den 23 februari 2023 att tillkalla en särskild utredare med uppgift att föreslå de anpassningar av svensk rätt som är nödvändiga för att EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och EU:s direktiv om kritiska entiteters motståndskraft (CER-direktivet) ska kunna genomföras. Uppdraget skulle redovisas ett år senare.

Som särskild utredare förordnades dagen efter juristen Annette Norman.

Anställda som sekreterare i utredningen har varit strategen Andreas Häll från den 27 februari 2023, hovrättsassessorn Nina Nordengren mellan den 15 mars och 30 juni 2023 och därefter som huvudsekreterare, samt seniore analytikern Love de Besche från den 1 september 2023.

Som sakkunniga förordnades den 14 april 2023 rättssakkunniga Lisa Wilander, Försvarsdepartementet, departementssekreteraren Tommy Forsell, Försvarsdepartementet, rättssakkunniga Mathilda Klang, Justitiedepartementet, kanslirådet Anna Stenberg, Finansdepartementet, numera kanslirådet Shafagh Elhami, Finansdepartementet och departementssekreteraren Marina Fransson, Landsbygds- och infrastrukturdepartementet. Shafagh Elhami entledigades den 6 september 2023 och ersattes samma dag av departementssekreteraren Agata Uhlhorn, Finansdepartementet.

Som experter förordnades den 14 april 2023 verksamhetsstrategen Helena Andersson, Myndigheten för samhällsskydd och beredskap (MSB), seniore it- och informationssäkerhetsspecialisten Magnus Bergström, Integritetsskyddsmyndigheten (IMY), handläggaren Martin Carlsson, Statens energimyndighet, professorn Mads Dam, Kungliga Tekniska högskolan (KTH), NIS-informationssäkerhetsinspektören Kristin Eriksson, Transportstyrelsen, seniore juristen Sebastian Fichtel, Finansinspektionen, ingenjören Anders Franzén,

Post- och telestyrelsen (PTS), beredskapshandläggaren Per Gustavsson, Livsmedelsverket, it-säkerhetschefen Lars Hjelm, Försäkringskassan, förbundsjuristen Magnus Ljung, Sveriges Kommuner och Regioner (SKR), juristen Emmelie Pettersén Uggla, Socialstyrelsen, gruppchefen Karin Stoffel, Polismyndigheten och verksjuristen Robert Tolonen Scherman, Säkerhetspolisen. Den 28 april 2023 förordnades handläggaren Linda Avad, Försvarsmakten och verksjuristen Fredrik Qvist, Bolagsverket som experter. Linda Avad entledigades den 18 september och analytikern Erik Hansen, Försvarsmakten, förordnades som expert samma dag. Mathilda Klang entledigades den 16 februari 2024.

Som ledamöter i en till utredningen knuten referensgrupp förordnades fr.o.m. den 14 april 2023 seniora juristen Sarah Berwick, Svenskt vatten, avdelningschefen Johan Billow, Försvarets materielverk (FMV), enhetschefen Cem Göcgören, Affärsverket svenska kraftnät, ansvarige för säkerhet och beredskap Emma Johansson, Energiföretagen, handläggaren inom rymdlägesbild Kristina Pålsson, Rymdstyrelsen, näringspolitiska experten Fredrik Sand, TechSverige, näringspolitiska experten Patrik Sandgren, Teknikföretagen, beredskapshandläggaren Fredrik Toreheim, Naturvårdsverket och juristen Åsa Wiklund Fredström, Kemikalieinspektionen. Fredrik Toreheim entledigades den 21 september 2023 och säkerhetsspecialisten Line Zandén förordnades att ingå i referensgruppen samma dag. Cem Göcgören entledigades den 23 oktober 2023 och säkerhetsskyddspecialisten Elin Devonport Wretman, Affärsverket svenska kraftnät, förordnades att ingå i referensgruppen samma dag. Fredrik Sand entledigades den 22 januari 2024 från uppdraget att ingå i referensgruppen och förordnades att vara expert i utredningen samma dag.

Förordnandet för experterna är personligt. Likväl hänvisar utredningen till expertens myndighet eller motsvarande när det gäller redovisade synpunkter. Experterna och de sakkunniga har i allt väsentligt ställt sig bakom utredningens överväganden och förslag. De särskilda ståndpunkter som enskilda experter och sakkunniga kan ha haft i olika frågor har berörts i texterna eller som möjliga alternativa bedömningar.

Genom tilläggsdirektiv den 11 januari 2024 förlängdes utredningstiden för den del av uppdraget som avser anpassningar med anledning av CER-direktivet (dir. 2024:3).

Utredningen överlämnar härmed delbetänkandet Nya regler om

cybersäkerhet (SOU 2024:18). Uppdragets första del är med detta slut-

fört, men arbetet fortsätter.

Stockholm i mars 2024

Annette Norman

/ Nina Nordengren

Andreas Häll Love de Besche

Sammanfattning

Direktivet

Europaparlamentet och rådet antog den 14 december 2022 två nya EU-direktiv, NIS2-direktivet, se bilaga 3 och CER-direktivet. Utredningen redovisar i detta delbetänkande förslag om införlivning av NIS2-direktivet och kommer att i sitt slutbetänkande i september 2024 att lämna förslag om införlivning av CER-direktivet.

NIS2-direktivet ställer krav på säkerhet i nätverks- och informationssystem. Det ersätter det tidigare NIS-direktivet från 2016, som genomfördes i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Utredningen föreslår att NIS2-direktivet i huvudsak införlivas genom en ny lag, cybersäkerhetslagen och att den tidigare lagen upphävs.

NIS2-direktivet skärper kraven jämfört med det tidigare direktivet för verksamhetsutövare och innehåller bestämmelser om ett mer långtgående samarbete inom unionen. Syftet är att uppnå en högre cybersäkerhet. Det är ett minimidirektiv med innebörd att den svenska lagstiftningen skulle kunna innehålla längre gående skyldigheter. Utredningen föreslår med något undantag inte några skyldigheter utöver vad som följer av direktivet.

Vem omfattas av cybersäkerhetsregleringen?

Det finns två viktiga skillnader mellan gällande lagstiftning och förslaget till cybersäkerhetsreglering. Den första är att cybersäkerhetslagen föreslås omfatta betydligt fler aktörer, eftersom antalet sektorer utökas från sju till 18. Den andra viktiga skillnaden är att kraven kommer att gälla för hela verksamheten inte bara för samhällsviktiga och digitala tjänster.

De sektorer som kommer att omfattas är:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning
  • Digitala leverantörer
  • Forskning

Innebörden är att den som bedriver verksamhet inom någon av sektorerna som utgångspunkt omfattas av kraven i cybersäkerhetsregleringen. Det gäller för såväl offentliga som enskilda verksamhetsutövare.

Som framgår av uppräkningen av sektorer är offentlig förvaltning en egen sektor. Det får till följd att nästan hela den offentliga sektorn omfattas av lagens krav. Utredningen föreslår att cybersäkerhetslagen ska gälla för de flesta statliga myndigheter i Sverige. De som är undantagna är regeringen, Regeringskansliet, myndigheter som lyder under Riksdagen, och domstolar. Detsamma gäller för sammanlagt

16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning.

Vidare omfattas samtliga regioner och kommuner av lagens krav. Undantag gäller enbart för region- eller kommunfullmäktige. Utredningen föreslår också att lärosäten med examenstillstånd ska omfattas av regleringen.

För enskilda verksamhetsutövare gäller som huvudregel ett storlekskrav med innebörd att verksamheten måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagen. Det betyder att små företag som utgångspunkt inte kommer att beröras. Vissa särskilt utpekade enskilda verksamhetsutövare omfattas dock oavsett storlek. Myndigheten för samhällsskydd och beredskap (MSB) kommer också att ha möjlighet att peka ut vissa särskilt kritiska mindre verksamheter. Enskilda verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet, brottsbekämpning eller erbjuder tjänster till myndigheter som gör det, är undantagna.

Därutöver kommer lagen att gälla i begränsad utsträckning för offentliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning, men där den delen inte utgör en väsentlig andel. Motsvarande kommer att gälla för enskilda verksamhetsutövare som bedriver annan verksamhet tillsammans med säkerhetskänslig verksamhet eller brottsbekämpning. För den säkerhetskänsliga delen av verksamheten eller den delen av verksamheten som avser brottsbekämpning kommer det endast att gälla en anmälnings- och uppgiftsskyldighet. Detsamma gäller för verksamheter som redan omfattas av skyldigheter med motsvarande verkan som kraven i cybersäkerhetslagen. Så kommer vara fallet för exempelvis finansiella verksamhetsutövare som omfattas av Dora-förordningen.

Kraven i direktivet

Den nya regleringen ställer krav på verksamhetsutövarna. En verksamhetsutövare som omfattas av lagen ska anmäla sig till sin tillsynsmyndighet och lämna uppgifter om bland annat identitet, kontaktuppgift och verksamhet.

Därutöver ska verksamhetsutövare vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionella i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.

Slutligen gäller en skyldighet för verksamhetsutövare att rapportera betydande incidenter till MSB i egenskap av CSIRT-enhet (se nedan) inom bestämda tidsgränser. Det betyder att en varning ska lämnas inom 24 timmar efter det att verksamhetsutövaren fått kännedom om den betydande incidenten. Vidare ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.

De uppgifter verksamhetsutövarna lämnar till sin tillsynsmyndighet ovan ska myndigheten använda för att klassificera verksamhetsutövarna som väsentliga eller viktiga och registrera dem.

Det ska också finnas ett särskilt register för gränsöverskridande verksamhetsutövare. Registret ska sedan vidarebefordras till MSB i egenskap av gemensam kontaktpunkt (se nedan) som i sin tur ska informera kommissionen.

Tillsyn

I kommittédirektivet anges att systemet för tillsyn bör utgå från den struktur som finns enligt dagens regelverk. Enligt den nu gällande NIS-lagen finns det för varje sektor och för de digitala tjänster som omfattas av lagen en utpekad tillsynsmyndighet som utövar tillsyn över att regelverket följs. Utredningen föreslår att det även fortsatt ska finnas en tillsynsmyndighet för varje sektor. I de sektorer som är oförändrade i förhållande till det första NIS-direktivet är utredningens förslag att befintliga tillsynsmyndigheter fortsätter att ansvara för dessa. Den kompetens som finns hos befintliga tillsynsmyndigheter bör så långt möjligt även nyttjas för de nya sektorer som omfattas av reglering. Flera tillsynsmyndigheter föreslås därför få utökade ansvarsområden. Utredningen föreslår också fem nya tillsynsmyndigheter. Dessa är länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län samt Läkemedelsverket.

Tillsynsmyndigheten ska utöva tillsyn över att cybersäkerhetslagen och föreskrifter som meddelats i anslutning till lagen följs. Tillsynsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att regleringen inte följs.

Verksamhetsutövarna ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen. Tillsynsmyndigheten får om det finns särskilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision och att redovisa resultatet för tillsynsmyndigheten. Tillsynsmyndigheten får också låta genomföra säkerhetsskanningar hos verksamhetsutövare som omfattas av cybersäkerhetslagen.

MSB ska även fortsättningsvis leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

Gemensam kontaktpunkt, CSIRT-enhet och cyberkrishanteringsmyndighet

För att säkerställa gränsöverskridande samarbete ska varje medlemsstat utse en gemensam kontaktpunkt. Den gemensamma kontaktpunkten ska utöva en sambandsfunktion och bland annat lämna sammanfattande rapporter om betydande incidenter, cyberhot och tillbud till Enisa samt underrätta kommissionen och samarbetsgruppen om antalet verksamhetsutövare i Sverige.

Mot bakgrund av att MSB i dag fullgör de uppgifter som följer av att vara gemensam kontaktpunkt samt myndighetens uppgift att stödja och samordna arbetet med samhällets informationssäkerhet anser utredningen att MSB även fortsatt ska vara gemensam kontaktpunkt i Sverige.

Varje medlemsstat ska också utse eller inrätta en eller flera CSIRTenheter (Computer Security Incident Response Team). CSIRT-enheten ska bland annat övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå och tillhandahålla varningar och information. Vidare ska varje medlemsstat utse eller inrätta en eller flera myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter).

Mot bakgrund av de uppdrag MSB har i dag och den kompetens som finns inom myndigheten bedömer utredningen att MSB även fortsatt ska vara CSIRT-enhet samt vara cyberkrishanteringsmyndighet i Sverige.

Varje medlemsstat ska anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser. Planen ska bland annat innehålla cyberkrishanteringsmyndighetens uppgifter och ansvarsområden. Utformningen av den nationella planen ingår inte i utredningens uppdrag.

Ingripanden och sanktioner

Nuvarande ingripanden och sanktioner

Enligt NIS-lagen får en tillsynsmyndighet ingripa mot överträdelser av vissa skyldigheter i lagen. Tillsynsmyndighetens möjligheter att ingripa beror på vilken skyldighet som har överträtts, men består av förelägganden som kan förenas med vite, eller sanktionsavgifter. Sanktionsavgifterna ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. Tillsynsmyndigheten ska ta särskild hänsyn till vissa omständigheter vid bestämmandet av sanktionsavgiftens storlek.

De nuvarande ingripandena och sanktionerna behålls och kompletteras

Tillsynsmyndighetens möjligheter att besluta om förelägganden (vid vite) och sanktionsavgifter behålls. Tillsynsmyndigheten ska även kunna förelägga en verksamhetsutövare att (1) offentliggöra information om överträdelser av lagens bestämmelser, och att (2) informera användare som kan påverkas av ett betydande cyberhot.

Vidare föreslås tillsynsmyndigheten få ansöka hos allmän förvaltningsdomstol om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner där. Det krävs särskilda omständigheter för att sådant förbud ska kunna meddelas.

Anmärkning införs som sanktion och ska alltid beslutas vid överträdelser om ingen annan sanktion har använts av tillsynsmyndigheten.

Sanktionsavgifternas maximinivå ska höjas

Lägstanivåerna för sanktionsavgifter behålls på 5 000 kronor. Högstanivåerna höjs väsentligt i jämförelse med gällande nivåer och uppgår:

För väsentliga verksamhetsutövare till det högsta av:

1. Två procent av den väsentliga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller

2. 10 000 000 euro.

För viktiga verksamhetsutövare till det högsta av:

1. 1,4 procent av verksamhetsutövarens totala globala årsomsättning

närmast föregående räkenskapsår, eller

2. 7 000 000 euro.

För offentliga verksamhetsutövare till 10 000 000 kronor.

Tillsynsmyndigheten ska ingripa mot alla överträdelser och beakta fler omständigheter vid val och utformning av sanktioner

Utredningen föreslår att tillsynsmyndigheten ska ingripa mot alla överträdelser av lagen. Den ska i vissa särskilda fall ha möjlighet att avstå från att ingripa, till exempel för att inte bryta mot det s.k. dubbelprövningsförbudet.

Om tillsynsmyndigheten inte avstår från att ingripa ska den åtminstone meddela en anmärkning. Om den ingriper med någon annan sanktion behöver den inte meddela anmärkning.

När tillsynsmyndigheten ingriper ska den alltid beakta alla relevanta omständigheter, men fler omständigheter görs obligatoriska att beakta än vad som tidigare gällt.

Ekonomiska konsekvenser

Utredningens förslag medför ekonomiska konsekvenser för tillsynsmyndigheterna, MSB och verksamhetsutövarna. För tillsynsmyndigheterna handlar det om att betydligt fler verksamhetsutövare kommer att omfattas av lagen. Tillsynsmyndigheterna är enligt utredningens

förslag elva. Sex av dem bedriver redan tillsyn enligt gällande lagstiftning, men fem myndigheter är som framgår ovan nya. Utredningen har som underlag för konsekvensanalysen inhämtat en rapport från Sweco Aktiebolag, som intervjuat de föreslagna tillsynsmyndigheterna och MSB. Av rapporten följer att det varit förenat med svårigheter för myndigheterna att uppskatta de framtida kostnaderna.

Utredningen föreslår att de tillsynsmyndigheter som redan bedriver tillsyn med undantag av Finansinspektionen får ett förstärkt anslag med två miljoner kronor vardera för 2025 avseende löpande kostnader. Skälet är att tillsynsmyndigheterna bör ha utökade resurser för att kunna identifiera vilka verksamhetsutövare som omfattas av den nya lagen, utfärda nya föreskrifter och nya vägledningar utan att samtidigt behöva minska ambitionen med tillsyn. Även MSB bör tillföras motsvarande belopp. De myndigheter som inte redan har tillsynsuppdrag bör få ett förstärkt anslag med fem miljoner kronor vardera för 2025 för att bygga upp tillsynsverksamheten.

Samtidigt föreslår utredningen att regeringen ger Statskontoret i uppdrag att vidare utreda de ekonomiska konsekvenserna för tillsynsmyndigheterna och MSB samt att det för de första åren införs ett återrapporteringskrav för myndigheterna.

För de offentliga verksamhetsutövarna föreslår utredningen att kostnaderna ska finansieras inom befintlig ram. Skälen är att det är rimligt att offentliga verksamhetsutövare vidtar grundläggande säkerhetsåtgärder. Genom förslagen erhåller verksamhetsutövarna också stöd. Vidare kan åtgärder för att förebygga incidenter medföra besparingar.

Förslagen medför även kostnader för enskilda verksamhetsutövare, men även dessa får stöd genom förslagen och det förebyggande arbetet kan medföra besparingar. Som framgått omfattas som huvudregel inte små företag. Kraven kommer att gälla inom hela unionen. Utredningen bedömer därför att regleringen inte får effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt.

Ikraftträdande

Utredningen föreslår att förslagen ska träda i kraft den 1 januari 2025.

Summary

Terms of reference

On 14 December 2022, the European Parliament and the Council adopted two new EU Directives: the Directive on measures for a high common level of cybersecurity across the Union (NIS 2) – see Annex 3 – and the Critical Entities Resilience Directive (CER). The Inquiry has outlined the proposals on incorporating the NIS 2 Directive in this interim report and will present proposals on incorporating the CER Directive in its final report in September 2024.

The NIS 2 Directive sets out requirements on network and information systems (NIS) security. It replaces the previous NIS Directive of 2016, which was implemented in Swedish law through the Act on information security for essential and digital services (2018:1174) (NIS Act). The Inquiry proposes implementing the NIS 2 Directive primarily through a new cyber security act that would replace the existing Act.

The NIS 2 Directive sets out stricter requirements on operators than those in the previous directive, and contains provisions on farther-reaching cooperation within the Union. The aim is to achieve a higher level of cybersecurity. This is a minimum directive, which means that Swedish legislation could contain more extensive obligations. With a few exceptions, the Inquiry does not propose any obligations beyond those set out in the Directive.

Who would be covered by the proposed regulation of cybersecurity?

There are two important differences between the current legislation and the proposed regulation of cybersecurity. Firstly, it is proposed that the cybersecurity act cover significantly more actors, as the number of sectors would be expanded from 7 to 18. Secondly, the requirements would apply to their entire operations rather than only essential and digital services.

The following sectors should be covered:

  • energy
  • transport
  • banking
  • financial market infrastructures
  • health
  • drinking water
  • wastewater
  • digital infrastructure
  • Information and communication technology (ICT) service management (business to business)
  • public administration
  • space
  • postal and courier services
  • waste management
  • chemicals
  • food
  • manufacturing
  • digital services
  • research

Under the proposed regulation of cybersecurity, operators carrying out activities in any of these sectors would be subject to the new requirements. This applies to both public and private operators.

As indicated by the list above, public administration would be considered its own sector. Consequently, almost the entire public sector would be subject to the act’s requirements. The Inquiry proposes that the cybersecurity act apply to most central government agencies in Sweden. The Government, the Government Offices, government agencies under the Riksdag and the courts would be exempted. The same would apply for the 16 government agencies that primarily carry out security-sensitive activities or law enforcement.

All regions and municipalities would also be subject to the act’s requirements. The only exceptions would be regional or municipal councils. The Inquiry further proposes that regulation of cybersecurity cover higher education institutions authorised to award degrees.

As regards private operators, the act’s requirements would, as a general rule, apply only to operations that employ at least 50 people or have a minimum annual turnover of EUR 10 million. This means that most small enterprises would not be affected. However, certain specifically identified individual operators would be covered by the act regardless of size. In addition, the Swedish Civil Contingencies Agency would be empowered to identify certain especially critical smaller activities. Individual operators that strictly carry out securitysensitive activities or law enforcement, or offer services to government agencies that do so, would be exempted.

The act would also apply to a limited extent to public sector operators that carry out security-sensitive activities or law enforcement, but only if that part of their activities is not a substantial share of their overall operations. The same would apply to individual operators that carry out other activities together with security-sensitive activities or law enforcement. For the security-sensitive part of the activities or the part concerning law enforcement, only an incident reporting and notification obligation would apply. The same would apply to activities already subject to obligations that have an effect equivalent to that of the requirements of the cybersecurity act. For example, this would be the case for financial operators covered by the Regulation on digital operational resilience for the financial sector.

Requirements in the Directive

The proposed regulation of cybersecurity would set out requirements on operators. An operator covered by the act would have to register with their supervisory authority and provide information including their identity, contact details and activities.

The operator would also have to take risk management measures to protect network and information systems and their physical environments against incidents. These measures would be based on a risk analysis, be proportional to the risk and be subject to evaluation. The operator would also be required to carry out systematic, risk-based information security work, require its management to undergo training and offer training to employees.

Finally, operators would be obliged to report significant incidents to the Swedish Civil Contingencies Agency in its capacity as Computer Security Incident Response Team (CSIRT) (see below) within a specified timeframe. This means that an operator would have to report a warning to the CSIRT within 24 hours of having become aware of a significant incident. Moreover, an incident report would have to be submitted within 72 hours, and a final report within one month.

The information that the operators would be required to submit to their supervisory authority as specified above would be used by the authority to classify the operators as essential or important, and register them. There would also be a separate register for cross-border operators. This register would then be forwarded to the Swedish Civil Contingencies Agency in its capacity as the single point of contact (see below), which would in turn notify the European Commission.

Supervision

The committee terms of reference stipulate that the system for supervision should be based on the existing structure under the current regulatory framework. Under the currently applicable NIS Act, a specific supervisory authority responsible for each sector and for the digital services covered by the Act carries out supervision to ensure compliance with the regulatory framework. The Inquiry proposes that a supervisory authority continue to have responsibility for each

sector. In those sectors where the requirements would remain unchanged in relation to the first NIS Directive, the Inquiry proposes that the currently responsible supervisory authorities continue to have responsibility. The expertise in the current supervisory authorities should be utilised as far as possible for supervision of the additional sectors that would be covered by the proposed regulation. It is therefore proposed that several supervisory authorities gain expanded areas of responsibility. The Inquiry further proposes establishing five new supervisory authorities: the county administrative boards of Stockholm, Skåne, Västra Götaland and Norrbotten, and the Medical Products Agency.

Supervisory authorities should be tasked with carrying out supervision to ensure compliance with the cybersecurity act and regulations announced in connection with it. Supervisory measures against important operators would only be taken if a supervisory authority had reason to believe that the regulation was being not followed.

The operators would have to provide supervisory authorities with the information needed for supervision. If there are special grounds for doing so, a supervisory authority would be empowered to require an operator to arrange and pay for an independent body to conduct a targeted security audit and present the results to the supervisory authority. The supervisory authority would also be empowered to carry out security scans on the premises of operators covered by the cybersecurity act.

The Swedish Civil Contingencies Agency would continue to lead a cooperation forum of supervisory authorities. The purpose of the forum is to facilitate coordination and achieve effective and equivalent supervision.

Single point of contact, CSIRT and cyber crisis management authority

To ensure cross-border cooperation, each Member State must appoint a single point of contact. It is the task of the single point of contact to exercise a liaison function and submit summary reports on significant incidents, cyber threats and near misses to the European Network and Information Security Agency, and notify the Commis-

sion and the Cooperation Group of the number of operators in Sweden.

As it is currently the Swedish Civil Contingencies Agency’s mandate to carry out the tasks associated with serving as a single point of contact and to support and coordinate work on society’s information security, the Inquiry proposes that the Agency continue to serve as the single point of contact in Sweden.

Each Member State must also designate or establish one or multiple CSIRTs. A CSIRT’s mandate includes monitoring and analysing cyber threats, vulnerabilities and incidents at national level, issuing warnings and providing information. Each Member State must also designate or establish one or more authorities with responsibility for the management of large-scale cybersecurity incidents and crises (cyber crisis management authorities).

In consideration of the Swedish Civil Contingencies Agency’s current mandate and expertise, the Inquiry proposes that the Agency remain the CSIRT and serve as the cyber crisis management authority in Sweden.

Each Member State must adopt a large-scale national cybersecurity incident and crisis response plan. The plan must outline the tasks and responsibilities of the cyber crisis management authority. The formulation of this national plan is not part of the Inquiry’s remit.

Enforcement measures and penalties

Current enforcement measures and penalties

According to the NIS Act, a supervisory authority may intervene against infringements of certain obligations under the Act. Depending on which obligation has been violated, a supervisory authority’s enforcement measures consist of issuing orders – possibly in combination with a financial penalty – or administrative fines. The administrative fines should be set at no less than SEK 5 000 and no more than SEK 10 000 000. A supervisory authority should give special consideration to certain circumstances when determining the amount of the administrative fine.

Current enforcement measures and penalties should be retained and supplemented

Supervisory authorities should retain the power to issue orders (as regards financial penalties) and administrative fines. They should also be able to order an operator to (1) announce information about infringements of the act’s provisions and (2) inform individuals who are potentially affected by a significant cyber threat.

The Inquiry also proposes empowering supervisory authorities to apply to a general administrative court to prohibit an individual at chief executive officer or legal representative level from exercising managerial functions at an essential operator. Special circumstances would be required to issue such a prohibition.

A reprimand should be introduced as a penalty and always be issued in connection with infringements unless another penalty has been issued by the supervisory authority.

The maximum amount of an administrative fine should be increased

The minimum level of administrative fines should remain at SEK 5 000. The maximum level should be increased substantially in comparison with current levels as follows: for essential operators, a maximum of

1. 2 per cent of the essential operator’s entire global turnover of the

preceding fiscal year, or

2. EUR 10 000 000;

for important operators, a maximum of:

1. 1.4 per cent of the operator’s entire global turnover of the pre-

ceding fiscal year, or

2. EUR 7 000 000; and

for public sector operators, SEK 10 000 000.

A supervisory authority should intervene against all infringements and take account of additional circumstances when determining penalties

The Inquiry proposes that supervisory authorities intervene against all infringements of the act. In certain cases, they should have the option to refrain from intervening, e.g. to avoid double jeopardy situations.

If a supervisory authority does not refrain from intervening, it should, at a minimum, issue a reprimand. If it issues some other penalty, it need not issue a reprimand.

When a supervisory authority intervenes, it should always consider all relevant circumstances. However, it should be obliged to consider more circumstances than is currently the case.

Financial impact

If adopted, the Inquiry’s proposals would have a financial impact on the supervisory authorities, the Swedish Civil Contingencies Agency and the operators. This would be due to the new act covering significantly more operators. The Inquiry proposes designating 11 supervisory authorities. Six of these already carry out supervision under currently applicable legislation. The other five authorities mentioned above would be newly empowered. As a basis for its consequence analysis, the Inquiry has examined a report from Sweco Aktiebolag, which interviewed the proposed supervisory authorities and the Swedish Civil Contingencies Agency. The report indicates that it is difficult for those authorities to estimate the future costs.

The Inquiry proposes that the supervisory authorities that already carry out supervision, with the exception of the Swedish Financial Supervisory Authority, each receive an additional SEK 2 million in funding for 2025 to cover running costs. This would provide the supervisory authorities with additional resources, thus enabling them to identify which operators are covered by the new act and issue new regulations and new guidelines without simultaneously diminishing the efficacy of the supervision. The Swedish Civil Contingencies Agency should also be allocated an equivalent amount. The supervisory authorities that do not currently have a supervisory mandate

should each receive an additional SEK 5 million for 2025 to build their supervisory organisation.

At the same time, the Inquiry proposes that the Government instruct the Swedish Agency for Public Management to investigate the financial impact on the supervisory authorities and the Swedish Civil Contingencies Agency, and that the authorities be required to report the financial impact for the first few years.

For public sector operators, the Inquiry proposes financing the costs within existing frameworks. This is because it is reasonable to require public sector operators to take basic security measures. Through these proposals, the operators also receive support. Measures to prevent incidents also result in savings.

The proposals would also entail additional costs for individual operators, but they would also receive support through the proposals, and the preventive work could result in savings. As stated earlier, the act would not cover small enterprises in general. The new requirements will apply throughout the Union. The Inquiry has therefore concluded that the proposed regulation would not have a significant impact on businesses’ working conditions, competitiveness or other conditions.

Entry into force

The Inquiry proposes that the proposals enter into force on 1 January 2025.

1. Författningsförslag

1.1. Förslag till lag om cybersäkerhet

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

Lagens syfte

1 § Syftet med denna lag är att uppnå en hög cybersäkerhetsnivå.

Uttryck i lagen

2 § I lagen avses med

1. allmän dataskyddsförordning: Europaparlamentets och rådets

förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG,

2. allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster: begreppen har samma inne-

börd som i lagen (2022:482) om elektronisk kommunikation,

3. betrodda tjänster: begreppet har samma innebörd som i Europa-

parlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG,

4. betydande cyberhot: ett cyberhot som, på grund av dess tek-

niska egenskaper, kan antas ha potential att ha en allvarlig påverkan på en verksamhetsutövares nätverks- och informationssystem eller

användarna av verksamhetsutövarens tjänster genom att vålla betydande materiell eller immateriell skada,

5. cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i Cyber-

säkerhetsakten,

6. cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i

Cybersäkerhetsakten,

7. Cybersäkerhetsakten: Europaparlamentets och rådets förordning

(EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013,

8. datacentraltjänst: en tjänst som omfattar strukturer, eller grupper

av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll,

9. domännamnsregistreringstjänster: registrar eller en annan verksam-

hetsutövare som verkar som ombud eller återförsäljare av domännamn,

10. domännamnssystem (DNS): ett hierarkiskt distribuerat namn-

system som möjliggör identifieringen av tjänster och resurser på internet,

11. domännamnssystemtjänster (DNS-tjänster): allmänna rekursiva

tjänster för att lösa domännamnsfrågor till internetslutanvändare, eller auktoritativa tjänster för att lösa domännamnsfrågor för användning av tredje part, med undantag för rotnamnsservrar,

12. Dora-förordning: Europaparlamentets och rådets förordning

(EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011,

13. EES: Europeiska ekonomiska samarbetsområdet, 14. enskilda verksamhetsutövare: fysiska och juridiska personer som

inte är en myndighet, region eller en kommun och som bedriver verksamhet,

15. forskningsorganisation: en verksamhetsutövare vars främsta mål

är att bedriva tillämpad forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner,

16. hanterade säkerhetstjänster: en verksamhet som utför eller till-

handahåller stöd för annan verksamhet gällande hantering av tjänster som hanterar cybersäkerhetsrisker,

17. hanterade tjänster: en verksamhet som erbjuder tjänster som

rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans,

18. IKT-produkt, IKT-tjänst och IKT-process: enligt begreppens

definitioner i artiklarna 2.12, 2.13 och 2.14 i Cybersäkerhetsakten,

19. incident: en händelse som undergräver tillgängligheten, auten-

ticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom nätverks- och informationssystem,

20. kommissionens rekommendation 2003/361/EG: bilagan till kom-

missionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag,

21. kvalificerade tillhandahållare av betrodda tjänster: begreppet

har samma innebörd som i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG,

22. marknadsplatser online: en marknadsplats online enligt defini-

tionen i artikel 2 n i Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder),

23. molntjänst: en digital tjänst som möjliggör administration på

begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser,

24. NIS2-direktivet: Europaparlamentets och rådets direktiv av

den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148,

25. nätverk för leverans av innehåll: ett nätverk av geografiskt spridda

servrar vars syfte är att säkerställa hög tillgänglighet för tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.

26. nätverks- och informationssystem:

1. ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2022:482) om elektronisk kommunikation,

2. en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller

3. digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av 1 och 2 för att de ska kunna driftas, användas, skyddas och underhållas,

27. partnerföretag och anknutna företag: begreppen har samma inne-

börd som i artikel 3 i rekommendation 2003/361/EG,

28. plattformar för sociala nätverkstjänster: en plattform som gör

det möjligt för slutanvändare att interagera, dela och upptäcka innehåll, finna andra användare och kommunicera med andra via flera enheter, särskilt genom chattar, inlägg, videor och rekommendationer.

29. registreringsenhet för toppdomäner: en verksamhet som har dele-

gerats en specifik toppdomän och som ansvarar för att administrera, förvalta, sköta teknisk drift samt registrering av domännamn under en specifik toppdomän, dock inte om toppdomänen endast avses för eget bruk,

30. risk: risk för förlust eller störning orsakad av en incident, som

ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att en sådan incident inträffar,

31. sökmotor: en sökmotor enligt definitionen i artikel 2.5 i Europa-

parlamentets och rådets förordning (EU) 2019/1150 av den 20 juni 2019 om främjande av rättvisa villkor och transparens för företagsanvändare av online baserade förmedlingstjänster,

32. tillbud: en händelse som kunde ha undergrävt tillgänglig-

heten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som inte uppstod,

33. verksamhetsutövare: juridisk eller fysisk person som bedriver

verksamhet. Samlingsterm i denna lag för bland annat leverantör, producent, vårdgivare, leverantör eller tillhandahållare.

Lagens tillämpningsområde

Offentliga verksamhetsutövare

3 § Denna lag gäller för

1. statliga myndigheter i Sverige med undantag för regeringen, Regeringskansliet, utlandsmyndigheter, kommittéväsendet, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen och Sveriges domstolar,

2. regioner i Sverige med undantag för regionfullmäktige, och

3. kommuner i Sverige med undantag för kommunfullmäktige.

Enskilda verksamhetsutövare

4 § Denna lag gäller för enskilda verksamhetsutövare om

1. verksamheten omfattas av bilaga 1 eller 2 i NIS2-direktivet eller är ett lärosäte med examenstillstånd,

2. inte annat följer av 5 och 6 §§, verksamheten är etablerad i Sverige, och

3. inte annat följer av 7 och 8 §§, verksamheten uppfyller kraven för medelstort företag enligt artikel 2 och 3.1–3.3 i bilagan till kommissionens rekommendation 2003/361/EG.

Regeringen eller den myndighet regeringen bestämmer får i föreskrifter meddela undantag för 3 avseende partnerföretag eller anknutna företag som inte i sig uppfyller storlekskravet.

5 § Verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster behöver inte vara etablerade i Sverige för att omfattas av lagen utan det är tillräckligt att verksamhetsutövaren erbjuder tjänster i

Sverige.

6 § Gränsöverskridande verksamhetsutövare är verksamhetsutövare som erbjuder:

1. DNS-tjänster,

2. registreringsenheter för toppdomäner,

3. domännamnsregistrering,

4. molntjänster,

5. datacentraltjänster,

6. nätverk för leverans av innehåll,

7. hanterade tjänster,

8. hanterade säkerhetstjänster, eller

9. marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster.

Gränsöverskridande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

För gränsöverskridande verksamhetsutövare krävs det i stället för etablering att Sverige är huvudsakligt etableringsställe eller att företrädaren är etablerad i Sverige för att verksamhetsutövaren ska omfattas av lagen.

För gränsöverskridande verksamhetsutövare som erbjuder tjänster i Sverige, men inte utser en företrädare gäller kap. 5.

Regeringen får meddela föreskrifter om vad som utgör huvudsakligt etableringsställe.

7 § Verksamhetsutövare som uppfyller kraven i 4 § med undantag för storlekskravet i 3 och som erbjuder allmänna elektroniska kommunikationsnät, allmänt tillgängliga elektroniska kommunikationstjänster, betrodda tjänster, registreringsenhet för toppdomäner, DNStjänster eller domännamnsregistrering omfattas av lagen.

8 § Verksamhetsutövare som uppfyller kraven i 4 § med undantag för storlekskravet i 3 omfattas också av lagen om,

1. verksamheten är väsentlig för att upprätthålla kritiska funktioner i samhället och ekonomiska funktioner,

2. en störning kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet, folkhälsa eller medföra betydande systemrisker särskilt om det får gränsöverskridande konsekvenser, eller

3. verksamheten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer som är beroende av denna verksamhet.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter.

Undantag från lagens tillämpningsområde

Krav i andra författningar

9 § Om annan författning innehåller bestämmelser om krav på riskhanteringsåtgärder eller incidentrapportering för en verksamhetsutövare med motsvarande verkan gäller inte kraven i 3 kap. för verksamhetsutövaren.

Vid jämförelsen av verkan mellan författningarna ska hänsyn tas till bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till bestämmelserna.

Regeringen får i föreskrifter ange vilka andra bestämmelser om riskhanteringsåtgärder och incidentrapportering som har motsvarande verkan.

10 § Lagen ska inte tillämpas på verksamheter som undantagits enligt artikel 2.4 i Dora-förordningen.

Sveriges säkerhet eller brottsbekämpning

11 § Lagen gäller inte statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen (2018:585) eller brottsbekämpning.

Regeringen får i föreskrifter ange vilka statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning.

12 § För andra statliga myndigheter som utövar säkerhetskänslig verksamhet eller brottsbekämpning än de som avses i 11 § gäller inte kraven i 6 § andra och fjärde stycket samt kap. 3 för den del av verksamheten som är säkerhetskänslig eller utgör brottsbekämpning. För den övriga delen av verksamheten gäller lagen i dess helhet.

Vad som anförs i första stycket gäller även regioner och kommuner.

13 § Lagen gäller inte för enskilda verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet, brottsbekämpning eller som enbart erbjuder tjänster till statliga myndigheter som avses i 11 §.

Om en enskild verksamhetsutövare bedriver även annan verksamhet gäller för den säkerhetskänsliga verksamheten, brottsbekämpningen och verksamheten som avser tjänster till statliga myndigheter enligt 11 § inte kraven i 6 § andra och fjärde stycket samt kap. 3. För den övriga delen av verksamheten gäller lagen i dess helhet.

Vad som anförs ovan i andra stycket gäller inte om verksamhetsutövaren är en tillhandahållare av betrodda tjänster. För dessa verksamhetsutövare gäller lagen i dess helhet.

14 § Skyldighet att lämna uppgifter enligt denna lag gäller inte uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen (2018:585).

2 kap. Klassificering och registrering

1 § Följande verksamhetsutövare är väsentliga:

1. Statliga myndigheter,

2. verksamhetsutövare som bedriver verksamhet enligt bilaga 1 till NIS2-direktivet, är en kommun eller ett lärosäte med examenstillstånd och vars verksamhet överstiger trösklarna för medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,

3. verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och vars verksamhet är medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,

4. kvalificerade tillhandahållare av betrodda tjänster,

5. registreringsenheter för toppdomäner,

6. verksamhetsutövare som erbjuder DNS-tjänster och

7. verksamhetsutövare som anges i 1 kap. 8 § och identifierats som väsentliga enligt 33 § förordning om cybersäkerhet.

Verksamhetsutövare som inte är väsentliga är viktiga verksamhetsutövare.

2 § Verksamhetsutövare ska i en anmälan till tillsynsmyndigheten lämna uppgift om identitet, kontaktuppgift, IP-adressintervall, verksamhet och uppgift om i vilka länder verksamheten bedrivs. Gränsöverskridande verksamhetsutövare ska även lämna uppgift om huvudsakligt etableringsställe och i förekommande fall kontaktuppgift till företrädaren.

Ändras uppgifterna ska verksamhetsutövaren anmäla förändringen inom 14 dagar.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om uppgifterna.

3 kap. Riskhanteringsåtgärder och incidentrapportering

1 § Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter.

Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:

1. Incidenthantering,

2. kontinuitetshantering,

3. säkerhet i leveranskedjan,

4. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem inklusive hantering av sårbarheter och sårbarhetsinformation,

5. strategier och förfaranden för användning av kryptografi och kryptering,

6. personalsäkerhet,

7. strategier för åtkomstkontroll och tillgångsförvaltning,

8. säkrade lösningar för kommunikation, och

9. lösningar för autentisering.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om riskhanteringsåtgärder.

2 § Verksamhetsutövare ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete.

3 § Ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om utbildning.

4 § Med betydande incident avses

1. En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller

2. en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vad som utgör en betydande incident.

5 § Verksamhetsutövaren ska som en varning underrätta CSIRTenheten om betydande incidenter inom 24 timmar efter det att verksamhetsutövaren fått kännedom om den. Det ska anges om att det finns misstanke om incidenten orsakats uppsåtligen och om incidenten kan ha gränsöverskridande effekter.

6 § Verksamhetsutövaren ska också inom 72 timmar från tidpunkten från kännedom göra en incidentanmälan till CSIRT-enheten om betydande incidenter. Den ska innehålla en inledande bedömning av hur allvarlig den betydande incidenten är, konsekvenserna av den och förekomsten av angreppsindikatorer. Vidare ska tidigare varning enligt 5 § uppdateras.

För verksamhetsutövare som erbjuder betrodda tjänster ska en incidentanmälan göras inom 24 timmar.

CSIRT-enheten får begära ytterligare information av verksamhetsutövaren.

Verksamhetsutövaren ska samtidigt även informera kunder som kan antas påverkas av den betydande incidenten. Kunderna ska vid behov informeras om avhjälpande åtgärder. Detsamma gäller betydande cyberhot.

7 § Verksamhetsutövaren ska inom en månad från incidentanmälan i 5 § lämna en slutrapport till CSIRT-enheten. Om incidenten fortfarande är pågående ska i stället en lägesrapport lämnas som ska kompletteras med en slutrapport en månad efter det att incidenten har hanterats. Slutrapporten eller lägesrapporten ska innehålla en beskrivning av

1. Incidenten och dess konsekvenser,

2. hur allvarlig incidenten bedöms vara,

3. vad som sannolikt utlöst incidenten,

4. åtgärderna för att begränsa incidenten, och

5. incidentens möjliga gränsöverskridande effekter.

8 § Regeringen eller den myndigheten regeringen bestämmer får meddela föreskrifter om incidentrapporteringen enligt 5–7 §§.

4 kap. Tillsyn

Tillsynsmyndighet

1 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

Tillsynsmyndighetens uppdrag

2 § Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

3 § Tillsynsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att denna lag eller föreskrifter som meddelats i anslutning till lagen inte följs.

Tillsynsmyndighetens undersökningsbefogenheter

4 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsyn.

5 § Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamheten.

6 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 4 och 5 §§.

Ett sådant föreläggande får förenas med vite.

7 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 4 och 5 §§.

Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Säkerhetsrevision

8 § Tillsynsmyndigheten får om det finns särskilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision och att redovisa resultatet för tillsynsmyndigheten.

Tillsynsmyndigheten får även anlita ett oberoende organ för att utföra regelbundna säkerhetsrevisioner av väsentliga verksamhetsutövare.

Regeringen får meddela föreskrifter om säkerhetsrevisioner.

Säkerhetsskanning

9 § Tillsynsmyndigheten får låta genomföra säkerhetsskanningar hos verksamhetsutövare som omfattas av denna lag.

En säkerhetsskanning ska ske i samarbete med verksamhetsutövaren.

5 kap. Ingripanden och sanktioner

Inledande bestämmelser

1 § Tillsynsmyndigheten ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt denna lag, eller föreskrifter som har meddelats med stöd av bestämmelserna om

1. skyldighet att utse företrädare enligt 1 kap. 6 §,

2. anmälningsskyldighet enligt 2 kap. 2 §,

3. riskhanteringsåtgärder enligt 3 kap. 1 §,

4. utbildning enligt 3 kap. 3 §, eller

5. incidentrapportering enligt 3 kap. 5–7 §§.

2 § Ingripanden sker genom att tillsynsmyndigheten

1. meddelar föreläggande enligt 6 §,

2. ansöker om förbud att utöva ledningsfunktion enligt 7 §, eller

3. meddelar sanktionsavgift enligt 11 §. Om tillsynsmyndigheten inte finner skäl att ingripa enligt första stycket ska den i stället meddela verksamhetsutövaren en anmärkning.

Tillsynsmyndigheten får avstå från att ingripa enligt första och andra stycket om någon annan tillsynsmyndighet har vidtagit åtgärder mot verksamhetsutövaren eller den fysiska personen med anledning av överträdelsen, och tillsynsmyndigheten bedömer att dessa åtgärder är tillräckliga.

Omständigheter som ska beaktas vid ett ingripande

3 § Vid val och utformning av ingripandeåtgärder enligt 2 § ska hänsyn tas till hur allvarlig överträdelsen är, hur länge den har pågått, samt den skada eller risk för skada som uppstått till följd av överträdelsen.

Vid bedömningen ska särskilt beaktas

1. de åtgärder verksamhetsutövaren vidtagit för att förhindra eller minska skadan,

2. verksamhetsutövarens samarbete med tillsynsmyndigheten,

3. om överträdelsen begåtts med uppsåt eller oaktsamhet, och

4. den ekonomiska fördel som verksamhetsutövaren fått till följd av överträdelsen.

4 § Utöver vad som anges i 3 § ska det beaktas som försvårande om verksamhetsutövaren tidigare har begått en överträdelse.

I förmildrande riktning ska beaktas om verksamhetsutövaren har följt godkända uppförandekoder eller godkända certifieringsmekanismer.

5 § En överträdelse ska betraktas som allvarlig om verksamhetsutövaren

1. har begått upprepade överträdelser,

2. inte har rapporterat eller avhjälpt en betydande incident,

3. inte har följt ett tidigare föreläggande från en tillsynsmyndighet,

4. har hindrat säkerhetsrevisioner eller tillsynsåtgärder som tillsynsmyndigheten beslutat om, eller

5. har lämnat oriktiga uppgifter avseende riskhanteringsåtgärder eller rapporteringsskyldigheter enligt 3 kap. 1 eller 5–7 §§.

Förelägganden

6 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att verksamhetsutövare ska uppfylla skyldigheterna som följer av 1 §.

Förelägganden enligt denna paragraf får förenas med vite.

7 § Tillsynsmyndigheten får förelägga en verksamhetsutövare att offentliggöra information på det sätt som tillsynsmyndigheten beslutar rörande överträdelser av denna lag och föreskrifter som har meddelats med stöd av lagen.

Tillsynsmyndigheten får förelägga en verksamhetsutövare att informera de användare som kan påverkas av ett betydande cyberhot om hotet och vilka skydds- eller motåtgärder de kan vidta.

Förelägganden enligt denna paragraf får förenas med vite.

Förbud att utöva ledningsfunktion

8 § Om ett föreläggande enligt 6 § inte följts får tillsynsmyndigheten ingripa mot en person som ingår i verksamhetsutövarens ledning. Ingripande sker genom att tillsynsmyndigheten ansöker hos

allmän förvaltningsdomstol om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare (förbud).

Ett sådant ingripande får riktas mot den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud.

Ett ingripande får endast göras om överträdelsen som ligger till grund för föreläggandet är allvarlig och om personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

9 § Ett beslut om förbud enligt 8 § fattas av förvaltningsrätten på ansökan från tillsynsmyndigheten. En ansökan ska innehålla uppgifter om

1. den person som ansökan avser,

2. verksamhetsutövaren,

3. överträdelsen och de omständigheter som behövs för att känneteckna den, och

4. de bestämmelser som är tillämpliga på överträdelsen. Ett förbud ska tidsbegränsas till lägst ett år och högst tre år och ska upphävas omedelbart när föreläggandet har följts.

Förbud får inte riktas mot offentliga verksamhetsutövare. Ansökan ska prövas skyndsamt av domstolen.

10 § Ett beslut om förbud ska upphävas om det inte längre finns förutsättningar för förbudet.

11 § Förvaltningsrätten ska pröva om ett beslutat förbud ska upphävas om tillsynsmyndigheten eller den enskilde begär det, eller om det annars finns skäl för det. Den enskilde ska upplysas om sin rätt att begära att ett förbud ska upphävas.

Om tillsynsmyndigheten bedömer att det inte längre finns förutsättningar för förbudet ska den omedelbart begära att förvaltningsrätten ska upphäva förbudet.

Sanktionsavgift

12 § Tillsynsmyndigheten får besluta att en verksamhetsutövare ska betala en sanktionsavgift till följd av en överträdelse enligt 1 §.

Sanktionsavgiftens storlek

13 § Sanktionsavgiften ska för väsentliga verksamhetsutövare bestämmas till lägst 5 000 kr och högst till det högsta av:

1. Två procent av den väsentliga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller

2. 10 000 000 euro.

14 § Sanktionsavgiften ska för viktiga verksamhetsutövare bestämmas till lägst 5 000 kr och högst till det högsta av:

1. 1,4 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller

2. 7 000 000 euro.

15 § Sanktionsavgiften ska för offentliga verksamhetsutövare bestämmas till lägst 5 000 kr och högst 10 000 000 kr.

Hur sanktionsavgiften ska bestämmas

16 § När sanktionsavgiftens storlek bestäms ska tillsynsmyndigheten särskilt beakta de omständigheter som följer av 3–5 §§.

Hinder mot att ta ut sanktionsavgift

17 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

En sanktionsavgift får inte heller beslutas för samma överträdelse som lett till att verksamhetsutövaren har påförts en sanktionsavgift enligt Allmänna dataskyddsförordningen.

Betalning, verkställighet och preskription

18 § En sanktionsavgift får endast tas ut om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Beslut om sanktionsavgift ska delges.

19 § Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas i rätt tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning ska verkställighet få ske enligt utsökningsbalken.

Sanktionsavgift tillfaller staten.

20 § En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Förordnande om att beslut ska gälla omedelbart

21 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart.

6 kap. Överklagande

1 § Tillsynsmyndighetens beslut enligt denna lag eller anslutande föreskrifter får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 januari 2025.

2. Genom lagen upphävs lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Lagen ska dock fortfarande gälla för överträdelser som har skett före ikraftträdandet.

1.2. Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på internet

Härigenom föreskrivs att rubriken till lag (2006:24) om nationella toppdomäner för Sverige på internet samt 1, 2 och 6 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Lag om nationella toppdomäner

för Sverige på internet

Lag om toppdomäner på internet

1 §

Denna lag gäller teknisk drift av nationella toppdomäner för Sverige på Internet samt tilldelning och registrering av domännamn under dessa toppdomäner.

Denna lag gäller teknisk drift av toppdomäner med huvudsak-

ligt etableringsställe i Sverige på internet. Vidare omfattar lagen

tilldelning och registrering av domännamn under dessa toppdomäner.

2 §

I denna lag avses med domännamnssystemet: det internationella hierarkiska system som för befordringsändamål på Internet används för att tilldela domännamn,

domän: nivå i domännamnssystemet och del av domännamn, domännamn: unikt namn sammansatt av domäner, där en i domännamnssystemet lägre placerad domän står före en domän som är högre placerad i systemet,

toppdomän: den domän som återfinns sist i ett domännamn,

nationell toppdomän: toppdomän som betecknar en nation eller en region,

administration: teknisk drift av en toppdomän samt tilldelning och registrering av domännamn under denna,

domänadministratör: den som ansvarar för administration av en

nationell toppdomän för Sverige,

domänadministratör: den som ansvarar för administration av en toppdomän,

namnserver: dator i ett elektroniskt kommunikationsnät som programmerats så att den lagrar och distribuerar information om domännamn samt tar emot och svarar på frågor om domännamn.

6 §

En domänadministratör skall föra ett register över tilldelade domännamn under toppdomänen och löpande upprätta säkerhetskopior av registeruppgifterna

En domänadministratör ska föra ett register över tilldelade domännamn under toppdomänen och löpande upprätta säkerhetskopior av registeruppgifterna

Registret skall innehålla Registret ska innehålla

1. domännamnet,

2. namnet på domännamnsinnehavaren och dennes postadress, telefonnummer och adress för elektronisk post,

3. namnet på den som tekniskt administrerar domännamnet och dennes postadress, telefonnummer och adress för elektronisk post,

4. uppgifter om de namnservrar som är knutna till domännamnet, samt

5. övrig teknisk information som behövs för att administrera domännamnet.

Uppgifterna i registret skall kunna hämtas utan avgift via

Internet.

Personuppgifter får dock göras tillgängliga på detta sätt endast om den registrerade har samtyckt till det.

4. uppgifter om de namnservrar som är knutna till domännamnet,

5. övrig teknisk information som behövs för att administrera domännamnet, och

6. registreringsdatum.

Uppgifterna i registret ska kunna hämtas utan avgift via

internet. Därutöver ska uppgifter även på begäran lämnas ut skyndsamt till myndigheter och andra med offentligrättsliga uppgifter inom EES.

Personuppgifter får endast göras tillgängliga på internet om den registrerade har samtyckt till det.

Domänadministratören är personuppgiftsansvarig för behandling av personuppgifter i registret.

Denna lag träder i kraft den 1 januari 2025.

1.3. Förslag till lag om ändring i lagen (2022:482) om elektronisk kommunikation

Härigenom föreskrivs i fråga om lagen (2022:482) om elektronisk kommunikation

dels att 8 kap. 1–4 §§ ska upphöra att gälla,

dels att 12 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 8 kap. 1 § ska utgå.

Nuvarande lydelse Föreslagen lydelse

12 kap.

1 §1

Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift av den som

1. inte tillhandahåller en sammanfattning av avtalet i enlighet med 7 kap. 1 §, föreskrifter som har meddelats med stöd av den paragrafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 102.3 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

2. inte tillämpar villkor om bindningstid eller uppsägningstid i enlighet med 7 kap. 8, 13 eller 14 §,

3. inte uppfyller kraven på nummerportabilitet i enlighet med 7 kap. 19 och 20 §§ eller föreskrifter om nummerportabilitet som har meddelats med stöd av 7 kap. 21 § första stycket,

4. inte vidtar åtgärder för att hantera risker som hotar säkerheten i nät och tjänster i enlighet med 8 kap. 1 §, föreskrifter som har meddelats med stöd av den paragrafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

5. inte rapporterar om säkerhetsincidenter i enlighet med 8 kap. 3 §, föreskrifter som har meddelats

1 Senaste lydelse 2023:411.

med stöd av den paragrafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

6. inte informerar om hot om säkerhetsincidenter i enlighet med 8 kap. 4 §, föreskrifter som har meddelats med stöd av den paragrafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

7. inte vidtar skyddsåtgärder i

enlighet med 8 kap. 5 § eller föreskrifter som har meddelats med stöd av den paragrafen,

4. inte vidtar skyddsåtgärder i

enlighet med 8 kap. 5 § eller föreskrifter som har meddelats med stöd av den paragrafen,

8. inte vidtar åtgärder för att

säkerställa skydd av uppgifter som behandlas i samband med tillhandahållandet av en tjänst i enlighet med 8 kap. 6 § eller föreskrifter som har meddelats med stöd av den paragrafen,

5. inte vidtar åtgärder för att

säkerställa skydd av uppgifter som behandlas i samband med tillhandahållandet av en tjänst i enlighet med 8 kap. 6 § eller föreskrifter som har meddelats med stöd av den paragrafen,

9. inte informerar abonnenten

om särskilda risker för bristande skydd av behandlade uppgifter i enlighet med 8 kap. 7 §,

6. inte informerar abonnenten

om särskilda risker för bristande skydd av behandlade uppgifter i enlighet med 8 kap. 7 §,

10. inte underrättar om integ-

ritetsincidenter i enlighet med 8 kap. 8 § eller kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig

7. inte underrättar om integ-

ritetsincidenter i enlighet med 8 kap. 8 § eller kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig

integritet och elektronisk kommunikation,

integritet och elektronisk kommunikation,

11. inte behandlar uppgifter i

ett elektroniskt meddelande eller trafikuppgifter som hör till detta meddelande i enlighet med 9 kap. 27 §,

8. inte behandlar uppgifter i

ett elektroniskt meddelande eller trafikuppgifter som hör till detta meddelande i enlighet med 9 kap. 27 §,

12. inte bedriver sin verksam-

het så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas och så att verkställandet inte röjs i enlighet med 9 kap. 29 § första stycket eller föreskrifter som har meddelats i anslutning till det stycket,

9. inte bedriver sin verksam-

het så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas och så att verkställandet inte röjs i enlighet med 9 kap. 29 § första stycket eller föreskrifter som har meddelats i anslutning till det stycket,

13. inte ordnar uppgifter och

gör dem tillgängliga i ett format som gör att de enkelt kan tas om hand i enlighet med 9 kap. 29 b § andra stycket eller föreskrifter som har meddelats i anslutning till det stycket,

10. inte ordnar uppgifter och

gör dem tillgängliga i ett format som gör att de enkelt kan tas om hand i enlighet med 9 kap. 29 b § andra stycket eller föreskrifter som har meddelats i anslutning till det stycket,

14. inte överför signaler till

samverkanspunkter i enlighet med 9 kap. 30 § eller föreskrifter som har meddelats med stöd av den paragrafen, eller

11. inte överför signaler till

samverkanspunkter i enlighet med 9 kap. 30 § eller föreskrifter som har meddelats med stöd av den paragrafen, eller

15. inte lämnar ut en uppgift i

enlighet med 9 kap. 33 §.

12. inte lämnar ut en uppgift i

enlighet med 9 kap. 33 §.

En sanktionsavgift enligt första stycket 2 ska, när det är fråga om ett paket enligt 7 kap. 26 §, tas ut endast om överträdelsen avser en allmänt tillgänglig elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst eller en överföringstjänst som används för tillhandahållande av maskin-till-maskin-tjänster.

1. Denna lag träder i kraft den 1 januari 2025.

2. Äldre bestämmelser gäller fortfarande för överträdelser som skett före ikraftträdandet.

1.4. Förslag till förordning om cybersäkerhet

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § Denna förordning kompletterar lagen om cybersäkerhet.

Uttryck i förordningen

2 § Uttryck som används i förordningen har samma innebörd som i lagen om cybersäkerhet.

Huvudsakligt etableringsställe

3 § Vid bedömningen av vad som utgör huvudsakligt etableringsställe enligt 1 kap. 6 § tredje stycket lagen om cybersäkerhet ska följande omständigheter beaktas i angiven rangordning:

1. Plats för beslut om riskhanteringsåtgärder för cybersäkerhet,

2. plats för cybersäkerhetsverksamhet, eller

3. plats där verksamhetsutövaren har flest anställda.

Enskilda verksamhetsutövare

4 § Enskilda verksamhetsutövare får ansöka hos tillsynsmyndighet om att undantas från 1 kap. 4 § första stycket 3 lagen om cybersäkerhet. Myndigheten får meddela ett sådant undantag om verksamheten inte i sig uppfyller storlekskravet i paragrafen, men gör det som partnerföretag eller anknutet företag om ett undantag är skäligt med hänsyn till den lagens syfte.

Verksamhetsutövare som omfattas av krav om cybersäkerhet i andra författningar

5 § I bilaga till denna förordning anges de lagar och andra författningar som innehåller krav på riskhanteringsåtgärder och incidentrapportering med verkan som sammantaget motsvarar skyldigheterna enligt lagen om cybersäkerhet.

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del

6 § Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen,

Totalförsvarets forskningsinstitut och Totalförsvarets plikt- och prövningsverk bedriver säkerhetskänslig verksamhet till övervägande del.

7 § Brottsförebyggande rådet, Brottsoffermyndigheten, Ekobrottsmyndigheten, Kriminalvården, Polismyndigheten, Rättsmedicinalverket, Säkerhetspolisen och Åklagarmyndigheten bedriver brottsbekämpning till övervägande del.

Tillsynsmyndighet

8 § Följande myndigheter ska vara tillsynsmyndighet enligt lagen om cybersäkerhet och denna förordning för angivna tillsynsområden.

Tillsynsmyndighet Sektor

Statens energimyndighet Energi Transportstyrelsen Transporter Tillverkning av motorfordon, släpfordon, påhängsvagnar och andra transportmedel Finansinspektionen Bankverksamhet Finansmarknadsinfrastruktur

Inspektionen för vård och omsorg

Vårdgivare1 i Hälso- och sjukvårdssektorn

Läkemedelsverket Hälso- och sjukvårdssektorn, med undantag för vårdgivare Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik Livsmedelsverket Avloppsvatten Dricksvatten Produktion, bearbetning och distribution av livsmedel Post- och telestyrelsen Digital infrastruktur Digitala leverantörer Förvaltning av IKT-tjänster Post- och budtjänster Rymden Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län

Avfallshantering Forskning Lärosäten med examenstillstånd Offentlig förvaltning Tillverkning, produktion och distribution av kemikalier Tillverkning av datorer, elektronikvaror och optik Tillverkning av elapparatur Tillverkning av övriga maskiner

9 § Länsstyrelsen i Norrbottens län ska vara tillsynsmyndighet för kommuner och regioner som hör till Västernorrlands, Jämtlands,

Västerbottens eller Norrbottens län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Stockholms län.

10 § Länsstyrelsen i Skåne län ska vara tillsynsmyndighet för kommuner och regioner som hör till Kronobergs, Blekinge, Kalmar eller

Skåne län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Västra Götalands län.

1

Vårdgivare enligt definitionen i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU

av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

11 § Länsstyrelsen i Stockholms län ska vara tillsynsmyndighet för kommuner och regioner som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Norrbottens län.

12 § Länsstyrelsen i Västra Götalands län ska vara tillsynsmyndighet för kommuner och regioner som hör till Hallands, Jönköpings,

Västra Götalands eller Östergötlands län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Skåne län.

13 § Om tillsyn över en verksamhetsutövare utövas av fler än en tillsynsmyndighet ska respektive tillsynsmyndighet inte utöva tillsyn gällande den del av verksamheten som anges som en annan tillsynsmyndighets tillsynsområde i 8 §.

Tillsynsmyndighetens uppgifter

14 § Tillsmyndigheten ska upprätta ett register över väsentliga och viktiga verksamhetsutövare. Registret ska ges in till den gemensamma kontaktpunkten senast den 1 mars 2025. Därefter ska det ske en uppdatering och ny rapportering i vart fall vartannat år.

15 § Tillsynsmyndigheten ska samarbeta med Integritetsskyddsmyndigheten vid hantering av incidenter som även utgör personuppgiftsincidenter.

Om tillsynsmyndigheten, när den bedriver tillsyn enligt lagen om cybersäkerhet, får kännedom om en omständighet som kan innebära en personuppgiftsincident som ska anmälas enligt den allmänna dataskyddsförordningen ska tillsynsmyndigheten utan onödigt dröjsmål informera Integritetsskyddsmyndigheten.

16 § Om tillsynsmyndigheten bedriver tillsyn över en verksamhetsutövare som har identifierats som en kritisk tredjepartsleverantör av

IKT-tjänster enligt artikel 31 i Dora-förordningen ska tillsynsmyndigheten informera det tillsynsforum som inrättats enligt artikel 32 i samma förordning.

17 § Tillsynsmyndigheten ska samarbeta med och bistå tillsynsmyndigheter i andra medlemsstater inom EES avseende verksamhetsutövare som erbjuder tjänster i mer än en medlemsstat eller erbjuder tjänster i en eller flera medlemsstater och dess nätverks- och informationssystem finns i en eller flera medlemsstater.

18 § Tillsynsmyndigheten får avslå en begäran om bistånd enligt 17 § om myndigheten inte är behörig att tillhandahålla biståndet, om biståndet inte är proportionerligt i förhållande till tillsynsmyndighetens uppgifter eller om begäran avser information eller omfattar verksamhet som om den skulle lämnas ut eller utförs, skulle inverka skadligt på Sveriges säkerhetsintressen, allmänna säkerhet eller försvar.

Innan tillsynsmyndigheten avslår en begäran om bistånd ska tillsynsmyndigheten samråda med övriga berörda behöriga myndigheter samt, på begäran av de berörda medlemsstaterna, med kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa).

19 § Tillsynsmyndigheten ska lämna stöd till Sveriges representant i den samarbetsgrupp som inrättats enligt artikel 14 i NIS2-direktivet.

Gemensam kontaktpunkt

20 § Myndigheten för samhällsskydd och beredskap ska vara gemensam kontaktpunkt.

Gemensamma kontaktpunktens uppgifter

21 § Den gemensamma kontaktpunkten ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete med myndigheter i andra medlemsstater, kommissionen och Enisa samt ett sektorsövergripande samarbete med tillsynsmyndigheterna.

22 § Den gemensamma kontaktpunkten är Sveriges representant i den samarbetsgrupp som inrättats enligt artikel 14 i NIS2-direktivet.

23 § Den gemensamma kontaktpunkten ska på begäran av CSIRTenheten vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra medlemsstater.

24 § Den gemensamma kontaktpunkten ska var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud.

25 § Den gemensamma kontaktpunkten ska senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare som förtecknats för varje sektor och delsektor.

Den gemensamma kontaktpunkten ska informera kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare samt deras verksamhet som identifierats enligt 1 kap. 8 § lagen om cybersäkerhet.

26 § Den gemensamma kontaktpunkten ska upprätta ett särskilt register över gränsöverskridande verksamhetsutövare och ge in det skyndsamt till Enisa. Vidare ska den gemensamma kontaktpunkten löpande underrätta Enisa om uppgifter avseende gränsöverskridande verksamhetsutövare.

CSIRT-enhet

27 § Myndigheten för samhällsskydd och beredskap ska vara CSIRTenhet.

CSIRT-enhetens uppgifter

28 § När CSIRT-enheten utför sina uppgifter ska den,

1. säkerställa en hög nivå av tillgänglighet för sina kommunikationskanaler,

2. ha lokaler och informationssystem på säkra platser,

3. ha ett ändamålsenligt system för handläggning och dirigering av förfrågningar,

4. vara ständigt tillgänglig och säkerställa att personalen har fått lämplig utbildning,

5. ha redundanta system och reservlokaler för att säkerställa kontinuiteten i tjänsterna, och

6. ha en säker och motståndskraftig kommunikations- och informationsstruktur för utbyte av information med verksamhetsutövare och andra relevanta intressenter.

29 § CSIRT-enheten ska,

1. övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå och tillhandahålla varningar och information,

2. erbjuda stöd avseende realtidsövervakning av nätverks- och informationssystem,

3. ta emot incidentrapporter, vidta åtgärder och erbjuda stöd,

4. om en incident kan antas ha sin grund i en brottslig gärning skyndsamt uppmana verksamhetsutövaren att anmäla incidenten till Polismyndigheten,

5. tillgängliggöra informationen i incidentrapporter utan dröjsmål för tillsynsmyndigheten,

6. samla in och analysera forensiska uppgifter,

7. tillhandahålla dynamiska risk- och incidentanalyser samt lägesuppfattning,

8. på begäran av en verksamhetsutövare utföra en proaktiv skanning av den berörda verksamhetsutövarens nätverks- och informationssystem,

9. delta i det nätverk som inrättats enligt artikel 15 i NIS2-direktivet (CSIRT-nätverket),

10. vara samordnare för samordnad delgivning av information om sårbarheter, och

11. upprätta samarbetsförbindelser med relevanta intressenter inom privat och offentlig sektor samt bidra till samverkan rörande cybersäkerhet.

30 § CSIRT-enheten får utföra proaktiva, icke-inkräktande skanningar av verksamhetsutövarnas allmänt tillgängliga nätverks- och informationssystem i syfte att upptäcka sårbara eller osäkert konfigurerade system.

Cyberkrishanteringsmyndighet

31 § Myndigheten för samhällsskydd och beredskap ska vara cyberkrishanteringsmyndighet.

32 § Myndigheten för samhällsskydd och beredskap ska delta i det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe).

Rätt att meddela föreskrifter

33 § Myndigheten för samhällsskydd och beredskap får i föreskrifter ange vilka verksamhetsutövare som omfattas av 1 kap. 8 § lagen om cybersäkerhet och om verksamhetsutövaren är väsentlig. Tillsynsmyndigheten ska ges tillfälle att yttra sig.

34 § Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om anmälningsskyldigheten i 2 kap. 2 § lagen om cybersäkerhet.

35 § Tillsynsmyndigheten får meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning enligt 3 kap. 1–3 §§ lagen om cybersäkerhet.

Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

För sektorn offentlig förvaltning och lärosäten med examenstillstånd får Myndigheten för samhällsskydd och beredskap i stället för länsstyrelserna i 8 § meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning enligt 3 kap. 1–3 §§ lagen om cybersäkerhet.

36 § Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om vad som utgör en betydande incident enligt 3 kap. 4 § och om incidentrapportering enligt 3 kap. 5–7 §§ lagen om cybersäkerhet. Tillsynsmyndigheten ska ges tillfälle att yttra sig.

Samarbetsforum för effektiv och likvärdig tillsyn

37 § Myndigheten för samhällsskydd och beredskap ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

Begäran om information

38 § När tillsynsmyndigheten begär information enligt 4 kap. 4 § lagen om cybersäkerhet ska myndigheten ange syftet med begäran och precisera vilken information som krävs.

Säkerhetsrevision

39 § Ett beslut om riktad säkerhetsrevision enligt 4 kap. 8 § lagen om cybersäkerhet ska baseras på riskbedömningar som utförts av tillsynsmyndigheten, verksamhetsutövaren eller på annan tillgänglig riskrelaterad information.

Beslut om förbud

40 § När ett beslut enligt 5 kap. 8 § lagen om cybersäkerhet har fått laga kraft ska domstolen underrätta Bolagsverket och verksamhetsutövaren om beslutet och dess innehåll. Om verksamhetsutövaren är en stiftelse ska den länsstyrelse som är registreringsmyndighet för stiftelsen underrättas i stället för Bolagsverket.

Domstolen ska skicka motsvarande underrättelser om ett sådant förbud upphävs.

41 § När Bolagsverket eller en länsstyrelse som är registreringsmyndighet har fått en underrättelse enligt 40 § ska de avregistrera personen som befattningshavare hos verksamhetsutövaren i det aktuella registret.

Bolagsverket eller en länsstyrelse som är registreringsmyndighet ska säkerställa att personen inte registreras på nytt som befattningshavare hos verksamhetsutövaren under förbudstiden.

1. Denna förordning träder i kraft den 1 januari 2025.

2. Genom förordningen upphävs förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. Förordningen ska dock fortfarande gälla för överträdelser som har skett före ikraftträdandet.

Bilaga

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

1.5. Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs i fråga om förordningen (2007:951) med instruktion för Post- och telestyrelsen att 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §1

Post- och telestyrelsen har till uppgift att

1. främja tillgången till säkra och effektiva elektroniska kommunikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elektroniska kommunikationstjänster,

2. främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsättningar för samverkan mellan myndigheter som kan bidra till utbyggnaden av bredband,

3. svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4. svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5. främja en effektiv konkurrens,

6. övervaka pris- och tjänsteutvecklingen,

7. bedriva informationsverksamhet riktad till konsumenter,

8. följa utvecklingen när det gäller säkerhet vid elektronisk kommunikation och uppkomsten av eventuella miljö- och hälsorisker,

9. pröva frågor om tillstånd och skyldigheter, fastställa och analysera marknader samt utöva tillsyn och pröva tvister enligt lagen (2022:482) om elektronisk kommunikation,

10. meddela föreskrifter enligt förordningen (2022:511) om elektronisk kommunikation,

11. upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av allmänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

1 Senaste lydelse 2022:531.

12. tillhandahålla information om frekvensanvändning till Europeiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13. vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

14. vara tillsynsmyndighet enligt lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,

15. följa utvecklingen när det gäller toppdomäner med geografiska namn som har anknytning till Sverige,

16. vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17. verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgärder, och verka för ökad krishanteringsförmåga,

18. verka för ökad nät- och informationssäkerhet i fråga om elektronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer,

19. lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nätsäkerhet,

20. vara tvistlösnings- och tillsynsmyndighet enligt lagen (2016:534) om åtgärder för utbyggnad av bredbandsnät och ansvara för informationstjänsten för utbyggnad av bredbandsnät enligt samma lag, och

21. vara tillsynsmyndighet enligt lagen (2018:1174) om infor-

mationssäkerhet för samhällsviktiga och digitala tjänster.

21. vara tillsynsmyndighet enligt lagen (2024:XXX) om cyber-

säkerhet.

Denna förordning träder i kraft den 1 januari 2025.

1.6. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att bilagan till offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

Bilaga 1

Verksamheten består i Särskilda begränsningar i sekretessen – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – 153. tillsyn enligt

lagen

( 2018:1174 ) om informationssäkerhet för samhällsviktiga och digitala tjänster

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Föreslagen lydelse

Bilaga

Verksamheten består i Särskilda begränsningar i sekretessen – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – 153. tillsyn enligt lagen (2025:000)

om cybersäkerhet

Gäller ej beslut i ärenden

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Denna förordning träder i kraft den 1 januari 2025.

1 Senaste lydelse 2023:742.

1.7. Förslag till förordning om ändring i förordningen (2022:511) om elektronisk kommunikation

Härigenom föreskrivs i fråga om förordningen (2022:511) om elektronisk kommunikation

dels att 1 kap. 2 § fjortonde strecksatsen ska upphöra att gälla,

dels att 8 kap. 1 och 5 §§ ska upphöra att gälla,

dels att 1 kap. 2 § femtonde strecksatsen ska ha följande lydelse,

dels att 8 kap. 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

2 §1

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – 8 kap. 4–6 §§ i samma lag i fråga om 8 kap. 4 §,

8 kap. 5 och 6 §§ i samma lag i fråga om 8 kap. 4 §,

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

8 kap.

4 §2

Post- och telestyrelsen får meddela

1. ytterligare föreskrifter om säkerhetsåtgärder enligt 8 kap. 1 § lagen ( 2022:482 ) om elektronisk kommunikation

2. ytterligare föreskrifter om rapportering av säkerhetsincidenter enligt 8 kap. 3 § i samma lag,

3. ytterligare föreskrifter om information till användare enligt 8 kap. 4 § i samma lag,

4. ytterligare föreskrifter om

skyddsåtgärder enligt 8 kap. 5 § i

samma lag, och

1. ytterligare föreskrifter om

skyddsåtgärder enligt 8 kap. 5 § i

lagen (2022:482) om elektronisk kommunikation, och

1 Senaste lydelse 2023:583. 2

Senaste lydelse 2023:583.

5. föreskrifter om skyddsåtgär-

der enligt 8 kap. 6 § i samma lag.

2. föreskrifter om skyddsåtgär-

der enligt 8 kap. 6 § i samma lag.

1. Denna förordning träder i kraft den 1 januari 2025.

2. Äldre bestämmelser gäller fortfarande för överträdelser som skett före ikraftträdandet.

2. Utredningens uppdrag och arbete

I detta kapitel ska utredningens uppdrag och arbete beskrivas. Under 2.1 analyseras uppdraget, i 2.2 redovisas arbetet och 2.3 beskriver delbetänkandets disposition.

2.1. Analys av regeringens direktiv

2.1.1. Bakgrund

Europaparlamentet och rådet antog den 14 december 2022 två nya EU-direktiv: NIS2-direktivet1, se bilaga 2 och CER-direktivet.2 NIS2direktivet ställer krav på säkerhet i nätverk och informationssystem. Det ersätter det tidigare NIS-direktivet från 2016, som genomfördes i svensk rätt genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen.

NIS2-direktivet ersätter det tidigare direktivet och skärper kraven. Fler områden pekas ut.

Medlemsländerna ska senast den 17 oktober 2024 anta de nationella bestämmelser som krävs för att följa direktivet.

Regeringen beslutade den 23 februari 2023 att utse en särskild utredare med uppdrag att föreslå hur de två direktiven ska genomföras i svensk rätt, se bilaga 1. I uppdraget ingår att analysera hur den nya regleringen förhåller sig till säkerhetsskyddsregleringen och att föreslå en sammanhållen systematik mellan regelverken. Vidare ska

1

Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgär-

der för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet).

2

Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kri-

tiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.

utredningen även klarlägga om det behövs ett starkare sekretesskydd för uppgifter till följd av direktivens krav. Uppdraget skulle genomföras under en tid om ett år. I tilläggsdirektiv beslutade regeringen att utredningens förslag avseende införlivning av NIS2-direktivet skulle redovisas i ett delbetänkande den 5 mars 2024 och övriga delar i ett slutbetänkande i september 2024.

2.1.2. Utredningens övergripande utgångspunkt

Direktiven är s.k. minimidirektiv, varför medlemsstaterna får anta mer långtgående bestämmelser. Det betyder att utredningen skulle kunna lämna förslag om att exempelvis fler sektorer än vad som följer av direktivet skulle kunna omfattas av en reglering. Utgångspunkten enligt regeringen ska dock vara att förslagen utformas så att regelbördan och administrationen minimeras för berörda verksamhetsutövare. Om utredningen lämnar mer långtgående förslag ska utredningen motivera varför det är nödvändigt och göra en analys om förslagen är samhällsekonomiskt effektiva och hur svenska företags konkurrenskraft skulle påverkas.

2.1.3. Särskilt om NIS2-direktivet

Vem omfattas?

Det tidigare direktivet omfattade leverantörer av samhällsviktiga tjänster och gav medlemsländerna relativ stor frihet att bestämma vem som skulle innefattas i detta. NIS2-direktivet anger som huvudregel att alla verksamhetsutövare som uppfyller vissa kriterier omfattas.

En särskild fråga är i vilken utsträckning kommuner ska omfattas. Kommunal verksamhet kan redan omfattas enligt det tidigare NISdirektivet om kommuner bedriver verksamhet inom något av de sju utpekade områdena. Eftersom ett tillkommande område är offentlig förvaltning kommer dock offentliga verksamhetsutövare att omfattas i mycket större omfattning. Direktivet kan enligt regeringen tolkas så att statliga myndigheter och regioner omfattas, men överlåter åt medlemsstaterna att bestämma om kommuner ska omfattas. Ett annat nytt område i NIS2-direktivet är forskning. Utbildningsinstitutioner är undantagna från direktivets tillämpningsområde, men medlems-

staterna får föreskriva att direktivet även ska tillämpas på dem, vilket enligt regeringen kan vara särskilt relevant om de utför kritisk forskningsverksamhet. Utredningen ska överväga om universitet och högskolor ska omfattas eller ett urval av dem och därvid beakta principer om akademisk frihet, institutionell autonomi och forskningsintegritet samt excellens och öppenhet. Det ankommer förstås på utredningen att ta ställning till det.

Klassificering och registrering

De som omfattas av direktivet ska klassificeras antingen som väsentliga eller viktiga utifrån betydelse och storlek. Medlemsstaterna ska upprätta en förteckning, som uppdateras regelbundet. Underlag för förteckningen ska lämnas av verksamhetsutövarna till behöriga myndigheter, som i sin tur ska underrätta kommissionen. Medlemsländerna får alternativt inrätta ett system för självregistrering.

Riskhantering och rapportering

NIS2-direktivet ställer krav om tekniska, operationella och organisatoriska riskhanteringsåtgärder. Dessa ska vara proportionella utifrån bland annat storlek, sannolikhet för incidenter och möjlig påverkan. Direktivet uppställer minimikrav.

Direktivet innehåller också en rapporteringsskyldighet till CSIRTenheten eller nationell myndighet. Enligt den nuvarande ordningen sker rapportering till CSIRT-enheten, dvs. MSB. Detta bör vara utgångspunkt även framöver.

Myndigheternas ansvarsfördelning

På samma sätt som enligt tidigare NIS-direktiv ska enligt det nya direktivet en eller flera behöriga myndigheter utöva tillsyn på nationell nivå. De nuvarande tillsynsmyndigheterna är Statens energimyndighet, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket och PTS. Därutöver ska det precis som tidigare finnas en nationell gemensam kontaktpunkt. Den ska utgöra en sambandsfunktion som säkerställer samarbete mellan de nationella myndigheterna och sam-

arbetet med myndigheter i andra medlemsländer. MSB är nationell gemensam kontaktpunkt. Oförändrat är även att det även fortsättningsvis ska finnas en eller flera s.k. CSIRT-enheter som ska ansvara för it-säkerhetsincidenter. MSB är för närvarande CSIRT-enhet. Myndigheten leder också ett samarbetsforum mellan tillsynsmyndigheter, där även Socialstyrelsen ingår.

Genom NIS2-direktivet införs några nyheter. En är att medlemsländerna ska utse en eller flera myndigheter som cyberkrishanteringsmyndighet med ansvar för storskaliga cybersäkerhetsincidenter och cyberkriser. Samarbetet mellan medlemsländerna förstärks såväl i samarbetsgruppen som mellan CSIRT-enheter. Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) med företrädare för cyberkrishanteringsmyndigheter ska vara stödjande vid storskaliga incidenter och cyberkriser. Det finns redan ett frivilligt samarbete med MSB som svensk representant. En utgångspunkt är att den nya tillsynsstrukturen bör utgå från den tidigare.

Av det anförda följer att utredningen behöver utse tillsynsmyndigheter för de tillkommande områdena. Vidare behöver utredningen utse en cyberkrishanteringsmyndighet. Enligt regeringens direktiv är det en utgångspunkt att MSB behåller ansvaret som gemensam kontaktpunkt och CSIRT-enhet samt även utses till cyberkrishanteringsmyndighet. Det utredningen behöver klarlägga i denna del är om mandatet för MSB behöver förändras.

Det som därutöver anförs i regeringens direktiv i denna del är att det kan finnas skäl för en mer effektiv tillsyn, varför utredningen ska göra en utvärdering av den tillsyn som har bedrivits enligt tidigare reglering. En slutsats kan vara att detta i första hand bör ha bäring på myndigheternas arbete och samarbete, eftersom nuvarande struktur ska vara utgångspunkt.

Utredningen har vidare noterat att Försvarsberedningen i betänkandet Kraftsamling (Ds 2023:34), som överlämnades i december 2023, framför att det kan övervägas att ansvaret för cyber- och informationssäkerhet som i dag finns på MSB organiseras som ny myndighet. Utredningen har dock att förhålla sig till det av regeringen beslutade kommittédirektivet, där det bland annat anges att MSB ska ha vissa av de uppgifter som följer av NIS2-direktivet. Det kan dock konstateras att en utbrytning av cyber- och informationssäkerhetsfrågorna från MSB skulle behöva utredas närmare. Utredningen noterar också att frågan om Nationellt cybersäkerhetscenters ledning,

organisering och styrning utreds inom Försvarsdepartementet med inriktning att ett huvudmannaskap ska ligga hos Försvarets radioanstalt. Eftersom utredningen om cybersäkerhetscentret inte färdigställts när detta betänkande lämnas får eventuella förslag kring organisatoriska förändringar för myndigheterna som ingår i Nationellt cybersäkerhetscenter beaktas i den fortsatta beredningen av denna utrednings förslag.

Myndigheternas befogenheter

NIS2-direktivet uppställer detaljerade krav på befogenheter för tillsynsmyndigheterna och innehåller sanktioner. Flera åtgärder saknar direkt motsvarighet i svensk rätt. Det gäller kravet om att tillfälligt upphäva certifiering eller tillstånd för verksamhet och att tillfälligt förbjuda personer i ledningen att utöva ledningsfunktioner. I denna del ska utredningen analysera hur en sådan reglering förhåller sig till relevant reglering inom andra områden i svensk rätt, till exempel associationsrättsliga regler eller sektorsspecifika regler som innehåller krav om certifiering eller tillstånd.

Det är enligt direktivet upp till medlemsstaterna att avgöra om bestämmelser om straffansvar ska införas för den nationella regleringen. Vid genomförandet av det tidigare NIS-direktivet gjordes bedömningen att överträdelser inte skulle vara straffsanktionerade. Skälen var att kriminalisering som metod bör användas med försiktighet. Vidare skulle straff inte heller vara den effektivaste sanktionen, eftersom de som skulle kunna göra sig skyldiga till överträdelser skulle vara myndigheter, kommuner, landsting och företag. Straff kan enligt svensk rätt endast ådömas en fysisk person. Det saknas enligt regeringen nu skäl att frångå den bedömningen. Utredningens inriktning ska därför vara att sanktioner ska vara av administrativt slag. Det handlar då om sanktionsavgifter. En förändring i förhållande till NIS-lagen är att dessa ska ligga på en högre nivå.

2.1.4. Förhållandet till säkerhetsskyddsregleringen

Säkerhetsskyddsregleringens, dvs. säkerhetshetsskyddslagen (2018:585), och säkerhetsskyddsförordning (2021:955), huvudsyfte är att skydda verksamheter som har betydelse för Sveriges säkerhet ur ett natio-

nellt perspektiv. Det finns möjlighet att helt undanta offentliga och enskilda verksamhetsutövare som i hög grad bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, medan de verksamhetsutövare som bedriver sådan verksamhet i mindre utsträckning inte i sin helhet kan undantas från direktivet.

I stället får medlemsstaterna för dessa på olika sätt för specifika verksamheter besluta om undantag från vissa krav. Detta rimmar dock inte med den nuvarande svenska lagsystematiken.

Säkerhetsskyddslagen omfattar enligt 1 § den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). NIS-lagens 8 § anger att lagen inte gäller för verksamhet som omfattas av säkerhetsskyddslagen. Av 2 kap. 1 § säkerhetsskyddslagen följer sedan att den som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys).

Innebörden är enligt regeringen att en verksamhetsutövare själv ska bedöma vilka delar av verksamheten som omfattas av säkerhetsskyddslagen respektive NIS-lagen. Problemet skulle nu vara att detta mer generella system inte skulle rimma med NIS2-direktivets krav om specifika undantag för vissa verksamheter.

I regeringens direktiv anförs att det skulle vara naturligt att utgå från gällande tillsynsstruktur i säkerhetsskyddslagen. Tillsynsansvaret är fördelat bland annat mellan Försvarsmakten och Säkerhetspolisen. Dessa ska sedan genom systematisk kartläggning identifiera verksamhetsutövare inom myndigheternas respektive tillsynsområde. Dessa skulle då också kunna besluta om specifika undantag från kraven i direktiven. Regeringens utgångspunkt är alltså att de nya kraven i NIS2-direktivet i denna del skulle regleras genom en anpassning av säkerhetsskyddsregleringen. Det anges också uttryckligen att inriktningen ska vara att säkerhetskänslig verksamhet undantas från den nya regleringen så långt det är möjligt. I regeringens direktiv anges dock också att utredningen kan föreslå andra lösningar.

Utredningen bedömer att skäl för andra lösningar kan vara att undantag i säkerhetsskyddslagen kan bli komplicerat att genomföra. En inledande åtgärd för utredningen kan vara att ingående analysera i vilken utsträckning direktiven ställer tvingande krav om beslut om specifika undantag för verksamhetsutövare. En annan komplikation

är att det inte kommer att vara tillräckligt att undanta verksamhetsutövare som bedriver säkerhetskänslig verksamhet helt eller delvis från rapporteringskravet om incidenter. Det behöver därutöver exempelvis införas undantag för uppgifter som rör säkerhetskänslig verksamhet så att de inte registreras i den europeiska sårbarhetsdatabasen som enligt NIS2-direktivet ska upprättas.

2.1.5. Förhållandet till annan unionsrättslig och nationell regering

Utredningen behöver beakta annan sektorsspecifik unionsrättslig reglering. Det gäller särskilt för sektorerna bankverksamhet och finansmarknadsinfrastruktur. Även annan nationell reglering ska förstås beaktas. När det gäller verksamhetsutövares säkerhetsarbete ska målet vara att samordningsvinster uppnås. Regelbördan och administrationen ska minimeras och kostnadseffektivitet eftersträvas.

2.1.6. Utanför uppdraget

Vissa saker som regleras i direktivet faller utanför uppdraget, eftersom det ska behandlas i särskild ordning. Det handlar om införandet av ett system för sakkunnigbedömningar samt om nationell strategi för cybersäkerhet och nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter. Dessa ämnen ska därför inte behandlas av utredningen.

2.1.7. Konsekvensanalys

En viktig uppgift för utredningen är att göra en konsekvensanalys för förslagen. Det handlar särskilt om ekonomiska konsekvenser för myndigheter och företag samt påverkan på den kommunala självstyrelsen.

Kostnadsökningar för det allmänna ska utredningen föreslå en finansiering för.

Med hänsyn till att ett stort antal myndigheter kan förväntas få nya tillsynsuppgifter kan konsekvensanalysen behöva bli omfattande. En utgångspunkt med hänsyn till komplexiteten krävs konsultstöd för att upprätta i vart fall delar av analysen.

2.2. Utredningens arbete

Utredningens arbete har bedrivits på sedvanligt sätt med regelbundna möten med sakkunniga och experter samt med deltagarna i en till utredningen knuten referensgrupp. Utredningen har haft sex protokollförda möten med expert- och sakkunniggruppen och två med referensgruppen. Utredningen har också haft enskilda möten med deltagarna i expert- och sakkunniggruppen samt referensgruppen.

Utredningen har också träffat Tele2 Sverige AB, Netnod Internet Exchange i Sverige AB, Svenska Bankföreningen, Säkerhets- och försvarsföretagen, Inspektionen för vård och omsorg samt Försvarets radioanstalt. Utredningen har vidare träffat de myndigheter som föreslås som nya tillsynsmyndigheter, dvs. Läkemedelsverket, och länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län.

Utredningen har löpande hållit Regeringskansliet informerat om arbetet.

Utredningen har i enlighet med direktiven också hållit sig informerad om arbetet i Fastighetsregisterlagsutredningen (Ju 2022:09),

Operativ krisledning vid allvarliga driftstörningar i den finansiella sektorns digitala infrastruktur (Fi2023/01842), Uppdrag att lämna förslag på hur en ändamålsenlig och effektiv ledning, organisering och styrning av Nationellt cybersäkerhetscenter ska utformas (Fö 2023:A)

och Utredningen om säker och tillgänglig digital identitet (I 2022:04).

2.3. Betänkandets disposition

Betänkandet inleds med en övergripande beskrivning av NIS2-direktivet (kapitel 3). Därefter följer en beskrivning av de nya sektorer som följer av direktivet (kapitel 4). I kapitel 5 behandlas cybersäkerhetslagens tillämpningsområde. I kapitel 6 behandlas klassificering och registrering av verksamhetsutövare. Riskhantering och incidentrapportering behandlas i kapitel 7. Kapitlen därefter behandlar till-

syn (kapitel 8) och ingripanden och sanktioner (kapitel 9). I kapitel 10 behandlas funktionerna gemensam kontaktpunkt, CSIRT-enhet och cyberkrishanteringsmyndighet. Kapitel 11 analyserar hur NIS2direktivet påverkar lagen (2022:482) om elektronisk kommunikation. Kapitel 12 innehåller utredningens konsekvensanalys. Ikraftträdandet behandlas i kapitel 13. Slutligen följer en författningskommentar till de lämnade författningsförslagen (kapitel 14). Kommittédirektivet finns i sin helhet i bilaga 1. Utredningens tilläggsdirektiv finns i bilaga 2. I bilaga 3 finns NIS2-direktivet. Bilaga 4 är en av utredningen beställd konsultrapport. Bilaga 5 innehåller en parallelluppställning över direktivets artiklar och de bestämmelser i gällande rätt eller i utredningens författningsförslag som genomför varje artikel.

3. NIS2-direktivet

3.1. NIS-direktivet

Den 6 juli 2016 antog Europaparlamentet och rådet NIS-direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

NIS-direktivet omfattar leverantörer av samhällsviktiga tjänster inom sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Vidare omfattas leverantörer av vissa digitala tjänster.

Syftet med direktivet är att förbättra den inre marknadens funktion genom att skapa tillit och förtroende och att fastställa åtgärder för att uppnå en gemensam hög nivå på säkerhet i nätverks- och informationssystem inom unionen. Flera av åtgärderna syftar till att säkerställa kontinuiteten i de samhällsviktiga och digitala tjänster som omfattas av direktivet.

Direktivet innebär bland annat att leverantörer som omfattas ska vidta säkerhetsåtgärder för att hantera risker och incidenter i nätverks- och informationssystem som de är beroende av för att kunna tillhandahålla tjänsterna.

Medlemsstaterna ska enligt direktivet utse myndigheter med särskilda uppgifter, till exempel tillsynsmyndigheter, nationella kontaktpunkter och enheter för hantering av incidenter, så kallade CSIRTenheter.

3.1.1. Gällande rätt

NIS-direktivet har i Sverige genomförts genom NIS-lagen och förordning (2018:1175) om informationssäkerhet för samhällsviktiga tjänster samt föreskrifter utfärdade av MSB, Statens energimyndighet, Transportstyrelsen, Livsmedelsverket och Post- och telestyrelsen.

Lagen ( 2018:1174 ) om samhällsviktiga och digitala tjänster

NIS-lagen ställer krav på vissa leverantörer av samhällsviktiga och digitala tjänster. Kraven innebär bland annat skyldigheter att vidta säkerhetsåtgärder och att rapportera incidenter som påverkar kontinuiteten i tjänsten.

I lagen finns bestämmelser om tillsyn. Tillsynsmyndigheten ska kunna besluta om vitesförelägganden och sanktionsavgift mot den som inte följer bestämmelserna i lagen eller i föreskrifter som meddelats med stöd av lagen. Vidare finns bestämmelser om nationell kontaktpunkt, CSIRT-enhet och ett samarbetsforum för en effektiv och likvärdig tillsyn.

I lagen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter bland annat om vilka tjänster som är samhällsviktiga, säkerhetsåtgärder och incidentrapportering.

Lagen trädde i kraft den 1 augusti 2018.

Förordning ( 2018:1175 ) om informationssäkerhet för samhällsviktiga och digitala tjänster

Förordningen kompletterar NIS-lagen och specificerar närmare de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheteten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan.

Förordningen innehåller också bemyndigande för MSB att meddela föreskrifter om vilka tjänster som är samhällsviktiga enligt NISlagen. Därutöver innehåller förordningen även faktorer som ska beaktas vid bedömningen av vad som avses med en betydande störning och bemyndigar MSB att meddela ytterligare föreskrifter för att precisera detta.

Vidare innehåller förordningen bestämmelser om säkerhetsåtgärder och bemyndiganden för MSB, Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket, Post- och telestyrelsen och Socialstyrelsen att meddela ytterligare föreskrifter om säkerhetsåtgärder.

Förordningen anger även vad som särskilt ska beaktas vid bedömningen av om en incident har en betydande inverkan på kontinuiteten i en samhällsviktig tjänst samt bemyndigande för MSB att meddela ytterligare föreskrifter om vad som avses med betydande inverkan.

MSB är CSIRT-enhet och ska ta emot incidentrapporter och får enligt förordningen meddela ytterligare föreskrifter om vilken information en sådan rapport ska innehålla, inom vilken tid den ska göras och de närmare formerna för rapporteringen.

MSB får också meddela föreskrifter om anmälningsskyldighet för leverantörer av samhällsviktiga tjänster. Föreskrifterna får avse när i tiden en anmälan ska ske, vilken information en anmälan ska innehålla och de närmare formerna för fullgörandet av anmälningsskyldigheten.

Vidare pekar förordningen ut vilka myndigheter som är tillsynsmyndigheter för vilka sektorer samt listar särskilda uppgifter för tillsynsmyndigheterna.

Enligt förordningen ska MSB vara nationell kontaktpunkt och leda ett samarbetsforum där tillsynsmyndigheterna och Socialstyrelsen ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn. MSB är också Sveriges representant i den samarbetsgrupp som inrättats enligt NIS-direktivet och ska tillhandahålla information om genomförandet av direktivet till kommissionen.

Myndighetsföreskrifter

MSB har meddelat följande föreskrifter och allmänna råd för leverantörer av samhällsviktiga och digitala tjänster:

  • Myndigheten för samhällsskydd och beredskaps föreskrifter

(MSBFS 2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster. Föreskrifterna trädde i kraft den 1 mars 2022 när MSBFS 2018:7 upphörde att gälla.

  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:8) om informationssäkerhet för leverantörer av samhällsviktiga tjänster.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:9) om rapportering av incidenter för leverantörer av samhällsviktiga tjänster.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:10) om rapportering av incidenter för leverantörer av digitala tjänster.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:11) om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet.

Statens energimyndighet har meddelat följande föreskrifter och allmänna råd för leverantörer av samhällsviktiga tjänster inom energisektorn:

  • Statens energimyndighets föreskrifter och allmänna råd

(STEMFS 2021:3) om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn. Föreskrifterna trädde i kraft den 1 mars 2021.

Post- och telestyrelsen har meddelat följande föreskrifter och allmänna råd för leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur:

  • Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS

2021:3) om säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn digital infrastruktur. Föreskrifterna trädde i kraft den 1 juni 2021.

Transportstyrelsen har meddelat följande föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom transportsektorn:

  • Transportstyrelsens föreskrifter och allmänna råd (TFFS 2022:14) om säkerhetsåtgärder för leverantörer inom transportsektorn. Föreskrifterna trädde i kraft den 1 juli 2022.

Livsmedelsverket har meddelat följande föreskrifter om informationssäkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten:

  • Livsmedelsverkets föreskrifter (LIVFS 2022:2) om informationssäkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten. Föreskrifterna trädde i kraft den 1 september 2022.

3.1.2. Gällande myndighetsstruktur och samarbete

Det svenska genomförandet av NIS-direktivet innebär alltså att uppgifter fördelats på ett flertal myndigheter. MSB är nationell kontaktpunkt och CSIRT-enhet. Myndigheten leder också ett nationellt samarbetsforum och tar emot incidentrapporter. Som framgått ovan har myndigheten även föreskriftsrätt på flera områden.

Tillsynsansvaret är fördelat enligt följande.

Tabell 3.1 Tillsyn

Sektor Tillsynsmyndighet

Energi Statens energimyndighet Transporter Transportstyrelsen Bankverksamhet Finansinspektionen Finansmarknadsinfrastruktur Finansinspektionen Hälso- och sjukvård Inspektionen för vård och omsorg Leverans och distribution av dricksvatten Livsmedelsverket Digital infrastruktur Post- och telestyrelsen Digitala tjänster Post- och telestyrelsen

Tillsynsmyndigheterna får meddela föreskrifter om säkerhetsåtgärder enligt 12–14 §§ NIS-lagen för sina respektive tillsynsområden. Socialstyrelsen får meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde. Innan föreskrifterna meddelas ska MSB ges tillfälle att yttra sig. MSB ska lämna råd och stöd till tillsynsmyndigheterna och Socialstyrelsen när de tar fram föreskrifterna.

3.2. NIS2-direktivet

3.2.1. Bakgrund och syfte

Syftet med NIS2-direktivet är att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen.

Sedan NIS-direktivet trädde i kraft har betydande framsteg gjorts för att öka unionens nivå av cyberresiliens. Trots dessa framsteg har översynen av NIS-direktivet avslöjat brister som hindrar direktivet från att effektivt hantera befintliga och framväxande utmaningar på cybersäkerhetsområdet.

Nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet genom den snabba digitala omställningen och sammankopplingen av samhället. Denna utveckling har lett till en utvidgad hotbild och fört med sig nya utmaningar som kräver anpassade, samordnade och innovativa svarsåtgärder i alla medlemsstater. Incidenter, som blir allt fler och mer omfattande, sofistikerade och vanliga utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Därför kan sådana incidenter hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för unionens ekonomi och samhälle. Beredskap och ändamålsenlighet på cybersäkerhetsområdet är därför nu viktigare än någonsin för att den inre marknaden ska fungera väl. Cybersäkerhet är dessutom en viktig förutsättning för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar.

De cybersäkerhetskrav som åläggs verksamhetsutövare som tillhandahåller tjänster eller utför verksamhet som är ekonomiskt betydelsefull varierar avsevärt mellan medlemsstaterna avseende typen av krav och tillsynsmetod. Dessa skillnader medför extra kostnader och gör det svårt för verksamhetsutövarna att erbjuda varor och tjänster över gränserna. Krav som ställs av en medlemsstat och som skiljer sig från, eller till och med står i strid med, krav som ställs av en annan medlemsstat kan väsentligt påverka sådan gränsöverskridande verksamhet. Det är dessutom sannolikt att otillräckligt utformade eller genomförda cybersäkerhetskrav i en medlemsstat kommer att påverka cybersäkerhetsnivån i andra medlemsstater. Översynen av NIS-direk-

tivet har också visat på stora skillnader i medlemsstaternas genomförande när det gäller dess tillämpningsområde.

Alla dessa skillnader medför en fragmentering av den inre marknaden vilket kan ha en skadlig inverkan på dess funktion och påverkar tillhandahållandet av tjänster över gränserna samt nivån av cyberresiliens. Dessa skillnader kan också leda till att vissa medlemsstater har större sårbarhet för cyberhot, med potentiella spridningseffekter i hela unionen. Direktivets mål är att undanröja dessa stora skillnader mellan medlemsstaterna, särskilt genom att föreskriva minimiregler för ett fungerande samordnat regelverk, genom att fastställa mekanismer för effektivt samarbete mellan de ansvariga myndigheterna i varje medlemsstat, genom att uppdatera vilka sektorer och verksamheter som omfattas av skyldigheter och genom att föreskriva effektiva rättsmedel och efterlevnadskontrollåtgärder.

I och med upphävandet av NIS-direktivet bör tillämpningsområdet utvidgas till en större del av ekonomin så att det ger en omfattande täckning av sektorer och tjänster som är av avgörande betydelse för viktiga samhälleliga och ekonomiska verksamheter på den inre marknaden. (artikel 1.1 och skäl 2–6).

3.2.2. Tillämpningsområde och förteckning

Direktivet är tillämpligt på offentliga eller privata verksamhetsutövare av den typ som avses i direktivets bilaga 1 eller 2 och som betecknas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG eller överstiger de trösklar för medelstora företag som avses i punkt 1 i den artikeln och som tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen. Verksamhetsutövarna finns inom 18 sektorer som delas upp i högkritiska och andra kritiska sektorer. De högkritiska sektorerna är följande:

  • Energi, med delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas
  • Transporter, med delsektorerna lufttransport, järnvägstransport, sjöfart och vägtransport
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden

Till detta kommer de andra kritiska sektorerna som är:

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning, med delsektorerna

– tillverkning av medicintekniska produkter och medicintek-

niska produkter för in vitro-diagnostik – tillverkning av datorer, elektronikvaror och optik – tillverkning av elapparatur – tillverkning av övriga maskiner – tillverkning av motorfordon, släpfordon och påhängsvagnar – tillverkning av andra transportmedel

  • Digitala leverantörer
  • Forskning

Oavsett verksamhetsutövarnas storlek är direktivet också tillämpligt på verksamhetsutövare av en typ som avses i bilaga 1 eller 2 i följande fall:

  • Om tjänster tillhandahålls av

– tillhandahållare av allmänna elektroniska kommunikationsnät

eller av allmänt tillgängliga elektroniska kommunikationstjänster, – tillhandahållare av betrodda tjänster, – registreringsenheter för toppdomäner och leverantörer av domän-

namnssystemtjänster.

  • Om verksamhetsutövaren är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk eller samhällelig eller ekonomisk verksamhet.
  • Om en störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa.
  • Om en störning av den tjänst som verksamhetsutövaren tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.
  • Verksamhetsutövaren är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna verksamhetsutövare.
  • Om verksamhetsutövaren är en offentlig förvaltningsenhet

– på statlig nivå såsom de definieras av en medlemsstat i enlighet

med nationell rätt, eller – på regional nivå såsom de definieras av en medlemsstat i enlig-

het med nationell rätt, som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha betydande effekt på kritisk samhällelig eller ekonomisk verksamhet.

Oavsett verksamhetsutövarnas storlek är direktivet också tillämpligt på verksamhetsutövare som identifierats som kritiska verksamhetsutövare enligt CER-direktivet och på verksamhetsutövare som tillhandahåller domännamnsregistreringstjänster.

Medlemsstaterna får föreskriva att direktivet även ska tillämpas på offentliga förvaltningsenheter på lokal nivå och utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet.

Direktivet påverkar inte medlemsstaternas ansvar för att skydda nationell säkerhet och deras befogenhet att skydda andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning.

Direktivet är inte tillämpligt på offentliga verksamhetsutövare som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott. Medlemsstaterna får undanta särskilda verksamhetsutövare som bedriver verksamhet på dessa områden, eller som uteslutande tillhandahåller tjänster till en offentlig verksamhetsutövare som bedriver verksamhet på dessa områden, från skyldigheterna rörande riskhantering och rapportering med avseende på sådan verksamhet eller sådana tjänster. I sådana fall ska inte heller tillsyns- och efterlevnadskontrollåtgärder tillämpas på denna specifika verksamhet eller dessa specifika tjänster. Om verksamhetsutövarna bedriver verksamhet uteslutande på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning får medlemsstaten besluta att befria dessa verksamhetsutövare också från skyldigheterna om registrering.

Om det i sektorsspecifika unionsrättsakter föreskrivs att verksamhetsutövare ska anta riskhanteringsåtgärder för cybersäkerhet eller underrätta om betydande incidenter, och dessa krav har minst samma verkan, ska de relevanta bestämmelserna i NIS2-direktivet inte tillämpas på sådana verksamhetsutövare.

Verksamhetsutövare som omfattas av direktivet ska delas upp i väsentliga och viktiga verksamhetsutövare. Följande verksamhetsutövare är enligt direktivet väsentliga:

  • Verksamhetsutövare av en typ som avses i bilaga 1 och som överstiger trösklarna för medelstora företag.
  • Kvalificerade tillhandahållare av betrodda tjänster och registreringsenheter för toppdomäner samt leverantörer av DNS-tjänster, oavsett storlek.
  • Tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som betraktas som medelstora företag.
  • Offentliga verksamhetsutövare på statlig nivå.
  • Alla andra verksamhetsutövare av en typ som avses i bilaga 1 eller 2 som av en medlemsstat identifierats som väsentliga.
  • Verksamhetsutövare som identifierats som kritiska verksamhetsutövare enligt CER-direktivet.
  • Verksamhetsutövare som medlemsstaterna före den 16 januari

2023 har identifierat som leverantörer av samhällsviktiga tjänster enligt NIS-direktivet, om så föreskrivs av medlemsstaten.

Alla verksamhetsutövare av en typ som avses i bilaga 1 eller 2 och som inte är väsentliga ska betraktas som viktiga verksamhetsutövare. Detta inkluderar verksamhetsutövare som en medlemsstat identifierat som viktiga i enlighet med artikel 2.2 b–e.

Senast den 17 april 2025 ska medlemsstaterna upprätta en förteckning över väsentliga och viktiga verksamhetsutövare samt verksamhetsutövare som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år se över förteckningen och när det är lämpligt uppdatera den. Medlemsstaterna får inrätta nationella mekanismer som gör det möjligt för verksamhetsutövarna att registrera sig själva.

Senast den 17 april 2025 och därefter vartannat år ska de behöriga myndigheterna underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare för varje sektor och delsektor och lämna relevant information om väsentliga och viktiga verksamhetsutövare som identifierats oavsett storlek (artikel 2–4).

3.2.3. Behöriga myndigheter och gemensamma kontaktpunkter

Varje medlemsstat ska utse en eller flera behöriga myndigheter med ansvar för cybersäkerhet och tillsyn. De behöriga myndigheterna ska övervaka genomförandet av direktivet på nationell nivå. Varje medlemsstat ska också utse en gemensam kontaktpunkt. Den ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete mellan medlemsstatens myndigheter och myndigheter i andra medlemsstater och, när det är lämpligt, kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa). Den behöriga myndig-

heten ska också säkerställa ett sektorsövergripande samarbete med andra behöriga myndigheter i medlemsstaten (artikel 8).

3.2.4. Cyberkrishanteringsmyndighet

Varje medlemsstat ska utse en eller flera behöriga myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter). Om en medlemsstat utser mer än en cyberkrishanteringsmyndighet ska den ange vilken av dessa myndigheter som ska samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser. Enligt direktivet ska medlemsstaten även anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser där mål och villkor för hanteringen av sådana incidenter och kriser fastställs. Utformningen av den nationella planen omfattas enligt kommittédirektivet inte av utredarens uppdrag (artikel 9).

3.2.5. CSIRT-enheter

Medlemsstaterna bör ha både den tekniska och organisatoriska kapaciteten som krävs för att förebygga, upptäcka, vidta åtgärder mot och begränsa incidenter och risker. Varje medlemsstat ska därför utse en eller flera CSIRT-enheter. I direktivet ställs uttryckliga krav som CSIRT-enheter ska uppfylla. Direktivet anger också ett antal uppgifter för CSIRT-enheter. Medlemsstaterna ska säkerställa att deras CSIRT-enheter har nödvändig kapacitet att utföra dessa uppgifter och att tillräckliga resurser anslås för att säkerställa en tillräcklig personalstyrka för att göra det möjligt för CSIRT-enheterna att utveckla sin tekniska kapacitet (artikel 10 och 11).

Varje medlemsstat ska utse en av sina CSIRT-enheter till samordnare för den samordnade delgivningen av information om sårbarheter. Den CSIRT-enhet som utsetts till samordnare ska fungera som betrodd mellanhand och vid behov underlätta interaktionen mellan den som rapporterar en sårbarhet och tillverkaren eller leverantören av de potentiellt sårbara produkterna eller tjänsterna (artikel 12).

3.2.6. Samarbete på nationell nivå

Om den behöriga myndigheten, den gemensamma kontaktpunkten och CSIRT-enheten i en medlemsstat är separata ska de samarbeta när det gäller fullgörandet av skyldigheterna enligt direktivet. Medlemsstaterna ska säkerställa att antingen CSIRT-enheten eller de behöriga myndigheterna tar emot underrättelser om incidenter, cyberhot och tillbud som lämnas enligt direktivet. Den gemensamma kontaktpunkten ska informeras om de underrättelser som lämnas in. Medlemsstaterna ska också säkerställa att de behöriga myndigheterna, CSIRT-enheterna och den gemensamma kontaktpunkten samarbetar med bland annat brottsbekämpande myndigheter, dataskyddsmyndigheter och behöriga myndigheter enligt andra sektorsspecifika unionsrättsakter (artikel 13).

3.2.7. Samarbetsgrupp för strategiskt samarbete och informationsutbyte

Genom NIS-direktivet inrättades en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna och skapa förtroende och tillit. Samarbetsgruppen utökas i NIS2-direktivet genom att fler aktörer har möjlighet att delta i samarbetsgruppen som dessutom får fler uppgifter som återges i artikel 14.

3.2.8. CSIRT-nätverk

Genom NIS-direktivet inrättades ett nätverk för nationella CSIRTenheter för att bidra till utvecklingen av förtroende och tillit och för att främja ett snabbt och ändamålsenligt operativt samarbete i unionen. Nätverket ska enligt NIS2-direktivet i princip fortsätta att fungera på samma sätt men får en del nya uppgifter, till exempel att samarbeta och utbyta information med säkerhetscentrum (SOC) på regional och unionsnivå (artikel 15).

3.2.9. Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe)

EU-CyCLONe inrättas för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser och säkerställa ett regelbundet utbyte av relevant information mellan medlemsstaterna och unionens institutioner, organ och byråer. En storskalig cybersäkerhetsincident definieras i direktivet som en incident som orsakar störningar som är så omfattande att den berörda medlemsstaten inte kan hantera den eller som har en betydande påverkan på minst två medlemsstater. EU-CyCLONe ska bestå av företrädare för medlemsstaternas cyberkrishanteringsmyndigheter och i vissa fall kommissionen. EU-CyCLONe ska bland annat öka beredskapen för hantering av storskaliga cybersäkerhetsincidenter och kriser samt samordna hanteringen och ge stöd till beslutsfattande på politisk nivå i samband med sådana incidenter och kriser (artikel 16).

3.2.10. Styrning

Medlemsstaterna ska säkerställa att väsentliga och viktiga verksamhetsutövares ledningsorgan godkänner de riskhanteringsåtgärder för cybersäkerhet som verksamhetsutövaren vidtar för att följa artikel 21, övervakar genomförandet av dem och kan ställas till svars för överträdelser av den artikeln. Medlemsstaterna ska också säkerställa att medlemmar i ledningsorganen är skyldiga att genomgå utbildning, och ska uppmuntra verksamhetsutövare att regelbundet erbjuda liknande utbildning till sina anställda för att de ska få tillräckligt med kunskap och kompetens för att kunna identifiera risker och bedöma riskhanteringspraxis för cybersäkerhet och deras inverkan på verksamhetsutövarens tjänster (artikel 20).

3.2.11. Riskhanteringsåtgärder för cybersäkerhet

Medlemsstaterna ska säkerställa att de väsentliga och viktiga verksamhetsutövare som beskrivits i avsnitt 3.2.2 vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhanda-

hålla sina tjänster. Åtgärderna ska också vidtas för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Åtgärderna ska baseras på en allriskansats som syftar till att skydda verksamhetsutövarens nätverks- och informationssystem och dessa systems fysiska miljö från incidenter och minst inbegripa

  • strategier för riskanalys och informationssystemens säkerhet,
  • incidenthantering,
  • driftskontinuitet,
  • säkerhet i leveranskedjan,
  • säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem,
  • strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,
  • grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
  • strategier och förfaranden för användning av kryptografi,
  • personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och
  • användning av, när så är lämpligt, lösningar för multifaktorsautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

Medlemsstaterna ska säkerställa att verksamhetsutövare beaktar de sårbarheter som är specifika för varje direktleverantör och tjänsteleverantör och den övergripande kvaliteten på deras leverantörers och tjänsteleverantörers produkter och cybersäkerhetspraxis. Medlemsstaterna ska också säkerställa att verksamhetsutövare är skyldiga att beakta resultatet av de samordnade säkerhetsbedömningar säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med direktivet.

Kommissionen ska senast den 17 oktober 2024 anta genomförandeakter för att fastställa de tekniska och metodologiska specifikationerna för åtgärderna ovan när det gäller vissa verksamhetsutövare.1 Kommissionen får även anta genomförandeakter för att fastställa tekniska och metodologiska krav samt, vid behov, sektorskrav med avseende på andra verksamhetsutövare (artikel 21).

3.2.12. Rapporteringsskyldigheter

Varje medlemsstat ska säkerställa att väsentliga och viktiga verksamhetsutövare utan onödigt dröjsmål underrättar sin CSIRT-enhet eller behöriga myndighet om alla incidenter som har en betydande inverkan på tillhandahållandet av deras tjänster (betydande incident). En incident ska anses vara betydande om den har orsakat eller kan orsaka allvarliga driftstörningar för tjänsterna, ekonomiska förluster för den berörda verksamhetsutövaren eller har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Enligt direktivet ska verksamhetsutövarna utan onödigt dröjsmål, men senast inom 24 timmar efter att ha fått kännedom om den betydande incidenten, lämna en tidig varning som ska ange om incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar. Utan onödigt dröjsmål men senast inom 72 timmar ska verksamhetsutövaren sedan lämna en incidentanmälan som ska innehålla en inledande bedömning av incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer. Senast en månad efter inlämningen av incidentanmälan ska en slutrapport lämnas. Slutrapporten ska enligt direktivet innehålla en detaljerad beskrivning av incidenten, den typ av hot eller grundorsak som sannolikt har utlöst incidenten, tillämpade och pågående begränsande åtgärder samt incidentens gränsöverskridande verkningar.

1

Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av moln-

tjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och för plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster.

CSIRT-enheten eller den behöriga myndigheten ska utan onödigt dröjsmål och om möjligt inom 24 timmar från mottagandet av en tidig varning lämna ett svar till den rapporterande verksamhetsutövaren, inbegripet initial återkoppling om incidenten och, på verksamhetsutövarens begäran, vägledning eller operativa råd om genomförandet av möjliga begränsande åtgärder. CSIRT-enheten ska tillhandahålla ytterligare tekniskt stöd om den berörda verksamhetsutövaren begär det. Om incidenten misstänks vara av brottslig art ska CSIRT-enheten eller den behöriga myndigheten också tillhandahålla vägledning om rapportering av incidenten till de brottsbekämpande myndigheterna.

När så är lämpligt, och särskilt om incidenten berör två eller flera medlemsstater, ska CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten utan dröjsmål informera andra berörda medlemsstater och Enisa om incidenten. Vid en sådan underrättelse ska verksamhetsutövarens säkerhets- och affärsintressen samt informationens konfidentialitet bevaras, i enlighet med unionsrätten eller nationell rätt.

På begäran av CSIRT-enheten eller den behöriga myndigheten ska den gemensamma kontaktpunkten vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra berörda medlemsstater.

Den gemensamma kontaktpunkten ska var tredje månad lämna en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud som rapporterats enligt direktivet.

CSIRT-enheterna eller, i tillämpliga fall, de behöriga myndigheterna ska förse de behöriga myndigheterna enligt CER-direktivet med information om rapportering som gjorts av verksamhetsutövare som identifierats som kritiska i enlighet med CER-direktivet.

Kommissionen får anta genomförandeakter som närmare anger typen av information i och formatet och förfarandet för underrättelser som lämnas enligt direktivet.

Senast den 17 oktober 2024 ska kommissionen, med avseende på vissa verksamhetsutövare2 anta genomförandeakter som närmare anger i vilka fall en incident ska anses vara betydande enligt direktivet. Kommissionen får även anta sådana genomförandeakter med avseende på andra väsentliga och viktiga verksamhetsutövare (artikel 23).

2

Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av moln-

tjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller av plattformar för sociala nätverkstjänster.

3.2.13. Cybersäkerhetscertifiering och standardisering

Medlemsstaterna får ålägga väsentliga och viktiga verksamhetsutövare att använda särskilda IKT-produkter, IKT-tjänster och IKT-processer, som har utvecklats av den väsentliga eller viktiga verksamhetsutövaren eller upphandlats från tredje parter, som är certifierade enligt europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med cybersäkerhetsakten3. Medlemsstaterna ska dessutom uppmuntra väsentliga och viktiga verksamhetsutövare att använda kvalificerade betrodda tjänster. Kommissionen får anta delegerade akter som anger vilka kategorier av väsentliga eller viktiga verksamhetsutövare som ska vara skyldiga att använda vissa certifierade IKTprodukter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en ordning för cybersäkerhetscertifiering som antagits enligt cybersäkerhetsakten.

Medlemsstaterna ska, utan att föreskriva eller gynna användning av viss typ av teknik, uppmuntra användningen av europeiska och internationella standarder och tekniska specifikationer av relevans för säkerheten i nätverks- och informationssystem (artikel 24 och 25).

3.2.14. Arrangemang för informationsutbyte om cybersäkerhet

Medlemsstaterna ska säkerställa att det är möjligt för verksamhetsutövare att på frivillig basis utbyta relevant information om cybersäkerhet om sådant informationsutbyte syftar till att förebygga, upptäcka, reagera på eller återhämta sig från incidenter, begränsa deras inverkan eller höja cybersäkerhetsnivån. Medlemsstaterna ska underlätta inrättandet av sådana arrangemang för informationsutbyte. Medlemsstaterna ska också säkerställa att väsentliga och viktiga verksamhetsutövare underrättar de behöriga myndigheterna om sitt deltagande i sådana arrangemang (artikel 29).

3

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa

(Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

3.2.15. Tillsyn och efterlevnadskontroll

Medlemsstaterna ska säkerställa att deras behöriga myndigheter på ett ändamålsenligt sätt övervakar och vidtar de åtgärder som krävs för att säkerställa att direktivet efterlevs. Medlemsstaterna får tillåta sina behöriga myndigheter att prioritera sin tillsyn utifrån en riskbaserad metod. De behöriga myndigheterna ska ha ett nära samarbete med tillsynsmyndigheterna för dataskyddsförordningen4 när de behandlar incidenter som medför personuppgiftsincidenter.

Tillsyns- och efterlevnadskontroller i fråga om väsentliga verksamhetsutövare

Medlemsstaterna ska säkerställa att de tillsyns- eller efterlevnadskontroller som åläggs väsentliga verksamhetsutövare är effektiva, proportionella och avskräckande, med beaktande av omständigheterna i varje enskilt fall. Medlemsstaterna ska säkerställa att behöriga myndigheter, när de utövar sina tillsynsuppgifter, har befogenhet att åtminstone underställa dessa verksamhetsutövare

  • inspektioner på plats och distansbaserad tillsyn,
  • regelbundna och riktade säkerhetsrevisioner,
  • ad hoc-revisioner,
  • säkerhetsskanningar,
  • begäranden om sådan information som behövs för att bedöma de riskhanteringsåtgärder för cybersäkerhet som antagits av verksamhetsutövaren,
  • begäranden om tillgång till uppgifter, handlingar och information som behövs för att de ska kunna utföra sina tillsynsuppgifter, och
  • begäranden om bevis på genomförandet av cybersäkerhetsstrategier.

4

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd

för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Kostnaderna för riktade säkerhetsrevisioner som utförs av ett oberoende organ ska betalas av verksamhetsutövaren, om inte den behöriga myndigheten beslutar något annat.

Medlemsstaterna ska vidare säkerställa att behöriga myndigheter, när de utövar efterlevnadskontroll, åtminstone har befogenhet att

  • utfärda varningar,
  • anta bindande instruktioner,
  • ålägga de berörda verksamhetsutövarna att upphöra med och att avstå från att upprepa beteenden som utgör en överträdelse av direktivet,
  • ålägga de berörda verksamhetsutövarna att säkerställa riskhanteringsåtgärder och incidentrapportering överensstämmer med direktivet,
  • ålägga de berörda verksamhetsutövarna att informera de fysiska eller juridiska personer till vilka de tillhandahåller tjänster eller utför verksamheter som potentiellt kan beröras av ett betydande cyberhot om hotets karaktär och om eventuella skyddsåtgärder eller avhjälpande åtgärder som dessa kan vidta som svar på hotet,
  • ålägga de berörda verksamhetsutövarna att genomföra rekommendationer som lämnats till följd av en säkerhetsrevision,
  • utse en övervakningsansvarig för att övervaka att verksamhetsutövaren efterlever skyldigheter om riskhanteringsåtgärder och incidentrapportering,
  • ålägga de berörda verksamhetsutövarna att offentliggöra aspekter av överträdelser av direktivet, och
  • påföra eller begära att relevanta organ eller domstolar i enlighet med nationell rätt påför administrativa sanktionsavgifter.

Om efterlevnadskontrollåtgärderna är ineffektiva ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenhet att fastställa en tidsfrist inom vilken en väsentlig verksamhetsutövare ska vidta nödvändiga åtgärder för att avhjälpa bristerna. Om de begärda åtgärderna inte vidtas inom den fastställda tidsfristen ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenhet att

  • tillfälligt upphäva eller begära att ett certifierings- eller auktorisationsorgan, eller en domstol, i enlighet med nationell rätt, tillfälligt upphäver en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls eller verksamheter som utövas av verksamhetsutövaren,
  • begära att relevanta organ eller domstolar, i enlighet med nationell rätt, inför ett tillfälligt förbud för varje fysisk person som på nivån verkställande direktör eller juridiskt ombud har ledningsansvar i verksamhetsutövaren att utöva ledningsfunktioner.

Tillfälliga upphävanden och förbud är inte tillämpliga på offentliga verksamhetsutövare som omfattas av direktivet.

Medlemsstaterna ska säkerställa att varje fysisk person som ansvarar för eller agerar som juridiskt ombud för en verksamhetsutövare har befogenhet att säkerställa att verksamhetsutövaren efterlever direktivet. Medlemsstaterna ska också säkerställa att dessa fysiska personer kan hållas ansvariga för överträdelser av sitt uppdrag att säkerställa att direktivet efterlevs. När det gäller offentliga verksamhetsutövare påverkar detta inte nationell rätt avseende det ansvar som åligger statligt anställda och valda eller utnämnda tjänstepersoner.

Medlemsstaterna ska säkerställa att deras behöriga myndigheter informerar relevanta behöriga myndigheter enligt CER-direktivet när de utövar sina befogenheter med avseende på tillsyn och efterlevnadskontroll mot en verksamhetsutövare som identifierats som en kritisk verksamhetsutövare enligt det direktivet (artikel 32).

Tillsyns och efterlevnadskontroller i fråga om viktiga verksamhetsutövare

När medlemsstaterna får bevis, indikationer på eller information om att en viktig verksamhetsutövare påstås underlåta att fullgöra direktivet ska de säkerställa att de behöriga myndigheterna vid behov vidtar åtgärder i form av tillsynsåtgärder i efterhand. Medlemsstaterna ska säkerställa att dessa åtgärder är effektiva, proportionella och avskräckande, med beaktande av omständigheterna i varje enskilt fall.

Medlemsstaterna ska säkerställa att de behöriga myndigheterna, när de utövar sina tillsynsuppgifter avseende viktiga verksamhetsutövare, har i princip samma befogenheter som de har gällande väsentliga

verksamhetsutövare, med skillnaden att tillsyn ska ske i efterhand. Medlemsstaterna ska också säkerställa att de behöriga myndigheterna har i stora delar samma befogenheter när det gäller efterlevnadskontroll som de har gällande väsentliga verksamhetsutövare. Dock finns inte bestämmelser om möjlighet att utse en övervakningsansvarig när det gäller viktiga verksamhetsutövare. Det finns inte heller bestämmelser om att upphäva certifiering eller auktorisation eller införa förbud för personer att utöva ledningsansvar (artikel 33).

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella åtgärder som antagits enligt direktivet och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska anmäla dessa regler och åtgärder till kommissionen senast den 17 januari 2025.

Medlemsstaterna ska säkerställa att väsentliga verksamhetsutövare som överträder artikel 21 eller 23 påförs administrativa sanktionsavgifter på högst 10 000 000 euro eller högst 2 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

Medlemsstaterna ska säkerställa att viktiga verksamhetsutövare som överträder artikel 21 eller 23 påförs administrativa sanktionsavgifter på högst 7 000 000 euro eller högst 1,4 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

Medlemsstaterna får föreskriva befogenhet att förelägga viten för att tvinga en verksamhetsutövare att upphöra med en överträdelse av direktivet.

Medlemsstaterna får också fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga verksamhetsutövare. Kommissionen ska underrättas om lagar som medlemsstaten antar gällande administrativa sanktionsavgifter senast den 17 oktober 2024 (artikel 34 och 36).

4. Beskrivning av de nya sektorerna

4.1. Inledning

NIS2-direktivet innebär som framgått ovan att tillämpningsområdet utvidgas i jämförelse med det första NIS-direktivet. Ett flertal nya sektorer har tillkommit och inom befintliga sektorer har nya delsektorer samt nya typer av verksamhetsutövare lagts till. Nedan följer en beskrivning av de nya sektorer, delsektorer och typer av verksamhetsutövare som omfattas av NIS2-direktivets tillämpningsområde. Leverantörer av molntjänster, marknadsplatser online och sökmotorer var enligt NIS1-direktivet digitala tjänster. Dessa beskrivs nedan under den sektor de tillhör i NIS2-direktivet. För en beskrivning av övriga verksamhetsutövare se SOU 2017:36.1 Medlemsstaterna får föreskriva att direktivet ska tillämpas på utbildningsinstitut vilket utredningen behandlar i avsnitt 5.2.14.

NIS2-direktivets bilaga 1 och 2 innehåller en omfattande uppräkning av sektorer, delsektorer och verksamhetsutövare. I många fall hänvisas till andra EU-rättsakter där ytterligare definitioner finns. I andra fall finns definitionen endast i NIS2-direktivet. Detta innebär att det i vissa sektorer kan finnas ett tolkningsutrymme för vilken typ av verksamhetsutövare som faktiskt omfattas i sektorn eller delsektorn. Utredningen återkommer till detta i avsnitt 5.2.12.

1

SOU 2017:36, Informationssäkerhet för samhällsviktiga och digitala tjänster, s. 65 ff.

4.2. Energi

Elektricitet

  • Producenter enligt definitionen i artikel 2.38 i direktiv (EU)

2019/9442.

Med producent avses en fysisk eller juridisk person som framställer el.

  • Nominerade elmarknadsoperatörer enligt definitionen i artikel 2.8 i

Europaparlamentets och rådets förordning (EU) 2019/9433.

Med nominerad elmarknadsoperatör avses en marknadsoperatör som av den behöriga myndigheten utsetts att utföra arbetsuppgifter i samband med gemensam dagen före- eller intradagskoppling.

  • Marknadsaktörer enligt definitionen i artikel 2.25 i förordning

(EU) 2019/943 och som tillhandahåller aggregering, efterfrågeflexibilitet eller energilagringstjänster enligt definitionen i artikel 2.18, 2.20 och 2.59 i direktiv (EU) 2019/944.

Med marknadsaktör avses en fysisk eller juridisk person som producerar, köper eller säljer el, efterfrågeflexibilitet eller lagringstjänster, inklusive lägger handelsorder, på en eller flera elmarknader, däribland energibalansmarknader.

Aggregering avser en funktion som fullgörs av en fysisk eller juridisk person som kombinerar flera kundlaster eller producerad el för försäljning, inköp eller auktionering på alla slags organiserade elmarknader.

Med efterfrågeflexibilitet avses förändringar i belastningen i fråga om el från slutkunder, jämfört med deras normala eller nuvarande konsumtionsmönster, som svar på marknadssignaler, inbegripet som svar på tidsvarierande elpriser eller ekonomiska incitament, eller som svar på antagandet av slutkundens bud om att sälja efterfrågeminskning eller ökning till ett visst pris på organiserade marknader enligt definitionen i artikel 2.4 i kommissionens genomförandeförordning (EU) nr 1348/2014, enskilt eller genom aggregering.

2

Europaparlamentets och rådets direktiv (EU) 2019/944 av den 5 juni 2019 om gemensamma

regler för den inre marknaden för el och om ändring av direktiv 2012/27/EU.

3

Europaparlamentets och rådets förordning (EU) 2019/943 av den 5 juni 2019 om den inre

marknaden för el.

Energilagring innebär i elsystemet en uppskjutning av den slutliga användningen av el till en senare tidpunkt än produktionstillfället, eller omvandlingen av elenergi till en form av energi som kan lagras, lagringen av den energin, och den därpå följande återomvandlingen av den energin till elenergi eller användningen som en annan energibärare.

  • Laddningsoperatörer som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobilitetstjänster och i dess namn.

Fjärrvärme eller fjärrkyla

  • Operatörer av fjärrvärme eller fjärrkyla enligt definitionen i artikel 2.19 i Europaparlamentets och rådets direktiv (EU) 2018/20014.

Med fjärrvärme eller fjärrkyla avses distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer.

Olja

  • Centrala lagringsenheter enligt definitionen i artikel 2 f i rådets direktiv 2009/119/EG5.

Med central lagringsenhet (CSE) avses organ eller tjänst som anförtrotts uppgiften att förvärva, vidmakthålla eller sälja oljelager, inbegripet beredskapslager och särskilda lager.

4

Europaparlamentets och rådets direktiv (EU) 2018/2001 av den 11 december 2018 om främ-

jande av användningen av energi från förnybara energikällor.

5

Rådets direktiv 2009/119/EG av den 14 september 2009 om skyldighet för medlemsstaterna

att inneha minimilager av råolja och/eller petroleumprodukter.

Vätgas

  • Operatörer av anläggningar för produktion, lagring och överföring av vätgas.

4.3. Hälso- och sjukvårdssektorn

  • EU-referenslaboratorier som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2022/23716.

Med EU-referenslaboratorier avses de EU-referenslaboratorier som kommissionen enligt förordningen, genom genomförandeakter, får utse och som ska ge stöd till nationella referenslaboratorier för att främja god praxis och medlemsstaternas frivilliga harmonisering av diagnostik, testmetoder och användning av vissa tester för medlemsstaternas enhetliga övervakning, anmälan och rapportering av sjukdomar.

  • Verksamhetsutövare som bedriver forskning och utveckling avseende läkemedel enligt definitionen i artikel 1.2 i Europaparlamentets och rådets direktiv 2001/83/EG7.

Med läkemedel avses varje substans eller kombination av substanser som tillhandahålls för att behandla eller förebygga sjukdom hos människor och varje substans eller kombination av substanser som är avsedd att tillföras människor i syfte att ställa diagnos eller att återställa, korrigera eller modifiera fysiologiska funktioner.

  • Verksamhetsutövare som tillverkar farmaceutiska basprodukter och läkemedel som avses i avsnitt C huvudgrupp 21 i Nace Rev. 2.

Tillverkning av farmaceutiska basprodukter avser bland annat tillverkning av medicinskt aktiva substanser som används i tillverkningen av läkemedel, till exempel antibiotika.

Tillverkning av läkemedel avser bland annat tillverkning av immunsera, preventivmedel och vacciner.

6

Europaparlamentets och rådets förordning (EU) 2022/2371 av den 23 november 2022 om allvar-

liga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 1082/2013/EU.

7

Europaparlamentets och rådets direktiv 2001/83/EG av den 6 november 2001 om upprätt-

ande av gemenskapsregler för humanläkemedel.

  • Verksamhetsutövare som tillverkar medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan i den mening som avses i artikel 22 i Europaparlamentets och rådets förordning (EU) 2022/1238.

Efter det att ett hot mot folkhälsan erkänts enligt förordningen ska det upprättas en förteckning över kategorier av kritiska medicintekniska produkter som betraktas som kritiska under hotet mot folkhälsan. Europeiska läkemedelsmyndigheten ska i samband med detta offentliggöra förteckningen på en särskild sida på sin webbportal.

4.4. Avloppsvatten

  • Företag som samlar ihop, släpper ut och renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten enligt definitionen i artikel 2.1–2.3 i rådets direktiv 91/271/EEG9, undantaget företag som samlar ihop, släpper ut eller renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten som en icke väsentlig del av sin allmänna verksamhet.

Med avloppsvatten från tätbebyggelse avses spillvatten från hushåll eller en blandning av hushållsspillvatten och industrispillvatten eller dagvatten.

Hushållsspillvatten avser spillvatten från bostäder och serviceinrättningar, vilket till övervägande del härrör från människans metabolism och hushållsaktiviteter. Med industrispillvatten avses allt spillvatten som släpps ut från områden som används för kommersiell eller industriell verksamhet och som inte är hushållsspillvatten eller dagvatten.

8

Europaparlamentets och rådets förordning (EU) 2022/123 av den 25 januari 2022 om en

förstärkt roll för Europeiska läkemedelsmyndigheten vid krisberedskap och krishantering avseende läkemedel och medicintekniska produkter.

9

Rådets direktiv 91/271/EEG av den 21 maj 1991 om rening av avloppsvatten från tätbebyggelse.

4.5. Digital infrastruktur

  • Leverantörer av molntjänster.

Molntjänst avser en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser.

  • Leverantörer av datacentraltjänster.

Datacentraltjänst avser en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll.

  • Leverantörer av nätverk för leverans av innehåll.

Nätverk för leverans av innehåll avser ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för, tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.

  • Tillhandahållare av betrodda tjänster.

Betrodd tjänst avser enligt NIS2-direktivet en betrodd tjänst enligt definitionen i artikel 3.16 i förordning (EU) nr 910/201410. I den förordningen definieras betrodd tjänst som en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av – skapande, kontroll och validering av elektroniska underskrifter,

elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller – skapande, kontroll och validering av certifikat för autentisering

av webbplatser, eller

10

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

– bevarande av elektroniska underskrifter, stämplar eller certifikat

med anknytning till dessa tjänster.

  • Tillhandahållare av allmänna elektroniska kommunikationsnät.

Allmänna elektroniska kommunikationsnät avser enligt NIS2-direktivet ett allmänt elektroniskt kommunikationsnät enligt definitionen i artikel 2.8 i direktiv (EU) 2018/197211. I det direktivet definieras allmänt elektroniskt kommunikationsnät som ett elektroniskt kommunikationsnät som helt eller huvudsakligen används för att tillhandahålla allmänt tillgängliga elektroniska kommunikationstjänster och som stöder informationsöverföring mellan nätanslutningspunkter.

  • Tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster.

Allmänt tillgängliga elektroniska kommunikationstjänster avser enligt NIS2-direktivet en elektronisk kommunikationstjänst enligt definitionen i artikel 2.4 i direktiv (EU) 2018/1972. I det direktivet definieras en elektronisk kommunikationstjänst som en tjänst som vanligen tillhandahålls mot ersättning via elektroniska kommunikationsnät och som omfattar, med undantag av tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster eller utövande av redaktionellt ansvar över sådant innehåll, följande typer av tjänster: – internetanslutningstjänst enligt definitionen i artikel 2.2 i förord-

ning (EU) 2015/212012, – interpersonell kommunikationstjänst, och – tjänster som helt eller huvudsakligen utgörs av överföring av sig-

naler, såsom överföringstjänster som används för tillhandahållande av maskin till maskin-tjänster och för utsändningstjänster.

11

Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation.

12

Europaparlamentets och rådets förordning (EU) 2015/2120 av den 25 november 2015 om åtgärder rörande en öppen internetanslutning och om ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster och förordning (EU) nr 531/2012 om roaming i allmänna mobilnät i unionen.

4.6. Förvaltning av IKT-tjänster (mellan företag)

IKT-tjänst avser enligt NIS2-direktivet en IKT-tjänst enligt definitionen i förordning (EU) 2019/88113. I den förordningen definieras IKT-tjänst som en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.

  • Leverantörer av hanterade tjänster.

Leverantör av hanterade tjänster definieras i NI2-direktivet som en verksamhetsutövare som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKTinfrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans.

  • Leverantörer av hanterade säkerhetstjänster.

Leverantör av hanterade säkerhetstjänster definieras i NIS2-direktivet som en leverantör av hanterade tjänster som utför eller tillhandahåller stöd för verksamhet som rör hantering av cybersäkerhetsrisker.

4.7. Offentlig förvaltning

  • Offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt.
  • Offentliga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt.

Offentlig förvaltningsentitet avser enligt NIS2-direktivet en entitet som erkänts som sådan i en medlemsstat i enlighet med nationell rätt, med undantag för rättsväsendet, parlamentet och centralbanker, som uppfyller följande kriterier:

13

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

a) Den har inrättats för att tillgodose behov i det allmännas intresse

och har inte industriell eller kommersiell karaktär.

b) Den har ställning som juridisk person eller har lagstadgad rätt att

agera för en annan entitet som har ställning som juridisk person.

c) Den finansieras till största delen av staten, regionala myndigheter

eller andra offentligrättsliga organ, står under administrativ tillsyn av dessa myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, regionala myndigheter eller andra offentligrättsliga organ.

d) Den har befogenhet att rikta administrativa eller reglerande be-

slut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.

Medlemsstaterna får föreskriva att direktivet även ska tillämpas på offentliga förvaltningsentiteter på lokal nivå.

Se vidare om offentliga förvaltningsentiteter i avsnitt 5.2.

4.8. Rymden

  • Operatörer av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter och som stöder tillhandahållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät.

NIS2-direktivet innehåller ingen ytterligare definition av rymdbaserade tjänster. En tolkning av ordalydelsen innebär enligt utredningen att rymdbaserade tjänster avser bland annat satellitkommunikation, positionerings- och tidstjänster samt jordobservation.

4.9. Post- och budtjänster

  • Tillhandahållare av posttjänster enligt definitionen i artikel 2.1a i direktiv 97/67/EG14, inbegripet tillhandahållare av budtjänster.

Med posttjänster avses tjänster som innefattar insamling, sortering, transport och utdelning av postförsändelser.

Med postförsändelser avses adresserad försändelse i den slutliga form i vilken den ska transporteras av en tillhandahållare av posttjänster. Sådana försändelser omfattar, förutom brevförsändelser, till exempel böcker, kataloger, tidningar och tidskrifter samt postpaket som innehåller varor med eller utan kommersiellt värde.

4.10. Avfallshantering

  • Verksamhetsutövare som bedriver avfallshantering enligt definitionen i artikel 3.9 i Europaparlamentets och rådets direktiv 2008/98/EG15, dock undantaget verksamhetsutövare vars huvudsakliga näringsverksamhet inte är avfallshantering.

Avfallshantering avser insamling, transport, återvinning och bortskaffande av avfall, inklusive kontroll av sådan verksamhet och efterbehandling av platser för bortskaffande av avfall, inklusive åtgärder som handlaren eller mäklaren vidtar.

4.11. Tillverkning, produktion och distribution av kemikalier

  • Företag som tillverkar ämnen och distribuerar ämnen eller blandningar som avses i artikel 3.9 och 3.14 i Europaparlamentets och rådets förordning (EG) nr 1907/200616 samt företag som produ-

14

Europaparlamentets och rådets direktiv 97/67/EG av den 15 december 1997 om gemensamma regler för utvecklingen av gemenskapens inre marknad för posttjänster och för förbättring av kvaliteten på tjänsterna.

15

Europaparlamentets och rådets direktiv 2008/98/EG av den 19 november 2008 om avfall och om upphävande av vissa direktiv.

16

Europaparlamentets och rådets förordning (EG) nr 1907/2006 av den 18 december 2006 om registrering, utvärdering, godkännande och begränsning av kemikalier (Reach), inrättande av en europeisk kemikaliemyndighet, ändring av direktiv 1999/45/EG och upphävande av rådets

cerar varor enligt definitionen i artikel 3.3 i den förordningen genom att använda ämnen och blandningar.

Med ämne avses kemiskt grundämne och föreningar av detta grundämne i naturlig eller tillverkad form, inklusive de eventuella tillsatser som är nödvändiga för att bevara dess stabilitet och sådana föroreningar som härrör från tillverkningsprocessen, men exklusive eventuella lösningsmedel som kan avskiljas utan att det påverkar ämnets stabilitet eller ändrar dess sammansättning. Med vara avses ett föremål som under produktionen får en särskild form, yta eller design, vilken i större utsträckning än dess kemiska sammansättning bestämmer dess funktion.

4.12. Produktion, bearbetning och distribution av livsmedel

  • Livsmedelsföretag enligt definitionen i artikel 3.2 i Europaparlamentets och rådets förordning (EG) nr 178/200217 som bedriver grossisthandel och industriell produktion och bearbetning.

Med livsmedelsföretag avses varje privat eller offentligt företag som med eller utan vinstsyfte bedriver någon av de verksamheter som hänger samman med alla stadier i produktions-, bearbetnings- och distributionskedjan av livsmedel.

förordning (EEG) nr 793/93 och kommissionens förordning (EG) nr 1488/94 samt rådets direktiv 76/769/EEG och kommissionens direktiv 91/155/EEG, 93/67/EEG, 93/105/EG och 2000/21/EG.

17

Europaparlamentets och rådets förordning (EG) nr 178/2002 av den 28 januari 2002 om allmänna principer och krav för livsmedelslagstiftning, om inrättande av Europeiska myndigheten för livsmedelssäkerhet och om förfaranden i frågor som gäller livsmedelssäkerhet.

4.13. Tillverkning

Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro -diagnostik

  • Verksamhetsutövare som tillverkar medicintekniska produkter enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2017/74518, och verksamhetsutövare som tillver-kar medicintekniska produkter för in vitro-diagnostik enligt definitionen i artikel 2.2 i Europaparlamentet och rådets förordning (EU) 2017/74619, med undantag av verksamhetsutövare som tillverkar sådana medicintekniska produkter som avses i punkt 5 femte strecksatsen i bilaga 1 i NIS2-direktivet.

Inom hälso- och sjukvården används ett mycket stort antal medicintekniska produkter av olika slag. Några exempel är kompresser, kontaktlinsprodukter, sprutor, kanyler, infusionsaggregat och pumpar för läkemedelstillförsel.

När det gäller medicintekniska produkter för in vitro-diagnostik så syftar termen på att biologiskt material studeras utanför sin normala biologiska kontext. In vitro-diagnostik innebär således diagnostik utanför kroppen och exempel på produkter är analysutrustning, provrör och olika tester avsedda att upptäcka medicinska tillstånd eller sjukdomar.

Tillverkning av datorer, elektronikvaror och optik

  • Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 26 i Nace Rev. 2.

Huvudgrupp 26 omfattar tillverkning av datorer, kringutrustning för datorer, kommunikationsutrustning, och liknande elektroniska produkter, liksom tillverkning av komponenter för sådana produkter. Huvudgruppen innehåller också tillverkning av konsumentelek-

18

Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.

19

Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.

tronik, mät-, test- och navigationsutrustning, strålnings-, elektromedicinsk och elektroterapeutisk utrustning, optiska instrument och utrustning, samt tillverkning av magnetiska och optiska media.

Tillverkning av elapparatur

  • Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 27 i Nace Rev. 2.

Huvudgrupp 27 omfattar tillverkning av produkter som alstrar, distribuerar och använder elkraft. Dessutom omfattar huvudgruppen tillverkning av elektrisk belysning, signalutrustning och elektriska hushållsapparater.

Tillverkning av övriga maskiner

  • Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 28 i Nace Rev. 2.

Huvudgrupp 28 omfattar tillverkning av maskiner och utrustning som självständigt bearbetar material antingen mekaniskt eller med värme eller gör något med materialet (till exempel godshantering, sprutning, vägning eller förpackning) inklusive deras mekaniska komponenter som genererar och använder kraft, och specialtillverkade delar. Denna kategori omfattar fasta eller rörliga eller handmanövrerade anordningar, oberoende om de är avsedda för industrin, bygg- eller anläggningssektorn, jordbruket eller för hemmabruk. Tillverkning av särskild utrustning för passagerar- eller godstransporter inom avgränsade områden ingår även i denna huvudgrupp.

Tillverkning av motorfordon, släpfordon och påhängsvagnar

  • Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 29 i Nace Rev. 2.

Huvudgrupp 29 omfattar tillverkning av motorfordon för transport av passagerare eller godsbefordran samt tillverkningen av olika delar och tillbehör, liksom tillverkning av släpfordon och påhängsvagnar.

Tillverkning av andra transportmedel

  • Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 30 i Nace Rev. 2.

Huvudgrupp 30 omfattar tillverkning av transportmedel till exempel skepps- och båtbyggeri, tillverkning av rullande materiel för järnväg och lokomotiv, luftfartyg och rymdfarkoster samt tillverkning av delar till dessa.

4.14. Digitala leverantörer

  • Leverantörer av marknadsplatser online.

Marknadsplats online avser enligt NIS2-direktivet en marknadsplats online enligt definitionen i artikel 2 n i Europaparlamentets och rådets direktiv (EU) 2005/29/EG20. I det direktivet definieras marknadsplats online som en tjänst som använder programvara, inbegripet en webbplats, en del av en webbplats eller en applikation, som administreras av en näringsidkare eller för dennas räkning, som ger konsumenterna möjlighet att ingå distansavtal med andra näringsidkare eller konsumenter.

20

Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder).

  • Leverantörer av sökmotorer.

Sökmotor avser enligt NIS2-direktivet en sökmotor enligt definitionen i artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2019/115021. I den förordningen definieras sökmotor som en digital tjänst som gör det möjligt för användare att mata in sökfraser för att göra sökningar på i princip alla webbplatser eller alla webbplatser på ett visst språk på grundval av en fråga om vilket ämne som helst i form av ett nyckelord, en röstbegäran, en fras eller någon annan inmatning och som returnerar resultat i vilket format som helst som innehåller information om det begärda innehållet.

  • Leverantörer av plattformar för sociala nätverkstjänster.

Plattform för sociala nätverkstjänster definieras i NIS2-direktivet som en plattform som gör det möjligt för slutanvändare att interagera, dela och upptäcka innehåll, finna andra användare och kommunicera med andra via flera enheter, särskilt genom chattar, inlägg, videor och rekommendationer.

4.15. Forskning

  • Forskningsorganisationer.

Forskningsorganisation definieras i NIS2-direktivet som en verksamhetsutövare vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner.

Av skäl 36 framgår att forskningsorganisationer bör anses inbegripa verksamhetsutövare som riktar in större delen av sin verksamhet på tillämpad forskning eller experimentell utveckling i den mening som avses i Frascatimanualen 201522 i syfte att utnyttja sina resultat i kommersiella syften, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållare av en tjänst, eller marknadsföring därav.

21

Europaparlamentets och rådets förordning (EU) 2019/1150 av den 20 juni 2019 om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster.

22

OECD (2015), Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development, The Measurement of Scientific, Technological and Innovation Activities, OECD Publishing, Paris.

5. Cybersäkerhetslagens tillämpningsområde

5.1. Direktivet ska i huvudsak genomföras genom ny NIS-lag

Utredningens förslag: NIS2-direktivet ska i huvudsak genom-

föras genom att NIS-lagen och förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster upphävs och ersätts av ny lag och ny förordning med benämningarna cybersäkerhetslagen respektive cybersäkerhetsförordningen.

Som framgått av bakgrundsbeskrivningen i kapitel 3 genomfördes det tidigare NIS-direktivet genom NIS-lagen och förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-förordningen. När det tidigare NIS-direktivet upphävs och ersätts av NIS2-direktivet är det givet att genomförandet behöver ske genom ändringar i dessa regelverk. Med hänsyn till de omfattande ändringarna bör den tidigare lagen och förordningen upphävas och ersättas av ny lag och ny förordning. Den tidigare lagen kan dock i flera avseenden tjäna som förebild utifrån genomarbetade lösningar för likartade frågor.

I detta kapitel ska tillämpningsområdet för en ändrad NIS-lag analyseras.

5.1.1. NIS-lagen

I NIS-lagens första paragraf anges att syftet med lagen är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom de sju sektorerna energi, transport, bank-

verksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur samt för digitala tjänster. Tillämpningsområdet är definierat i tredje paragrafen. Av den följer att flera olika kriterier måste vara uppfyllda.

Inledningsvis är det bara leverantörer av samhällsviktiga tjänster inom de sju områden och digitala tjänster som omfattas av lagen. De sju områden definieras i bilaga 2 till NIS-direktivet, vilket 3 § hänvisar till. Exempelvis anges där att området energi innefattar delområdena elektricitet, olja och gas. Det definieras vidare att exempelvis inom delområdet elektricitet avses elföretag och systemansvariga för distributionssystemet och överföringssystemet enligt definitioner i Europaparlamentets och rådets direktiv 2009/72/EG.1 Därutöver krävs det att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem samt att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Vid bedömningen om vad som utgör en betydande störning ska bland annat beaktas antalet användare som är beroende av den samhällsviktiga tjänsten, leverantörens marknadsandel, storleken av det geografiska område som skulle kunna påverkas av en incident och hur beroende andra sektorer är av den samhällsviktiga tjänst som leverantören erbjuder. Leverantören behöver vara etablerad i Sverige. Såväl offentliga aktörer, dvs. statliga myndigheter, landsting som privata aktörer omfattas.2

5.1.2. Ett vidare syfte

Utredningens förslag: Syftet med denna lag är att uppnå en hög

cybersäkerhetsnivå.

Som framgått av föregående avsnitt är NIS-lagens syfte som är uttryckt i 1 § att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster inom sju utpekade sektorer och digitala tjänster. Detta speglar med en anpassning till att det är nationell rätt. Artikel 1.1 i det tidigare NIS-direktivet anger att det i direktivet fastställs åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem. Regleringen

1 Europaparlamentets och rådets direktiv 2009/72/EG av den 13 juli 2009 om gemensamma

regler för den inre marknaden för el och om upphävande av direktiv 2003/54/EG.

2

Prop. 2017/18:205 s. 90 och 91.

innehåller bland annat krav på ett systematiskt informationssäkerhetsarbete.

Med nätverk och informationssystem avses enligt lagens 2 § punkt 1 följande:

a) ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen

(2022:482) om elektronisk kommunikation,

b) en enhet eller en grupp enheter som är sammankopplade eller hör

samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller

c) digitala uppgifter som lagras, behandlas, hämtas eller överförs

med sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas. Enligt samma paragraf punkt 2 avses med säkerhet i nätverks och informationssystem: nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.

I NIS2-direktivet är syftet uttryckt på annat sätt. I artikel 1 är nivå på säkerhet i nätverks- och informationssystem utbytt till cybersäkerhetsnivå. I artikel 6.3 hänvisas för begreppet cybersäkerhet till definitionen i artikel 2.1 i förordning (EU) 2019/8813. Där anges att cybersäkerhet betyder all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot. Att nätverks- och informationssystem behåller sin tidigare betydelse framgår av samma artikel punkt 2, där det hänvisas till artikel 4.1 i NIS-direktivet.

Innebörden skulle vara att NIS2-direktivet delvis har samma syfte som det första NIS-direktivet. Formuleringen ”verksamhet som är nödvändig för att skydda nätverks- och informationssystem” i NIS2 betyder rimligen samma sak som att ”uppnå en hög nivå på säkerheten i nätverk och informationssystem”. Det som dock skiljer

3

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Euro-

peiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

sig är att NIS2 genom definitionen av cybersäkerhet särskilt även pekar ut skyddet av användare av systemen och andra berörda personer.

En fråga är då vad detta betyder. Om nätverken och informationssystemen skyddas bör det innebära att även användare och andra berörda personer skyddas. Regeringens direktiv lyfter inte frågan och inte heller de inledande skälen 1–6 anger att en ändring är avsedd i denna del. I stället anges i skälen att det övergripande syftet med att ersätta det tidigare NIS-direktivet med ett nytt beror på att medlemsstaternas skydd skiljer sig åt, vilket ger en fragmentering av den inre marknaden. Skillnaderna medför att vissa medlemsstater har en större sårbarhet, vilket medför spridningseffekter. Direktivets mål är att undanröja skillnaderna, särskilt genom att föreskriva minimiregler och att fastställa mekanismer för ett effektivt samarbete mellan myndigheterna i medlemsländerna. Vidare bör sektorerna utökas och skillnaderna mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster utjämnas.4

Sammantaget drar utredningen den slutsatsen att syftet är något vidare uttryckt i NIS2-direktivet jämfört med NIS-direktivet, se även kapitel 11. Utredningen föreslår att det övergripande syftet i 1 § NIS-lagen följer EU-direktivet semantiskt.

En annan viktig skillnad är att NIS-lagen omfattar samhällsviktiga tjänster inom sju sektorer och digitala tjänster. NIS2-direktivet saknar begränsningen till samhällsviktiga och digitala tjänster. I stället omfattas som huvudregel alla verksamhetsutövare inom 18 sektorer, som också har undersektorer. Som kommer att framgå nedan finns det ett stort antal undantag och även möjligheter till att utsträcka tillämpningsområdet. Utredningen föreslår därmed att tillämpningsområdet definieras särskilt och att det inledningsvis är tillräckligt att ange att syftet med lagen är att uppnå en hög cybersäkerhetsnivå.

4 Se särskilt skäl 5 och 6.

5.2. Direktivets tillämpningsområde

5.2.1. Utgångspunkter

Utredningens övergripande slutsats är att direktivet inte ska införlivas direktivnära utan att förslagen ska utformas utifrån den systematik och terminologi som används i svensk rätt. Ett normalt språkbruk ska eftersträvas.5 Så är även det tidigare NIS-direktivet genomfört och det följer även uttryckligen att regeringens direktiv att den terminologi som används i direktiven ska anpassas till vedertagna begrepp i nationell reglering.

5.2.2. Verksamhetsutövare

Utredningens förslag: Begreppet entitet ersätts av verksamhets-

utövare som definieras som juridisk eller fysisk person som bedriver verksamhet.

Den juridiska eller fysiska personens verksamhet omfattas i dess helhet av lagens krav.

NIS2-direktivets tillämpningsområde följer av artikel 2. I punkterna 1–5 definieras området för att följas av undantag under punkterna 6–12. Punkterna 13 och 14 avser sekretess och personuppgifter och kommer att behandlas i ett senare kapitel.

Av artikel 2.1 följer att direktivet är tillämpligt på offentliga eller privata entiteter av den typ som följer av bilaga 1 eller 2. Som framgått är det utredningens uppfattning att en ny NIS-lag på samma sätt som den tidigare ska präglas av ett tillgängligt språkbruk. Det betyder att utredningen behöver ersätta begreppet entitet. I artikel 6 punkt 38 definieras entitet som fysisk eller juridisk person som bildats och erkänts som sådan och som i eget namn får utöva rättigheter och ha skyldigheter. En entitet kan därmed inte vara en plats eller ett område. Av definitionen följer i stället att en entitet är en fysisk eller juridisk person, eftersom dessa enligt svensk rätt får utöva rättigheter och bära skyldigheter. Innebörden blir att det är fysiska eller

5

Jämför Lagrådets yttrande 2023-04-11, Ett granskningssystem för utländska direktinvesteringar

till skydd för svenska säkerhetsintressen, www.lagradet.se/wp-content/uploads/2023/04/Ett-

granskningssystem-for-utlandska-direktinvesteringar-till-skydd-for-svenskasakerhetsintressen.pdf, inhämtat 2023-05-02.

juridiska personer som bedriver en verksamhet som omfattas av lagen och bör lämpligen definieras så. Det framgår vidare av bilaga 1 eller 2 att det är fysiska eller juridiska personer, som bedriver verksamhet inom vissa områden, dvs. verksamhetsutövare. I direktivet används också en mängd olika begrepp för verksamhetsutövare, som exempelvis, producenter, vårdgivare, leverantörer eller tillhandahållare. För att möjliggöra en sammanhållen och stringent lag kommer utredningen genomgående att använda samlingstermen verksamhetsutövare. Detta kan dock inte ske undantagslöst. Exempelvis kommer utredningen att behöva använda begreppet kvalificerade tillhandahållare av betrodda tjänster, eftersom det begreppet behöver ha samma innebörd som i förordningen EU) nr 910/2014.6

Begreppet verksamhetsutövare används även i 2 kap. 1 § säkerhetsskyddslagen (2018:585), som där betyder den som till någon del bedriver säkerhetskänslig verksamhet.

Systematiken i artikel 2 punkt 1–5 är vidare att vissa högkritiska och kritiska verksamhetsutövare uttryckligen pekas ut i bilaga 1 respektive i bilaga 2 till direktivet. Dessa omfattas som huvudregel enligt artikel 1.1 av direktivets krav, dvs. de omfattas om de inte sedan faller under något undantag enligt punkt 6–12 under enda förutsättning att verksamheterna är av viss storlek. Därutöver är direktivet som huvudregel tillämpligt på utpekade verksamhetsutövare i bilaga 1 och 2 oavsett storlek om de uppfyller vissa kriterier som redovisas under punkterna 2–4. Slutligen får medlemsstaterna enligt punkten 5 även föreskriva att direktivet ska tillämpas på kommuner och utbildningsinstitut.

Innebörden av detta är att endast verksamhetsutövare inom områden som pekas ut i bilaga 1 och 2 omfattas av direktivet. Om verksamheterna är av viss storlek är det tillräckligt för att direktivets krav gäller. Är de inte tillräckligt stora behöver vissa kriterier vara uppfyllda och i de fallen krävs oftast en bedömning. Slutligen får medlemsstaterna utsträcka kraven.

En särskild fråga är om verksamhetsutövarens verksamhet i dess helhet omfattas eller om bara delar av verksamheten behöver uppfylla direktivets krav. Det är till exempel möjligt att ett elföretag som omfattas av bilaga 1 även bedriver annan verksamhet inom en annan

6 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektro-

nisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

sektor som inte finns upptagen i bilaga 1 eller 2. Omfattas då även denna andra verksamhet av direktivet? Som framgått är det den fysiska eller juridiska personen som exempelvis ett elföretag enligt angiven definition i bilaga 1 inom sektorn energi och delsektorn elektricitet som omfattas av direktivets krav. Det saknas en uttrycklig begränsning om att endast delar av den fysiska eller juridiska personens verksamhet skulle omfattas av direktivet.

Utredningens slutsats är med hänsyn härtill att hela verksamheten omfattas. Det betyder den fysiska eller juridisk personens verksamhet som helhet. För staten kommer dock särskilda regler att gälla i denna del, se nedan.

Det har ifrågasatts om detta skulle få allt för långtgående verkningar i praktiken, om exempelvis riskhanteringsåtgärderna enligt artikel 21 och tillsynen skulle behöva bli alltför omfattande.

Utredningen menar att det är svårt att tolka direktivet på annat sätt än att den fysiska eller juridiska personens verksamhet i sin helhet omfattas. Det framstår också med hänsyn till att nätverks- och informationssystem många gånger är sammankopplade inom hela verksamhet samt att incidenter inom en del kan påverka annan del att det skulle leda till gränsdragningsproblem att försöka dela upp verksamheten.

Slutsatsen förstärks av skäl 16. Här framgår att det förhållandet att en verksamhet har ett nära samband med en annan verksamhet kan leda till att tröskelvärden överstigs. Medlemsstaterna får under vissa förutsättningar undanta dessa från tillämpningsområdet. I skäl 16 anges att s.k. partnerföretag eller s.k. anknutna företag inte behöver omfattas när det skulle vara icke- proportionellt om de inte skulle omfattas om de varit självständiga. Det anges vissa kriterier när så får ske. Begreppen partnerföretag och anknutna företag definieras i artikel 3.1–3.3 i 2003/361/EG7, se även avsnitt 5.2.8 avseende storlekskravet. Med anknutna företag avses företag som det finns förbindelse mellan. Fyra olika kriterier skapar en sådan förbindelse. Ett första är att ett företag ska ha ett stort inflytande över det andra genom majoritet av röster eller andelar. Detsamma gäller om företaget på grund av överenskommelser med andra förfogar ensamt över en majoritet av rösterna för aktierna eller andelarna. Andra kriterier är att företaget har rätt att utse eller entlediga en majoritet av leda-

7

Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt

små och medelstora företag.

möter i styrelse, ledning eller tillsynsorgan eller rätt att utöva ett bestämmande inflytande över annat företag enligt avtal eller enligt bolagets stadgar. Utredningens bedömning är att kriterierna för anslutna företag överensstämmer med kriterierna för dotterbolag i bland annat 1 kap. 11 § aktiebolagslagen (2005:551) som kriterier för ett dotterbolag.

Därmed är bestämmelsen om anknutna företag i svensk rätt relevant för en koncern. En koncern består enligt 1 kap. 11 § aktiebolagslagen (2005:551) av ett moderbolag och ett eller flera dotterbolag. De är skilda juridiska personer. Innebörden är alltså att skäl 16 är mer långtgående.

Med partnerföretag avses företag som inte betecknas som anknutna, men som har en kapital- eller röstandel på minst 25 procent i ett annat företag eller om annat företag har samma kapital- eller röstandel i det företaget.8 Innebörden av det anförda blir att även företag som inte når upp till storlekskravet som egen juridisk person kan göra det på grund av sambandet med exempelvis ett moderbolag. Detta behöver inte anges särskilt i lagen utan följer av artikel 3.1–3.3 i 2003/361/EG, alltså genom definitionen av storlekskravet. Det utredningen däremot behöver göra är att i enlighet med skäl 16 överväga om partnerföretag eller anknutna företag inte behöver omfattas när det inte skulle vara proportionellt om de inte skulle omfattas om de varit självständiga. Utredningen föreslår att detta ska vara möjligt. De närmare förutsättningarna ska följa av förordning, se vidare avsnitt 5.2.12.

5.2.3. Högkritiska sektorer

I bilaga 1 pekas de högkritiska sektorerna ut, vilka är 11. Dessa är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster mellan företag, offentlig förvaltning och rymden. Jämfört med NIS-lagen, se ovan, motsvarar dessa högkritiska sektorer i hög grad de som i dag omfattas av NISlagen. Det finns sektorer som tillkommit samt andra förändringar som är redovisat i kapitel 4.

8

Se även https://www.energimyndigheten.se/4a9cb5/globalassets/energieffektivisering_/lag

ar-och-krav/ekl/smf_guide.pdf, inhämtat 2023-05-16.

Sektorerna eller delsektorerna är också definierade i bilagorna. Exempelvis definieras fjärrvärme eller fjärrkyla som operatörer av fjärrvärme eller fjärrkyla enligt definitionen i artikel 2.19 i Europaparlamentets och rådets direktiv (EU) 2018/20019 och bankverksamhet definieras som kreditinstitut enligt definitionen i artikel 4.1 i Europaparlamentets och rådets förordning (EU) nr 575/201310.

5.2.4. Offentlig förvaltning enligt direktivet

I bilaga 1 är offentlig förvaltning en egen utpekad sektor. Begreppet betyder i bilaga 1 två saker. Det betyder i första hand offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt. Vidare innefattas offentliga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt. Det ska också noteras att det finns en särskild definition av offentlig förvaltningsentitet i artikel 6 punkt 35. Här anges att en offentlig förvaltningsentitet är en entitet som erkänts som sådan i nationell rätt med undantag av rättsväsendet, parlament, och centralbanker. Det anges vidare som krav att fyra kriterier är uppfyllda, som innebär att 1. verksamheten har inrättats för att tillgodose behov i det allmännas intresse och inte har industriell eller kommersiell karaktär, 2. verksamheten har ställning som en juridisk person eller har lagstadgad rätt att företräda en annan entitet som har ställning som juridisk person, 3. verksamheten finansieras till största delen offentligt och 4. verksamheten har befogenhet att rikta administrativa eller reglerade beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.

5.2.5. Sveriges organisation – offentlig förvaltning

Sveriges statsskick följer av regeringsformen. Sammantaget gäller att med begreppet myndighet avses samtliga statliga och kommunala organ med undantag för beslutande politiska församlingar. Med

9

Europaparlamentets och rådets direktiv (EU) 2018/2001 av den 11 december 2018 om främ-

jande av användningen av energi från förnybara energikällor.

10

Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012.

kommunala organ avses regioner och kommuner enligt 14 kap. 2 § regeringsformen.

Det betyder för staten att regeringen och Regeringskansliet är myndigheter. Riksdagen är inte en myndighet, eftersom det är en beslutande församling, men riksdagsförvaltningen, som biträder riksdagen är att betrakta som en myndighet.

Inom regioner och kommuner finns beslutande församlingar som benämns regionfullmäktige respektive kommunfullmäktige som motsvarar riksdagen och därför inte heller är myndigheter. Motsvarigheten till regeringen är regionstyrelsen respektive kommunstyrelsen, som då alltså är myndigheter.

I regeringsformen skiljer man sedan på rättskipning och offentlig förvaltning. För rättsskipning finns domstolar och för den offentliga förvaltningen statliga och kommunala förvaltningsmyndigheter. Begreppet förvaltningsmyndighet omfattar alla myndigheter utom regeringen och domstolarna. Även domstolarna är dock myndigheter, men alltså inte förvaltningsmyndigheter. Innebörden är att myndighet och förvaltningsmyndighet oftast betyder samma sak, enda skillnaden är att regeringen och domstolar faller utanför begreppet förvaltningsmyndighet, men ingår i begreppet myndighet. Även statliga affärsverk är en myndighet.

Det anförda betyder att organisationen utgår från organisationsformen, inte från vilken funktion organet har. Ett aktiebolag som till exempel AB Svensk Bilprovning, som alltså inte är en myndighet trots att bolaget utför förvaltningsuppgifter.

I Sverige finns det 346 statliga myndigheter, varav 342 lyder under regeringen. De är organisatoriskt fristående, men styrs av regeringen som ansvarar för myndigheternas verksamhet inför riksdagen. Domstolarna har en särställning som innebär att de är mer oberoende. Därutöver finns det fyra statliga myndigheter som i stället lyder under riksdagen. Dessa är Riksrevisionen, Riksdagens ombudsmän (JO), Sveriges Riksbank och Riksdagsförvaltningen.

Inom regionerna och kommunerna finns det nämnder som är regionala respektive kommunala förvaltningsmyndigheter.11

11 https://www.statskontoret.se/fokusomraden/fakta-om-

statsforvaltningen/myndigheterna-under-regeringen/, inhämtat 2023-07-07.

5.2.6. Utredningens analys

Enligt NIS2-direktivet är alltså offentlig förvaltning en egen sektor. Med offentlig förvaltning avses offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i nationell rätt. Offentliga förvaltningsentiteter hos nationella regeringar bör enligt utredningens bedömning i huvudsak avse statliga myndigheter inklusive statliga affärsverk. Eftersom det står ”hos” regeringen bör rimligen regeringen falla utanför, trots att även regeringen är en myndighet. Ordet ”hos” bör också exkludera myndigheter som lyder under riksdagen, dvs. Riksrevisionen, JO, Sveriges Riksbank och Riksdagsförvaltningen. Som framgått tidigare är Sveriges Riksbank även undantagen i sin egenskap av centralbank. Vidare innefattas länsstyrelserna som är statliga regionala myndigheter. Eftersom domstolar är statliga myndigheter ingår även de som utgångspunkt, men som framgår vidare ovan är rättsväsendet undantaget. Det bör betyda att domstolarna faller utanför, men att Domstolsverket som är en administrativ myndighet omfattas.

En särskild svårighet för analysen av tillämpningsområdet för begreppet offentlig förvaltning är kraven i artikel 6 punkt 35. Som framgått behöver fyra kriterier vara uppfyllda. Två av dem, att verksamheten har inrättats för att tillgodose behov i det allmännas intresse och inte har industriell eller kommersiell karaktär samt att verksamheten finansieras till största delen offentligt är självklara för offentlig verksamhet och behöver inte närmare beröras.

Det anges dock vidare som krav att verksamhetsutövaren har ställning som juridisk person eller lagstadgad rätt att agera för en annan entitet. Definitionen är motsägelsefull. Som tidigare berörts anges i samma artikel, punkt 38 att entitet betyder fysisk eller juridisk person. I punkt 35 anges nu att offentlig entitet betyder entitet som bland annat uppfyller kravet om att den har ställning som juridisk person eller lagstadgad rätt att agera för annan.

Utredningen tolkar artikel 6 punkt 35 på det sättet att kravet är att en verksamhetsutövare är en fysisk eller juridisk person, men att det för viss offentlig verksamhet är tillräckligt med företrädesrätt. När det gäller statliga myndigheter är det också så att de inte är egna juridiska personer utan den juridiska personen är staten, som sedan myndigheter kan företräda. Rimligen är det också detta som avses i kriteriet om att det är tillräckligt med företrädesrätt. En slutsats av

det anförda är att staten inte till skillnad från andra verksamhetsutövare som exempelvis bolag är en enhet som juridisk person utan att varje myndighet som omfattas är en egen enhet.

Vidare innefattas offentliga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt. En region är en juridisk person och har som sådan också ett organisationsnummer enligt 1 § lag (1974:174) om identitetsbeteckning för juridiska personer med flera Här ingår då regionstyrelsen och nämnder. Med hänsyn till att begreppet är offentliga förvaltnings-entiteter bör rimligen regionfullmäktige falla utanför. Eftersom varje region är en juridisk person framstår det som rimligt att varje region på samma sätt som exempelvis varje bolag utgör en enhet, som verksamhetsutövaren ansvarar för.

En ytterligare svårighet utgör det fjärde kriteriet i artikel 6 punkt 35 för offentlig förvaltning om att verksamheten ska ha befogenhet att rikta administrativa eller reglerade beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital. Kravet har betydelse för all offentlig verksamhet, myndigheter, regioner och kommuner. Har alla dessa verksamhetsutövare möjlighet att rikta sådana beslut till fysiska eller juridiska personer?

Enligt utredningens bedömning är kriteriet oklart och svårt att förstå. Det är självklart att många myndigheter har befogenhet att rikta ingripande beslut mot fysiska och juridiska personer som påverkar i första hand dem, men som i förlängningen även påverkar deras gränsöverskridande förmåga. Klara exempel kan vara Polismyndigheten som kan frihetsberöva personer eller tullmyndigheten som kan omhänderta gods.

Som framgått har Sverige 346 myndigheter. En analys av varje myndighets och regions befogenheter i förhållande till gränsöverskridande effekter framstår varken som möjligt eller ändamålsmässigt. I stället behöver en övergripande tolkning göras. Tolkningen bör ha sin grund i direktivets syfte. Av skäl 48 följer att effekten av det tidigare NIS-direktivet inte var tillräckligt, eftersom cybersäkerhetskraven för verksamheter varierade mellan medlemsländerna inom unionen. Skillnaderna ledde till en fragmentering av den inre marknaden. Vissa medlemsländer kunde ha större sårbarhet för cyberhot med potentiella spridningsrisker i hela unionen. Syftet med NIS2direktivet var därför enhetliga kriterier för vilka verksamheter som

omfattas i huvudsak efter storlekskravet. Undantag för offentliga verksamheter bör avse verksamheter vars övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning.

Utredningens slutsats är med hänsyn till det anförda är att direktivet inte syftar till att göra en skiljelinje mellan offentlig verksamhet utifrån i vilken utsträckning deras beslut har gränsöverskridande påverkan utan syftet är att ett så stort antal verksamhetsutövare som möjligt ska omfattas, men med beaktande av storlekskravet och nationell säkerhet med mera. Vidare beaktar utredningen vid denna tolkning också att direktivet enligt artikel 5 är ett minimidirektiv med innebörd att medlemsstaterna får anta bestämmelser som säkerställer en högre cybersäkerhetsnivå.

5.2.7. Andra kritiska sektorer

De andra kritiska sektorerna finns i bilaga 2 och är sju. Det handlar om post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, digitala leverantörer och forskning. Vidare finns det ett område som heter tillverkning. I det området ingår delsektorerna tillverkning av medicintekniska produkter, datorer, elektronikvaror och optik, elapparater, övriga maskiner, motorfordon, släpfordon och påhängsvagnar och andra transportmedel. I jämförelse med det tidigare NIS-direktivet och NIS-lagen är det i sin helhet nya områden.12

5.2.8. Storlekskravet

Som huvudregel omfattas alltså alla verksamhetsutövare som faller inom de högkritiska och kritiska områdena om verksamheterna är tillräckligt stora. Det saknar i det sammanhanget betydelse om det är offentliga eller privata verksamheter.

Storlekskravet finns i artikel 2.1. Det anges att en verksamhet är av tillräcklig storlek om den minst kan betecknas som ett medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation

12 Undantag gäller för marknadsplatser online och sökmotorer som tidigare ingick i området

var digitala tjänster.

2003/361/EG.13 Ett vidare krav är att verksamheten tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen. Artikel 2 i bilagan till kommissionens rekommendation definierar mikroföretag samt små och medelstora företag (SMF-kategorin). Av artikeln följer att ett medelstort företag är ett företag som sysselsätter minst 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år.

Av artikel 1 i samma rekommendation anges att med företag avses varje enhet, oberoende av juridisk form, som bedriver en ekonomisk verksamhet ska anses som ett företag. När det gäller till exempel statsstöd tolkas begreppet ekonomisk verksamhet mycket brett och omfattar varje organisation som med eller utan vinstsyfte köper eller säljer varor eller tjänster på en eller flera marknader. Det betyder att även offentliga aktörer – staten eller kommunala organ – kan bedriva ekonomisk verksamhet. Det gäller även områden som vård, skola och omsorg, vilka i sin kärna är icke-ekonomiska, men där det också förekommer områden med marknadselement som kan utgöra ekonomisk verksamhet. Detsamma gäller stiftelse, en ideell verksamhet eller en idrottsförening.14 Däremot gäller särskilda skatterättsliga regler för stat och kommun som bedriver ekonomisk verksamhet.15

Stat och kommun omfattas dock inte av kommissionens rekommendation om företag, eftersom det i artikel 3.4 finns ett undantag. Det anges som huvudregel där att ett företag inte anses tillhöra SMFkategorin, om 25 procent eller mer av dess kapital eller dess röstandel direkt eller indirekt kontrolleras av ett eller flera offentliga organ, individuellt eller gemensamt. I NIS2-direktivet är dock i artikel 2.1 den artikeln undantagen. En slutsats är därför att även statlig och kommunal verksamhet omfattas av artikel 2.1. som huvudregel av NIS2-direktivet. Kommuner är i Sverige enligt regeringsformens161 kap. 7 § uppdelade i regioner och kommuner. Som framgått har dock kommuner, men inte regioner undantagits från definitionen av offentlig förvaltning i bilaga 1 till direktivet.

Därutöver finns det dock också andra kvalificeringsgrunder angivna i artiklarna 2.2–2.5.

13 Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt

små och medelstora företag.

14

https://www.regeringen.se/regeringens-politik/naringspolitik/statsstod/, inhämtat 2023-04-06.

15

https://www4.skatteverket.se/rattsligvagledning/321543.html, inhämtat 2023-04-06.

16

Kungörelse (1974:152) om beslutad ny regeringsform.

I artikel 2.2–2.4 anges att verksamhetsutövare som är utpekade i bilaga 1 och 2, men som inte uppnår storlekskravet som redovisats ovan och därför inte omfattas av direktivet enligt huvudregeln ändå omfattas under tolv olika separata förutsättningar. För att omfattas enligt dessa krävs därför fortfarande att verksamhetsutövare utpekas i bilaga 1 eller 2, men det avser alltså mindre verksamheter som inte uppfyller storlekskravet, men som i stället uppfyller en annan grund.

Vidare finns det i artikel 2.5 en annan typ av särskild kvalificeringsgrund för kommuner och utbildningsinstitut. Det anges att medlemsstaterna får föreskriva att direktivet ska tillämpas på offentliga verksamhetsutövare på lokal nivå och utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet. Nedan kommer dessa särskilda kvalificeringsgrunder att analyseras.

5.2.9. Myndigheter och regioner

Utredningens bedömning: Samtliga statliga myndigheter i Sverige

med undantag av regeringen, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen och domstolarna samt samtliga regioner, med undantag av regionfullmäktige i varje region ska omfattas av cybersäkerhetslagen krav som utgångspunkt.

Av artikel 2.2 f följer att alla offentliga verksamhetsutövare på statlig nivå oavsett storlek ska omfattas om de är utpekade i bilaga 1 eller 2. Det här får långtgående konsekvenser för statliga myndigheter. Som framgått är offentlig verksamhet ett särskilt område som pekas ut i bilaga 1 och 2. Det är dock definierat som statlig eller regional verksamhet, dvs. kommuner faller utanför. Med statlig verksamhet avses som framgått myndigheter med undantag av regeringen, myndigheter som lyder under riksdagen och domstolarna. Huvudregeln är för alla verksamhetsutövare som utpekas i bilagorna att storlekskravet är avgörande, det behöver vara uppfyllt för att NIS2-direktivets krav ska vara uppfyllt. Genom artikel 2.2 f sätts dock storlekskravet ur spel för myndigheter. Innebörden av detta blir sammantaget att alla myndigheter utom regeringen, myndigheter under riksdagen och domstolarna omfattas av NIS2-direktivets krav som utgångspunkt.

I artikel 2.2 f anges också att offentliga förvaltningsverksamheter på regional nivå omfattas oavsett storlekskravet, men bara under särskilda förutsättningar. De som omfattas oavsett storlekskravet är regional verksamhet som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk samhällelig eller ekonomisk verksamhet. Kriteriet förutsätter alltså en bedömning. Utredningen menar dock att en sådan bedömning är överflödig för Sverige, eftersom samtliga 21 regioner bör uppfylla storlekskravet. Som framgått är kravet minst 50 anställda eller en balansomslutning på 10 miljoner euro. Regionernas intäkter för 2021 uppgick till sammanlagt 458 miljarder kronor.17 Som framgått ska dock regionfullmäktige i varje region undantas.

5.2.10. Kommuner

Utredningens bedömning: Majoriteten av alla kommuner, om-

fattas av NIS2-direktivets krav redan genom att en stor andel av samtliga kommuner bedriver hemsjukvård och att samtliga uppfyller storlekskravet. Det är kommunen som juridisk person som omfattas som vårdgivare. Det saknas därmed i huvudsak skäl att överväga om kommuner ska omfattas som offentliga förvaltningsverksamheter på lokal nivå enligt artikel 2.5 a. Utredningen föreslår dock i fullständighetens namn att alla kommuner omfattas, men att kommunfullmäktige undantas.

Som framgått ingår kommuner inte i offentlig förvaltning enligt direktivets definitioner. Det betyder att kommuner inte som helhet är utpekade i bilaga 1 som statliga myndigheter och regioner är. Däremot bedriver kommuner verksamhet inom områden som exempelvis fjärrvärme och avfallshantering, som utgör utpekade områden i bilaga 1 och 2, men denna verksamhet sker enligt SKR många gånger i bolagsform, vilken betyder att det inte skulle vara kommunen som är verksamhetsutövare. Som framgått definieras offentlig förvaltningsentitet i artikel 6, punkt 35, genom att fyra kriterier behöver vara uppfyllda. Det fjärde kriteriet är att verksamheten har befogenhet att rikta administrativa eller reglerade beslut till fysiska eller

17

skr.se/skr/ekonomijuridik/ekonomi/sektornisiffror/diagramforregionerna.1883.html/, inhämtat 2023-04-18.

juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital. Kommunala bolag kan enligt kommunallagens 10 kap. 2 § vara helägda eller delägda. Med ett helägt kommunalt bolag avses ett aktiebolag där kommunen eller regionen direkt eller indirekt innehar samtliga aktier och med ett delägt kommunalt bolag avses ett aktiebolag eller handelsbolag där kommunen eller regionen bestämmer tillsammans med någon annan. Aktie- eller handelsbolag kan inte rikta administrativa eller andra beslut mot fysiska eller juridiska personer som påverkar deras gränsöverskridande rörlighet. Bedrivs verksamheten genom kommunala bolag är det inte kommunen som är verksamhetsutövare enligt utredningens bedömning.

Vidare gäller att en stor andel av samtliga kommuner enligt uppgift från SKR bedriver hemsjukvård. Det betyder att majoriteten av alla kommuner är vårdgivare enligt definitionen inom området hälso- och sjukvårdssektorn enligt bilaga 1. I bilagan hänvisas beträffande definitionen av vårdgivare till en definition i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU.18 Här definieras vårdgivare som ”varje fysisk eller juridisk person eller varje annan entitet som lagligen bedriver hälso- och sjukvård på en medlemsstats territorium”.

Utredningen har tidigare dragit den slutsatsen att en verksamhetsutövare enligt NIS2-direktivet är en fysisk eller juridisk person som bedriver verksamhet. Samtidigt är det dock som angetts tidigare tillräckligt för offentliga förvaltningsverksamhetsutövare att den har ställning som juridisk person eller lagstadgad rätt att agera för en annan verksamhet.

Det har från SKR invänts att det inte är nödvändigt att det är kommunen som juridisk person som är verksamhetsutövare och att kommunen därmed utgör en enhet. SKR har pekat på att staten som juridisk person behöver vara uppdelad i många enheter. Det har tillagts att det då skulle vara möjligt att se en nämnd inom kommunen, som inte är en egen juridisk person, som en särskild enhet.

Utredningen delar inte denna uppfattning utan anser att det föreligger en skillnad mellan statliga myndigheter och nämnder som har betydelse för införlivandet av direktivet. Statliga myndigheter är i och för sig inte självständiga rättssubjekt utan är en del av rätts-

18

Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

subjektet staten, vilket betyder att myndigheter inte kan föra talan mot varandra. Det saknar dock i sammanhanget betydelse. Däremot får myndigheter till skillnad från nämnder enligt 27 § myndighetsförordningen (2007:515) som huvudregel, företräda staten vid domstol inom sitt verksamhetsområde. Detta gäller även när talan förs exempelvis om olika sanktionsavgifter, vilket är relevant för cybersäkerhetslagen, eftersom den kommer att innehålla sanktioner.19 Motsvarande gäller inte för nämnder. Enligt kommunallagen (2017:725) 6 kap. 15 § får styrelsen själv eller genom ombud företräda kommunen eller regionen i alla mål och ärenden, om inte någon annan ska göra det på grund av lag eller annan författning eller beslut av fullmäktige.

För kommuner gäller då huvudregeln om att storlekskravet måste vara uppfyllt. En förutsättning är därför att kommunen uppfyller storlekskravet på minst 50 anställda eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år, dvs. det är tillräckligt att ett av kraven är uppfyllda. Enligt uppgift från SKR uppfyller alla kravet på antalet anställda20 och möjligen även balansomslutningen. Slutsatsen blir därmed att de flesta kommuner omfattas i sin helhet av NIS2-direktivets krav redan genom att de bedriver hemsjukvård. På samma sätt som har utvecklats för regioner, bör fullmäktige, dvs. här kommunfullmäktige undantas och även här gäller att lagen ska omfatta svenska kommuner. Med denna slutsats saknas det i huvudsak skäl att ta ställning till artikel 2.5 a om att medlemsstaterna får föreskriva att direktivet även ska tillämpas på offentliga verksamhetsutövare på lokal nivå. Utredningen föreslår dock i fullständighetens namn att alla kommuner omfattas, dvs. även de som möjligtvis inte bedriver hemsjukvård.

5.2.11. Alternativt förslag

Till utredningen har från MSB föreslagits att hela den offentliga sektorn, dvs. samtliga statliga myndigheter, regioner och kommuner som utgångspunkt borde omfattas av cybersäkerhetslagen för att säkerställa ett allriskperspektiv. Det skulle betyda att även myndigheterna under riksdagen inklusive Sveriges Riksbank och därutöver

19

https://www.jk.se/beslut-och-yttranden/2017/03/7951-16-80, inhämtat 2023-08-30.

20

De två minsta kommunerna i Sverige är Dorotea och Bjurholm. År 2022 hade Dorotea 247 tillsvidareanställda och Bjurholm 219.

även domstolarna borde omfattas. Vidare saknas enligt Säkerhetspolisen skäl att undanta myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning. I stället utgör NIS-direktivets krav en lämplig ”bottenplatta", som i förekommande fall kan kompletteras av säkerhetsskyddsregleringens bestämmelser. Eftersom direktivet är ett minimidirektiv menar myndigheterna att det finns möjligheter för Sverige att utöka tillämpningsområdet.

Utredningen har dock redan i avsnitt 2.1.2 slagit fast att utredningens tidsram omöjliggör att tillämpningsområdet utökas och att utredningen i stället bör fokusera på analyser och förslag med syfte att införliva direktivet. Utredningens uppdrag är också att införliva direktivet inte att utarbeta ett nytt system från grunden. Skälet är, att om avvägningen som kommissionen och EU:s lagstiftare,21 förhandlat fram i åsidosätts, behöver konsekvenserna för tillkommande områden övervägas ingående, eftersom det arbetet inte utförts tidigare.

För exempelvis Sveriges Riksbank och domstolarna skulle särskilt konsekvenserna för dessa myndigheters särskilda ställning och oberoende behöva analyseras. Från Säkerhetspolisen har då anförts att en möjlig lösning är att hela den offentliga verksamheten omfattas som utgångspunkt, men att kraven differentieras för de olika myndigheterna samt regionerna och kommunerna beroende på behov. Arbetet med differentieringen skulle enligt Säkerhetspolisen regeringen kunna göra i efterhand med stöd av ett bemyndigande. Sektorsmyndigheterna skulle kunna ge regeringen ett underlag för en bedömning i vilken utsträckning enskilda respektive offentliga verksamhetsutövare skulle omfattas av cybersäkerhetslagen. På samma sätt skulle det då vara möjligt att även låta myndigheter som i hög omfattning bedriver säkerhetskänslig verksamhet omfattas som utgångspunkt, men kraven differentieras, vidare om säkerhetskänslig verksamhet i avsnitt 5.5.4.

Utredningen anser att förslaget i sig har fördelar och har därför övervägt det. Det framstår som ett enkelt och attraktivt synsätt att NIS2-direktivets krav utgör en bottenplatta som byggs på exempelvis av säkerhetsskyddslagens krav. Inledningsvis ska dock konstateras att enligt utredningens slutsats omfattas redan hela den offentliga sektorn som utgångspunkt med undantag av endast fyra statliga myndigheter under riksdagen, domstolarna samt region- och kommunfullmäktige. Samtliga dessa omfattas också som utgångspunkt

21

Ministerrådet och Europaparlamentet.

av samtliga krav i direktivet. Den differentiering som är möjlig kan därför som utgångspunkt enbart avse de fyra statliga myndigheterna under Riksdagen och domstolarna, eftersom dessa inte ingår i direktivets tillämpningsområde. Därutöver skulle sedan tillkomma undantag för säkerhetskänslig verksamhet och brottsbekämpning, se vidare avsnitt 5.5.4.

Utredningen menar därför inledningsvis att det är tveksamt om en ramlag med differentierade krav i en förordning framstår som ändamålsmässig, eftersom endast ett fåtal myndigheter faller helt utanför tillämpningsområdet och att det därutöver enbart behöver skapas undantag för säkerhetskänslig verksamhet. Till stöd för sitt arbete har utredningen också experter från de olika sektorsmyndigheterna. Om utredningen endast föreslår en ramlag som för alla krav överlämnar åt regeringen att i ett senare skede bedöma i vilken utsträckning verksamhetsutövare ska omfattas blir det svårt för remissinstanserna att kunna ha synpunkter på förslagen, eftersom konsekvenserna inte går att bedöma. Det ingår också i utredningens uppdrag att även lämna författningsförslag för en förordning. Från Försvarsdepartementet har anförts att det med hänsyn till den snäva tid som finns för införlivning av direktivet att det är angeläget att utredningen i denna del fullgör sitt uppdrag.

Sammantaget anser utredningen därför att en mer långtgående utredning och utvidgning av direktivets krav skulle behöva ske i särskild ordning. Domstolarna och de fyra statliga myndigheterna under riksdagen ska inte ska omfattas av cybersäkerhetslagen. Utredningen kommer att behandla förslaget vidare i förhållande till säkerhetskänslig verksamhet och brottsbekämpning i avsnitt 5.5.4.

5.2.12. Enskilda verksamhetsutövare

Utredningens förslag: Enskilda verksamhetsutövare som bedriver

verksamhet inom EES, innefattas i bilaga 1 eller 2 till direktivet samt uppfyller storlekskravet för medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG ska omfattas av lagen.

Regeringen eller den myndighet regeringen bestämmer får i föreskrifter besluta om undantag för partnerföretag eller anknutna företag som inte i sig uppfyller storlekskravet.

Utredningens bedömning: Regeringen bör ge respektive tillsyns-

myndighet i uppdrag att med stöd av Myndigheten för samhällsskydd och beredskap skyndsamt utforma en vägledning för den enskilde verksamhetsutövaren om vem som omfattas av sektorsbeskrivningarna.

Ovan har redovisats för vad som gäller för offentliga verksamhetsutövare och i vilken utsträckning de omfattas av direktivet. Direktivet gäller dock också för alla andra verksamhetsutövare, dvs. alla fysiska och juridiska personer som inte är en myndighet, region eller en kommun. Utredningen kommer för dem att använda begreppet enskilda verksamhetsutövare. För alla dem är det tillräckligt att de bedriver verksamhet inom EES, omfattas av bilaga 1 eller 2 till direktivet och att de uppfyller storlekskravet för medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG. Som kommer att framgå av kapitel 6 kommer det finnas en skyldighet för den enskilde verksamhetsutövaren som omfattas att anmäla sig till tillsynsmyndigheten och att lämna uppgifter om bland annat verksamheten.

Syftet med NIS2-direktivet är att det ska vara enklare än tidigare för den enskilde verksamhetsutövaren att veta om verksamheten omfattas av lagens krav, det är tillräckligt att verksamhet bedrivs inom sektorn och att storlekskravet är uppfyllt. När det gäller storlekskravet är det förstås oftast enkelt, det som möjligen kan innebära svårigheter är bedömningen i särskilda fall för exempelvis partnerföretag, se avsnitt 5.2.2. När det vidare gäller om verksamhetsutövaren omfattas av sektorn föreslår utredningen på samma sätt som tidigare lag en direkt hänvisning till bilagorna I NIS2-direktivet. Skälet är att NIS2-direktivet i denna del innehåller en omfattande klassificering i såväl sektorer som undersektorer. Det innebär att avgörande för om verksamhetsutövaren omfattas eller inte är en tolkning av NIS2-diektivet i denna del. Utredningen bedömer att detta i de flesta fall inte innebär några svårigheter. Som dock framgår av kapitel 4 finns det dock några oklarheter, det kan exempelvis krävas en tolkning inte bara av NIS2-direktivet utan även av andra direktiv. Så är till exempelvis fallet för sektorn energi och undersektorn elektricitet i bilaga 1 till NIS2-direktivet. Med hänsyn till det föreslår utredningen att regeringen ger tillsynsmyndigheterna i uppdrag att med stöd av MSB utformar en vägledning om de oklarheter som kan

föreligga i sektorsbeskrivningarna till stöd för den enskilde verksamhetsutövaren. Detta arbete behöver med hänsyn till frågornas vikt slutföras skyndsamt.

Därutöver kommer det förstås att ankomma på tillsynsmyndigheten att vidta åtgärder mot verksamhetsutövare som omfattas av bilagorna, men inte uppfyller sin anmälningsskyldighet.

Sammantaget betyder det anförda enligt utredningens bedömning att det inledningsvis till dess vägledning är på plats från tillsynsmyndighet i enstaka fall kan framstå som oklart för verksamhetsutövaren om NIS2-direktivets skyldigheter gäller.

Med juridiska personer avses förstås till exempel aktiebolag, handelsbolag eller en förening. En enskild firma är inte en juridisk person utan en fysisk, den drivs i stället av den enskilde näringsidkaren. Som redovisats ovan i avsnitt 5.2.1 ger NIS2-direktiveten möjlighet att meddela undantag för de juridiska personer som inte i sig uppfyller storlekskravet, men gör det genom sin anknytning exempelvis till ett moderbolag. Enligt direktivet får så ske när det är proportionellt. Utredningen föreslår att det av förordningen följer att sådana undantag får meddelas efter ansökan till tillsynsmyndigheten när skäl finns. Skäl kan föreligga när den juridiska personen inte i sig uppfyller storlekskravet och därutöver vid en sammantagen bedömning med utgångspunkt från lagens syfte inte behöver omfattas.

5.2.13. Övriga särskilda kvalificeringsgrunder för enskilda verksamhetsutövare

Utredningens förslag: Verksamhetsutövare som erbjuder allmänna

elektroniska kommunikationsnät, allmänt tillgängliga elektroniska kommunikationstjänster, betrodda tjänster, registreringsenhet för toppdomäner, DNS-tjänster eller domännamnsregistrering behöver inte uppfylla storlekskravet för medelstort företag. Detsamma gäller om verksamheten

1. är väsentlig för att upprätthålla kritiska funktioner i samhället

och ekonomiska funktioner,

2. en störning kan ha en betydande påverkan på skyddet för män-

niskors liv och hälsa, allmän säkerhet, folkhälsa eller medföra

betydande systemrisker särskilt om det får gränsöverskridande konsekvenser, eller

3. är kritisk på grund av sin särskilda betydelse på nationell eller

regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer som är beroende av denna verksamhet omfattas också av lagen.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter.

Artikel 2.2 a–e innehåller sammantaget åtta särskilda kvalificeringsgrunder för verksamhetsutövare som inte uppfyller storlekskravet. Det behöver vara enskilda verksamhetsutövare, eftersom storlekskravet inte gäller för myndigheter och samtliga regioner bedöms uppfylla det. För kommuner är bedömningen att alla eller i vart fall en stor majoritet av kommunerna bör uppfylla det och som framgått föreslår utredningen i fullständighetens namn att samtliga kommuner omfattas.

Det anges att verksamheter som pekas ut i bilaga 1 eller 2 och som inte uppfyller storlekskravet ändå omfattas om någon av de åtta kvalificeringsgrunderna är uppfylld. De två första återfinns i artikel 2.2 a och avser vissa elektroniska tjänster. De som avses är följande:

1. Tjänster tillhandahålls av tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, och

2. tjänster tillhandahålls av tillhandahållare av betrodda tjänster.

Elektronisk kommunikation regleras i lagen (2022:482) om elektronisk kommunikation (LEK). Allmänt elektroniskt kommunikationsnät är i lagens 1 kap. 7 § definierat som ett elektroniskt kommunikationsnät som helt eller huvudsakligen används för att tillhandahålla allmänt tillgängliga elektroniska kommunikationstjänster och som stöder informationsöverföring mellan nätanslutningspunkter. Tillhandahållare behöver som huvudregel enligt lagens 2 kap. 1 § anmäla tillhandahållandet av allmänna elektroniska kommunikationsnät som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster till PTS.

Med betrodd tjänst avses en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av

a) skapande, kontroll och validering av elektroniska underskrifter,

elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

b) skapande, kontroll och validering av certifikat för autentisering

av webbplatser, eller

c) bevarande av elektroniska underskrifter, stämplar eller certifikat

med anknytning till dessa tjänster.

Innebörden av det anförda är det av LEK framgår vad som avses med tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Enligt definitionerna i artikel 6 punkt 24 och 25 i NIS2-direktivet hänvisas beträffande betrodd tjänst och tillhandahållare av betrodd tjänst till förordning (EU) nr 910/2014.22 Med tillhandahållare av betrodda tjänster avses enligt EU-förordningen nr 910/2014 en fysisk eller juridisk person som tillhandahåller en eller flera betrodda tjänster, antingen i egenskap av kvalificerade eller icke kvalificerade tillhandahållare av betrodda tjänster.

Det ska noteras att i den nu gällande NIS-lagen är enligt 5 § leverantörer av elektroniska kommunikationsnät med hänsyn till regleringen i LEK undantagna från NIS-lagen. Detsamma gäller enligt 6 § för leverantörer av betrodda tjänster med hänvisning till ovan nämnda EU-förordning.

Undantaget med hänsyn till LEK trädde i kraft under 2022 samtidigt som LEK trädde i kraft. Det innebar dock ingen sakändring, utan en ändring med hänsyn till att LEK ersatte den tidigare lagen (2003:389) om elektronisk kommunikation23. Undantagen var i stället en följd av undantag i NIS-direktivet.24

I NIS2-direktivet saknas motsvarande undantag. Det finns alltså inget undantag varken för elektronisk kommunikation eller betrodda tjänster i stort som i artikel 1.3 i NIS-direktivet. I stället är det t.o.m.

22 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek-

tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

23

Prop. 2021/22:136 s. 100.

24

SOU 2017:36, s. 284 och 285.

så att detta omfattas av NIS2-direktivet inte bara om storlekskravet är uppfyllt utan även för mindre sådana verksamhetsutövare.

I artikel 2.2 a anges också att även registreringsenheter för toppdomäner och leverantörer av domännamnssystemtjänster omfattas av NIS2-direktivet, även om storlekskravet inte är uppfyllt.

Registreringsenheter för toppdomäner är definierade i artikel 6 punkt 21. Utredningen kommer att i förslag till den nya lagen, cybersäkerhetslagen, definiera de olika begreppen i det inledande kapitlet.

Vidare följer av 2.2 b–e ytterligare fyra särskilda kvalificeringsgrunder, varav följer att vissa verksamheter ändå ska omfattas av direktivets krav trots att de inte uppfyller storlekskravet. Dessa är följande:

1. Om verksamheten är den enda leverantören av en tjänst i medlemsstaten som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,

2. om en störning av den tjänst som verksamheten tillhandahåller

kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa,

3. om en störning av den tjänst verksamheten tillhandahåller kan

medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, och

4. verksamheten är kritisk på grund av sin särskilda betydelse på

nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna verksamhet.

Som framgår krävs det en bedömning av dessa särskilda krav för att mindre verksamheter ändå ska omfattas Begreppen är inte definierade i artikel 6 i direktivet och saknar också direkt motsvarighet i NIS-lagen. Som en jämförelse kan nämnas att det av 4 § NIS-lagen följer att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga och innebörden av en betydande störning. I NIS-förordningen anges sedan i 3 § att MSB får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster samt att föreskrifterna ska uppdateras minst vartannat år. Av 4 § följer vilka sektoröverskridande faktorer som ska beaktas vid bedömningen av betydande störning samt att

MSB får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vad som avses med en betydande störning.

Detta har MSB sedan gjort i Anmälan och identifiering av leverantörer av samhällstjänster, (MSBFS 2021:9).

Utredningen föreslår nu en liknande systematik med innebörd att det av lagen följer övergripande kriterier för vilka mindre verksamheter som ska omfattas trots att de inte uppfyller storlekskravet och att det i föreskrifter anges vilka verksamheter som uppfyller något kriterium. Det är självklart att föreskrifterna vid behov bör uppdateras.

Av artikel 2.3 följer att även verksamheter som av Sverige som bedöms som kritiska enligt artikel 6 i CER-direktivet ska omfattas av NIS2-direktivets krav. Utredningen kommer att i sitt slutbetänkande återkomma till denna fråga.

Slutligen följer av artikel 2.4 att även verksamhetsutövare som tillhandahåller dommännamnsregistrering ska omfattas av NIS2-direktivet även om storlekskravet inte är uppfyllt. Sådana verksamhetsutövare definieras i artikel 6 punkt 22.

5.2.14. Utbildningsinstitut

Utredningens bedömning: Lärosäten med examenstillstånd bör

omfattas av cybersäkerhetslagen.

Som framgått ovan får medlemsstaterna, enligt artikel 2.5 b, föreskriva att direktivet ska tillämpas på utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet. NIS2-direktivet innehåller ingen definition av begreppet utbildningsinstitut. Enligt kommittédirektivet ska utredningen överväga om universitet och högskolor, eller ett urval av dessa, bör omfattas av den nya regleringen. Utredningen ska ta hänsyn till principer som säkerställer akademisk frihet, institutionell autonomi och forskningsintegritet samt excellens och öppenhet inom högre utbildning och forskning.

Högre utbildning och forskning i Sverige bedrivs till största delen vid statliga universitet och högskolor. Det finns också några enskilda, icke statliga utbildningsanordnare. Gemensamt kan dessa benämnas lärosäten och utredningen tolkar att det är dessa som avses med begreppet utbildningsinstitut i NIS2-direktivet. Universitets-

och högskolesektorns utgifter för forskning och utveckling (FoU) under 2021 uppgick till cirka 43 miljarder, vilket motsvarar 23 procent av Sveriges totala FoU-utgifter.25 Jämfört med många andra länder bedrivs endast en liten del av forskningen i Sverige av forskningsinstitut.26

Det finns 49 lärosäten i Sverige som har examenstillstånd. Ett flertal av dessa är statliga lärosäten som är egna myndigheter. En stor del av lärosätena kommer därmed att omfattas av regleringen i egenskap av statlig myndighet, i sektorn offentlig förvaltning, under förutsättning att utredningen inte föreslår ett undantag för dem.

Forskning är en egen sektor i NIS2-direktivet som inte innefattar utbildningsinstitutioner. Att relativt liten andel av forskningen i Sverige bedrivs i forskningsinstitut talar enligt utredningen för att inkludera lärosäten i regleringen. Resultatet skulle annars bli att en större del av den forskning som bedrivs i Sverige inte skulle omfattas av NIS2direktivet. Detta skulle gå emot direktivets syfte.

Riksrevisionen har granskat informationssäkerheten vid 24 lärosäten som bedriver naturvetenskaplig och teknisk forskning.27 Riksrevisionens övergripande slutsats är att universitet och högskolor inte bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Detta trots att föreskriftskrav funnits sedan 2008 och bristerna varit kända sedan länge.

Utredningen anser med hänsyn till att omfattande forskning bedrivs vid lärosäten som har examenstillstånd och de brister som framkommit i Riksrevisionens rapport att dessa bör omfattas av cybersäkerhetslagens tillämpningsområde.

Nästa steg blir då att bedöma om det finns skäl som talar emot att inkludera lärosäten i regleringen.

Forskningens frihet är skyddad i 2 kap. 18 § regeringsformen och vidare reglerad i 1 kap. 6 § högskolelagen (1992:1434). Det innebär att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas och forskningsresultat fritt får publiceras. 2021 skrevs även akademisk frihet in i 1 kap. 6 § högskolelagen. Här framgår att som allmän princip i högskolornas verksamhet ska gälla att den akademiska friheten ska främjas och värnas. Att en allmän princip om akademisk frihet infördes i högskolelagen innebär dock inte att hög-

25

SCB, Forskning och utveckling vid universitet och högskolor 2021.

26

https://www.uka.se/sa-fungerar-hogskolan/forskning-vid-universitet-och-hogskolor.

27

Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata (RiR 2023:20).

skolan eller de verksamma vid högskolan står fria från styrning eller reglering. Det fria kunskapssökandet och den fria kunskapsspridningen ska alltid utövas inom de rättsliga ramar som finns.28 Utredningen bedömer inte att cybersäkerhetslagen innebär sådana inskränkningar i dessa principer vilket skulle motivera att inte inkludera lärosäten i regleringen.

Utredningen har övervägt att endast inkludera ett urval av universitet och högskolor i regleringen. Ett sådant urval skulle till exempel kunna göras utifrån storlek eller typ av forskning som bedrivs vid lärosätet. Som framgått ovan i avsnitt 5.2.8 innehåller NIS2-direktivet ett storlekskrav för enskilda verksamhetsutövare. En förutsättning är därför att icke-statliga lärosäten uppfyller storlekskravet på minst 50 anställda eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år. Utredningen har inte funnit anledning att införa ett annat storlekskrav för lärosäten eller att begränsa tillämpningen till någon viss typ av forskning.

Utredningen föreslår därför att samtliga lärosäten med examenstillstånd som uppfyller storlekskravet ska omfattas av cybersäkerhetslagen.

5.3. Jurisdiktion

Ovan har tillämpningsområdet för NIS2-direktivet analyserats och utredningen har dragit slutsatser om vem som omfattas av direktivet. För att klarlägga vem som omfattas inte bara av direktivet utan av utredningens förslag till en ny lag behöver dock även Sveriges jurisdiktion analyseras. Den är reglerad i artikel 26. Bestämmelserna är olika för offentliga verksamhetsutövare jämfört med enskilda verksamhetsutövare och det finns därutöver särskilda jurisdiktionsbestämmelser för vissa enskilda verksamhetsutövare.

28

Prop. 2020/21:60 s. 131.

5.3.1. Jurisdiktion för offentliga verksamhetsutövare

Utredningens förslag: Lagen ska som utgångspunkt omfatta

svenska statliga myndigheter med undantag av regeringen, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen och domstolarna samt svenska regioner och kommuner med undantag av kommunfullmäktige och regionfullmäktige.

Av artikel 26.1 följer att huvudregeln är att verksamhetsutövare som omfattas av direktivets tillämpningsområde ska anses omfattas av jurisdiktionen i den medlemsstat där de etablerade. För offentliga verksamhetsutövare gäller i stället att de ska omfattas av jurisdiktionen i den medlemsstat som inrättade dem. För Sveriges del betyder det svenska myndigheter samt svenska regioner och kommuner.

5.3.2. Jurisdiktion för enskilda verksamhetsutövare

Utredningens förslag: Enskilda fysiska eller juridiska personer

som omfattas av direktivet ska som huvudregel omfattas av cybersäkerhetsregleringen om de är etablerade i Sverige.

För tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster gäller i stället att de omfattas av lagen om de erbjuder tjänster i Sverige.

Gränsöverskridande verksamhetsutövare är verksamhetsutövare som erbjuder DNS-tjänster, registreringsenheter för toppdomäner, domännamnsregistreringstjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, hanterade tjänster, hanterade säkerhetstjänster eller marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster.

Gränsöverskridande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

För gränsöverskridande verksamhetsutövare krävs det i stället för etablering att Sverige är huvudsakligt etableringsställe eller att företrädaren är etablerad i Sverige för att verksamhetsutövaren ska omfattas av lagen. Därutöver gäller kapitel 5 för gränsöver-

skridande verksamhetsutövare som erbjuder tjänster i Sverige, men inte utser en företrädare.

Regeringen får meddela föreskrifter om vad som utgör huvudsakligt etableringsställe. Vid bedömningen ska i första hand plats för beslut om riskhanteringsåtgärder för cybersäkerhet vara avgörande, därefter platsen för cybersäkerhetsverksamhet och i sista hand plats där verksamhetsutövaren har flest anställda.

Huvudregeln för enskilda verksamhetsutövare är enligt artikel 26.1 att det medlemsland där verksamheten är etablerad har jurisdiktion. Den som bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur anses vara etablerad. Den rättsliga formen för en sådan struktur, dvs. om det är fråga om exempelvis en filial eller ett dotterbolag, är inte en avgörande faktor.29 Det betyder att de som omfattas av direktivet utifrån vad utredningen anfört ovan ska som huvudregel innefattas av lagen om de är etablerade i Sverige.

För tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster gäller i stället att de enligt artikel 26.1 a omfattas av jurisdiktionen i det land de tillhandahåller sina tjänster. Det betyder alltså att en sådan verksamhetsutövare ska omfattas av lagen om tjänster tillhandahålls i Sverige.

Huvudregeln för regeln om etablering respektive tillhandahållandet av tjänster är att om verksamhetsutövaren är etablerad i flera medlemsländer respektive tillhandahåller tjänster i flera medlemsländer har samtliga dessa länder jurisdiktion. Det följer av skäl 113. Där anges också att medlemsländerna i dessa fall bör samarbeta samt att efterlevnadskontrollåtgärder och sanktioner inte bör påföras mer än en gång för samma handling enligt principen om ne bis in idem, dvs. förbud mot dubbelprövning och dubbelbestraffning.

För gränsöverskridande verksamhetsutövare finns det dock en särregel. De som här kommer i fråga är enligt artikel 26.1 b verksamhetsutövare som tillhandahåller DNS-tjänster, registreringsenheter för toppdomäner, verksamhetsutövare som tillhandahåller domännamnsregistreringstjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, hanterade tjänster, hanterade säkerhetstjänster, marknadsplatser online, sökmotorer eller plattformar för sociala

29

Skäl 21 i det tidigare NIS-direktivet och prop. 2017/18:205 s. 21.

nätverkstjänster. För dem gäller att ett medlemsland har jurisdiktion endast om det huvudsakliga etableringsstället ligger i landet. Det följer av skäl 114 att anledningen till denna särregel är att endast ett medlemsland bör ha jurisdiktion över dessa verksamheter.

Vid bedömningen om vad som utgör ett huvudsakligt etableringsställe är i första hand platsen för beslut om riskhanteringsåtgärder för cybersäkerhet vara styrande, i andra hand platsen för cybersäkerhetsoperationer och i sista hand ska det etableringsställe som har flest anställda vara styrande. Detta föreslås framgå av förordningen.

För dessa verksamhetsutövare gäller också enligt artikel 26.3 att om det saknas etablering inom unionen, men tjänster erbjuds där ska en företrädare utses. Företrädaren ska vara etablerad i ett av medlemsländerna där tjänster erbjuds och det medlemslandet har jurisdiktion. Om en företrädare inte utses får varje medlemsland där verksamhet bedrivs vidta rättsliga åtgärder mot verksamhetsutövaren.

För den svenska lagens del innebär det att det i lagen bör införas en bestämmelse om att gränsöverträdande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

I artikel 26.4 anges det att det faktum att en gränsöverskridande verksamhetsutövare utsett en företrädare inte ska påverka eventuella rättsliga åtgärder mot verksamhetsutövaren. Det menar utredningen behöver inte anges specifikt, eftersom det är självklart så länge det inte särskilt anges att sanktioner ska riktas mot företrädaren om sådan utsetts. Av artikel 26.5 följer att de medlemsstater som mottagit en begäran om ömsesidigt bistånd avseende gränsöverskridande verksamhetsutövare får vidta lämpliga tillsyns- och efterlevnadskontrollåtgärder för verksamhetsutövaren som erbjuder tjänster eller som har ett nätverks-och informationssystem inom landets territorium. Enligt utredningens bedömning krävs det inte heller en särskild reglering om detta, eftersom avgörande för åtgärder är den nationella lagregleringen.

5.4. Undantag för sektorsspecifika unionsrättsakter och andra författningar

Utredningens förslag: Om annan författning innehåller bestäm-

melser om krav på riskhanteringsåtgärder eller incidentrapportering för en verksamhetsutövare med motsvarande verkan gäller inte kraven i cybersäkerhetslagen om riskhanteringsåtgärder incidentrapportering för verksamhetsutövaren. Vid jämförelsen av verkan mellan författningarna ska hänsyn tas till bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till bestämmelserna.

Regeringen får i föreskrifter ange vilka andra bestämmelser om riskhanteringsåtgärder och incidentrapportering som har motsvarande verkan.

Redan nu bör det av förordningen följa att finansiella verksamhetsutövare som omfattas av Dora-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt cybersäkerhetslagen. Som följd kommer då inte heller tillsyns- och efterlevnadskontroll i denna del enligt lagen gälla för dem.

Lagen ska inte tillämpas på verksamheter som undantagits enligt artikel 2.4 i Dora-förordningen.

I artikel 4 i direktivet finns ett särskilt undantag för riskhanteringsåtgärder och rapportering om betydande incidenter. Innebörden är att om det i sektorsspecifika unionsrättsakter redan finns krav om sådana åtgärder med minst samma verkan ska NIS2-direktivets krav inte gälla.

Om de sektorsspecifika unionsrättsakterna inte omfattar alla verksamhetsutövare inom sektorn ska NIS2-direktivets bestämmelse gälla för dem som inte omfattas.

Vid bedömningen av vad som är samma verkan ska för riskhanteringsåtgärder kraven i artikel 21.1 och 21.2 i NIS2-direktivet beaktas, se vidare kapitel 7.

Alternativt kan bestämmelserna i den sektorsspecifika unionsrättsakten enligt artikel 4.2.b anses ha samma verkan om det i den föreskrivs att tillgång på ett visst sätt till incidentunderrättelser från CSIRT-enheter, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt NIS2-direktivet. En ytterligare förutsätt-

ning är att kraven på underrättelse av betydande incidenter har minst samma verkan som kraven i artikel 23.1–23.6 i NIS2-direktivet. I dessa bestämmelser finns långtgående och detaljerade krav om rapporteringsskyldigheten, se vidare kapitel 7.

Slutligen anges i artikel 4 också att kommissionen senast i juli 2023 ska tillhandahålla riktlinjer för bedömningen minst samma verkan. Riktlinjerna ska regelbundet ses över. Sådana riktlinjer har presenterats.30

Dora-förordningen trädde i kraft i januari 2023 och ska börja tillämpas från och med den 17 januari 2025.31 I direktivets skäl 28 anges särskilt att Dora-förordningen är en sådan sektorsspecifik unionsrättsakt och att medlemsstaterna inte bör tillämpa NIS2-direktivets bestämmelser om riskhanterings- och rapporteringsskyldigheter på finansiella verksamhetsutövare som omfattas av Dora-förordningen.

Av regeringens direktiv följer också att utredningen behöver beakta relevanta sektorsspecifika unionsrättsakter när det gäller vilka krav som ska ställas på verksamheterna, hur rollfördelningen mellan svenska myndigheter ska se ut och vilka befogenheter tillsynsmyndigheterna ska ha.

Enligt utredningens bedömning skulle en ingående analys av Doraförordningens bestämmelser och andra unionsrättsakter som skulle kunna avses vara ett omfattande och tidskrävande arbete, som inte ryms inom utredningens tidsplan. Det ska också beaktas att det framöver kan tillkomma unionsrättsakter som utredningens förslag till lagstiftning också behöver ta höjd för. Detta talar enligt utredningens bedömning i stället för ett generellt utformat undantag.

I NIS-lagen finns också redan ett liknande sådant generellt undantag i 9 §, där det anges att om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Paragrafen är inte preciserad i förordning eller föreskrifter.

30

https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive, inhämtat 2024-01-19.

31

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Paragrafen innebär att lagen inte ska tillämpas om det i lag eller annan författning finns bestämmelser om krav på säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar verkan av skyldigheterna enligt lagen. Med lag eller annan författning avses även EU-förordningar och myndighetsföreskrifter.32

Bakgrunden till bestämmelsen var att det i artikel 1.7 i NIS-direktivet anges att bestämmelser i sektorsspecifika EU-rättsakter, som innehåller krav på leverantörer av samhällsviktiga eller digitala tjänster att säkerställa säkerheten i sina nätverk och informationssystem eller att rapportera incidenter, tillämpas i stället för bestämmelserna i direktivet förutsatt att verkan av kraven i fråga minst motsvarar verkan av skyldigheterna enligt direktivet.

Regeringen menade efter förslag från Utredningen om genomförande av NIS-direktivet att det i den nya lagen borde införas en motsvarande bestämmelse, som skulle gälla oavsett om bestämmelserna finns i EU:s rättsakter eller i nationella författningar. Vidare framhöll regeringen att vid bedömningen av om bestämmelser om säkerhetsåtgärder och incidentrapportering motsvarar verkan av skyldigheterna enligt den nya lagen, bör man bland annat beakta bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. På Lagrådets inrådan föreslogs detta framgå av lagtexten. Regeringen angav också att exempel på bestämmelser om säkerhetsåtgärder och incidentrapportering som inte kunde anses ha motsvarande verkan är bestämmelserna i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt dataskyddsförordningen. En följd skulle då bli att leverantörer behövde tillämpa dessa regelverk parallellt. Slutligen ansåg regeringen också att enstaka bestämmelser som innehåller krav på säkerhetsåtgärder eller incidentrapportering inte ska gälla i stället för motsvarande bestämmelser i den nya lagen, eftersom det inte vore ändamålsenligt. Det skulle också i mycket begränsad omfattning finnas nationella bestämmelser som innehåller krav som kan anses motsvara kraven enligt NIS-direktivet.33

Sammantaget drar utredningen den slutsatsen att det i lagen ska föras in ett generellt undantag som motsvarar artikel 4. Det kommer att ha likheter med nuvarande 9 §. Inledningsvis menar utredningen att det precis som i 9 § i lagen bör hänvisas till annan författning av

32 Prop. 2017/18:205 s. 93. 33

Prop. 2017/18:205 s. 29.

skäl som anfördes i propositionen till NIS-lagen. Det framstår också som ändamålsmässigt att hänvisning görs såväl till verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning som till tillsyn och sanktioner.

Till utredningen har dock framförts att tillämpningen av 9 § är svår. En skillnad föreligger också i att kommissionen ska meddela riktlinjer, som ska uppdateras enligt artikel 4. Från Svenska Bankföreningen har uppgetts att banker inte tillämpar paragrafen, eftersom osäkerhet föreligger om bedömningen.

Med hänsyn till det anförda och frågans komplexitet föreslår utredningen att regeringen i en bilaga till förordningen pekar ut de författningar som innehåller bestämmelser med krav om riskhanteringsåtgärder och rapportering om betydande incidenter som motsvarar verkan av skyldigheterna enligt denna lag. Bestämmelserna i bilagan bör beredas av den eller de myndigheter som regeringen finner lämpligt.

Redan nu bör det av förordningen följa att Dora-förordningen bör betraktas som en sådan sektorsspecifik unionsrättsakt som lever upp till kraven om att verkan sammantaget motsvarar skyldigheterna enligt utredningens förslag till lag. Det innebär att finansiella verksamhetsutövare som omfattas av Dora-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt lagen. Som följd kommer då inte heller tillsyns- och efterlevnadskontroll enligt lagen gälla för dem. Innebörden blir att dessa verksamhetsutövare endast kommer att omfattas av kraven i artikel 3 och artikel 27, som avser anmälan och registrering samt de ingripanden och sanktioner som kan gälla för dessa krav.

Grunden för detta är skäl 28 som uttryckligen anger att medlemsstaterna inte bör tillämpa detta direktivs bestämmelser om risk- och rapporteringsskyldigheter, tillsyn och efterlevnadskontroll beträffande cybersäkerhet på finansiella verksamhetsutövare som omfattas av denna förordning.

I artikel 2.2.10 anges att NIS2-direktivet inte ska tillämpas på verksamheter som medlemsstaterna har undantagit från Dora-förordningen enligt den förordningens artikel 2.4. För Sveriges del rör det sig om Svenska Skeppshypotekskassan. Medlemsstaten behöver underrätta kommissionen om sådana undantag. Sverige har ännu inte genomfört sådana undantag, men kan förstås komma att göra det i framtiden. Av lagen bör därför följa att den inte är tillämplig för sådana meddelade undantag.

5.5. Undantag för Sveriges säkerhet och brottsbekämpning

I detta avsnitt ska avgränsningen till säkerhetskänsligt och brottsförebyggande arbete analyseras.

5.5.1. Bestämmelserna i direktivet

Av artikel 2.6 följer att direktivet inte påverkar medlemsstaternas ansvar för att skydda nationell säkerhet och andra väsentliga statliga funktioner inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning.

I artikel 2.7 anges vad som gäller för offentliga verksamhetsutövare i den delen och av artikel 2.8 följer hur detta ska påverka andra verksamhetsutövare. Slutligen framgår av artikel 2.9 att undantagen i artikel 2.7 och 2.8 inte ska gälla för en verksamhetsutövare som agerar som en tillhandahållare av betrodda tjänster.

Tillhandahållare av betrodda tjänster definieras som framgått av avsnitt 5.2.13 enligt artikel 6 punkt 25 i artikel 3.19 i förordning (EU) nr 910/2014.34 Definitionen där är en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av

a) skapande, kontroll och validering av elektroniska underskrifter,

elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

b) skapande, kontroll och validering av certifikat för autentisering

av webbplatser, eller

c) bevarande av elektroniska underskrifter, stämplar eller certifikat

med anknytning till dessa tjänster.

34

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

5.5.2. Säkerhetsskyddslagen

Säkerhetsskyddslagen (2018:585) reglerar skyddsåtgärder för de mest skyddsvärda verksamheterna i samhället. Den gäller för alla som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Systematiken i lagen bygger på att det är verksamhetsutövaren själv som till någon del bedriver säkerhetskänslig verksamhet som ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten. Vidare ska verksamhetsutövaren i analysen specificera vilka delar av verksamheten som är säkerhetskänslig.35Analysen ska dokumenteras och med utgångspunkt i den ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.36Säkerhetsskyddsåtgärder avser informationssäkerhet, fysisk säkerhet och personalsäkerhet.37 Med informationssäkerhet avses bland annat att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.38 Verksamhetsutövare ska också utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.39

35 2 kap. 2 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). 36

2 kap. 1 §.

37

2 kap. 2–4 §§.

38

1 kap. 2§ andra stycket.

39

2 kap. 6 §.

5.5.3. Undantag för säkerhetsskyddsklassificerade uppgifter

Utredningens förslag: Skyldighet att lämna uppgifter enligt denna

lag gäller inte uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen (2018:585).

Ovan redovisade artikel 2.6 ger möjlighet till undantag med hänsyn till nationell säkerhet och andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning. Av skäl 9 i andra delen framgår också att ingen medlemsstat bör vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet, allmän säkerhet eller försvar. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter, sekretessavtal samt informella sekretessavtal såsom Traffic Light Protocol bör beaktas i detta sammanhang.

Direktivets skyldigheter för verksamhetsutövare handlar till stor del om rapportering och information. Av regeringens direktiv följer att för att säkerställa att säkerhetsskyddsklassificerade uppgifter inte lämnas ut är det inte tillräckligt att särskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet helt eller delvis kan undantas från direktivens krav på bland annat incidentrapportering. Det behöver enligt regeringen också säkerställas att uppgifter som rör säkerhetskänslig verksamhet inte registreras i den europeiska sårbarhetsdatabas som enligt NIS2-direktivet ska upprättas av Enisa (The European Union Agency for Cybersecurity). Det behöver därför införas regler som direkt undantar säkerhetsskyddsklassificerade uppgifter från såväl rapporteringskraven som från annan uppgiftslämning som regleras i direktiven.

Utredningen delar regeringens uppfattning och föreslår därför att det i lagen förs in ett undantag som anger att lagens skyldigheter att lämna uppgifter inte avser säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen.

5.5.4. Undantag för offentliga verksamhetsutövare

Utredningens förslag: Statliga myndigheter som till övervägande

del bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas inte av lagen.

Regeringen får i föreskrifter ange vilka statliga myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del.

För andra statliga myndigheter, regioner och kommuner som bedriver säkerhetskänslig verksamhet eller brottsbekämpning gäller för den säkerhetskänsliga verksamheten och brottsbekämpningen inte kraven om att utse en företrädare, riskhanteringsåtgärder och incidentrapportering och inte heller bestämmelserna om tillsyn och sanktioner som avser detta. Innebörden är att för denna del av verksamheten kommer enbart anmälningsskyldigheten i artikel 3 som är genomförd i 2 kap. 2 § cybersäkerhetslagen att gälla. Som en följd kommer tillsyns- och sanktionsbestämmelser som hänför sig till dem att gälla. För den del av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning gäller cybersäkerhetslagen i dess helhet.

Av artikel 2.7 följer att direktivet inte är tillämpligt på offentliga verksamhetsutövare som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning. I brottsbekämpning ingår förebyggande, utredning, upptäckt och lagföring av brott. Utformningen i artikel 2.7 är alltså obligatorisk. Samtidigt är hela direktivet enligt artikel 5 ett minimidirektiv med innebörd att medlemsstaten får anta bestämmelser som säkerställer en högre cybersäkerhetsnivå. Det skulle för denna artikel kunna innebära att utredningen inte får undanta offentliga verksamhetsutövare i större utsträckning från cybersäkerhetslagen än vad som anges i artikel 2.7, däremot i mindre utsträckning.

Av skäl åtta följer vidare att undantaget i 2.7 bör omfatta offentliga verksamhetsutövare vars verksamhet till övervägande del bedrivs inom det angivna området, men att offentliga verksamhetsutövare vars verksamhet endast marginellt berör områdena inte bör vara undantagna. Vid tillämpningen anses verksamhetsutövare med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet och är därför inte undantagna.

I skälet anges vidare att offentliga verksamheter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal samt medlemsländernas diplomatiska och konsulära beskickningar i tredje länder eller nätverks- och informationssystem som drivs för användare i ett tredje land inte omfattas av direktivet.

Inom unionsrätten är nationell säkerhet ett vedertaget begrepp, men saknar en tydlig definition.40 Med allmän säkerhet avses inom unionsrätten skydd av en medlemsstats institutioner, dess väsentliga offentliga tjänster och dess invånares överlevnad, och kan innefatta både en medlemsstats yttre och inre säkerhet.41 I Sverige används begreppet Sveriges säkerhet, som innefattar såväl yttre som inre säkerhet. Med yttre säkerhet avses territoriell suveränitet och politisk självständighet. För den nationella försvarsförmågan av Sveriges territorium bär Försvarsmakten huvudansvaret. Inre säkerhet avser förmågan att upprätthålla och säkerställa Sveriges statsidé avseende funktion, handlingsfrihet och oberoende. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska anläggningar, funktioner och informationssystem för Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga. Ett annat begrepp är samhällsviktig verksamhet som exempelvis energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster. Samhällsviktig verksamhet kan, men behöver inte beröra Sveriges säkerhet. Avgörande är om en antagonistisk handling som exempelvis spioneri, sabotage eller terroristbrott skulle kunna medföra skadekonsekvenser på nationell nivå.42

En slutsats av det anförda är att enligt artikel 2.7 får Sverige undanta offentliga verksamhetsutövare som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning och får inte undanta utövare som bara marginellt utövar sådan verksamhet. Det finns ett stort spann mellan övervägande del och marginellt och här framstår det som om det finns en valmöjlighet för medlemsländerna. Offentliga verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet omfattas alltså av säkerhetsskyddslagen (2018:585).

40 Prop. 2017/18:89 s. 41. 41

Prop. 2022/23:116 s. 22.

42

Prop. 2017/18:89 s. 44.

Med offentliga verksamhetsutövare avses som redovisats under avsnitt 5.2.6 statliga myndigheter inklusive statliga affärsverk samt regioner med undantag av regionfullmäktige. Kommuner ingår inte som framgått tidigare i definitionen av offentliga verksamhetsutövare i bilaga 1 till direktivet. Att de omfattas av direktivet beror i stället på att i vart fall majoriteten av dem uppfyller storlekskravet och bedriver hemsjukvård, vilket betyder att de ingår i området hälso-och sjukvård. Samtidigt har dock utredningen i fullständighetens namn föreslagit att alla kommuner omfattas, dvs. även de som möjligtvis inte uppnår storlekskravet i dessa delar, se avsnitt 5.2.10. Det betyder att även kommunerna behöver inkluderas som utgångspunkt.

Ett stort antal myndigheter bedriver delvis säkerhetskänslig verksamhet. I 8 kap. 1 § säkerhetsskyddsförordningen (2021:955) listas ett stort antal myndigheter som Försvarsmakten eller Säkerhetspolisen är tillsynsmyndigheter för enligt säkerhetsskyddslagen. I bilagan till säkerhetsskyddsförordningen listas vilka statliga myndigheter som beslutar om placeringen i säkerhetsklass. Innebörden av listningen bör dock förstås på det sättet att dessa myndigheter kan bedriva säkerhetskänslig verksamhet. Regeringskansliet ingår inte i uppräkningen, men bedriver självklart också säkerhetskänslig verksamhet. Enligt 1 kap. 3 § säkerhetsskyddslagen gäller att regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om vissa undantag.

Det har tidigare inte varit självklart att en kommun eller en region som verksamhetsutövare bedriver säkerhetskänslig verksamhet. Regeringen anförde i propositionen till säkerhetsskyddslagen att uttrycket Sveriges säkerhet inte ska tolkas kategoriskt och att skyddsvärda verksamheter kan trots kravet på nationell betydelse finnas på regional eller till och med på lokal nivå. Exempelvis skulle en lokal eller regional störning av dricksvattenförsörjningen påverka ett stort antal människor i en region, vilket i förlängningen kan få nationella följdverkningar. Detta har dock förändrats främst på grund av den återupptagna totalförsvarsplaneringen. Enligt länsstyrelserna bedriver i stort sett alla kommuner och regioner säkerhetskänslig verksamhet i någon del, ofta torde det röra sig om deltagande i totalförsvarsverksamhet.

Det anförda betyder enligt utredningens uppfattning att om utredningen undantar all offentlig verksamhet som till någon del bedriver säkerhetskänslig verksamhet eller brottsbekämpning utom de

som endast gör det marginellt kommer en stor del av den offentliga verksamheten att undantas från cybersäkerhetslagen. Detta är i strid med direktivets syfte. Det kan även förutses att totalförsvarsverksamheten utvecklas och att cybersäkerhetslagen därmed skulle tappa betydelse för den offentliga verksamheten.

I regeringens direktiv anges dock att inriktningen för förslagen ska vara att säkerhetskänslig verksamhet undantas från den nya regleringen i den utsträckning som är möjlig.43 Här ska dock noteras att undantaget i artikel 2.7 beroende på NIS2-direktivets konstruktion slår mot myndigheters, regioners och kommuners verksamhet som helhet, inte den del som kan täckas av säkerhetsskyddslagen. Grundproblemet är att säkerhetsskyddslagen endast berör den del av verksamheten som är säkerhetskänslig, medan cybersäkerhetslagen som framgått tidigare kommer att omfatta hela verksamheten. För verksamheter som bedriver brottsbekämpning skulle det kunna vara än sämre. De skulle varken omfattas av cybersäkerhetslagen eller säkerhetsskyddslagen, även om de brottsbekämpande myndigheterna oftast bör till någon del bedriva säkerhetskänslig verksamhet. Regeringens utgångspunkt är dock att offentliga verksamhetsutövare som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning är i sin helhet undantagna från direktivets tillämpningsområde.44

Ytterst när det gäller artikel 2.7 gäller alltså att det kan finnas ett behov av att undanta endast en del av verksamheten från cybersäkerhetslagen, den säkerhetskänsliga och den del som avser brottsbekämpning. En avgörande fråga är då om detta ändå är möjligt. Det finns som redovisats ovan i avsnitt 5.5.3 ett allmänt undantag i artikel 2.6 för skydd av bland annat nationell säkerhet. Det kan övervägas om det kan användas för att undanta all säkerhetskänslig verksamhet och brottsbekämpning från cybersäkerhetslagen. Skälen ger dock inte stöd för en sådan tolkning, eftersom det i skäl 9 särskilt hänvisas exempelvis till säkerhetsskyddsklassificerade uppgifter. Artikel 2.7 och artikel 2.8 tycks också konkretisera innebörden av artikel 2.6 när de gäller att undanta verksamhetsutövare, verksamhet eller del av verksamhet. Eftersom det i 2.7 finns en särskild artikel om hur offentliga verksamhetsutövare ska undantas bör det vara det som gäller i den delen. Det skulle i sin tur betyda att det finns långtgående möj-

43 s. 18. 44

s. 16–17.

lighet att undanta samtliga offentliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet och brottsbekämpning utom de som endast gör det marginellt i sin helhet från direktivet, men inte endast i den delen. Som utredningen anfört tidigare framstår det inte som en bra lösning att till stora delar undanta den offentliga verksamheten, eftersom det urholkar NIS2-direktivets syfte.

När det gäller att delvis undanta verksamheter avseende cybersäkerhet behöver också övervägas om det medför tekniska och praktiska svårigheter. NIS2-direktivet pekar alltså ut verksamhetsutövarens hela verksamhet. Ett skäl för det är förstås att det när det gäller cybersäkerhet är svårt att dela upp verksamheten, eftersom exempelvis incidenter inom del av verksamheten kan få effekter för hela verksamheten. Detta gäller dock enligt utredningens bedömning i mindre utsträckning för säkerhetskänslig verksamhet, eftersom det oftast förutsätter en högre nivå på tekniska och organisatoriska lösningar. Det ska också noteras att artikel 2.8, se nästa avsnitt, förutsätter att en del av verksamheten undantas. Även när det gäller brottsbekämpning menar utredningen att det är möjligt att undanta den delen, även om det kan medföra merarbete för myndigheten.

En lösning är att utredningen föreslår att endast en begränsad andel av offentliga verksamheter undantas i dess helhet från NIS2direktivets krav. De som undantas helt bör endast vara de som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning. Vidare bör enligt utredningens bedömning även Regeringskansliet och kommittéväsendet undantas. Det skulle betyda att Sverige endast begränsat utnyttjar möjligheten att undanta hela verksamheter, eftersom det finns en möjlighet att undanta alla verksamheter som inte endast marginellt bedriver säkerhetskänslig verksamhet eller brottsbekämpning. I gengäld föreslår utredningen att endast den säkerhetskänsliga verksamheten och den del av verksamheten som avser brottsbekämpning hos andra statliga myndigheter, regioner och kommuner undantas i huvudsak från krav i NIS2-direktivet, men att den del av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning fullt ut omfattas av direktivets krav. Det som skulle kunna utgöra grunden för ett sådant förslag är trots den uttryckliga bestämmelsen i artikel 2.7 att direktivet är ett minimidirektiv. I stället för att tvingas undanta nästan hela offentliga verksamheten undantar utredningen endast en del. Det ger en högre cybersäkerhetsnivå, vilket därför är förenligt med artikel 5.

Sammantaget bedömer utredningen att det behövs två olika lösningar beroende på i vilken utsträckning säkerhetskänslig verksamhet eller brottsbekämpning bedrivs. Offentliga verksamheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning bör i sin helhet undantas från cybersäkerhetslagen.

Enligt utredningens bedömning bör detta undantag endast avse myndigheter, eftersom den säkerhetskänsliga verksamhet eller brottsbekämpning som kommuner eller regioner bedriver inte kan vara en övervägande del av deras verksamhet i stort. Enligt skäl 8 ska alltså den del av verksamheten som är säkerhetskänslig eller avser brottsbekämpning ställas i relation till verksamheten som helhet. Utredningen anser också att endast ett begränsat antal myndigheter bedriver säkerhetskänslig eller brottsbekämpande verksamhet till övervägande del.

De myndigheter som skulle vara berörda bör klart framgå av förordningen. Enligt utredningens bedömning bör de myndigheter som bedriver säkerhetskänslig verksamhet till övervägande del vara Försvarsmakten, Säkerhetspolisen, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Totalförsvarets forskningsinstitut och Totalförsvarets plikt- och prövningsverk. Dessa är även undantagna från delar av förordning (2022:524) om statliga myndigheters beredskap. Även Försvarshögskolan är undantagen från delar av den förordningen, men enligt utredningens uppfattning bedriver Försvarshögskolan inte säkerhetskänslig verksamhet till övervägande del.

Till utredningen har framförts att det kan finnas skäl att undanta även Inspektionen för strategiska produkter, ISP, och Säkerhets- och integritetsskyddsnämnden. Enligt utredningens uppfattning har dock båda dessa myndigheter bredare uppdrag, exempelvis är Säkerhets- och integritetsskyddsnämndens uppdrag bland annat att utöva tillsyn över de brottsbekämpande myndigheterna med uppgift att stärka rättssäkerheten och skyddet för den personliga integriteten inom den brottsbekämpande verksamheten.45 Utredningen finner därför skäl att med undantag av Försvarshögskolan följa samma avgränsning som nämnda förordning.

När det gäller myndigheter vars verksamhet till övervägande del avser brottsbekämpning menar utredningen att enligt svensk rätt bör de myndigheter som betecknas som rättsvårdande myndigheter

45

https://www.sakint.se, inhämtat 2023-08-30.

vara utgångspunkt. Polismyndigheten, Säkerhetspolisen, Åklagarmyndigheten, Ekobrottsmyndigheten, Sveriges Domstolar, Kriminalvården, Brottsförebyggande rådet, Rättsmedicinalverket, Gentekniknämnden och Brottsoffermyndigheten är rättsvårdande myndigheter.46Sveriges Domstolar omfattas inte av NIS2-direktivet.

När det gäller Rättsmedicinalverket och Gentekniknämnden kan man möjligen ifrågasätta om dessa bedriver brottsbekämpning. Här ska beaktas att enligt direktivet avses alltså med brottsbekämpning förebyggande, utredning, upptäckt och lagföring av brott. Rättsmedicinalverket utgör den medicinska länken i rättskedjan, som bidrar till ett rättssäkert samhälle.47 Verket utfärdar exempelvis rättsintyg om skador och drogtester som kan utgöra bevisning i ett brottmål. Samtidigt utför verket även analyser som får enbart civilrättslig betydelse, exempelvis genom faderskapsutredning. Utredningen föreslår med hänsyn till ett helhetsperspektiv att Rättsmedicinalverket ska omfattas av undantaget. När det dock vidare gäller Gentekniknämnden menar utredningen att denna nämnd inte kan anses bedriva brottsbekämpning och därför inte bör omfattas. Nämnden har till uppgift att via rådgivande verksamhet främja en etiskt försvarbar och säker användning av gentekniken så att människors och djurs hälsa och miljön skyddas. Det sker främst via yttranden till regeringen och myndigheter.48

Sammantaget föreslår utredningen att de rättsvårdande myndigheterna med undantag av Gentekniknämnden inte ska omfattas av cybersäkerhetslagen.

Till utredningen har vidare anförts att även Tullverket och Kustbevakningen borde undantas. Även när det gäller dessa myndigheter menar utredningen att de har bredare uppdrag och att det därför finns skäl att följa avgränsningen för rättsvårdande myndigheter. Tullverkets uppdrag är exempelvis att övervaka och kontrollera varuflödet in och ut ur Sverige. Verket ser till att korrekta tullavgifter, skatter och andra avgifter betalas in samt att regler för in- och utförselrestriktioner följs.49 Utredningen menar att eftersom det handlar om att undanta myndigheter från krav finns det skäl att vara

46

https://www.regeringen.se/regeringens-politik/rattsvasendet/rattsvasendet-i-statensbudget/, inhämtat 2023-07-05.

47

https://www.rmv.se, inhämtat 2023-07-07.

48

https://www.genteknik.se/om-gentekniknamnden/, inhämtat 2023-07-07.

49

www.tullverket.se/omoss/dethargortullverket/verksamhetochorganisation.4.153f8c8c16ffa d23c2215f1.html, inhämtat 2023-08-28.

restriktiv. Undantagen bör därför avse myndigheter med verksamhet där brottsbekämpning utgör en övervägande andel.

När det gäller samtliga dessa myndigheter har Säkerhetspolisen föreslagit att även dessa myndigheter skulle omfattas av cybersäkerhetslagen, men att kraven skulle begränsas till riskhanteringsåtgärder. Däremot skulle de inte omfattas av krav om incidentrapportering och inte heller av tillsyn och sanktioner. Det utgår alltså från en grundsyn om att NIS2-kraven bör utgöra en ”bottenplatta” som kan kompletteras av krav i säkerhetsskyddslagen, jämför avsnitt 5.2.11.

Från Försvarsmakten har också upplysts att det pågår en policydiskussion om att myndigheten frivilligt åtager sig att följa NIS2direktivets krav så långt som möjligt.

Utredningen menar dock att det framstår som en bättre lösning att helt undanta dessa enstaka myndigheter som bedriver säkerhetskänslig verksamhet och rättsvårdande myndigheter. I förhållande till det totala antalet statliga myndigheter som alltså är 346 utgör dessa knappt tjugo myndigheter en liten andel. Det skulle också kunna framstå som ologiskt om exempelvis Riksbanken inte omfattades men Försvarsmakten gjorde det. På samma sätt skulle det vara skevt om Polismyndigheten och Åklagarmyndigheten inkluderades, men inte domstolarna. Därutöver skulle det stå i strid med regeringens direktiv som har utgångspunkten att säkerhetskänslig verksamhet ska undantas så långt som möjligt och att direktivet möjliggör att all offentlig säkerhetskänslig verksamhet kan undantas. Utredningen menar också att det inte är effektivt att införa skyldigheter som det inte är lämpligt att bedriva tillsyn över och som inte heller skulle vara sanktionerade. En bättre lösning är då att även andra myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning på samma sätt som Försvarsmakten frivilligt åtager sig att följa lagen så långt som möjligt.

Vidare bör alltså enligt utredningens bedömning även Regeringskansliet inklusive kommittéväsendet undantas i sin helhet. Dessa kan inte anses bedriva säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del, men bör likväl undantas på grund av sin särställning. Det framstår exempelvis komplicerat att en myndighet ska bedriva tillsyn över Regeringskansliet, med hänsyn till att myndigheter är underställda regeringen.

Därutöver bör det alltså gälla en särregel för övriga offentliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning, men där den säkerhetskänsliga verksamheten eller brottsbekämpningen inte är en övervägande del. Detta bör avse alla andra myndigheter än de som pekas ut i förordningen enligt ovan samt regioner och kommuner. För dessa verksamheter bör den säkerhetskänsliga delen av verksamheten och verksamhet som avser brottsbekämpning undantas från kravet på incidentrapportering, riskhanteringsåtgärder och kravet om att utse företrädare samt tillsyn och sanktioner som hänför sig till dessa krav. Innebörden blir att den säkerhetskänsliga delen av verksamheten och den del som avser brottsbekämpning endast kommer att omfattas av informationskrav enligt artikel 3 och 27 samt tillsyn och sanktioner som kan avse den delen. När det gäller säkerhetskänslig verksamhet kommer det därutöver att finnas ett undantag från skyldigheter att lämna uppgifter som är säkerhetsskyddsklassificerade enligt förslaget ovan i avsnitt 5.5.3. Eftersom det inte föreslås någon begränsning av förslaget i den delen gäller även det om en tillsynsmyndighet efterlyser uppgifter.

För dessa myndigheters, regioners och kommuners övriga verksamhet som inte är säkerhetskänslig eller avser brottsbekämpning bör NIS2-direktivets krav gälla fullt ut.

Som framgått inledningsvis i detta avsnitt ska undantaget inte gälla för en verksamhetsutövare som agerar som en tillhandahållare av betrodda tjänster. I definitionen ligger att sådana elektroniska tjänster vanligen tillhandahålls mot ekonomisk ersättning. Utredningens bedömning är att ingen myndighet som undantas i dess helhet är tillhandahållare av betrodda tjänster, varför detta saknar relevans för svensk rätt. Det betyder att det saknas skäl till särskild lagreglering för tillhandahållare av betrodda tjänster.

Som framgått följer av skäl 8 att offentliga verksamheter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal samt medlemsländernas diplomatiska och konsulära beskickningar i tredje länder eller nätverks- och informationssystem som drivs för användare i ett tredje land inte omfattas av direktivet. Sammantaget avses utlandsmyndigheterna, det vill säga ambassader, karriärkonsulat, representationer och delegationer vid internationella organisationer som EU, FN och OECD är det egna myndigheter

som lyder under regeringen.50Av lagen bör framgå att även dessa undantas från direktivet.

5.5.5. Undantag för enskilda verksamhetsutövare

Utredningens förslag: Lagen gäller inte för enskilda verksam-

hetsutövare som enbart bedriver säkerhetskänslig verksamhet eller brottsbekämpning. Detsamma ska gälla för enskilda verksamhetsutövare som enbart erbjuder tjänster till myndigheter som är helt undantagna från lagen.

För enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning tillsammans med annan verksamhet gäller för den säkerhetskänsliga delen av verksamheten och verksamheten som avser brottsbekämpning enbart kravet om anmälan och uppgiftsskyldighet till tillsynsmyndigheten i 2 kap. 2 § cybersäkerhetslagen. Detsamma ska gälla för de tjänster som erbjuds till myndigheter som är helt undantagna från lagen.

Vad som anförs ovan i andra stycket gäller inte om verksamhetsutövaren är en tillhandahållare av betrodda tjänster.

För den del av verksamheten som inte är säkerhetskänslig, avser brottsbekämpning eller tjänster till myndigheter som är helt undantagna gäller cybersäkerhetslagen i dess helhet.

Ovan har utredningen redovisat hur undantaget bör tillämpas för offentliga verksamhetsutövare. I detta avsnitt ska analyseras vad som ska gälla för särskilda verksamhetsutövare enligt artikel 2.8. En första fråga är vad som avses med särskilda verksamhetsutövare. Utredningen tolkar det med hänsyn till placeringen av artikeln efter 2.7 till andra verksamhetsutövare än offentliga som bedriver sådan verksamhet som följer av artikel 2.8. Det betyder som utgångspunkt alla verksamhetsutövare som omfattas av direktivet utom statliga myndigheter, regioner eller kommuner. Utredningen använder begreppet enskilda verksamhetsutövare.

Som analyserats i avsnitt 5.2.12 och 5.2.13 omfattas som utgångspunkt andra fysiska eller juridiska personer än offentliga som bedriver verksamhet inom EES, innefattas i bilaga 1 eller 2 till direktivet

50

https://www.regeringen.se/regeringskansliet/organisation/, inhämtat 2023-06-12.

samt uppfyller storlekskravet, vilket i korthet betyder att verksamheten sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år av direktivet.

Därtill kommer att vissa särskilda verksamhetsutövare omfattas även om de inte uppfyller storlekskravet. Det handlar till exempel om verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät eller utövare med särskilt kritiska verksamheter.

Artikel 2.8 anger alltså vad som gäller för enskilda verksamhetsutövare. Medlemsstaterna får undanta sådana verksamhetsutövare som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inte från direktivet, utan från skyldigheterna i artikel 21 och i artikel 23, som reglerar riskhanteringsåtgärder respektive incidentrapportering. Undantaget får bara avse den del av verksamheten som avser nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning. Det ska alltså noteras att detta undantag ger medlemsstaterna en möjlighet att undanta enskilda, (företag eller enskilda fysiska personer) verksamhetsutövares verksamhet till den del den är säkerhetskänslig eller om verksamheten avser brottsbekämpning. Här föreligger alltså som tidigare också konstaterats en skillnad mot undantaget avseende offentliga verksamhetsutövare, eftersom det undantaget är obligatoriskt utformat, medan detta är en möjlighet. Även enskilda verksamhetsutövare omfattas av säkerhetsskyddslagen om de bedriver säkerhetskänslig verksamhet.

Om medlemsstaten undantar sådan verksamhetsutövare från kravet på riskhanteringsåtgärder och incidentrapportering ska inte heller hela tillsyns- och efterlevnadskontrollkapitlet 7 i direktivet tillämpas på den specifika verksamheten eller dessa specifika tjänster.

Detsamma skulle gälla för de enskilda verksamhetsutövare som uteslutande erbjuder tjänster till offentliga verksamhetsutövare som undantagits från direktivet enligt artikel 2.7. I det fallet får alltså den delen av verksamheten undantas från riskhanteringsåtgärder och incidentrapportering samt tillsyn och sanktioner i den delen. Utgångspunkten är att utredningen som framgått i tidigare avsnitt endast föreslår att ett begränsat antal myndigheter ska undantas från lagen i dess helhet och då de myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del. Utredningen föreslår med hänsyn härtill att enbart de som erbjuder tjänster till dessa myndigheter också undantas från krav om riskhanteringsåtgär-

der, incidentrapportering samt tillsyn- och sanktionsbestämmelser som hänför sig till dessa krav. Innebörden blir för de som erbjuder tjänster att de undantas från krav i den delen de erbjuder tjänster exempelvis till Försvarsmakten eller Polismyndigheten och därutöver i den delen som de själva bedriver säkerhetskänslig verksamhet eller verksamhet som avser brottsbekämpning. Däremot undantas de inte om de erbjuder tjänster till en myndighet, region eller kommun som bedriver säkerhetskänslig verksamhet eller brottsbekämpning i mindre utsträckning och inte heller själv bedriver säkerhetskänslig verksamhet eller brottsbekämpning.

Slutligen finns det en särregel. I sista meningen i artikel 2.8 anges att om verksamhetsutövaren enbart bedriver verksamhet eller erbjuder tjänster uteslutande av den typ som avses i den här punkten får medlemsstaterna besluta att befria dessa verksamhetsutövare också från skyldigheterna i artiklarna 3 och 27.

I artikel 3 finns en informationsskyldighet för samtliga verksamhetsutövare som omfattas av direktivet. Skyldigheten innebär krav att verksamhetsutövaren ska lämna information om verksamhetsutövarens namn, kontaktuppgifter samt i tillämpliga fall uppgift om den relevanta sektorn. Vidare ska i tillämpliga fall en förteckning lämnas över de medlemsstater som tjänster erbjuds som omfattas av direktivet.

Artikel 27 innehåller också informationskrav för verksamhetsutövare, men då för särskilda utövare som bedriver gränsöverskridande verksamhet som till exempel verksamhetsutövare som erbjuder DNS-tjänster. För dessa gäller som anförts under 5.3.2 att endast det medlemsland där verksamhetsutövaren har sitt huvudsakliga etableringsställe får utöva jurisdiktion. Artikeln innehåller därför även krav om kontaktuppgifter dit och till möjlig företrädare.

Innebörden av sista meningen i artikel 2.8 blir då att en enskild verksamhetsutövare som omfattas av direktivet och som enbart bedriver verksamhet som är säkerhetskänslig eller avser brottsbekämpning helt får undantas från lagen. Detsamma skulle gälla de som enbart erbjuder tjänster till myndigheter som är helt undantagna från lagen och inte samtidigt bedriver annan verksamhet. Skälet är att lagen saknar andra krav för verksamhetsutövare än riskhanteringsåtgärder, incidentrapportering och information.

Utredningen föreslår sammanfattningsvis att enskilda verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet, brottsbekämpning eller erbjuder tjänster till myndigheter som undantas helt från lagen inte ska omfattas. Förslaget i denna del speglar enligt vår bedömning väl förslaget för den offentliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet och brottsbekämpning till övervägande del och därför också är helt undantagna från cybersäkerhetlagen. En skillnad är dock att det inte kommer att framgå vilka dessa verksamhetsutövare är, eftersom de inte som myndigheterna kommer att vara utpekade. Den som inte omfattas av en lag har inga skyldigheter att exempelvis anmäla sig. Enligt utredningens uppfattning är detta ändamålsmässigt för dessa verksamhetsutövare. Det bör enligt utredningens uppfattning handla om ett fåtal, i huvudsak extern arbetskraft för myndigheter som exempelvis Försvarsmakten.

För övriga verksamhetsutövare gäller för den säkerhetskänsliga delen av verksamheten och verksamheten som avser brottsbekämpningen inte kraven om riskhanteringsåtgärder och incidentrapportering och inte heller bestämmelserna om tillsyn och sanktioner som avser riskhanteringsåtgärder eller incidentrapportering. Detsamma skulle gälla för den delen av verksamhet som erbjuder tjänster till myndigheter som exempelvis Försvarsmakten. Innebörden blir att för den delen av verksamheten gäller enbart krav om anmälan och uppgiftsskyldighet i artikel 3 och 27 och möjliga tillsyns- och sanktionsbestämmelser som avser denna information.

Utredningen menar att även detta förslag rimmar väl med förslaget för offentliga verksamhetsutövare. Det betyder att företag inte kommer att belastas av krav i olika regelverk, eftersom den delen av verksamheten som omfattas av säkerhetsskyddslagen i huvudsak inte även omfattas av krav enligt cybersäkerhetslagen. Undantag skulle enbart för en del avse informationskravet i cybersäkerhetslagen. Som framgått kommer vissa inte heller att omfattas av dem. Slutligen rimmar förslaget även med regeringens uppfattning i direktiven om att inriktning på förslagen ska vara att säkerhetskänslig verksamhet ska undantas från cybersäkerhetslagen i den utsträckning som är möjlig.

För den del av verksamheten som inte är säkerhetskänslig, avser brottsbekämpning eller tillhandahållandet av tjänster till myndigheter som är helt undantagna gäller cybersäkerhetslagen i dess helhet.

6. Klassificering och registrering

Utredningen har i kapitel 5 analyserat vilka verksamhetsutövare som ska omfattas av förslaget till cybersäkerhetslag. Som framgått handlar det såväl om offentliga som enskilda verksamhetsutövare. Av artikel 3 följer att samtliga verksamhetsutövare som omfattas ska klassificeras som väsentliga eller viktiga och att behöriga myndigheter ska upprätta ett register. Det kräver att verksamhetsutövarna lämnar uppgifter som ska ligga till grund för registret. Av artikel 3 följer också att behöriga myndigheter ska vidarebefordra uppgifterna om verksamhetsutövarna till kommissionen och samarbetsgruppen.1 Vidare följer av artikel 27 att Enisa ska föra ett register över gränsöverskridande verksamhetsutövare, vilket förutsätter att de lämnar uppgifter till behörig myndighet och att den i sin tur vidarebefordrar uppgiften till Enisa. Gränsöverskridande verksamhetsutövare är definierade i 1 kap. 6 § cybersäkerhetslagen. Slutligen analyseras även skyldigheten att registrera domännamn.

6.1. Väsentlig eller viktig

Utredningens förslag: Följande verksamhetsutövare är väsentliga:

1. Statliga myndigheter,

2. verksamhetsutövare som bedriver verksamhet enligt bilaga 1

till NIS2-direktivet, är en kommun eller ett lärosäte med examenstillstånd och vars verksamhet överstiger trösklarna för medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,2

1 Samarbetsgruppen beskrivs i kapitel 10. 2

Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt

små och medelstora företag.

3. verksamhetsutövare som erbjuder allmänna elektroniska kom-

munikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och vars verksamhet är medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,3

4. kvalificerade tillhandahållare av betrodda tjänster,

5. registreringsenheter för toppdomäner,

6. verksamhetsutövare som erbjuder DNS-tjänster, och

7. verksamhetsutövare som anges i 1 kap. 8 § och identifierats

som väsentliga enligt 33 § förordning om cybersäkerhet.

Verksamhetsutövare som inte är väsentliga är viktiga verksamhetsutövare.

Förutsättningarna för om en verksamhetsutövare är väsentlig eller viktig följer av artikel 3.1 och 3.2. I artikel 3.1 a–g listas olika kriterier. En verksamhetsutövare som omfattas av lagen och uppfyller någon av punkterna är en väsentlig verksamhetsutövare. Samtliga verksamhetsutövare som inte uppfyller någon av punkterna är viktiga verksamhetsutövare enligt artikel 3.2.

Offentliga verksamhetsutövare som avses i NIS2-direktivets artikel 2.2 f i ska enligt artikel 3 d vara väsentliga. De som omfattas av den artikeln är de statliga myndigheter som omfattas av NIS2-direktivet. Innebörden blir att samtliga statliga myndigheter som inte är undantagna från utredningens förslag till cybersäkerhetslag är väsentliga. Det betyder samtliga myndigheter utom de som är undantagna enligt författningsförslagets 1 kap. 3 § 14 eller 1 kap. 11 §.5

Punkten a innehåller två olika kriterier. Ett första är att verksamheten ska bedrivas i en sektor som är listad i bilaga 1 till direktivet. De sektorer som avses är energi, transporter, bankverksamhet, finansmarknads-infrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster mellan

3 Se fotnot 2. 4

De myndigheter som är undantagna enligt författningsförslaget 1 kap. 3 § 1 är regeringen,

Regeringskansliet, utlandsmyndigheter, kommittéväsendet, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen och Sveriges domstolar.

5

I 1 kap. 10 § är statliga myndigheter som till övervägande del bedriver säkerhetskänslig verk-

samhet enligt säkerhetsskyddslagen (2018:585) eller brottsbekämpning undantagna. Vilka dessa myndigheter är specificeras i förslag till förordningen.

företag, offentlig förvaltning och rymden. Därutöver ska verksamheten överstiga trösklarna för medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361 EG.6 Innebörden är att verksamheten ska sysselsätta minst 250 personer eller ha en årsomsättning på minst 50 miljoner euro eller en balansomslutning på minst 43 miljoner euro per år.

Utredningen menar att det när det gäller kommissionens rekommendation krävs det inte bara en hänvisning till artikel 2 utan även till artikel 3.1–3. Skälet är att det där finns bestämmelser som har betydelse för beräkning av storlekskraven. Här definieras nämligen vad som anges med begreppen partnerföretag och anknutna företag. Även om det i artikeln 3.1 a 1 i NIS2-direktivet inte finns en hänvisning till artikel 3.1–3.3 i rekommendationen framgår det av skäl 16 till direktivet att vid beräkningen ska hänsyn tas till partnerföretag och anknutna företag, även om skäl 16 i sin tur anger ett undantag, se vidare avsnitt 5.2.2. Utredningen finner därför skäl att även hänvisa till artikel 3.1–3.3 i kommissionens rekommendation.

Som analyserats närmare i avsnitt 5.2.8 omfattar kommissionens rekommendation som utgångspunkt även offentliga verksamhetsutövare som statliga myndigheter, kommuner och regioner. Som dock framgår i 5.2.8 finns det i artikel 3.4 ett särskilt undantag för offentlig verksamhet i kommissionens rekommendation, men det undantaget sätts i sin tur ur spel av artikel 2.1 andra stycket NIS2direktivet. Offentlig förvaltning är en egen sektor enligt bilaga 1 i NIS2-direktivet. Eftersom undantaget i kommissionens rekommendation för offentlig verksamhet inte gäller i det här sammanhanget betyder det att större statliga myndigheter och regioner som sysselsätter minst 250 personer eller har en balansomslutning på minst 43 miljoner euro om året ska kategoriseras som väsentliga verksamhetsutövare. Som dock framgått inledningsvis gäller redan uttryckligen att statliga myndigheter är väsentliga. Denna bestämmelse får därför enbart betydelse för regioner. Vidare kommer även större verksamhetsutövare som inte är offentliga att vara väsentliga om verksamhet bedrivs inom områden som anges i bilaga 1 och storlekskravet är uppfyllt.

6

Bilagan till kommissionens rekommendation av den 6 maj 2003 om definitionen av mikro-

företag samt små och medelstora företag.

Det ska dock noteras att kommuner inte omfattas av sektorn offentlig i bilaga 1 till NIS2-direktivet. Som utredningen belyst i avsnitt 5.2.11 bedriver dock majoriteten av kommunerna hemsjukvård och omfattas därför av sektorn hälso- och sjukvård som anges i bilaga 1 till direktivet. Det betyder att de kommuner som uppfyller storlekskravet och bedriver hemsjukvård är väsentliga. Enligt utredningens uppfattning är det svårt att föreställa sig att en större kommun som uppfyller detta kvalificerade storlekskrav inte bedriver hemsjukvård, men menar att det inte kan uteslutas. Utredningen har också i avsnitt 5.2.11 i fullständighetens namn att alla kommuner omfattas av lagen, dvs. även de som möjligtvis inte bedriver hemsjukvård. I konsekvens med detta menar utredningen också att samtliga kommuner som uppfyller det kvalificerade storlekskravet bör vara väsentliga. Det behöver därför ske en uttrycklig hänvisning i lagen till att kommuner är väsentliga.

Utredningen föreslår i avsnitt 5.2.14 att lärosäten med examenstillstånd ska omfattas av cybersäkerhetslagen. Ett flertal av dessa är statliga myndigheter och därmed väsentliga. När det gäller icke-statliga lärosäten så framgår inte av NIS2-direktivet om de är väsentliga eller viktiga eftersom det är frivilligt för medlemsstaten att inkludera dem och de därmed inte finns med i bilaga 1 eller 2. Utredningen menar att de icke-statliga lärosäten bör vara väsentliga om de uppfyller storlekskravet trots att de inte finns med i uppräkningen i bilaga 1. Det blir annars en omotiverad skillnad på lärosäten som bedrivs med staten som huvudman respektive de som inte gör det. Det behöver därför anges i lagen att även lärosäten som uppfyller storlekskravet är väsentliga.

Punkten b anger tre olika kategorier av verksamhetsutövare nämligen kvalificerade tillhandahållare av betrodda tjänster, registreringsenheter för toppdomäner samt leverantörer av DNS-tjänster (domännamnssystemtjänster) oavsett storlek. Som även framgår av avsnitt 5.2.13 avses med betrodd tjänst en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av

a) skapande, kontroll och validering av elektroniska underskrifter,

elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

b) skapande, kontroll och validering av certifikat för autentisering

av webbplatser, eller

c) bevarande av elektroniska underskrifter, stämplar eller certifikat

med anknytning till dessa tjänster.

En tillhandahållare av en betrodd tjänst erbjuder alltså sådana tjänster. Skillnaden mellan en tillhandahållare av en betrodd tjänst och en kvalificerad tillhandahållare av en betrodd tjänst är att den kvalificerade tillhandahållaren ska ha beviljats status som kvalificerad av tillsynsorganet.7 Detta följer av artikel 3 punkt 20 i Europaparlamentets och rådets förordning (EU) nr 910/2014.8 PTS är tillsynsmyndighet. Registreringsenhet för toppdomäner och DNS-tjänster är definierade i utredningens författningsförslag i 1 kap. 2 §.

I punkten c anges att tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som betraktas som medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag ska anses vara väsentliga. Begreppen allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster har samma innebörd som i lagen (2022:482) om elektronisk kommunikation (LEK), se utredningens definitioner i 1 kap. 2 § författningsförslaget. När det gäller storleken betyder definitionen att verksamheten ska sysselsätta minst 50 personer eller ha en omsättning eller balansomslutning som överstiger 10 miljoner euro per år, se avsnitt 5.2.8. Av samma skäl som anges för punkten 1 innefattas även offentliga verksamhetsutövare och det krävs även här en hänvisning till artikel 3.1–3.3 i rekommendationen. Samtidigt får det alltså bara betydelse för kommuner och regioner.

Av artikel 3.1 e och 3.2 andra meningen bör sammantaget följa att medlemsländerna får bestämma om de verksamhetsutövare som avses i artikel 2.2 b–e är väsentliga eller viktiga. Det betyder de verksamhetsutövare som följer av utredningens författningsförslag i 1 kap. 8 § ska identifieras som väsentliga eller viktiga. Vilka dessa verksamhetsutövare är ska anges av MSB enligt utredningens förslag till för-

7

Därutöver är ett krav att en kvalificerad tillhandahållare tillhandahåller en eller flera kvalifi-

cerade betrodda tjänster.

8

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektro-

nisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

ordning om cyberssäkerhet 33 §, se även avsnitt 5.2.13. Utredningen föreslår att MSB även ska bestämma om verksamhetsutövaren är väsentlig. Bemyndigandet i 1 kap. 8 § för regeringen eller den myndighet regeringen bestämmer täcker även detta.

I artikel 3.1 f anges att verksamhetsutövare som identifierats som kritiska enligt CER-direktivet är väsentliga. Det betyder att det bör anges att verksamhetsutövare som identifierats som kritiska enligt den lag som föreslås införliva CER-direktivet är väsentliga. Denna fråga kommer utredningen att behandla senare och redovisa i sitt slutbetänkande. Slutligen anges i artikel 3.1 g att medlemsstater får föreskriva att verksamhetsutövare som före den 16 januari 2023 har identifierats som leverantörer av samhällsviktiga tjänster i enlighet med NIS1-direktivet9 eller nationell rätt är väsentliga. Det som därmed avses är att det är möjligt att föreskriva att samtliga de leverantörer som tillhandahåller en samhällsviktig tjänst och som fram till den 15 januari 2023 omfattades av NIS-lagen är väsentliga. För att bedöma om det föreligger ett sådant behov krävs det en jämförelse mellan den lagen och utredningens författningsförslag.

Vem som omfattas av NIS-lagen följer av den lagens 3 § 1. Där anges det att leverantörer som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst omfattas under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Vid bedömningen om vad som utgör en betydande störning ska enligt 4 § förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster bland annat beaktas antalet användare som är beroende av den samhällsviktiga tjänsten, leverantörens marknadsandel, storleken av det geografiska område som skulle kunna påverkas av en incident och hur beroende andra sektorer är av den samhällsviktiga tjänst som leverantören tillhandahåller. MSB får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vad som avses med en betydande störning. Detta har myndigheten gjort i (MSBFS 2021:9). I föreskriften har MSB för varje sektor angett olika detaljerade tröskelvärden. Tröskelvärdena har enligt uppgift från MSB tagits fram i nära samverkan med berörd tillsynsmyndighet.

9

Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för

en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

Som analyserats tidigare i bakgrunden är skillnaden mellan NISdirektivets krav och NIS2-direktivets att det senare omfattar fler områden och skärper kraven. Det betyder att samtliga sju sektorer som NIS-lagen omfattar även kommer att innefattas i utredningens författningsförslag. Som vidare framgår av NIS-lagens 3 § är en central förutsättning för att identifieras som leverantör av samhällsviktig tjänst att en incident skulle medföra en betydande störning. I utredningens författningsförslag i 1 kap. 8 § finns också redan en möjlighet att klassificera verksamhetsutövare som väsentliga om en störning i verksamheten kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet, folkhälsa eller medföra betydande systemrisker särskilt om det får gränsöverskridande konsekvenser. Därmed menar utredningen att det är överflödigt att särskilt även ange att verksamhetsutövare som tidigare bedömts vara leverantörer av samhällsviktiga tjänster som väsentliga verksamhetsutövare i utredningens författningsförslag. Redan på grund av detta saknas det anledning att införa en sådan bestämmelse. Därutöver skulle det innebära stora lagtekniska svårigheter att låta tidigare lagstiftning ligga till grund för bedömningar enligt ny lagstiftning, eftersom den tidigare lagen kommer att upphävas med följd att även tidigare gällande föreskrifter behöver omarbetas. Detta kan medföra oklarheter och tillämpningssvårigheter särskilt med hänsyn till att såväl tidigare NISlag som den framtida cybersäkerhetslagen bygger på att verksamhetsutövaren har en skyldighet att identifiera sin verksamhet och anmäla sig, se vidare avsnitt 6.2.

6.2. Register över väsentliga och viktiga verksamhetsutövare

Utredningens förslag:

1. Varje tillsynsmyndighet ska inom sitt tillsynsområde upprätta ett register över väsentliga och viktiga verksamhetsutövare. Ett första register ska vara upprättat och ingivet till den gemensamma kontaktpunkten senast den 1 mars 2025 och därefter ska det ske en uppdatering och ny rapportering i vart fall vartannat år.

2. Den gemensamma kontaktpunkten ska senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och sam-

arbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare som förtecknats för varje sektor och delsektor. Vidare ska den gemensamma kontaktpunkten informera om antalet väsentliga och viktiga verksamhetsutövare samt deras verksamhet som identifierats enligt 1 kap. 8 §.

3. Verksamhetsutövare ska i en anmälan till tillsynsmyndigheten lämna uppgift om identitet, kontaktuppgift, IP-adressintervall, verksamhet och uppgift om i vilka länder verksamhet bedrivs till tillsynsmyndigheten. Uppgifter bör vara lämnade den 17 januari 2025 och ändringar ska anmälas inom 14 dagar.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om uppgifterna.

Av artikel 3.3 följer att medlemsstater senast den 17 april 2025 ska upprätta ett register över väsentliga och viktiga verksamhetsutövare samt verksamhetsutövare som erbjuder domännamnsregistreringstjänster. Registret ska enligt artikeln uppdateras regelbundet och minst vartannat år.

Utredningen föreslår i kapitel 8 ett delat tillsynsansvar. Det innebär att varje tillsynsmyndighet behöver upprätta ett sådant register för sitt ansvarsområde.

Dessa register ska sedan rapporteras till den gemensamma kontaktpunkten. Den myndigheten behöver sedan senast den 17 april 2025 och därefter vartannat år i enlighet med artikel 3.5 underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare för varje sektor och delsektor som omfattas av cybersäkerhetslagen. Vidare ska den myndigheten också lämna relevant information till kommissionen om antalet väsentliga och viktiga verksamhetsutövare som identifierats i enlighet med artikel 2.2 b–e. Det betyder information om verksamheter som anges i 1 kap. 8 §, dvs., verksamheter som enligt bedömning från MSB är särskilt kritisk (33 § cybersäkerhetsförordningen).

En fråga är varför artikel 3.3 särskilt även anger att medlemsstater ska upprätta ett register över verksamhetsutövare som erbjuder domännamnsregistreringstjänster. Som framgår finns det i denna del ingen rapporteringsskyldighet till kommissionen eller samarbetsgruppen. Däremot följer det av artikel 27 att Enisa ska upprätta ett register

över gränsöverskridande verksamhetsutövare. Verksamhetsutövare som erbjuder domännamnsregistreringstjänster är en sådan gränsöverskridande verksamhet. Med hänsyn härtill saknas skäl för att särskilt peka ut ett register för domännamnsregistreringstjänster.

Till grund för förteckningen ska varje verksamhetsutövare enligt artikel 3.4 lämna uppgift till sin tillsynsmyndighet om identitet, kontaktuppgifter, IP-adresser (utredningen kommer framöver att använda begreppet IP-adressintervall, se nästa avsnitt) samt uppgift om verksamheten och i vilka länder den utövas. Innebörden är att även cybersäkerhetslagen precis som NIS-lagen bygger på att verksamhetsutövaren själv bär ansvaret för att identifiera att verksamheten omfattas av lagen och har en skyldighet att anmäla sig till myndigheten och lämna uppgifter om verksamheten. Som utredningen anför i avsnitt 5.2.12 bör det dock ankomma på varje tillsynsmyndighet att med stöd av MSB att utforma en vägledning om de oklarheter som kan föreligga i sektorsbeskrivningarna till stöd för den enskilde verksamhetsutövaren.

Det får ankomma på den gemensamma kontaktpunkten, dvs. MSB att närmare föreskriva om hur uppgifterna ska lämnas och uppgifternas närmare innehåll samt när uppgifterna behöver vidarebefordras till den gemensamma kontaktpunkten. Skälet är att det blir den gemensamma kontaktpunkten som nationellt blir slutmottagare av uppgifterna. Det följer av artikel 3.4 att medlemsstaterna får inrätta nationella mekanismer som gör det möjligt för verksamhetsutövarna att registrera sig själva. Av regeringens direktiv följer också att utgångspunkt bör vara att även det framtida regelverket bör utformas utifrån att verksamhetsutövaren är ansvarig för att avgöra om denne omfattas av regelverket och i så fall anmäla sig till tillsynsmyndigheten.10 Utredningen anser att uppgifterna av samordningsskäl bör inges senast den 17 januari 2025, jämför vidare avsnitt 6.2.1 nedan. Datum bör dock enligt utredningens uppfattning följa av myndighetens föreskrifter. Det ska också beaktas att även tillkommande verksamhetsutövare behöver lämna uppgifter. Vidare framgår att kommissionen med bistånd från Europeiska unionens cybersäkerhetsbyrå, Enisa, ska tillhandahålla riktlinjer och mallar för dessa uppgiftsskyldigheter. Detta har kommissionen gjort i september 2023.11

10 Dir. 2023:30 s. 5. 11

https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-34-directive-eu-20222555-nis-2-directive.

Därutöver har förstås tillsynsmyndigheterna ett ansvar för att skyldigheten att anmälan och uppgiftsskyldigheten följs och kan vidta åtgärder om det inte sker, se vidare kapitel 9 om ingripanden och sanktioner.

Slutligen följer av artikel 3.6 att medlemsländerna får på begäran av kommissionen lämna uppgift om namn på de väsentliga och viktiga verksamhetsutövarna som anges i 1 kap. 8 § och som ska identifieras av MSB enligt 33 § cybersäkerhetsförordningen fram till den 17 april 2025. Här handlar det alltså inte om en skyldighet utan om en möjlighet för myndigheten och det avser tiden innan register är upprättade. Enligt utredningens bedömning behöver detta inte lagregleras.

6.2.1. Särskilt register över gränsöverskridande verksamhetsutövare

Utredningens förslag: Den gemensamma kontaktpunkten ska

upprätta ett särskilt register över gränsöverskridande verksamhetsutövare och ge in det skyndsamt till Enisa. Vidare ska den gemensamma kontaktpunkten löpande underrätta Enisa om uppgifter avseende gränsöverskridande verksamhetsutövare. Registret ska vila på uppgifter som lämnats av verksamhetsutövarna till tillsynsmyndigheterna och som myndigheterna lämnat vidare till den gemensamma kontaktpunkten enligt förslag i 6.2 punkt 3 ovan. För gränsöverskridande verksamhetsutövare gäller dock att de utöver tidigare uppgifter även ska lämna uppgift om verksamhetsutövarens huvudsakliga etableringsställe och i förekommande fall kontaktuppgift till företrädaren.

Av artikel 27.1 följer att Enisa ska föra ett register över gränsöverskridande verksamhetsutövare. Enisa ska också ge behöriga myndigheter i medlemsstaterna tillgång till registret. De som omfattas är verksamhetsutövare som erbjuder följande

1. DNS-tjänster,

2. registreringsenheter för toppdomäner,

3. domännamnsregistreringstjänster,

4. molntjänster,

5. datacentraltjänster,

6. nätverk för leverans av innehåll,

7. hanterade tjänster,

8. hanterade säkerhetstjänster, eller

9. marknadsplatser online, sökmotorer eller plattformar för sociala

nätverkstjänster.

Samtliga begrepp i uppräkningen ovan är definierade i utredningens förslag till cybersäkerhetslag.

För att Enisa ska kunna upprätta ett register ska verksamhetsutövarna lämna anmälan med uppgifter till sin tillsynsmyndighet. Dessa uppgifter är i hög grad samma som samtliga verksamhetsutövare som omfattas av lagen behöver lämna enligt artikel 3 och som beskrivits ovan. Uppgifterna får också enligt artikel 27.5 lämnas genom att verksamhetsutövarna registrerar dem själva genom de nationella mekanismer som kan ha inrättats enligt artikel 3.4 och som även det har beskrivits ovan.

Skillnaden i uppgiftsskyldigheten är att samtliga verksamhetsutövare enligt artikel 3 ska lämna uppgift om IP-adress, men att de gränsöverskridande verksamhetsutövarna ska lämna uppgift om IPadressintervall. Det framstår dock som om detta inte är en skillnad i sak, eftersom kommissionen i riktlinjerna från september 2023 för såväl artikel 3.4 som 27.2 använder begreppet IP-adressintervall.12Vidare ska enligt artikel 27.2, men inte 3.4 även lämnas uppgift om verksamhetsutövarens huvudsakliga etableringsställe och i förekommande fall adress till företrädare. Skillnaden beror förstås på att det för dessa gränsöverskridande verksamhetsutövare gäller ett förhöjt krav för att de ska omfattas av svensk lag. De omfattas endast om det huvudsakliga etableringsstället ligger i Sverige och i vissa fall behöver en företrädare utses (jämför artikel 26.1 b och avsnitt 5.3.2). Innebörden är att det kommer att finnas gränsöverskridande verksamhetsutövare som är verksamma i Sverige, men vars huvudsakliga etableringsställe finns i en annan medlemsstat. Dessa omfattas så-

12 https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-

34-directive-eu-20222555-nis-2-directive, jämför s. 1 och 2.

ledes inte av cybersäkerhetslagen. Samordningen kommer att underlättas av att behöriga myndigheter har tillgång till Enisas register.

Därutöver är kravet för ändringar för gränsöverskridande verksamhetsutövare att de ska inges inom 90 dagar och inte 14 som gäller för samtliga verksamhetsutövare. Slutligen är också en skillnad mellan uppgifterna enligt artikel 3 och artikel 27 att uppgifterna enligt artikel 27, dvs. uppgifter från de gränsöverskridande verksamhetsutövarna ska lämnas till tillsynsmyndigheten senast den 17 januari 2025, medan det av artikel 3.3 endast följer att medlemsstaternas förteckning ska vara upprättad senast 17 april 2025.

Utredningen föreslår att de olika uppgiftsskyldigheterna samordnas av effektivitetsskäl. Det ligger i linje med kommissionens uppfattning, som i sina riktlinjer från september 2023 anvisar samma mall för uppgifter enligt såväl artikel 3.3 som 27.2. Kommissionen anger administrativ effektivitet som skäl för det.13

Det betyder att samtliga verksamhetsutövare ska lämna sina uppgifter vid den tidigaste tidpunkten, dvs. den 17 januari 2025, att ändringar ska inges inom 14 dagar och att tillsynsmyndigheterna sammanställer dem i register och vidarebefordrar dem till den gemensamma kontaktpunkten senast den 1 mars 2025 och att den i sin tur rapporterar inte bara till kommissionen och samarbetsgruppen utan även till Enisa. Därutöver behöver särskilt anges att gränsöverskridande verksamhetsutövare även behöver ange huvudsakligt etableringsställe och i förekommande fall kontaktuppgift till företrädare.

6.3. Domännamnsregistreringsuppgifter

Utredningens förslag: Lagen (2006:24) om nationella toppdomä-

ner för Sverige på internet ändras på följande sätt för att anpassas till NIS2-direktivets krav:

1. Rubriken till lagen ska vara lag om toppdomäner på internet.

2. Lagen ska omfatta toppdomäner med huvudsakligt etableringsställe i Sverige på internet, inte nationella toppdomäner för Sverige på internet,

13 Se länk ovan s. 2.

3. Registerskyldigheten för bland annat domännamn ska även innehålla registreringsdatum, alltså när domännamnet registrerades.

4. Det ska uttryckligen av toppdomänlagen följa att det är möjligt för myndigheter och andra med offentligrättsliga uppgifter inom EES att begära ut uppgifter på annat sätt av registreringsenheten för toppdomäner än genom internet. Uppgifterna ska lämnas skyndsamt. De närmare bestämmelserna om denna uppgiftsskyldighet bör följa av föreskrifter. Det finns redan ett bemyndigande för PTS i regleringen.

Av artikel 28.1 och 28.2 följer att medlemsstaterna ska ålägga registreringsenheter för toppdomäner och verksamhetsutövare som erbjuder domännamnsregistreringstjänster att samla in och upprätta registreringsuppgifter över domännamn. Registret ska utöver domännamnet även innehålla identitet och kontaktuppgift för innehavaren av domännamnet eller kontaktuppgifter till en kontaktpunkt. Det ska enligt artikel 28.3 finnas en strategi och förfaranden inbegripet kontrollförfaranden för att uppgifterna i registret är korrekta som offentliggörs. Från PTS har anförts att en fråga är hur medlemsstaterna ska se till att uppgifterna är korrekta. Det kan exempelvis krävas identifiering genom bank-id eller liknande. Frågan diskuteras inom EU:s arbetsgrupper. Enligt utredningens uppfattning behöver detta lösas genom föreskrifter.

Vidare ska verksamhetsutövarna för domännamnsregistreringstjänster och registreringsenheter för toppdomäner enligt artikel 28.4 utan dröjsmål efter registreringen offentliggöra uppgifterna, med undantag för personuppgifter och även enligt artikel 28.5 på begäran ge legitima åtkomstsökanden tillgång till uppgifterna. Det betyder att legitima åtkomstsökanden behöver definieras. Enligt utredningens uppfattning avses i första hand myndigheter inom EES, se vidare nedan. Svar på en sådan begäran ska lämnas skyndsamt och i vart fall inom 72 timmar. Medlemsstaterna ska se till att det även finns en strategi för utlämnandet av uppgifterna och att strategin offentliggörs. Slutligen föreskriver artikel 28.6 att bestämmelserna i artikeln inte får leda till en dubbel insamling av registreringsuppgifter för domännamn, varför registreringsenheter för toppdomäner och verk-

samhetsutövare som tillhandahåller domännamnsregistreringstjänster ska samarbeta med varandra.

I Sverige gäller lagen (2006:24) om nationella toppdomäner för Sverige på internet (toppdomänlagen). Den reglerar teknisk drift av nationella toppdomäner för Sverige på internet samt tilldelning och

registrering av domännamn under dessa toppdomäner (1 §). I lagens

6 § anges att domänadministratören, dvs. den som ansvarar för administration av en nationell toppdomän för Sverige ska föra ett register över tilldelade domännamn under toppdomänen och löpande upprätta säkerhetskopior av registeruppgifterna. Registret ska innehålla

1. domännamnet,

2. namnet på domännamnsinnehavaren och dennes postadress, tele-

fonnummer och adress för elektronisk post,

3. namnet på den som tekniskt administrerar domännamnet och dennes

postadress, telefonnummer och adress för elektronisk post,

4. uppgifter om de namnservrar som är knutna till domännamnet,

samt

5. övrig teknisk information som behövs för att administrera domän-

namnet.

Vidare ska uppgifterna i registret kunna hämtas utan avgift via internet. Personuppgifter får endast göras tillgängliga på detta sätt om den registrerade har samtyckt till det. Domänadministratören är personuppgiftsansvarig för behandling av personuppgifter i registret.

Bestämmelsen är enligt propositionen till toppdomänlagen betydelsefull av flera anledningar. Tjänsten gör det möjligt att komma i kontakt med ansvariga för datorer som sprider datavirus. Det har även betydelse ur ett konsument- och näringslivsperspektiv när det används för att kontrollera vem som innehar ett domännamn vid elektronisk handel eller när ett immaterialrättsligt intrång begåtts. Slutligen kan registret användas av rättsvårdande myndigheter för att identifiera ansvariga för domännamn till vilka webbplatser med olagligt innehåll finns kopplade. Traditionen i internetsammanhang skulle också vara att s.k. ”whois”-data finns offentligt tillgängliga på internet i en sökbar databas.14

14 Prop. 2004/05:175 s. 248.

Enligt 9 § samma lag gäller enligt punkt 2 att regeringen eller, efter regeringens bemyndigande, tillsynsmyndigheten får meddela föreskrifter om register och säkerhetskopior enligt 6 §. Av förordningen (2006:25) om nationella toppdomäner för Sverige på internet följer av 3 § att PTS får meddela föreskrifter om register och säkerhetskopior enligt 6 § lagen om nationella toppdomäner för Sverige på internet. Myndigheten har inte meddelat sådana föreskrifter.

Enligt uppgift innebär i praktiken denna bestämmelse att om en person begär ut uppgifter erhåller de endast begränsade uppgifter, i huvudsak uppgift om domännamnet, eftersom övriga uppgifter är ”maskade”. Det beror på den särskilda bestämmelsen i 6 § om att personuppgifter endast får göras tillgängliga på internet om den registrerade har samtyckt till det. Denna reglering har varit oförändrad sedan lagens tillkomst 2006. Vid den tidpunkten gällde personuppgiftslagen (1998:204). Den lagen upphävdes 2018 i samband med att EU:s dataskyddsförordningens bestämmelser15 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning började gälla. Vid den tidpunkten gjordes även en ändring av 3 § toppdomänlagen med innebörd att det anges att bestämmelserna i 6 § är kompletteringar till dataskyddsbestämmelserna och att bestämmelserna i toppdomänlagen har företräde framför dem. Sammantaget gäller alltså att det krävs samtycke för att personuppgifterna enligt toppdomänlagen ska kunna publiceras.

Utredningen drar av den anförda slutsatsen att kraven i artikel 28 delvis redan är uppfyllda genom toppdomänlagen. Som framgår ovan ska registret enligt den lagen innehålla domännamn, innehavarens identitet och kontaktuppgifter. I artikel 28 krävs som alternativ till innehavarens kontaktuppgifter motsvarande till kontaktpunkten. Enligt 6 § finns som alternativ namn och kontaktuppgifter till den som tekniskt administrerar domännamnet, vilket får anses vara jämförbart. Att skyldigheten är lagreglerad betyder också att det finns en strategi från Sverige som är offentlig, vilket uppfyller kravet i artikel 28.3. För såväl skyldigheten i toppdomänlagen som artikel 28 gäller också begränsningar genom dataskyddsregleringen.

15

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Det finns dock några skillnader. En viktig skillnad är att toppdomänlagen endast omfattar nationella toppdomäner för Sverige. Det betyder i praktiken Internetstiftelsens drift av den svenska toppdomänen .se. Samtidigt sköter Internetstiftelsen även i dag drift och administration av toppdomänen .nu, som inte omfattas av lagen. Av propositionen till toppdomänlagen framgår att syftet med lagen var att på ett effektivt sätt kontrollera administrationen av toppdomäner som särskilt avser Sverige, även om Konkurrensverket föreslagit att regleringen av konkurrensneutrala skäl borde avse all administration av toppdomäner som utövas från ett fast driftställe i Sverige.16

NIS2-direktivet har dock enligt utredningens uppfattning en bredare ansats, eftersom artikel 28 pekar ut registreringsenheter för toppdomäner. Utredningen har i författningsförslaget definierat begreppet som en verksamhet som ansvarar för att administrera, förvalta, sköta teknisk drift samt registrering av domännamn under en specifik toppdomän, dock inte om toppdomänen endast avses för eget bruk. Det är i sin tur en förenklad version av den definition som direktivet anger i artikel 6.21.

Från PTS har dock invänts att i artikel 6.21 i NIS2-direktivet definieras registreringsenhet som en enhet som har delegerats en specifik toppdomän och som ansvarar för administrationen av toppdomänen. Båda kraven är uppfyllda för Internetstiftelsen när det gäller .se-domänen men inte för .nu-domänen där Internetstiftelsen endast sköter administrationen. Delegering ligger hos IUSN Foundation. Samtidigt menar PTS att kraven i artikel 28.1 om att samla in registreringsuppgifter även avser .nu. Myndigheten menar att implementeringen av artikel 28 för .nu bör ske i den nya cybersäkerhetslagen och att endast toppdomäner som uppfyller såväl kravet på delegering som administration bör regleras i toppdomänlagen. I framtiden skulle man enligt PTS kunna tänka sig även andra toppdomäner som till exempel .sverige. Dessa skulle då också omfattas av toppdomänlagen. Sammantaget menar alltså PTS att Internetstiftelsens verksamhet avseende .nu inte omfattas av definitionen i artikel 6.21, men att om IUSN Foundation skulle etablera ett huvudsakligt etableringsställe i Sverige skulle den likväl omfattas av kraven för registreringsenheter i artikel 28.

16 Prop. 2004/05:175 s. 242.

Utredningen delar inte denna uppfattning. I artikel 6.21 definieras begreppet registreringsenhet och kraven för registreringsenhet följer av artikel 28. Om .nu inte omfattas av definitionen i 6.21 omfattas den inte heller av kraven i artikel 28. Enligt utredningens bedömning vore det dock olyckligt, eftersom det är angeläget med en registrering för att bidra till domännamnssystemens säkerhet. När det gäller definitionen är det inte heller klart vad som avses. Den engelska lydelsen är “top-level domain name registry’ or TLD name registry means an entity which has been delegated a specific TLD and is responsible for administering the TLD.” Sammantaget bedömer utredningen att en alltför strikt tolkning av definition av registreringsenhet får oönskade konsekvenser. I vart fall har utredningen också möjlighet att föreslå mer långtgående bestämmelser, eftersom NIS2 är ett minimidirektiv. Utredningen föreslår därför den mer ändamålsenliga definitionen av registreringsenheter i cybersäkerhetslagen dvs. en verksamhet som ansvarar för att administrera, förvalta, sköta teknisk drift samt registrering av domännamn under en specifik toppdomän, dock inte om toppdomänen endast avses för eget bruk. Det betyder i sin tur att även .nu omfattas av kraven i artikel 28. Slutligen bedömer utredningen också att det är rimligt med en sammanhållen lagstiftning, varför införlivningen av artikel 28 i dess helhet bör ske i toppdomänlagen.

Vidare omfattas gränsöverskridande verksamhetsutövare som exempelvis registreringsenheter för toppdomäner om Sverige är det huvudsakliga etableringsstället (se utredningens författningsförslag 1 kap. 6 §). En annan mindre skillnad är att NIS2-direktivet ställer krav om registreringsdatum, vilket inte finns i toppdomänlagens paragraf sex.

En fråga är vidare i vilken utsträckning det föreligger en skillnad mellan att uppgifterna enligt toppdomänlagen erbjuds på internet, men att det av artikel 28.5 följer att det finnas en skyldighet att lämna ut specifika uppgifter till ”lagliga och motiverade begäran från legitima sökanden” och att svar ska ges inom 72 timmar. Skillnaden blir enligt utredningens uppfattning att det finns ett förstärkt skydd för personuppgifter genom att publiceringen sker på internet. Utredningen föreslår därför att det uttryckligen av toppdomänlagen även bör framgå att myndigheter inom EES ska kunna begära uppgifter genom direkt kontakt med registreringsenheten för toppdomäner. Hänsyn ska i den delen enbart tas till dataskyddsregleringen.

Utredningen föreslår utifrån det anförda att 1 § i toppdomänlagen ändras så att den omfattar teknisk drift av toppdomäner på internet med huvudsakligt etableringsställe i Sverige samt tilldelning och registrering av domännamn under dessa toppdomäner och att kravet om registreringsdatum läggs till i toppdomänlagens 6 §. Vidare föreslår utredningen också att det uttryckligen av 6 § bör följa att myndigheter kan begära ut uppgifter på andra sätt av registreringsenheten och att uppgifterna ska lämnas skyndsamt. Från PTS har anförts att även andra kan innefattas i begreppet legitima åtkomstsökanden, exempelvis i ärenden gällande cybersäkerhetsrelaterad brottslighet. Utredningen föreslår att myndigheter och andra med offentligrättsliga uppgifter inom EES ska kunna begära ut utgifter på detta sätt. Däremot bör rättigheten inte utsträckas till privatpersoner, eftersom det inte, som för myndigheter och offentligrättsliga subjekt, kan presumeras att privatpersoner har legitima skäl. Den närmare definitionen av personer med offentligrättsliga uppgifter bör följa av föreskrifter. Det finns redan en möjligen för PTS att meddela föreskrifter, vilket alltså inte använts. Utredningen menar att det av föreskrifter även bör följa närmare hur och inom vilka tidsgränser uppgiftsskyldigheten ska fullgöras.

Slutligen är också en skillnad att skyldigheten enligt artikel 28 i NIS2-direktivet gäller för såväl registreringsenheter för toppdomäner som de verksamhetsutövare som erbjuder domännamnsregistreringstjänster. Enligt den svenska lagen åvilar ansvaret endast registreringsenheter för toppdomäner och inte dem som erbjuder domännamnsregistreringstjänster. Samtidigt anges i artikel 28.6 att bestämmelserna inte får leda till dubblerad insamling av registreringsuppgifter. Med hänsyn till det bedömer utredningen att det är tillräckligt att det finns nationella bestämmer som ser till att registeruppgifter finns tillgängligt som registreringsenheter för toppdomäner bär ansvaret för.

7. Riskhantering och incidentrapportering

I detta kapitel analyseras riskhanteringsåtgärder enligt artikel 20, 21 och 25 i avsnitt 7.1 och 7.2. Incidentrapportering enligt artikel 23 och 30 behandlas i avsnitt 7.3 och certifiering enligt artikel 24 i 7.4.

7.1. Övergripande lagreglering om riskhanteringsåtgärder

Utredningens bedömning:

1. Kraven om riskhanteringsåtgärder ska regleras övergripande i cybersäkerhetslagen.

2. Lagen bör fyllas ut av föreskrifter som meddelas av tillsynsmyndigheten. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig över föreskrifterna. Detta ska följa av cybersäkerhetsförordningen.

3. Regeringen bör ge Myndigheten för samhällsskydd och beredskap i uppdrag att skyndsamt utarbeta en vägledning om riskhanteringsåtgärder till stöd för tillsynsmyndighetens föreskriftsarbete.

I artikel 21 anges kraven för riskhanteringsåtgärder för cybersäkerhet. Som följer av artikeln är det dels övergripande bestämmelser, dels en uppräkning av olika krav i punkter.

I kapitel 8 föreslår utredningen ett delat tillsynsansvar med innebörd att det kommer att finnas olika tillsynsmyndigheter för de olika sektorerna. De olika tillsynsmyndigheterna kommer att behöva bedriva tillsyn över att ovanstående krav uppfylls. Om så inte sker ska

tillsynsmyndigheten meddela sanktioner, se kap. 9. Vidare får det ankomma på varje1 tillsynsmyndighet att meddela närmare föreskrifter om riskhanteringsåtgärder, se vidare kapitel 8.

Kommissionen ska också enligt artikel 21.5 senast den 17 oktober 2024 anta genomförandeakter för de åtgärder som krävs för vissa verksamhetsutövare, i huvudsak gränsöverskridande verksamhetsutövare, vilket behöver beaktas i genomförandearbetet, se vidare om detta kapitel 8.

Från särskilt MSB har anförts att det förhållande att olika myndigheter får meddela föreskrifter innebär en risk för att kraven tillämpas olika. Enligt utredningens uppfattning är det dock som också framgår av kapitel 8 angeläget att föreskrifterna kan sektorsanpassas och att den myndighet som har tillsyn också har föreskriftsrätten.

Från MSB, Säkerhetspolisen, Transportstyrelsen och IMY har då föreslagits att det borde ankomma på MSB att meddela föreskrifter med grundläggande krav på säkerhet och att de olika tillsynsmyndigheterna, vid behov, kompletterar dessa föreskrifter genom att meddela föreskrifter med särskilda krav på utökad säkerhet för sin sektor. Som anges i kapitel 8 menar utredningen att det skulle kunna leda till motstridiga krav i de olika föreskrifterna, vilket inte skulle uppfylla kraven på förutsebarhet och klarhet vid normgivning. Utredningen har därför bedömt att en sådan lösning inte är en framkomlig väg.

Samtidigt finns det skäl att närmare klarlägga de olika kraven i artikel 21, särskilt med hänsyn att utformningen av artikel 21 delvis är oklar. Här handlar det bland annat om tekniska detaljer, som det saknas förutsättningar för utredningen att klargöra.

Utredningen föreslår med hänsyn till att flera tillsynsmyndigheter kommer att meddela föreskrifter för olika områden att de grundläggande kraven av rättssäkerhetsskäl följer av förslaget till cybersäkerhetslagen. Samtidigt bör dock kraven inte anges alltför detaljerat, eftersom det kommer att ankomma på tillsynsmyndigheterna att meddela föreskrifter som anpassar kraven till respektive sektor. Som framgår av artikel 21.1 ska åtgärderna vara proportionella i förhållande till risken. Vidare föreslår utredningen att regeringen ger MSB i uppdrag att skyndsamt utarbeta en vägledning om riskhanteringsåtgärder till stöd för tillsynsmyndigheternas föreskriftsarbete. Även om denna vägledning – som MSB påpekat – inte kommer att vara juri-

1

Undantag kommer dock att gälla för sektorn offentlig förvaltning. För denna sektor kommer

länsstyrelser att bedriva tillsyn, men MSB ha föreskriftsrätt avseende riskhanteringsåtgärder.

diskt bindande bör den likväl utgöra en viktig grund för likvärdiga föreskrifter.

7.1.1. Övergripande om begrepp

Utredningens bedömning: Det är inte möjligt att anpassa begrep-

pen i cybersäkerhetslagen till begreppen i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Som framgått skiljer sig kraven i NIS2-direktivet i hög grad från kraven i NIS-direktivet. Utredningen har därför som följer av avsnitt 5.1 föreslagit att den tidigare regleringen som införlivade NISdirektivet upphävs och ersätts av ett nytt regelverk som införlivar NIS2-direktivet. Eftersom kraven i direktiven i hög grad skiljer sig åt innebär det i sin tur att de båda direktiven också använder olika begrepp. Ett exempel är att artikel 21 använder begreppet riskhanteringsåtgärder. Från MSB har anförts att säkerhetsåtgärder är det etablerade begreppet. Myndigheten menar att det är angeläget att cybersäkerhetsregelverket så långt som möjligt ansluter sig till tidigare begrepp, eftersom verksamhetsutövarna redan är förtrogna med dem och myndighetens föreskrifter använder dem. Utredningen noterar att begreppet säkerhetsåtgärder används i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, se 11– 14 §§. Det beror i sin tur på att NIS-direktivet använder begreppet säkerhetsåtgärder i artikel 16. Kraven på åtgärder i den artikeln skiljer sig i hög grad från kraven i artikel 21 i NIS2-direktivet.

Utredningen delar inte myndighetens bedömning. Inledningsvis menar utredningen att det kan finnas skäl för att använda direktivets begrepp. Därutöver menar utredningen också att det skulle bli förvirrande att använda samma begrepp när kraven i hög grad är nya. Eftersom lagen från 2018 föreslås upphävas innebär det också att myndighetens föreskrifter behöver omarbetas.

7.1.2. Riskhanteringsåtgärder

Utredningens förslag: Verksamhetsutövaren ska vidta tekniska,

driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:

1. Incidenthantering,

2. kontinuitetshantering

3. säkerhet i leveranskedjan,

4. säkerhet vid förvärv, utveckling och underhåll av nätverks-

och informationssystem inklusive hantering av sårbarheter och sårbarhetsinformation,

5. strategier och förfaranden för användning av kryptografi och

kryptering,

6. personalsäkerhet,

7. strategier för åtkomstkontroll och tillgångsförvaltning,

8. säkrade lösningar för kommunikation, och

9. lösningar för autentisering.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om riskhanteringsåtgärder. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

Artikel 21.1 och 21.2 anger att medlemsstaterna ska säkerställa att väsentliga och viktiga verksamhetsutövare vidtar lämpliga och proportionella åtgärder för att hantera risker som hotar säkerheten i nätverk- och informationssystem och systemens fysiska miljö. I artikeln används såväl begreppet lämpliga som begreppet proportionella, som har snarlik betydelse, även om det också finns en skillnad. När det gäller lämpliga anges också att åtgärderna ska vara lämpliga i förhållande till risken. För begreppet proportionella anges det att hänsyn ska tas till verksamhetens grad av riskexponering, storlek, sannolikhet för att incidenter inträffar och deras allvarlighetsgrad, inbegripet

deras samhälleliga och ekonomiska konsekvenser. De angivna omständigheterna ovan som grad av riskexponering, storlek sannolikhet för att incidenter inträffar och deras allvarlighetsgrad, inbegripet samhälleliga och ekonomiska konsekvenser är alla omständigheter som handlar om risken. Sammantaget menar utredningen att åtgärderna ska vara proportionella i förhållande till risken. Det bör följa av lagtexten. Att åtgärderna även ska vara lämpliga i förhållande till risken blir då överflödigt, eftersom det inte tillför något. Den närmare anvisningen för proportionalitetsbedömningen bör följa av lagkommentaren.

Samtliga verksamhetsutövare som omfattas av förslaget till cybersäkerhetslagen är antingen väsentliga eller viktiga. Det innebär att kraven gäller för alla verksamhetsutövare. Det handlar om tekniska, driftsrelaterade och organisatoriska åtgärder. Åtgärderna ska ske hos verksamhetsutövaren och syftet är att förhindra eller minimera incidenters påverkan på mottagaren av tjänsterna eller andra tjänster.

Enligt artikel 21.1 andra stycket ska relevanta europeiska och internationella standarder beaktas i tillämpliga fall. Även av artikel 25.1 följer att medlemsstaterna, utan att föreskriva eller gynna användningen av viss teknik, ska uppmuntra användningen av europeiska och internationella standarder och tekniska specifikationer av relevans för säkerheten i nätverks- och informationssystem. Innebörden bör vara att medlemsstaterna inte kan uppställa krav om standarder. Med hänsyn härtill menar utredningen att det inte är möjligt att i lag föreskriva att standarder ska beaktas utan detta får uppmuntras på andra och frivilliga sätt.

I artikel 21.2 anges tio olika punkter som är obligatoriska. MSB har övergripande om de olika punkterna anfört att vissa punkter borde lyftas fram och stå i början, att vissa delar i en del punkter borde samordnas med delar i andra punkter samt att vissa punkter borde delas upp, eftersom de är särskilt viktiga.

Utredningen menar att när det gäller övergripande lagreglering är det tillräckligt att punkterna som speglar kraven återfinns i paragrafen, eftersom det ger en skyldighet, men att det saknar betydelse var i paragrafen kravet anges. Ett problem med att flytta delar av punkterna och samordna med andra punkter eller att lyfta upp en del ur en punkt till en egen punkt innebär också att sammanhanget går förlorat och ges en annan innebörd. För att kunna göra så måste det

stå klart att skrivningarna i artikeln är bristfälliga. Utredningen saknar underlag för en sådan slutsats.

Från PTS har anförts att det är angeläget att cybersäkerhetslagen använder så nära formuleringar från NIS2-direktivet som möjligt. Utredningens utgångspunkt är som följer av avsnitt 5.2.1 att direktiven inte ska införlivas direktivnära utan att förslagen ska utformas utifrån den systematik och terminologi som används i svensk rätt. Ett normalt språkbruk ska eftersträvas. Det följer även uttryckligen av regeringens direktiv att den terminologi som används i direktiven ska anpassas till vedertagna begrepp i nationell reglering. Med hänsyn till att regleringen omfattar ett stort antal olika sektorer menar utredningen att ett sådant förhållningssätt är nödvändigt. Motsvarande slutsats drogs även i arbetet med att införliva NIS-direktivet.

Åtgärderna ska baseras på en allriskansats och en riskanalys och de ska utvärderas.

Åtgärderna ska minst enligt artikel 21.2 omfatta strategier för riskanalys och informationssystemens säkerhet. När det gäller denna punkt menar utredningen att det inte behöver anges särskilt, eftersom det följer av utredningens förslag till övergripande reglering, se ovan. Detsamma gäller punkten f om strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet. Den inledande delen i punkten g om grundläggande praxis för cyberhygien är enligt utredningens bedömning onödig, eftersom cyberhygien är ett samlingsbegrepp för det som följer av artikeln i dess helhet. Andra delen av punkten g avser utbildning i cybersäkerhet. Utbildning behandlas specifikt och i ett större sammanhang i avsnitt 7.2.

I punkten b anges incidenthantering och driftskontinuitet i punkten c. Med driftskontinuitet avses enligt artikeln exempelvis hantering av säkerhetskopiering, katastrofhantering och krishantering. Från MSB har anförts att begreppet driftskontinuitet borde ersättas med det mer etablerade begreppet kontinuitetshantering. Utredningen ansluter sig till detta. Från MSB har vidare anförts att det behöver tydliggöras, precis som i artikeln, att säkerhetskopiering och krishantering ingår. Katastrofhantering ska ses som en del av krishantering. Här menar dock utredningen att eftersom detta är exempel på kontinuitetshantering är det mer lämpligt att det följer av författningskommentaren.

Av artikel 21.2 d följer vidare att säkerhet i leveranskedjan är ett minimikrav.

En särskild fråga är då vad som avses med säkerhet i leveranskedjan, hur många led i kedjan som verksamhetsutövaren ansvarar för. Av artikeln följer att i säkerhet i leveranskedja inbegrips säkerhetsaspekter som rör förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer. Det betyder enligt utredningens uppfattning att varje verksamhetsutövare endast behöver vidta riskhanteringsåtgärder i förhållande till sin leverantör. Innebörden skulle vara att varje verksamhetsutövare ansvarar för ett led i kedjan. De närmare bestämmelserna om detta bör följa av föreskrifter.

I punkten e anges säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem. Här ska inbegripas hantering av sårbarheter och sårbarhetsinformation. Från MSB har föreslagits att förvärv ersätts med anskaffning för att signalera att kraven gäller även när något inte köpts, exempelvis vid utkontraktering. En begränsning till endast inköp är olycklig.

Utredningen delar inte den bedömningen, eftersom förvärv betyder att ta över något med äganderätt. Det myndigheten föreslår är därmed en utvidgning av kraven i direktivet. Utredningen har förstås möjlighet att utvidga kraven, eftersom direktivet är ett minimidirektiv. Som framgått tidigare föreslår också utredningen en utvidgning i andra fall. För att kunna göra det krävs det dock underlag om att det är angeläget och en slutsats om att utvidgningen inte får oönskade konsekvenser. När det gäller utkontraktering omhändertas detta också till viss del i punkten om säkerhet i leveranskedjan.

I punkten h anges strategier och förfaranden för användning av kryptografi och när så är lämpligt kryptering. Därutöver finns det krav på personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, säkrade lösningar för kommunikation, och lösningar för autentisering.

7.1.3. Systematiskt informationssäkerhetsarbete

Utredningens förslag: Verksamhetsutövare ska bedriva ett syste-

matiskt och riskbaserat informationssäkerhetsarbete.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om systematiskt och riskbaserat informations-

säkerhetsarbete. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

Från MSB har anförts att det är viktigt att föreskriva att informationssäkerhetsarbetet ska ske systematiskt och riskbaserat på samma sätt som följer av lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Utredningen noterar att detta krav inte följer av direktivet, men att det som myndigheten anför finns i gällande lag. I den lagens 11 § anges att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster.

Innebörden av informationssäkerhetsarbete är att skydda uppgifter som lagras, behandlas, hämtas eller överförs. De ska enligt artikel 6.2 skyddas utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet. Det betyder allt arbete som syftar till att säkerställa systemen, tjänsterna och informationen som lagras/behandlas/överförs genom dem. Därmed täcks exempelvis enligt skäl 79 även fysisk hantering av sådant som kan påverka systemen som tillträde till lokaler skyddas, trots att det inte är i digital form.

Ett systematiskt och riskbaserat informationssäkerhetsarbete enligt gällande lag innebär bland annat att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar. Därigenom kan verksamhetens ledning på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. Detta kan bland annat innefatta olika typer av analyser som verksamhetsanalys, riskanalys och GAP-analys (analys som jämför nuvarande säkerhetsnivå med den önskade).2

2 Prop. 2017/18:205 s. 39.

7.2. Ansvar och utbildning – riskhanteringsåtgärder

Utredningens bedömning:

1. Kravet i artikel 21.4 om att verksamhetsutövare som inte uppfyller kraven om riskhanteringsåtgärder utan dröjsmål förmås vidta korrigeringar uppfylls genom utredningens förslag om tillsyn samt ingripanden och sanktioner.

2. Ledningsorgan i enskilda verksamheter ska ha ett personligt ansvar för överträdelser av kraven om riskhanteringsåtgärder. Innebörden av detta ansvar är att det ska vara möjligt att vidta åtgärder eller rikta sanktioner mot denna personkrets. Av kapitel 9 följer att det ska vara möjligt att meddela ett förbud för en person att utöva en ledningsfunktion.

Utredningens förslag: Av cybersäkerhetslagen ska följa att led-

ningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och att anställda ska erbjudas sådan utbildning.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om utbildning. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

Av artikel 21.4 följer att medlemsstaterna ska säkerställa att verksamhetsutövare som inte uppfyller kraven vidtar åtgärder utan dröjsmål. Det uppfylls genom utredningens förslag om tillsyn samt ingripanden och sanktioner, se kapitel 8 och 9.

Av artikel 20.1 följer att medlemsstaterna ska säkerställa att verksamhetsutövarens ledningsorgan godkänner och övervakar genomförandet av riskhanteringsåtgärderna. Syftet är att ledningsorganen kan ställas till svars för överträdelserna. Med ledningsorgan avses primärt styrelsen i ett aktiebolag (se vidare kapitel 9).

Enligt utredningens uppfattning behöver detta inte regleras civilrättsligt. Det följer redan av aktiebolagslagens (2005:551) 8 kap. 4 § att styrelsen svarar för bolagets organisation och förvaltningen av bolagets angelägenheter. I handelsbolag är det bolagsmännen själva som är ansvariga. För offentliga verksamhetsutövare följer särskilt av artikel 20.2 att artikel 20 inte påverkar ansvarsreglerna i nationell rätt för offentliga verksamheter.

Däremot framgår det av artikel 20.1 att ledningsorgan ska kunna ställas till svars för överträdelser avseende riskhanteringsåtgärder. Av kapitel 9 följer att det ska vara möjligt att meddela ett förbud för en person att utöva en ledningsfunktion.

Slutligen följer av artikel 20.2 att medlemsstaterna ska säkerställa att verksamhetsutövarnas ledningsorgan är skyldiga att genomgå utbildning om riskhanteringsåtgärder. Anställda ska erbjudas liknande utbildning. Som framgått ovan under avsnitt 7.1 är utbildning i cybersäkerhet en punkt som särskilt ska beaktas enligt artikel 21.2. Utredningen anser därför att kravet i artikel 20.2 om utbildning ska ses som en precisering av punkten om kravet om utbildning enligt avsnitt 7.1 ovan och ska därför utgå där för att i stället särskilt lagfästas enligt vad som anges här i detta avsnitt. Utredningen föreslår att detta krav övergripande ska framgå av lag, men att den närmare utformningen av krav på utbildning ska följa av föreskrifter. Det beror på att utbildningen behöver sektorsanpassas och även anpassas till olika målgrupper.

Detta krav bör gälla för såväl enskilda som offentliga verksamhetsutövare. För enskilda betyder det alltså styrelsen, men för offentliga bör det rimligen avse exempelvis generaldirektör med stab i myndighet och kommun- respektive regionstyrelsen i en kommun eller region. Anställda ska erbjudas utbildning. Den närmare omfattningen bör följa av föreskrifter som ska meddelas av tillsynsmyndigheten. MSB ska ges tillfälle att yttra sig.

7.3. Incidentrapportering

Utredningens förslag:

1. Med betydande incident avses a. En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller b. en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vad som utgör en betydande incident.

2. Verksamhetsutövaren ska som en varning underrätta CSIRTenheten om betydande incidenter inom 24 timmar efter det att verksamhetsutövaren fått kännedom om den. Det ska anges om det finns misstanke om att incidenten orsakats uppsåtligen och om incidenten kan ha gränsöverskridande effekter.

3. Verksamhetsutövaren ska också inom 72 timmar från tidpunkten för kännedom göra en incidentanmälan till CSIRT-enheten om betydande incidenter. Den ska innehålla en inledande bedömning av hur allvarlig den betydande incidenten är, konsekvenserna av den och förekomsten av angreppsindikatorer. Vidare ska varningen i punkt 2 uppdateras. För verksamhetsutövare som erbjuder betrodda tjänster ska en incidentanmälan ska göras inom 24 timmar. CSIRT-enheten får begära ytterligare information av verksamhetsutövaren. Verksamhetsutövaren ska samtidigt även informera kunder som kan antas påverkas av den betydande incidenten. Kunderna ska vid behov informeras om avhjälpande åtgärder. Detsamma gäller betydande cyberhot.

4. Verksamhetsutövaren ska inom en månad från incidentanmälan i punkt 3 lämna en slutrapport till CSIRT-enheten. Om incidenten fortfarande är pågående ska i stället en lägesrapport lämnas som ska kompletteras med en slutrapport en månad efter det att incidenten har hanterats. Slutrapporten eller lägesrapporten ska innehålla en beskrivning av a. Incidenten och dess konsekvenser, b. hur allvarlig incidenten bedöms vara, c. vad som sannolikt utlöst incidenten, d. åtgärderna för att begränsa incidenten, och e. incidentens möjliga gränsöverskridande effekter.

5. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om incidentrapporteringen.

I artikel 23 finns bestämmelser om incidentrapportering.

Av artikel 23.1 följer att medlemsstaterna ska säkerställa att verksamhetsutövare som omfattas av cybersäkerhetslagen utan dröjsmål

underrättar sin CSIRT-enhet eller sin behöriga myndighet om betydande incidenter. MSB är CSIRT-enhet i Sverige. Om rapportering sker till behörig myndighet ska den vidarebefordra uppgiften till CSIRT-enheten. Utredningen föreslår att underrättelsen av effektivitetsskäl sker direkt till CSIRT-enheten, som utan dröjsmål ska tillgängliggöra informationen i incidentrapporter för tillsynsmyndigheterna, se avsnitt 10.2.3.

Med betydande incident avses enligt artikel 23.3 en incident som orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomisk skada för den berörda verksamhetsutövaren eller/och har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. Av artikeln framgår alltså inte om det är tillräckligt med angivna konsekvenser för antingen verksamhetsutövaren eller annan eller om det krävs konsekvenser för såväl verksamhetsutövaren som annan person. Av skäl 101 följer dock att det är tillräckligt med angivna konsekvenser för antingen verksamhetsutövaren eller annan person för att det ska vara en betydande incident. Det får ankomma på MSB att i föreskrifter mer detaljerat precisera innebörden av betydande incident. En slutsats är att definitionen av betydande incident är väldigt vid. Här ska dock beaktas att ett grundläggande krav är att det är en incident. Med incident avses enligt artikel 6 punkt 6 i NIS2-direktivet en händelse som undergräver tillgängligheten, autenciteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom nätverks- och informationssystem.

Ett tillbud, definieras i samma artikel punkt 5 på likartat sätt, men med skillnaden att händelsen kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos uppgifterna eller tjänsterna, men som hindrades från att utvecklas eller som inte uppstod. Cyberhot definieras enligt punkt 10 i artikel 6 i artikel 2.8 i förordning (EU) 2019/881.3 Definitionen av cyberhot är där en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer. Dessa definitioner ska följa av utredningens författningsförslag.

3

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa

(Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

I artikel 23.4 anges rapporteringskraven. Som framgår av skäl 101 är rapporteringssystemet uppbyggt med en strategi om flera steg. Syftet är att uppnå en balans mellan å ena sidan snabb rapportering för att begränsa spridning och å andra sidan en ingående rapportering med syfte att dra lärdomar.

Det följer av 23.4 a att verksamhetsutövare som omfattas ska utan dröjsmål och under alla omständigheter inom 24 timmar efter kännedom lämna en första varning till CSIRT-enheten, det vill säga MSB om en betydande incident inträffat. Verksamhetsutövaren ska vid den tidpunkten också ange om det finns misstanke om att incidenten orsakats uppsåtligen och om incidenten kan ha gränsöverskridande effekter. Utredningen tolkar artikeln på det sättet att kravet är att en varning ska lämnas inom 24 timmar.

Inom 72 timmar från kännedom ska verksamhetsutövaren lämna ytterligare information. Det ska då ges en inledande bedömning av hur allvarlig den betydande incidenten är, konsekvenserna av den och förekomsten av angreppsindikatorer. Vidare ska varningen ovan uppdateras.

CSIRT-enheten får begära ytterligare information. Verksamhetsutövaren ska inom en månad från incidentanmälan i punkt 2 lämna en slutrapport till CSIRT-enheten. Om incidenten fortfarande är pågående ska i stället en lägesrapport lämnas som ska kompletteras med en slutrapport en månad efter det att incidenten har hanterats. Slutrapporten eller lägesrapporten ska innehålla en beskrivning av

a) Incidenten och dess konsekvenser,

b) hur allvarlig incidenten bedöms vara,

c) vad som sannolikt utlöst incidenten,

d) åtgärderna för att begränsa incidenten, och

e) incidentens möjliga gränsöverskridande effekter.

I sista stycket i artikel 23.4 anges att en tillhandahållare av betrodda tjänster som ett undantag från punkt b i artikel 23.4 ska underrätta CSIRT-enheten. Innebörden är att tillhandahållare av betrodda tjänster ska lämna sin incidentanmälan efter 24 timmar i stället för 72 timmar.

Slutligen anges också i artikel 23.1 att när så är lämpligt ska verksamhetsutövaren utan dröjsmål även underrätta mottagarna av deras tjänster om betydande incidenter som sannolikt inverkar negativt på tillhandahållandet av tjänsterna. Innebörden bör enligt utredningens uppfattning vara att verksamhetsutövaren även ska underrätta sina kunder som kan antas påverkas av den betydande incidenten. I denna del anges inga tidskrav och inte heller om det ska ske i samband med varning, incidentanmälan eller slutrapport till myndigheten.

Utredningen föreslår att det ska ske efter senast 72 timmar i samband med incidentanmälan.

I artikel 23.2 anges också att verksamhetsutövare utan dröjsmål underrättar de mottagare av deras tjänster som kan påverkas av ett betydande cyberhot och samtidigt informera om avhjälpande åtgärder.

Av artikel 23.5–10 följer skyldigheter för CSIRT-enheten. Dessa är analyserade i kapitel 10.

Enligt artikel 30.1 följer att medlemsstaterna ska säkerställa att det utöver den underrättelseskyldighet som följer av ovanstående ska vara möjligt att på frivillig väg lämna uppgifter. Det avser enligt 30.1 a såväl verksamhetsutövare som omfattas av cybersäkerhetslagen som andra verksamhetsutövare avseende incidenter, cyberhot och tillbud. Det ska noteras att här hänvisas till incidenter, inte betydande incidenter och till cyberhot, men inte betydande sådana enligt artikel 23. Vidare nämns också tillbud.

Detta skulle enligt utredningens uppfattning inte behöva regleras särskilt. Enligt 19 § förvaltningslagen gäller att en enskild kan formlöst inleda ett ärende hos en myndighet genom en ansökan, anmälan eller annan framställning.

I artikel 30.2 följer sedan att myndigheterna ska behandla dessa underrättelser i enlighet med de förfaranden som följer av artikel 23. Inte heller det skulle behöva regleras särskilt, eftersom myndigheter redan enligt förvaltningslagen är skyldig att handlägga ärenden som en enskild inlett. Att CSIRT-enheten i vissa fall behöver informera den gemensamma kontaktpunkten följer av de förfaranden som utredningen föreslår i kapitel 10.

Vidare följer det dock av artikeln att informationen ska förbli konfidentiell och skyddas på lämpligt sätt. Det är inte helt förenligt med den svenska grundlagen, eftersom inkomna handlingar till myndigheter som huvudregel är offentliga, även om det finns möjligheter att sekretessbelägga dem.

Slutligen följer det av sista meningen i artikel 30 att den verksamhetsutövare som lämnat underrättelser inte ska åläggas ytterligare skyldigheter på grund av underrättelserna. Detta gäller dock inte ”förebyggande, utredning, avslöjande och lagföring av brott.” Vilka dessa ”ytterligare” skyldigheter skulle kunna vara är svårt att förutse. Det anförda betyder att den sista stycket i artikeln inte fullt ut rimmar med svensk rätt. Samtidigt menar utredningen att de förfaranden som redan finns tillgängliga i svensk rätt tillsammans med dem som föreslås i kapitel 8 är tillräckliga för att syftet med artikel 30 ska vara uppfyllt. Därutöver finns det möjligheter för MSB att på samma sätt som sker i dag att genom föreskrifter införa förenklade möjligheter till frivillig rapportering. Myndigheten har ett bemyndigande att kunna göra så. Utredningen kommer också att i sitt slutbetänkande återkomma med överväganden om ändring i offentlighets- och sekretesslagen (2009:400).

Slutligen anges i artikel 23.11 att kommissionen får anta genomförandeakter som närmare anger bland annat förfarandet för underrättelser enligt ovan.

7.4. Certifiering

Utredningens bedömning: Certifieringskrav bör införas först

genom kommissionens delegerade akter.

I artikel 24.1 anges att medlemsstaterna får ålägga verksamhetsutövare att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer enligt europeiska ordningar för cybersäkerhetscertifiering i enlighet med artikel 49 i förordning (EU) 2019/881.4 Dessutom ska medlemsstaterna uppmuntra verksamhetsutövare att använda kvalificerade betrodda tjänster.

Det anges dock vidare i 24.2 att kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 38. Av den artikeln följer villkor för kommissionen att anta delegerade akter, bland annat följer av 38.2 att befogenheten att anta delegerade akter enligt 24.2 och 24.3

4

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa

(Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

gäller i fem år från den 16 januari 2023 och att delegeringen när som helst får återkallas av Europaparlamentet eller rådet.

Syftet med att kommissionen enligt 24.2 ges befogenhet att anta delegerade akter är att de ska komplettera NIS2-direktivet genom att ange vilka verksamhetsutövare som ska vara skyldiga att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer. De delegerade akterna ska antas om det har fastställts att säkerhetsnivån är otillräcklig och ska omfatta en genomförandeperiod. Innan kommissionen antar sådana delegerade akter ska den göra en konsekvensbeskrivning och genomföra samråd i enlighet med artikel 56 i förordning (EU) 2019/881.

Av det anförda följer att kommissionen kan anta genomförandeakter som komplement till direktivet, men att medlemsstaterna redan dessförinnan får införa certifieringskrav. Utredningen menar att det är rimligt att avvakta kommissionens beslut i denna fråga, eftersom kraven ska införas först om cybersäkerhetsnivån är otillräcklig och dessutom föregås av bland annat en konsekvensanalys.

8. Tillsyn

8.1. Inledning

Varje medlemsstat ska utse en eller flera behöriga myndigheter med ansvar för cybersäkerhet och för de tillsynsuppgifter som följer av NIS2-direktivet. De behöriga myndigheterna ska övervaka genomförandet av direktivet på nationell nivå.

I kommittédirektivet anges att systemet för tillsyn bör utgå från den struktur som finns enligt dagens regelverk. Enligt den nu gällande NIS-lagen finns det för varje sektor och för de digitala tjänster som omfattas av lagen en utpekad tillsynsmyndighet som utövar tillsyn över att regelverket följs. Utredningen ska göra en utvärdering av den tillsyn som har bedrivits enligt den nuvarande NIS-regleringen samt föreslå vilka myndigheter som ska utöva tillsyn över de tillkommande sektorerna i NIS2-direktivet. Utredningen ska också analysera vilka ändringar av den befintliga tillsynsstrukturen som i övrigt behövs samt analysera vilka befogenheter i fråga om tillsyn och sanktioner som tillsynsmyndigheterna bör ha.

Mot bakgrund av detta är det utredningens utgångspunkt att de tillsynsmyndigheter som i dag ansvarar för tillsyn enligt NIS-regleringen även fortsättningsvis har kvar ansvaret för dessa sektorer. För de nya sektorer där det i dag saknas tillsyn behöver utredningen föreslå vilken myndighet som bör få den uppgiften. Inriktningen bör enligt kommittédirektivet vara att om det redan finns en myndighet med tillsynsuppgifter inom informationssäkerhet i den nya sektorn är det naturligt att den myndigheten även utses till tillsynsmyndighet enligt NIS2-direktivet.

8.2. Generella utgångspunkter för reglering om tillsyn

I regeringens skrivelse till riksdagen, En tydlig, rättssäker och effektiv

tillsyn,1 redovisas generella bedömningar av hur en tillsynsreglering

bör vara utformad. Skrivelsen är avsedd att vara ett stöd och en vägledning vid bland annat översyn av materiella regelverk av olika slag. I skrivelsen framhålls betydelsen av enhetlighet i fråga om offentlig tillsyn. Det lämnas dock utrymme för att göra avsteg från de bedömningar som görs i skrivelsen. En utgångspunkt i skrivelsen är att begreppet tillsyn främst bör användas för verksamhet som avser självständig granskning för att kontrollera om tillsynsobjektet uppfyller krav som följer av lagar och andra bindande föreskrifter. Ett grundläggande moment i tillsynen är därför enligt skrivelsen att tillsynsorganet har författningsreglerade möjligheter att ingripa. Tillsynsorganen bör också ha rätt att av den objektsansvarige få del av de upplysningar eller handlingar som behövs för tillsynen. Likaså bör organet ha tillträdesrätt till utrymmen som används i den tillsynspliktiga verksamheten. Tillsynsorganen bör även ha möjlighet att begära biträde från Polismyndigheten och Kronofogdemyndigheten.

Vidare bör tillsynsorganen enligt skrivelsen ha möjlighet att ålägga den som är objektsansvarig att utöva egen kontroll av sin verksamhet. Samtliga ingripanden bör kunna överklagas. Ett viktigt skäl för att precisera tillsynsbegreppet anges vara att en tydlig definition gör det enklare att skilja granskande från främjande verksamhet. Ett strikt avgränsat tillsynsbegrepp anges dock inte hindra att tillsynsmyndigheter även i fortsättningen kan ha till uppgift att arbeta främjande och förebyggande för att effektivt uppnå lagstiftningens mål. Det framhålls att det i allmänhet inte är lämpligt att tillsynsmyndigheten ger råd om hur tillsynsobjekten ska agera i specifika ärenden. Ett skäl till det anges vara att det kan uppstå svårigheter, om tillsynsmyndigheten tidigare lämnat mycket precisa råd i ärenden som sedan blir föremål för tillsyn. Samtidigt framhålls att inom vissa tillsynsområden kan skäl tala för att, utöver upplysningar om gällande rätt, även rekommendationer och vägledning ska vara en del av tillsynen.

1

Skr. 2009/10:79, bet. 2009/10:FiU12.

8.3. Tillsyn enligt NIS-direktivet

Varje medlemsstat ska enligt artikel 8.1 och 8.2 i NIS-direktivet utse en eller flera myndigheter som ska övervaka direktivet på nationell nivå. Enligt 21 § NIS-lagen ska den myndighet som regeringen bestämmer vara tillsynsmyndighet. I 17 § NIS-förordningen regleras vilka myndigheter som ansvarar för tillsyn över vilka sektorer, se avsnitt 3.1.2.

8.3.1. Utredningens enkät om tillsyn

För att få en överblick över den tillsyn som genomförts sedan NISlagens ikraftträdande den 1 augusti 2018 har utredningen ställt ett antal frågor till tillsynsmyndigheterna om deras arbete med tillsyn enligt NIS-regleringen.

Svaren visar en stor spridning på antal tillsynsobjekt inom de olika sektorerna.

Tabell 8.1 Antal tillsynsobjekt per tillsynsmyndighet

Tillsynsmyndighet Antal tillsynsobjekt

Statens energimyndighet

249

Finansinspektionen

12

IVO

240

Livsmedelsverket

94

PTS

9

Transportstyrelsen

130

PTS har även tillsyn över cirka 40–50 leverantörer av digitala tjänster. För digitala tjänster gäller att tillsynsåtgärder endast får vidtas när tillsynsmyndigheten har befogad anledning att anta att en leverantör inte uppfyller kraven enligt NIS-regleringen. PTS har inte inlett något tillsynsärende rörande digitala tjänster. Dessa leverantörer har heller ingen skyldighet att anmäla sig till tillsynsmyndigheten så antalet leverantörer är PTS uppskattning.

Svaren visar också en stor skillnad i antalet tillsynsärenden som myndigheterna inlett sedan NIS-lagens ikraftträdande den 1 augusti 2018. En förklaring till detta är att det skiljer sig avsevärt hur många leverantörer som tillsynsmyndigheterna bedriver tillsyn över. Trots

detta så visar svaren att relativt få tillsynsärenden inletts i förhållande till antalet leverantörer i några sektorer.

Tabell 8.2 Antal tillsynsärenden

Tillsynsmyndighet Antal tillsynsärenden

Statens energimyndighet

140

Finansinspektionen

0

IVO

159

Livsmedelsverket

118

PTS

39

Transportstyrelsen

11

Även när det gäller beslut om sanktionsavgifter så finns en relation mellan dessa och antalet tillsynsobjekt i sektorn.

Tabell 8.3 Antal beslut om sanktionsavgifter

Tillsynsmyndighet Antal sanktionsbeslut

Statens energimyndighet

21

Finansinspektionen

0

IVO

28

Livsmedelsverket

12

PTS

0

Transportstyrelsen

5

Finansinspektionen har gjort bedömningen att kraven i Finansinspektionens föreskrifter2 överensstämmer med MSB:s föreskriftskrav avseende det systematiska och riskbaserade informationssäkerhetsarbetet. Mot bakgrund av det har Finansinspektionen inte sett behov av ytterligare föreskrifter på området. De tillsynsinsatser som utförts har utgått från Finansinspektionens föreskrifter och har bland annat skett genom att uppföljning av risker kopplat till it- och informationssäkerhet lyfts i riktade tillsynsaktiviteter mot enskilda institut.

2

Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet

och insättningssystem (FFFS 2014:5), Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker (FFFS 2014:4) och Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1).

8.3.2. Samarbetsforum

Av 21 § NIS-förordningen framgår att MSB ska leda ett samarbetsforum där tillsynsmyndigheterna och Socialstyrelsen ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

MSB har låtit göra en utvärdering av resultatet av Sveriges implementering av NIS-direktivet.3 Rapporten innehåller intervjuer med MSB, tillsynsmyndigheter och leverantörer som omfattas av NISregelverket. Av rapporten framgår att tillsynsmyndigheterna anser att samarbetsforumet bidragit till värdefullt erfarenhetsutbyte mellan myndigheterna. Det har också bidragit till viss harmonisering av tillsynen. Bland annat har gruppen tagit fram kriterier för hur myndigheterna ska göra urvalet av vilka verksamhetsutövare som ska kontrolleras via tillsyn. Samarbetsforumet har också bidragit till att nya tillsynsmyndigheter kunnat dra nytta av metodstöd för att utforma sin tillsynsprocess. När det gäller myndigheternas föreskriftsarbete så har det funnits brister i samordningen. Detta har resulterat i att föreskrifterna i de olika sektorerna innehåller olika begrepp och krav trots att de utgår från samma grund. Av rapporten framgår också att flera tillsynsmyndigheter efterfrågar en tydligare styrning från MSB och att myndigheten i större utsträckning får mandat att vägleda tillsynsmyndigheterna.

Livsmedelsverket, Transportstyrelsen och SKR har framfört till utredningen att behovet av samordning kommer att öka med den nya regleringen när det blir fler tillsynsmyndigheter och verksamhetsutövare.

8.3.3. Utredningens slutsatser gällande nuvarande system för tillsyn

Vid implementeringen av NIS-direktivet anförde regeringen att direktivet omfattar verksamheter av vitt skilda slag och att detta talade för att ha olika tillsynsmyndigheter för respektive sektor.4 Det som främst talade för att utse en tillsynsmyndighet för samtliga sektorer var enligt regeringen, och flera remissinstanser, att tillsyn när det gäller

3

Utvärdering av resultatet av Sveriges implementering av NIS-direktivet, Myndigheten för sam-

hällsskydd och beredskap, slutrapport 2022-12-20.

4

Prop. 2017/18:205 s. 57.

säkerhet i nätverks- och informationssystem kräver särskild kompetens. Regeringen ansåg dock att det inom de berörda sektorerna var viktigt att höja kompetensen när det gäller informationssäkerhet och att tillsynsmyndigheterna behövde skaffa den kompetens som krävs.

De myndigheter som utsågs till tillsynsmyndigheter hade olika grad av erfarenhet av att bedriva tillsyn och att arbeta med säkerhet i nätverks- och informationssystem. Vissa myndigheter var tvungna att ta fram nya processer och rekrytera nödvändig kompetens medan andra kunde dra nytta av befintliga processer och redan hade tillgång till nödvändig kompetens. Detta har inneburit att det tagit olika lång tid för tillsynsmyndigheterna att utfärda föreskrifter och att börja bedriva tillsyn.

Riksrevisionen har granskat Transportstyrelsens tillsynsverksamhet och resultatet av granskningen redovisas i granskningsrapporten

Transportstyrelsens tillsyn – styrning och prioritering (RiR 2022:24).

Av rapporten framgår att Transportstyrelsen bedrivit mycket lite faktisk tillsyn enligt NIS-regleringen. Den tillsyn som har bedrivits har i huvudsak syftat till att öka anmälningsgraden. En orsak som Transportstyrelsen angett för att tillsynen knappt kommit i gång är svårigheter att rekrytera kompetent personal. Riksrevisionen gör bedömningen att Transportstyrelsens problem är en följd av att myndigheten inte tagit tillräcklig höjd för de krav som ställs vid inrättandet av nya tillsynsområden.

De föreskrifter som utfärdats sedan NIS-lagens ikraftträdande den 1 augusti 2018 är följande:

  • Myndigheten för samhällsskydd och beredskaps föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster; MSBFS 2021:9. Föreskrifterna trädde i kraft den 1 mars 2022 när MSBFS 2018:7 upphörde att gälla. MSBFS 2018:7 trädde i kraft den 1 november 2018.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster; MSBFS 2018:8. Föreskrifterna trädde i kraft den 1 november 2018.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster; MSBFS 2018:9. Föreskrifterna trädde i kraft den 1 mars 2019.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av digitala tjänster; MSBFS 2018:10. Föreskrifterna trädde i kraft den 1 mars 2019.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet; MSBFS 2018:11. Föreskrifterna trädde i kraft den 1 mars 2019.
  • Statens energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn; STEMFS 2021:3. Föreskrifterna trädde i kraft den 1 mars 2021.
  • Post- och telestyrelsens föreskrifter och allmänna råd om säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn digital infrastruktur; PTSFS 2021:3. Föreskrifterna trädde i kraft den 1 juni 2021.
  • Transportstyrelsens föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer inom transportsektorn; TFFS 2022:14. Föreskrifterna trädde i kraft den 1 juli 2022.
  • Livsmedelsverkets föreskrifter om informationssäkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten; LIVFS 2022:2. Föreskrifterna trädde i kraft den 1 september 2022.
  • Livsmedelverkets föreskrifter om åtgärder mot sabotage och annan skadegörelse riktad mot dricksvattenanläggningar; LIVFS 2008:13. Ändringen i 6 § avseende leverantörer som omfattas av LIVFS 2022:2 trädde i kraft den första september 2022.

MSB:s föreskrifter trädde i kraft i anslutning till NIS-lagens ikraftträdande medan tillsynsmyndigheternas föreskrifter trädde i kraft mellan den 1 mars 2021 och den 1 september 2022. I sektorn hälso- och sjukvård har Socialstyrelsen ännu inte beslutat om några föreskrifter.

Utredningen har med hänsyn till den korta tid som utredningen har till sitt förfogande inte kunnat genomföra någon djupare analys av den tillsyn som bedrivits enligt den nuvarande NIS-regleringen, men tillsynsmyndigheternas svar visar att samtliga myndigheter bedrivit tillsyn enligt NIS-regleringen. Det är dock inte möjligt att dra några djupare slutsatser om tillsynsarbetets effektivitet endast utifrån antalet tillsynsärenden eftersom dessa kan avse så vitt skilda saker såsom skyldigheten att anmäla sig som leverantör av en samhällsviktig tjänst eller leverantörens säkerhetsarbete. Utredningen kan dock konstatera att flera tillsynsmyndigheter under perioden från den 1 augusti 2018 till den 24 mars 2023 i huvudsak bedrivit tillsyn rörande leverantörernas anmälningsplikt. Detta innebär att tillsyn rörande leverantörernas säkerhetsarbete varit begränsad under denna period. En bidragande orsak till detta är att det tagit lång tid för tillsynsmyndigheterna att besluta om föreskrifter om säkerhetsåtgärder som anger vilka krav som leverantören behöver uppfylla.

Mot bakgrund av att det tagit lång tid att utfärda föreskrifter och komma i gång med tillsyn bedömer utredningen att det troligen går att dra liknande slutsatser om flera tillsynsmyndigheter som Riksrevisionen gjort avseende Transportstyrelsen. Utredningen bedömer ändå att nuvarande system för tillsyn är ändamålsenligt, men att föreslagna tillsynsmyndigheter måste ta höjd för den nya cybersäkerhetslagen. Det kan också finnas skäl för regeringen att följa upp arbetet med föreskrifter och tillsyn. I sektorn hälso- och sjukvård där det ännu inte beslutats om några föreskrifter kan det också finnas anledning att se över om bemyndigandet att besluta om föreskrifter bör flyttas från Socialstyrelsen till IVO som är tillsynsmyndighet. Utredningen återkommer till frågan om föreskrifter i avsnitt 8.4.5.

8.4. Utredningens överväganden och förslag

8.4.1. System för tillsyn

Utredningens bedömning: Den myndighet som regeringen be-

stämmer ska vara tillsynsmyndighet.

Det ska finnas en eller flera tillsynsmyndigheter för varje sektor som utövar tillsyn.

Nuvarande system för tillsyn innebär att sex tillsynsmyndigheter ansvarar för tillsynen över sju sektorer av samhällsviktiga tjänster samt sektorn digitala tjänster. Vid implementeringen av NIS-direktivet övervägde utredningen om det skulle utses en tillsynsmyndighet per sektor eller om en tillsynsmyndighet skulle ha ansvaret för samtliga sektorer. Efter att ha övervägt för och nackdelar med båda alternativen föreslog utredningen att det skulle utses en tillsynsmyndighet för varje sektor.5

Mot bakgrund av skillnaderna i nationella förvaltningsstrukturer, bör medlemsstaterna även enligt NIS2-direktivet kunna utse eller inrätta en eller flera behöriga myndigheter med ansvar för cybersäkerhet och för tillsynsuppgifterna enligt direktivet (artikel 8 och skäl 38).

NIS2-direktivet innebär att antalet sektorer utökas till 18 och att det även tillkommer delsektorer och nya typer av verksamhetsutövare. Detta innebär att antalet verksamhetsutövare som kommer att omfattas av den nya regleringen kraftigt kommer att öka. Även om det kan finnas fördelar med att samla tillsynsansvaret i en central tillsynsmyndighet så skulle det bli en mycket omfattande uppgift för en myndighet att utöva tillsyn över samtliga verksamhetsutövare. Nuvarande tillsynsmyndigheter har också byggt upp kunskap och erfarenhet i arbetet med den nuvarande NIS-regleringen. Enligt kommittédirektivet ska utredningen utgå ifrån den struktur som finns enligt dagens regelverk. Att samla all tillsyn till en central myndighet ligger därmed utanför utredningens uppdrag och skulle behöva utredas i särskild ordning. Det är därför utredningens bedömning att det ska utses en tillsynsmyndighet för varje sektor även vid implementeringen av NIS2-direktivet.

Nästa fråga blir då om det bör utses nya tillsynsmyndigheter för tillkommande sektorer eller om tillsynsansvaret ska läggas på en myndighet som redan bedriver NIS-tillsyn. För vissa tillkommande sektorer som till exempel vätgas finns en tydlig koppling till en myndighet, nämligen Statens energimyndighet som i dag bedriver tillsyn i sektorn energi. För andra sektorer är det mindre tydligt vilken myndighet som bör bedriva tillsyn, till exempel för sektorn tillverkning.

Tillsyn när det gäller cybersäkerhet kräver expertkunskap som det råder en stor konkurrens om på arbetsmarknaden. Det är därför utredningens mening att det inte vore ett effektivt utnyttjande av

5 SOU 2017:36 s. 163 ff.

statens resurser att alltför många myndigheter ska rekrytera sådan kompetens och bygga upp en organisation för att bedriva tillsyn över endast en tillkommande sektor eller typ av verksamhetsutövare. Utredningen anser därför i stället att det är en mer effektiv lösning att så långt möjligt nyttja den kompetens som finns hos befintliga tillsynsmyndigheter när tillsynsansvaret för nya sektorer ska fördelas. Utredningens utgångspunkt är därför att en befintlig tillsynsmyndighet i första hand bör få tillsynsansvar över en tillkommande sektor i NIS2-direktivet.

I de fall detta inte är lämpligt eller det saknas en sådan tillsynsmyndighet är utredningens utgångspunkt att tillsynsansvaret om möjligt bör läggas på en myndighet som redan bedriver tillsyn rörande cybersäkerhet.

Utredningen behöver också beakta att det bör vara samma tillsynsmyndighet för NIS2- och CER-direktivet för de sektorer som omfattas av båda direktiven.

8.4.2. Tillsynsmyndigheter i Sverige

Utredningens bedömning: Statens energimyndighet ska vara till-

synsmyndighet för sektorn energi, Transportstyrelsen för sektorerna transporter och del av sektorn tillverkning, Finansinspektionen för sektorerna bankverksamhet och finansmarknadsinfrastruktur, Inspektionen för vård och omsorg för del av hälso- och sjukvårdssektorn, Läkemedelsverket för del av hälso- och sjukvårdssektorn och del av sektorn tillverkning, Livsmedelsverket för sektorerna dricksvatten, avloppsvatten och produktion, bearbetning och distribution av livsmedel, Post- och telestyrelsen för sektorerna digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster, post- och budtjänster och sektorn rymden, länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län för sektorerna offentlig förvaltning, avfallshantering, forskning, del av sektorn tillverkning och tillverkning, produktion och distribution av kemikalier samt lärosäten med examenstillstånd. Detta ska följa av förslag till cybersäkerhetsförordning.

I de sektorer som är oförändrade i förhållande till det första NISdirektivet är utredningens förslag att befintliga tillsynsmyndigheter fortsätter att ansvara för dessa. Det innebär att Transportstyrelsen ska vara tillsynsmyndighet för sektorn transporter, Finansinspektionen för sektorerna bankverksamhet och finansmarknadsinfrastruktur och Livsmedelsverket för sektorn dricksvatten. Som framgått av kapitel 4 innebär dock NIS2-direktivet också att ett flertal nya sektorer, undersektorer och typer av verksamhetsutövare kommer att omfattas av reglering. Utredningen föreslår nedan vilka myndigheter som ska utöva tillsyn över dessa förändrade sektorer.

Energi

I sektorn energi tillkommer verksamhetsutövare inom delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja och vätgas. Statens energimyndighet är i dag tillsynsmyndighet för sektorn energi och myndigheten bör därför även fortsättningsvis vara tillsynsmyndighet för sektorn och även ansvara för tillsyn över de nya verksamhetsutövare som kommer att omfattas i sektorn.

Hälso- och sjukvård

I sektorn hälso- och sjukvård tillkommer EU-referenslaboratorier, forskning och utveckling avseende läkemedel, tillverkning av farmaceutiska basprodukter och läkemedel samt tillverkning av medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan. IVO är utpekad tillsynsmyndighet för sektorn som i dag dock endast omfattar vårdgivare. Läkemedelsverket är förvaltningsmyndighet för verksamhet som rör läkemedel och medicintekniska produkter. Läkemedelsverket ansvarar också för kontroll och tillsyn av läkemedel. Myndigheten ansvarar vidare för tillsyn, inklusive marknadskontroll, av medicintekniska produkter, samt för att utse och övervaka anmälda organ för medicintekniska produkter. De nya verksamhetsutövarna i sektorn har en tydlig koppling till Läkemedelsverkets nuvarande tillsynsuppdrag. Med hänsyn till detta föreslår utredningen att Läkemedelsverket ska vara tillsynsmyndighet för de tillkommande verksamhetsutövarna i sektorn även om myndigheten

inte i dag bedriver tillsyn rörande cybersäkerhet. Utredningen föreslår att IVO fortsätter att ansvara för vårdgivare.

Avloppsvatten

Avloppsvatten är en ny sektor i NIS2-direktivet. Länsstyrelsen är tillsynsmyndighet för de stora avloppsreningsverken och kommunerna är tillsynsmyndighet för de mindre. Vid införandet av NISdirektivet bedömde utredningen att Livsmedelsverket skulle vara tillsynsmyndighet för sektorn leverans och distribution av dricksvatten.6Myndigheten hade då inget tillsynsansvar inom sektorn. Kommunerna utövar offentlig kontroll över dricksvattenanläggningar och länsstyrelserna samordnar kommunernas verksamhet i länet. Eftersom Livsmedelsverket är tillsynsmyndighet för leverans och distribution av dricksvatten enligt NIS-direktivet och därmed har en upparbetad organisation för tillsyn av dessa anläggningar föreslår utredningen att myndigheten även bör vara tillsynsmyndighet för sektorn avloppsvatten.

Digital infrastruktur

I sektorn digital infrastruktur tillkommer leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, tillhandahållare av betrodda tjänster, tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster. PTS är i dag utpekat tillsynsmyndighet för sektorn. PTS bedriver också tillsyn över tillhandahållare av betrodda tjänster och tillhandahållare av allmänna kommunikationsnät samt allmänt tillgängliga elektroniska kommunikationstjänster. Utredningen föreslår därför att PTS även fortsatt ska vara tillsynsmyndighet för sektorn inklusive de nya verksamhetsutövarna som kommer att omfattas.

6 SOU 2017:36 s. 170 ff.

Förvaltning av IKT-tjänster

Förvaltning av IKT-tjänster mellan företag är en ny sektor i NIS2direktivet som innefattar två typer av verksamhetsutövare. Dessa är leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster. Utredningen har inte identifierat någon myndighet som ansvarar för tillsyn över denna kategori av verksamhetsutövare. IKTtjänst avser en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem. Utredningen anser att det ligger närmast till hands att den myndighet som ansvar för sektorn digital infrastruktur även ansvarar för förvaltning av IKT-tjänster. Utredningen föreslår därför att PTS ska vara tillsynsmyndighet för sektorn.

Offentlig förvaltning

Offentlig förvaltning är en ny sektor i NIS2-direktivet. Sektorn innefattar statliga myndigheter,7 regioner och kommuner.

Tillsynsansvaret enligt säkerhetsskyddsregleringen när det gäller informationssäkerhet i offentlig förvaltning är fördelat mellan Försvarsmakten och Säkerhetspolisen som ansvarar för vissa utpekade myndigheter och fyra länsstyrelser som ansvarar för kommuner, regioner och statliga myndigheter som inte hör till någon annan myndighets ansvarsområde.

MSB är inte tillsynsmyndighet rörande cybersäkerhet men ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och regioner samt företag och organisationer.8

Enligt 13 § i förordningen (2022:524) om statliga myndigheters beredskap ansvarar statliga myndigheter för att de egna informationshanteringssystemen uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. MSB får meddela ytterligare föreskrifter om sådana säkerhetskrav för informationshanteringssystem som avses i

7 Några myndigheter är dock undantagna från cybersäkerhetslagens tillämpningsområde, se

vidare kapitel 5.

8

11 a § i förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och

beredskap.

13 § utom i fråga om Regeringskansliet, kommittéväsendet och Försvarsmakten. MSB har med stöd av förordningen beslutat om föreskrifter (MSBFS 2020:6) om informationssäkerhet för statliga myndigheter och föreskrifter (MSBFS 2020:7) om säkerhetsåtgärder i informationssystem för statliga myndigheter.

Enligt 14 § i förordningen ska en myndighet skyndsamt rapportera it-incidenter till MSB som inträffat i den rapporterande myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller som inträffat i tjänster som myndigheten tillhandahåller åt en annan organisation. MSB får enligt förordningen meddela närmare föreskrifter om it-incidentrapportering vilket myndigheten gjort i föreskrifter (MSBFS 2020:8) om rapportering av it-incidenter för statliga myndigheter. MSB har dock ingen befogenhet att bedriva tillsyn över att regelverket följs.

I betänkandet En ny säkerhetsskyddslag, SOU 2015:25, lämnades förslag med innebörden att MSB skulle få ansvar för tillsyn över kommuner och regioner samt för enskilda verksamhetsutövare som verkar utanför övriga tillsynsmyndigheters ansvarsområden när det gäller säkerhetsskyddsregleringen.9 Flera remissinstanser framförde att den stödjande roll som MSB har på informationssäkerhetsområdet riskerar att försvagas om förslaget genomförs. Någon ändring i tillsynsstrukturen gjordes därför inte i den nya säkerhetsskyddslagen jämfört med 1996 års säkerhetsskyddslag. Regeringen beslutade i stället att ge en särskild utredare i uppdrag att se över hur en ändamålsenlig tillsyn ska vara utformad.10 Den nya utredningen delade remissinstansernas uppfattning att MSB inte bör utöva tillsyn enligt säkerhetsskyddslagen.11

Utredningen har övervägt att tillsynsansvaret för offentlig förvaltning antingen ska ligga hos MSB eller länsstyrelsen. MSB har i dag ett flertal uppgifter enligt gällande NIS-reglering. MSB är nationell kontaktpunkt och CSIRT-enhet. Myndigheten leder också ett nationellt samarbetsforum och tar emot incidentrapporter. Myndigheten har även föreskriftsrätt på flera områden och föreslås få fler uppgifter. Det kan vidare antas att behovet av råd, stöd, utbildning och samordning kommer att öka när den nya NIS-regleringen träder

9 SOU 2015:25 s. 492 ff. 10

Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhets-

skydd, dir. 2017:32.

11

SOU 2018:82 s. 385.

i kraft. CSIRT-enheten får också fler uppgifter i NIS2-direktivet. CSIRT-enheten ska bland annat tillhandhålla stöd till verksamhetsutövare vid en cybersäkerhetsincident. Den ska också kunna bistå verksamhetsutövaren med att upptäcka sårbarheter i nätverks- och informationssystem. I skäl 41 framhålls vikten av att stärka förtroendeförhållandet mellan verksamhetsutövarna och CSIRT-enheterna och att det därför bör övervägas en funktionell åtskillnad mellan de operativa uppgifter som utförs av CSIRT-enheterna, särskilt när det gäller informationsutbyte och bistånd till verksamhetsutövarna, och de behöriga myndigheternas tillsynsverksamhet när en CSIRT-enhet är en del av en behörig myndighetet. Om MSB skulle bedriva tillsyn över offentlig sektor enligt direktivet skulle tillsynsverksamheten sannolikt behöva funktionellt avskiljas från övrig stödjande verksamhet och den operativa CSIRT-verksamheten. Även med en sådan funktionell åtskillnad finns det risk för att den stödjande verksamheten försvagas om myndigheten bedriver tillsyn över samma verksamhetsutövare som är i behov av råd och stöd. Utredningen anser därför att MSB:s roll även i fortsättningen bör vara stödjande och samordnande.

Prövningen av vilka uppgifter och uppdrag som länsstyrelserna ska ansvara för bör enligt regeringen ske med vägledning av de kriterier som redovisas i budgetpropositionen för 2021.12 Ett kriterium som anges är att uppgiften omfattas av länsstyrelsens roll som statens företrädare i länen. Länsstyrelserna har enligt regeringen en viktig roll i att upprätthålla en väl fungerande offentlig förvaltning samt bidra till att skapa goda förutsättningar för att nationella mål ska få genomslag i länen. Länsstyrelserna bedriver också tillsyn inom ett flertal områden och kan därför antas ha en hög tillsynskompetens i allmänhet. Fyra länsstyrelser bedriver också tillsyn över bland annat informationssäkerhet enligt säkerhetsskyddsregleringen. Länsstyrelsen är också högsta civila totalförsvarsmyndighet inom länet och har centrala roller i det civila försvaret. De har även en etablerad relation med kommunerna när det gäller risk- och sårbarhetsanalyser. I budgetpropositionen för 2022 anger regeringen även kriterier för att koncentrera vissa verksamheter till ett färre antal länsstyrelser.13 Detta kan bland annat ske om det finns ett behov av förstärkt likformighet i utförande och om verksamheten har hög komplexitet.

12

Prop. 2020/21:1 utg.omr 1 avsnitt 10.5.

13

Prop. 2021/22:1 utg.omr 1 avsnitt 9.5.

Dessa kriterier är enligt utredningen uppfyllda avseende NIS2-tillsyn. Det vore inte heller effektivt utnyttjande av resurser att samtliga länsstyrelser skulle bygga upp kompetens på området. Det är enligt utredningen i stället bättre att nyttja den kompetens och erfarenhet som finns hos de fyra länsstyrelser som bedriver tillsyn enligt säkerhetsskyddsregleringen.

Mot bakgrund av det som anförs ovan så är utredningens bedömning att tillsyn över offentlig förvaltning bör följa det system som finns enligt säkerhetsskyddsregleringen och att de länsstyrelser som bedriver tillsyn enligt den regleringen även ska vara tillsynsmyndigheter för sektorn. Dessa är länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. I säkerhetsskyddsregleringen är Säkerhetspolisen och Försvarsmakten tillsynsmyndigheter för ett antal statliga myndigheter. Utredningen föreslår inte att de ska ha motsvarande tillsynsuppgifter enligt cybersäkerhetslagen. Flera av de myndigheter som finns inom Säkerhetspolisens och Försvarsmaktens tillsynsområde enligt säkerhetsskyddsregleringen kommer att vara undantagna från cybersäkerhetslagens tillämpningsområde. Arbetet med säkerhetsskydd hos Säkerhetspolisen och Försvarsmakten är nära kopplat till annan verksamhet som myndigheterna bedriver medan cybersäkerhetslagen har ett vidare syfte där denna koppling inte är lika tydlig. Utredningen föreslår därför att Länsstyrelsen i Stockholms län ska vara tillsynsmyndighet för kommuner och regioner som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län och statliga myndigheter som har sitt säte i något av dessa län. Länsstyrelsen i Skåne län ska vara tillsynsmyndighet för kommuner och regioner som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och statliga myndigheter som har sitt säte i något av dessa län. Länsstyrelsen i Västra Götalands län ska vara tillsynsmyndighet för kommuner och regioner som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län och statliga myndigheter som har sitt säte i något av dessa län. Länsstyrelsen i Norrbottens län ska vara tillsynsmyndighet för kommuner och regioner som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och statliga myndigheter som har sitt säte i något av dessa län.

Länsstyrelserna som utredningen föreslår kommer själva att ingå i sektorn offentlig förvaltning. Eftersom det bör undvikas att en tillsynsmyndighet utövar tillsyn över den egna organisationen så före-

slår utredningen att Länsstyrelsen i Stockholms län och Länsstyrelsen i Norrbottens län ska vara tillsynsmyndigheter för varandra och att Länsstyrelsen i Västra Götaland och Länsstyrelsen i Skåne län ska vara tillsynsmyndigheter för varandra.

Rymden

Rymden är en ny sektor i NIS2-direktivet och avser operatörer av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter och som stöder tillhandahållandet av rymdbaserade tjänster, undantagen tillhandahållare av allmänna elektroniska kommunikationsnät. Rymdbaserade tjänster har ofta dubbla användningsområden eftersom de kan användas både ur ett civilt och militärt perspektiv och kan därför ha betydelse för totalförsvaret.

Rymdbaserade tjänster avser bland annat satellitkommunikation, positionerings- och tidstjänster samt jordobservation. Sektorn anknyter därmed närmast till den befintliga sektorn digital infrastruktur där PTS är tillsynsmyndighet.

Rymdstyrelsen har bland annat till uppgift att bereda ärenden om tillstånd till rymdverksamhet samt utöva kontroll av sådan verksamhet. Myndigheten bedriver dock ingen tillsyn över säkerhet i nätverks- och informationssystem.

Även MSB bedriver arbete i sektorn, myndigheten har en funktion för rymdsäkerhet och är bland annat behörig myndighet för PRS (public regulated service) som är en tjänst för att producera positions- och tidsdata för EU:s medlemsländer.

Utredningen har övervägt att tillsynsansvaret för rymdsektorn antingen ska ligga hos MSB eller PTS. Utredningen föreslår, på grund av sektorns anknytning till digital infrastruktur och allmänna elektroniska kommunikationsnät samt det faktum att PTS är en befintlig tillsynsmyndighet i den nuvarande NIS-regleringen, att PTS ska vara tillsynsmyndighet för sektorn.

Post- och budtjänster

Post- och budtjänster är en ny sektor i NIS2-direktivet. PTS är förvaltningsmyndighet med ett samlat ansvar inom postområdet. Myndigheten är även i dag en tillsynsmyndighet enligt NIS-regleringen.

Utredningen föreslår därför att PTS ska vara tillsynsmyndighet för sektorn.

Avfallshantering

Avfallshantering är en ny sektor i NIS2-direktivet. Naturvårdsverket är förvaltningsmyndighet i frågor om avfall. Myndigheten har flera uppgifter på området vilket bland annat innefattar att utfärda föreskrifter, utföra tillsyn och ta fram tillsynsvägledning. Myndigheten bedriver ingen tillsyn av cybersäkerhet. Länsstyrelsen beslutar om tillstånd enligt miljöprövningsförordningen (2013:251) och ansvarar för tillsyn över tillståndspliktiga verksamheter om de inte överlåtit tillsynen till kommunen. Avfallshantering är en sektor som endast omfattas av reaktiv tillsyn. Eftersom tillsyn av cybersäkerhet kräver speciell kompetens vore det inte effektivt utnyttjande av resurser att Naturvårdsverket skulle bygga upp kompetens på detta område för att endast bedriva tillsyn över sektorn avfallshantering, om det finns en annan myndighet som är lämplig och redan har sådan kompetens. Utredningen föreslår därför att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län ska vara tillsynsmyndigheter i sektorn.

Tillverkning, produktion och distribution av kemikalier

Tillverkning, produktion och distribution av kemikalier är en ny sektor i NIS2-direktivet. Ansvaret för tillsyn av kemikalier i varor, kemiska produkter och bekämpningsmedel fördelas mellan flera olika myndigheter. Kemikalieinspektionen utövar tillsyn över efterlevnaden av krav på utformningen av och innehållet i produkter. Kemikalieinspektionens tillsyn kräver särskild kompetens på det naturvetenskapliga området, bland annat har myndigheten inspektörer som är kemister, toxikologer, ekotoxikologer och agronomer. Myndigheten saknar kompetens gällande tillsyn av cybersäkerhet. För det fall Kemikalieinspektionen ska vara tillsynsmyndighet kommer det att krävas att myndigheten bygger upp en helt ny tillsynsorganisation. Tillverkning, produktion och distribution av kemikalier är en sektor som endast omfattas av reaktiv tillsyn. Utredningen anser därför att det är mest effektivt om en myndighet som även har

annat tillsynsansvar enligt cybersäkerhetsregleringen ansvarar för sektorn. Länsstyrelsen utför viss kemikalietillsyn och föreslås av utredningen som tillsynsmyndighet för flera andra sektorer. Med hänsyn till detta föreslår utredningen att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län ska vara tillsynsmyndigheter för sektorn.

Produktion, bearbetning och distribution av livsmedel

Produktion, bearbetning och distribution av livsmedel är en ny sektor i NIS2-direktivet. Ansvaret för livsmedelskontrollen i Sverige delas mellan fler olika myndigheter. Livsmedelsverket ska leda, samordna och följa upp livsmedelskontrollen. Myndigheten är även i dag tillsynsmyndighet enligt NIS-regleringen. Utredningen föreslår därför att Livsmedelsverket ska vara tillsynsmyndighet för sektorn.

Tillverkning

Tillverkning är en ny sektor i NIS2-direktivet som innefattar sex olika delsektorer.

Den första delsektorn, tillverkning av medicintekniska produkter anknyter till sektorn hälso- och sjukvård. Läkemedelsverket är förvaltningsmyndighet för verksamhet som rör medicintekniska produkter och ansvarar för tillsyn av tillverkare av dessa produkter. IVO utövar tillsyn över hälso- och sjukvårdens användning och hantering av medicintekniska produkter. Myndigheten ansvarar också för tillsyn över de medicintekniska produkter som tillverkas inom hälso- och sjukvården, så kallad egentillverkning. Utredningen föreslår att Läkemedelsverket ska vara tillsynsmyndighet för delsektorn.

Delsektorerna tillverkning av motorfordon, släpfordon och påhängsvagnar samt tillverkning av andra transportmedel anknyter till sektorn transport där Transportstyrelsen i dag är tillsynsmyndighet. Utredningen föreslår därför att myndigheten även ska vara tillsynsmyndighet för dessa delsektorer.

Delsektorerna tillverkning av datorer, elektronikvaror och optik, tillverkning av elapparatur och tillverkning av övriga maskiner saknar tydlig koppling till någon befintlig sektor i NIS-regleringen. Tillverkning är en sektor som endast omfattas av reaktiv tillsyn. Det är ut-

redningens mening att tillsynsansvaret för dessa delsektorer bör ligga på en myndighet som redan har tillsynsansvar över någon annan sektor i regleringen. Eftersom det saknas tydlig koppling till någon sektorsmyndighet så föreslår utredningen att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län ska vara tillsynsmyndigheter för delsektorerna. Detta följer systematiken i säkerhetsskyddsregleringen där länsstyrelsen ansvarar för tillsyn över verksamhetsutövare som inte hör till någon annan tillsynsmyndighets tillsynsområde.

Digitala leverantörer

Digitala leverantörer är en ny sektor i NIS2-direktivet som innefattar två typer av verksamhetsutövare som i NIS-direktivet benämndes leverantörer av digitala tjänster. Dessa är leverantörer av marknadsplatser online och leverantörer av sökmotorer. Leverantörer av plattformar för sociala nätverkstjänster har inte tidigare omfattats av NIS-regleringen. PTS är i dag tillsynsmyndighet för digitala tjänster. Utredningen föreslår därför att myndigheten ska vara tillsynsmyndighet för den nya sektorn.

Forskning

Forskning är en ny sektor i NIS2-direktivet och innefattar forskningsorganisationer som bedriver forskning i syfte att utnyttja resultaten i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner. Sektorn har ingen tydlig koppling till någon befintlig sektor eller tillsynsmyndighet i den nuvarande NIS-regleringen. Utredningen föreslår därför att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län ska vara tillsynsmyndigheter i sektorn.

Lärosäten med examenstillstånd

Utredningen föreslår i avsnitt 5.2.14 att lärosäten med examenstillstånd ska omfattas av cybersäkerhetslagen. Ett flertal av dessa är även statliga myndigheter och ingår därmed i sektorn offentlig förvaltning där utredningen föreslår fyra länsstyrelser som tillsynsmyn-

digheter. Dessa länsstyrelser föreslås även som tillsynsmyndigheter för sektorn forskning. Utredningen föreslår därför att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län ska vara tillsynsmyndigheter för lärosäten med examenstillstånd.

8.4.3. Tillsynsmyndighetens uppdrag

Utredningens förslag: Tillsynsmyndigheten ska utöva tillsyn över

att cybersäkerhetslagen och föreskrifter som meddelats i anslutning till lagen följs.

Enligt artikel 31.1 ska medlemsstaterna säkerställa att deras behöriga myndigheter övervakar och vidtar de åtgärder som krävs för att säkerställa att direktivet efterlevs. En bestämmelse om att tillsynsmyndigheten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs bör därför införas. Det innebär att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare uppfyller kraven på riskhanteringsåtgärder, incidentrapportering och anmälan.

Enligt artikel 31.2 får medlemsstaterna tillåta sina behöriga myndigheter att prioritera tillsyn baserad på en riskbaserad metod. Mer specifikt kan sådana metoder omfatta kriterier eller riktmärken för klassificering av väsentliga entiteter i riskkategorier och motsvarande tillsynsåtgärder och tillsynsmedel som rekommenderas per riskkategori, såsom användning av frekvens för eller typ av inspektion på plats, riktade säkerhetsrevisioner eller säkerhetsskanningar, vilken typ av information som ska begäras och detaljnivån på denna information (skäl 124).

Att tillsynsmyndigheterna har möjlighet att planera sin verksamhet och prioritera vilka tillsynsinsatser som ska göras behöver enligt utredningens mening inte anges särskilt i regleringen.

8.4.4. Tillsyn över viktiga verksamhetsutövare

Utredningens förslag: Tillsynsåtgärder för viktiga verksamhets-

utövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att cybersäkerhetslagen eller de föreskrifter som har meddelats i anslutning till lagen inte följs.

NIS2-direktivet innehåller en differentiering av tillsynssystemet mellan väsentliga och viktiga verksamhetsutövare i syfte att säkerställa en rättvis balans vad gäller skyldigheterna för dessa verksamhetsutövare och de behöriga myndigheterna. Väsentliga verksamhetsutövare bör därför enligt direktivet omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga verksamhetsutövare bör omfattas av enklare tillsyn, endast i efterhand (skäl 122). När medlemsstaterna får bevis, indikationer på eller information om att en viktig verksamhetsutövare påstås underlåta att fullgöra sina skyldigheter enligt direktivet ska de säkerställa att de behöriga myndigheterna vid behov vidtar åtgärder i form av tillsynsåtgärder i efterhand (artikel 33).

En motsvarande differentiering mellan samhällsviktiga och digitala tjänster finns i nuvarande 22 § NIS-lagen där det framgår att digitala tjänster endast står under reaktiv tillsyn.

Det bör därför tas in en bestämmelse i den nya lagen om att tillsynsåtgärder när det gäller viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en sådan verksamhetsutövare inte följer cybersäkerhetslagen eller de föreskrifter som har meddelats i anslutning till lagen.

8.4.5. Föreskrifter

Utredningens bedömning: Tillsynsmyndigheten får inom sitt

tillsynsområde meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning enligt 3 kap. 1–3 §§ lagen om cybersäkerhet. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

För sektorn offentlig förvaltning och lärosäten med examenstillstånd får Myndigheten för samhällsskydd och beredskap meddela föreskrifter om riskhanteringsåtgärder, systematiskt riskbase-

rat informationssäkerhetsarbete samt utbildning enligt 3 kap. 1– 3 §§ lagen om cybersäkerhet.

Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om vad som utgör en betydande incident och om incidentrapportering enligt 3 kap. 5–7 §§ lagen om cybersäkerhet. Tillsynsmyndigheterna ska ges tillfälle att yttra sig.

Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om vilka verksamhetsutövare som omfattas av 1 kap. 8 § lagen om cybersäkerhet och om dessa verksamheter är väsentliga. Tillsynsmyndigheterna ska ges tillfälle att yttra sig.

Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om verksamhetsutövarnas anmälningsskyldighet enligt 2 kap. 2 § lagen om cybersäkerhet.

Utredningen föreslår att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter i anslutning till flera bestämmelser i cybersäkerhetslagen. Nedan lämnar utredningen förslag på vilken myndighet som ska bemyndigas att meddela dessa föreskrifter.

Föreskrifter om riskhanteringsåtgärder

Som framgår av kapitel 7 föreslår utredningen att närmare krav på verksamhetsutövarnas riskhanteringsåtgärder får anges i föreskrifter. Rätten att meddela föreskrifter om säkerhetsåtgärder enligt den nuvarande regleringen är uppdelad mellan MSB och tillsynsmyndigheterna samt Socialstyrelsen. I betänkandet av utredningen som utredde införandet av NIS-direktivet anfördes att MSB redan utfärdat föreskrifter om systematiskt informationssäkerhetsarbete för statliga myndigheter och att myndigheten därför även skulle utfärda generella föreskrifter om hur ett systematiskt informationssäkerhetsarbete för samtliga sektorer kan bedrivas.14 När det gäller föreskrifter om säkerhetsåtgärder bedömde utredningen dock att den myndighet med kunskap om verksamheten, det vill säga tillsynsmyndigheten skulle ha ansvaret för att utfärda föreskrifter.

Som framgått ovan har det tagit relativt lång tid för tillsynsmyndigheterna att besluta om föreskrifter om säkerhetsåtgärder och för sektorn Hälso- och sjukvård finns i dag inga föreskrifter. Till-

14

SOU 2017:36 s. 133.

synsmyndigheternas föreskrifter skiljer sig också åt vad gäller både terminologi och innehåll trots att de utgår från samma grund. Det har också framförts att det funnits brister i samordningen av tillsynsmyndigheternas arbete med föreskrifter.

Utredningen har med anledning av detta övervägt om ansvaret för att ge ut föreskrifter bör flyttas från tillsynsmyndigheterna till MSB. Detta skulle innebära att det beslutas om en gemensam föreskrift som gäller för samtliga sektorer vilket skulle ge en enhetlig reglering och underlätta för verksamhetsutövare som bedriver verksamhet i flera sektorer.

MSB, Säkerhetspolisen, Transportstyrelsen och IMY har framfört till utredningen att det bör finnas en gemensam föreskrift med grundkrav som gäller för samtliga sektorer i syfte att konkretisera de riskhanteringsåtgärder som anges i cybersäkerhetslagen. Enligt myndigheterna är det ingen större skillnad på grundkraven som kan ställas rörande nätverks- och informationssystem oavsett sektor. Dessa grundkrav skulle i en sådan lösning kunna kompletteras av tillsynsmyndigheterna som också skulle ha föreskriftsrätt för respektive tillsynsområde. Detta skulle kunna utformas på motsvarande sätt som i säkerhetsskyddsregleringen där Säkerhetspolisen och Försvarsmakten får meddela föreskrifter om bland annat säkerhetsskyddsåtgärder och övriga tillsynsmyndigheter får meddela kompletterande föreskrifter inom sitt tillsynsområde.

PTS har framfört att det finns inarbetad praxis med föreskrifter för till exempel tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga kommunikationstjänster och att myndigheten även fortsättningsvis bör ha föreskriftsrätt för dessa verksamhetsutövare. I skäl 95 i NIS2-direktivet framhålls också vikten av att upprätthålla nuvarande praxis när det gäller elektronisk kommunikation. TechSverige har påpekat att sektorn precis genomgått en anpassning av LEK och att det skulle leda till onödigt stor belastning och omställningskostnader om dessa krav ändrades igen.

NIS2-direktivet är mer detaljerat än det första NIS-direktivet när det gäller vilka tekniska, driftsrelaterade och organisatoriska åtgärder som medlemsstaterna ska säkerställa att verksamhetsutövarna vidtar, se kapitel 7. Dessa åtgärder utgör krav som ska säkerställa en grundnivå på säkerhetsarbetet oberoende av sektor. Detta talar en-

ligt utredningen för att behovet av centrala myndighetsföreskrifter inte är lika stort avseende NIS2-direktivet som för NIS-direktivet.

Det finns också sektorer där det finns ett behov av sektorsspecifika krav på grund av sektorns speciella förutsättningar. NIS2direktivet innehåller vidare större möjligheter för kommissionen att besluta om genomförandeakter som tar hänsyn till detta. När det gäller leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer, plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster ska kommissionen enligt artikel 21.5 senast den 17 oktober 2024 anta genomförandeakter för att fastställa de tekniska och metodologiska specifikationerna för de tekniska, driftsrelaterade och organisatoriska åtgärderna som anges i artikel 21.2 i direktivet. Kommissionen får även anta genomförandeakter för att fastställa tekniska och metodologiska krav samt, vid behov, sektorskrav avseende andra väsentliga och viktiga verksamhetsutövare.

När kommissionen antagit genomförandeakter kommer det alltså att finnas skillnader i de krav som ställs på olika verksamhetsutövare redan på EU-nivå. Även med en gemensam föreskrift skulle det finnas ett behov av sektorsspecifika regleringar. Dessa sektorsspecifika regleringar skulle då kunna stå i strid med den sektorsgemensamma föreskriften. Den möjlighet som finns för tillsynsmyndigheterna i 8 kap. 10 § säkerhetsskyddsförordningen att besluta om kompletterande föreskrifter har tolkats som en möjlighet att utfärda verkställighetsföreskrifter. Utredningen bedömer att verkställighetsföreskrifter inte skulle vara tillräckligt för de föreskrifter om riskhanteringsåtgärder som kan behöva utfärdas av tillsynsmyndigheterna. Detta eftersom verkställighetsföreskrifter i första hand ska vara av administrativ karaktär för tillämpningen av en lag. Det finns dock ett visst utrymme att meddela verkställighetsföreskrifter som i materiellt hänseende ”fyller ut” en lag utan att tillföra den något väsentligt nytt.15 Utredningen menar att detta utrymme inte är tillräckligt för att en myndighet skulle skärpa eller göra undantag för ett krav i en sektorsövergripande föreskrift. Det skulle i stället innebära att en tillsynsmyndighet kan komma att utfärda föreskrifter

15

Ds 1998:43 s. 47 ff.

som innebär att det uppstår en regelkonflikt med en sektorsövergripande föreskrift. Verksamhetsutövare som ska tillämpa båda föreskrifterna skulle därmed kunna träffas av motstridiga krav i de olika föreskrifterna. Detta skulle inte uppfylla kraven på förutsebarhet och klarhet vid normgivning och utredningen bedömer därför att en sådan lösning inte är en framkomlig väg.

Det är tillsynsmyndigheterna som har kunskap om eventuella sektorsspecifika förutsättningar som behöver beaktas i föreskrifter om riskhanteringsåtgärder. Utredningen ser också en fördel med att så långt möjligt hålla samman normgivning och tillsyn. Även om det finns fördelar med att centralisera föreskriftsrätten till en myndighet så är det utredningens sammantagna bedömning att det inte vore ändamålsenligt att centralisera föreskriftsrätten från tillsynsmyndigheterna till MSB. När det gäller rätten att meddela föreskrifter om systematiskt informationssäkerhetsarbete så anser utredningen att denna bör hållas ihop med rätten att meddela föreskrifter om riskhanteringsåtgärder. Det finns annars en risk för att det uppstår oklarheter om vilken myndighet som har föreskriftsrätt rörande en viss åtgärd. Utredningen föreslår därför att det ska vara tillsynsmyndigheterna som får meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning om riskhanteringsåtgärder inom sitt tillsynsområde. Innan en tillsynsmyndighet meddelar sådana föreskrifter ska MSB ges tillfälle att yttra sig. Som framgår av avsnitt 7.1 anser utredningen också att MSB skyndsamt bör utarbeta en vägledning till stöd för tillsynsmyndigheternas föreskriftsarbete.

När det gäller hälso- och sjukvårdssektorn så föreslår utredningen att det till skillnad mot i dag ska vara IVO i egenskap av tillsynsmyndighet, och inte Socialstyrelsen, som får utfärda föreskrifter.

När det gäller sektorn offentlig förvaltning så föreslår utredningen att fyra länsstyrelser ska utöva tillsyn över sektorn. Utredningen ser dock ingen anledning till att det ska utfärdas fyra föreskrifter i sektorn varför föreskriftsrätten bör ligga på en myndighet.

MSB har beslutat om föreskrifter (MSBFS 2020:6) om informationssäkerhet för statliga myndigheter och föreskrifter (MSBFS 2020:7) om säkerhetsåtgärder i informationssystem för statliga myndigheter i enlighet med förordningen (2022:524) om statliga myndigheters beredskap. Dessa föreskrifter anger en grundnivå som statliga myndigheter minst bör uppnå i sitt informationssäkerhetsarbete. MSB

har också tagit fram ett verktyg, infosäkkollen16, som stödjer uppföljning och förbättring av systematiskt informations- och cybersäkerhetsarbete i den offentliga förvaltningen. Verktyget utgår från MSB:s föreskrifter och stödmaterial. MSB har därmed den kunskap som krävs och tillgång till information som kan nyttjas för att besluta om föreskrifter för sektorn. Utredningen bedömer därför att det bör vara MSB som får besluta om föreskrifter gällande offentlig förvaltning även om myndigheten inte är tillsynsmyndighet för sektorn.

Utredningen föreslår i avsnitt 5.2.14 att lärosäten med examenstillstånd ska omfattas av cybersäkerhetslagen. Flertalet av dessa är även statliga myndigheter och ingår därmed även i sektorn offentlig förvaltning. Utredningen anser därför att det bör vara samma myndighet som utfärdar föreskrifter för sektorn offentlig förvaltning och lärosäten med examenstillstånd.

Föreskrifter om incidentrapportering

Som framgår av avsnitt 7.3 föreslår utredningen att närmare krav om rapportering av incidenter ska anges i föreskrifter. MSB har enligt den nuvarande regleringen beslutat om föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster; MSBFS 2018:9. MSB är också den myndighet i Sverige som i egenskap av CSIRT-enhet tar emot incidentrapporter. Utredningen föreslår därför att MSB även enligt den nya lagen ska meddela föreskrifter om incidentrapportering och vad som utgör en betydande incident. Innan föreskrifterna meddelas ska MSB ge tillsynsmyndigheterna tillfälle att yttra sig.

Föreskrifter om verksamhetsutövare som inte uppfyller storlekskravet

Som framgår av avsnitt 5.2.13 föreslår utredningen en systematik med innebörd att det av lagen följer övergripande kriterier för vilka mindre verksamheter som ska omfattas trots att de inte uppfyller storlekskravet och att det i föreskrifter anges vilka verksamheter som uppfyller något kriterium.

16

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakrakommunikationer/systematiskt-informationssakerhetsarbete/infosakkollen/.

MSB ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på olika nivåer och områden i samhället. 17 MSB har också en central roll i arbetet med risk- och sårbarhetsanalyser i förordningen (2022:524) om statliga myndigheters beredskap. Myndigheten har också fått en rad uppdrag i regleringsbrev att redovisa en nationell bedömning av samhällets förmågor, risker, sårbarheter samt identifierade och genomförda åtgärder avseende krisberedskapen. Myndigheten kan därför antas ha den kunskap som behövs för att bedöma vilka verksamheter som ska omfattas av regleringen oavsett storlek. Utredningen föreslår därför att MSB ska vara den myndighet som får besluta om dessa föreskrifter. Innan föreskrifterna meddelas ska MSB ge tillsynsmyndigheterna tillfälle att yttra sig.

Föreskrifter om anmälningsskyldighet

Som framgår av avsnitt 6.2 föreslår utredningen att varje tillsynsmyndighet, inom sitt tillsynsområde, ska upprätta ett register över väsentliga och viktiga verksamhetsutövare. Som grund till registret ska alla verksamhetsutövare som omfattas av lagen lämna anmälan med uppgift om identitet, kontaktuppgifter, IP-adressintervall, verksamhet och uppgift om i vilka medlemsländer verksamhet bedrivs till tillsynsmyndigheten. Det register som tillsynsmyndigheterna upprättat ska vidarebefordras till den gemensamma kontaktpunkten som i sin tur sedan ska vidareförmedla information till kommissionen och samarbetsgruppen. Utredningen föreslår också att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om verksamhetsutövarnas anmälningsskyldighet. Slutmottagare av uppgifterna är alltså MSB i Sverige. Med hänsyn härtill och att de uppgifter som ska lämnas är desamma oberoende av vilket tillsynsområde verksamhetsutövaren tillhör så bör samlade föreskrifter om uppgiftsskyldigheten beslutas av en central myndighet. Utredningen föreslår därför att MSB ska vara den myndighet som meddelar dessa föreskrifter.

17

11 a § första och tredje stycket förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.

8.4.6. Tillsynsmyndighetens undersökningsbefogenheter

I detta avsnitt behandlas de befogenheter som tillsynsmyndigheten ska ha för att kunna utöva tillsyn. Tillsynsmyndighetens befogenheter att besluta om ingripanden och sanktioner behandlas i kapitel 9.

Tillgång till information och lokaler

Utredningens förslag: Den som står under tillsyn ska på begäran

tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamheten.

Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde.

Ett sådant föreläggande får förenas med vite. Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Utredningens bedömning: När en tillsynsmyndighet begär infor-

mation ska tillsynsmyndigheten ange syftet med begäran och precisera vilken information som krävs.

För att kunna utöva en effektiv tillsyn krävs att tillsynsmyndigheten får tillgång till den information som behövs samt vid behov tillträde till lokal eller liknande.

Enligt artikel 32.2 och 33.2 i NIS2-direktivet ska tillsynsmyndigheterna ha befogenhet att underställa verksamhetsutövare

a) begäranden om sådan information som behövs för att bedöma de

riskhanteringsåtgärder för cybersäkerhet som antagits av den berörda verksamhetsutövaren, inbegripet dokumenterade cybersäkerhetsstrategier, samt fullgörandet av skyldigheten att lämna information till de behöriga myndigheterna avseende det register som ska upprättas i enlighet med artikel 27,

b) begäranden om tillgång till uppgifter, handlingar och information

som behövs för att myndigheterna ska kunna utföra sina tillsynsuppgifter,

c) begäranden om bevis på genomförandet av cybersäkerhetsstrate-

gier, till exempel resultaten av säkerhetsrevisioner som utförts av en kvalificerad revisor och respektive underliggande bevis.

Artiklarna innebär enligt utredningens uppfattning att verksamhetsutövarna, på begäran av tillsynsmyndigheten, ska tillhandahålla den information och de handlingar som behövs för tillsynen. En bestämmelse med denna innebörd ska därför tas in i den nya lagen. De exempel på sådan information som anges i a och c ovan behöver enligt utredningens mening inte anges särskilt i lagen. Möjligheten för tillsynsmyndigheten att kräva in denna information täcks av att myndigheten har möjlighet att begära in den information som behövs för tillsynen.

Enligt artikel 32.3 och 33.3 ska tillsynsmyndigheterna när de begär information ange syftet med begäran och specificera den begärda informationen. Motsvarande bestämmelse finns i dag i 20 § NIS-förordningen. Utredningen föreslår att en motsvarande bestämmelse anges i den nya förordningen.

Enligt artikel 32.2 a och 33.2 a ska tillsynsmyndigheterna ha befogenhet att utföra tillsyn både på plats och på distans, det vill säga bedriva såväl platstillsyn som så kallad skrivbordstillsyn. För att kunna utöva en effektiv tillsyn kan tillsynsmyndigheten behöva tillträde till lokaler eller liknande. Exempelvis kan tillsynsmyndigheten behöva tillträde för att kontrollera att en verksamhetsutövare har vidtagit erforderliga säkerhetsåtgärder.

Utredningen anser därför att tillsynsmyndigheten i den utsträckning det behövs för tillsynen, ska ha rätt att få tillträde till områden, lokaler och andra utrymmen där verksamhet som omfattas av lagen bedrivs. Tillträdesrätten bör dock av integritetsskäl inte omfatta bostäder. Detta bör följa av lagen.

Om en verksamhetsutövare inte samarbetar med tillsynsmyndigheten vid tillsynen bör tillsynsmyndigheten kunna meddela de förelägganden som behövs för att förmå verksamhetsutövaren att tillhandahålla den information och ge det tillträde som behövs för tillsynen. Ett beslut om föreläggande bör kunna förenas med vite.

Allmänna bestämmelser om viten finns i lagen (1985:206) om viten, viteslagen. Där anges bland annat hur ett vitesföreläggande ska vara utformat i olika avseenden. Det framgår också att ett vitesföreläggande ska delges adressaten.

När det gäller vitesbeloppet framgår av viteslagen till exempel att detta ska fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekonomiska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet (3 § viteslagen). Med omständigheterna i övrigt avses bland annat kostnaderna för föreläggandets fullgörande och omfattningen av de åtgärder som krävs. Beloppet bör vidare bestämmas med hänsyn till hur angeläget det är att föreläggandet följs. Om föreläggandet avser att tillgodose ett betydelsefullt samhällsintresse, kan ett högre belopp vara motiverat. Myndigheterna kan emellertid inom ramen för 3 § viteslagen bestämma hur högt eller lågt belopp som helst. Vitet ska som huvudregel fastställas till ett bestämt belopp. Om det är lämpligt med hänsyn till omständigheterna, får vite dock enligt 4 § viteslagen föreläggas som löpande vite. Vitet bestäms då till ett visst belopp för varje tidsperiod av viss längd under vilken föreläggandet inte har följts eller, om föreläggandet avser en återkommande förpliktelse, för varje gång adressaten underlåter att fullgöra denna. Om ett föreläggande inte följs, kan myndigheten behöva upprepa föreläggandet. Det kan i dessa fall vara lämpligt att höja vitesbeloppet.

Frågor om utdömande av viten prövas enligt 6 § viteslagen av förvaltningsrätt på ansökan av den myndighet som har utfärdat vitesföreläggandet

Enligt utredningens mening finns det inte anledning att införa bestämmelser som avviker från viteslagen.

Om en verksamhetsutövare ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten.

Säkerhetsrevisioner

Utredningens förslag: Tillsynsmyndigheten får om det finns sär-

skilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision och att redovisa resultatet för tillsynsmyndigheten.

En riktad säkerhetsrevision ska baseras på riskbedömningar som utförs av tillsynsmyndigheten, verksamhetsutövaren eller på annan tillgänglig riskrelaterad information.

Tillsynsmyndigheten får även anlita ett oberoende organ för att utföra regelbundna säkerhetsrevisioner av väsentliga verksamhetsutövare.

Regeringen får meddela föreskrifter om säkerhetsrevisioner.

Tillsynsmyndigheten ska enligt artikel 32.2 b–c och 33.2 b i direktivet ha befogenhet att underställa väsentliga verksamhetsutövare regelbundna och riktade säkerhetsrevisioner. Dessa revisioner kan utföras av ett oberoende organ eller en behörig myndighet. Tillsynsmyndigheten ska också ha befogenhet att göra ad hoc-revisioner vilket bland annat kan motiveras på grund av att verksamhetsutövaren haft en betydande incident.

När det gäller viktiga verksamhetsutövare ska tillsynsmyndigheten endast ha befogenhet att göra riktade säkerhetsrevisioner. De riktade säkerhetsrevisionerna ska baseras på riskbedömningar som utförs av tillsynsmyndigheten, den granskade verksamhetsutövaren eller på annan tillgänglig riskrelaterad information. Resultaten av alla riktade säkerhetsrevisioner ska göras tillgängliga för tillsynsmyndigheten.

Kostnaderna för riktade säkerhetsrevisioner som utförs av ett oberoende organ ska betalas av den granskade verksamhetsutövaren, utom i vederbörligen motiverade fall när tillsynsmyndigheten beslutar något annat.

Det engelska begreppet ”security audit” har i NIS2-direktivet översatts till säkerhetsrevision. Begreppet finns också i artikel 41.2 b i Europaparlamentet och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation. I översättningen av det direktivet används i stället begreppet säkerhetsgranskning i den svenska översättningen. Säker-

hetsgransking är också det begrepp som används i lagen (2022:482) om elektronisk kommunikation (LEK).

Enligt 8 kap. 2 § LEK får tillsynsmyndigheten om det finns särskilda skäl, ålägga den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst att på egen bekostnad låta ett oberoende kvalificerat organ utföra en säkerhetsgranskning av hela eller delar av verksamheten och att redovisa resultatet av granskningen för myndigheten.

NIS2-direktivet gör skillnad på regelbundna, riktade och ad hocsäkerhetsrevisioner. När det gäller ad hoc-revisioner så anges i direktivet att dessa kan motiveras av en betydande incident eller en verksamhetsutövares överträdelse av direktivet. I övrigt saknas definitioner av de olika typerna av revisioner i direktivet. Utredningen tolkar det som att ad hoc-revision avser en typ av granskning som är oplanerad och händelsestyrd som kan motiveras av till exempel en incident eller en förändrad hotbild. En regelbunden säkerhetsrevision är i stället planerad och återkommande. Riktade säkerhetsrevisioner fokuserar på något specifikt område eller omständighet hos verksamhetsutövaren. Det kan till exempel vara någon specifik säkerhetsåtgärd eller något specifikt krav i regleringen.

Att tillsynsmyndigheten har möjlighet att utföra säkerhetsrevisioner får anses ingå i uppgiften att bedriva tillsyn och möjligheten att begära in uppgifter och handlingar som behövs för tillsynen samt att få tillgång till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av lagen. Det behövs därför ingen särskild reglering av tillsynsmyndigheternas möjligheter att genomföra säkerhetsrevisioner i cybersäkerhetslagen.

När det gäller riktade säkerhetsrevisioner så ska tillsynsmyndigheten dock kunna besluta att dessa ska utföras av ett oberoende organ och att de ska betalas av den granskade verksamhetsutövaren. Denna möjlighet ska enligt direktivet finnas både vad gäller viktiga och väsentliga verksamhetsutövare.

Vid införandet av motsvarande bestämmelse i LEK framförde regeringen att en säkerhetsgranskning kan vara arbetskrävande och kostsam för den verksamhetsutövare som är skyldig att genomgå den. En sådan granskning bör därför i första hand komma i fråga om tillsynsmyndigheten tagit del av uppgifter eller bedrivit tillsyn där det framkommit att ytterligare granskning behövs. Möjligheten att kräva utförande av säkerhetsgranskningar kan enligt regeringen inte

heller vara att befria tillsynsmyndigheten från dess uppgift att upprätthålla en egen grundläggande kompetens och förmåga att granska säkerheten i verksamheter. Regeringen bedömde därför att skyldigheten endast ska få åläggas om det finns särskilda skäl.18 Utredningen delar denna bedömning och det bör därför anges i lagen att tillsynsmyndigheten får besluta om en riktad säkerhetsrevision utförd av ett oberoende organ, och som bekostas av verksamhetsutövaren, om det finns särskilda skäl.

Med oberoende organ avses exempelvis ett företag som genomför säkerhetsrevisioner. Organet ska vara oberoende i förhållande till tillsynsmyndigheten och den verksamhetsutövare vars verksamhet ska granskas. Organet ska ha den sakkunskap som krävs för säkerhetsrevisionen. Det är upp till tillsynsmyndigheten att bedöma om lämpliga organ som ska utföra säkerhetsrevisionen bör pekas ut i samband med åläggandet eller om det kan överlåtas till verksamhetsutövaren.

Enligt direktivet ska en riktad säkerhetsrevision baseras på riskbedömningar som utförs av tillsynsmyndigheten, den granskade verksamhetsutövaren eller på annan tillgänglig riskrelaterad information. Detta bör framgå av förordning.

När det gäller väsentliga verksamhetsutövare ska tillsynsmyndigheten enligt direktivet även kunna besluta om regelbundna säkerhetsrevisioner som utförs av ett oberoende organ. Kostnaderna för dessa granskningar ska dock inte bekostas av den granskade verksamhetsutövaren. Bestämmelsen reglerar alltså endast möjligheten för tillsynsmyndigheten att använda sig av oberoende organ vid denna typ av revisioner. En bestämmelse som anger att tillsynsmyndigheten får anlita ett oberoende organ att utföra regelbundna säkerhetsrevisioner av väsentliga verksamhetsutövare bör därför tas in i lagen.

18

Prop. 2021/22:136 s. 318.

Säkerhetsskanningar

Utredningens förslag: Tillsynsmyndigheten får låta genomföra

säkerhetsskanningar hos verksamhetsutövare som omfattas av cybersäkerhetslagen.

En säkerhetsskanning ska ske i samarbete med verksamhetsutövaren.

Tillsynsmyndigheten ska enligt artikel 32.2 d och 33.2 c i direktivet ha befogenhet att underställa verksamhetsutövare säkerhetsskanningar på grundval av objektiva, icke-diskriminerande, rättvisa och transparenta riskbedömningskriterier, vid behov i samarbete med den berörda verksamhetsutövaren.

NIS2-direktivet innehåller ingen definition av vad som avses med en säkerhetsskanning. Utredningen bedömer att vad som avses är en typ av sårbarhetsskanning som kan göras på verksamhetsutövarens nätverks- och informationssystem i syfte att upptäcka sårbarheter eller osäkert konfigurerade delar av systemet. Sårbarhetsskanningar sker normalt med automatiserade verktyg som identifierar och klassificerar sårbarheter i datorer, nätverk och applikationer genom att matcha dem mot redan kända systembrister. Detta kan antingen göras på allmänt tillgängliga nätverks- och informationssystem eller med olika nivåer av åtkomst till systemen. Utredningen bedömer inte att begreppet säkerhetsskanning innefattar en typ av sårbarhetsbedömning där nätverks- och informationssystemet aktivt angrips i syfte att hitta sårbarheter, ett så kallat penetrationstest. En säkerhetsskanning får inte ha någon negativ inverkan på hur verksamhetsutövarnas nätverks- och informationssystem fungerar och behöver ske i samarbete med den berörda verksamhetsutövaren.

Att tillsynsmyndigheten när de fattar beslut om säkerhetsskanningar ska göra detta på grundval av objektiva, icke-diskriminerande, rättvisa och transparenta riskbedömningskriterier får anses följa av förvaltningslagens krav på legalitet, objektivitet, proportionalitet och myndigheters skyldighet att motivera beslut. Någon särskild reglering om att tillsynsmyndigheten ska ta hänsyn till dessa kriterier är därför inte nödvändig.

8.4.7. Samordning och informationsutbyte

Samarbetsforum

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

MSB leder i dag ett samarbetsforum där tillsynsmyndigheterna och Socialstyrelsen ingår. Detta har som framgår av avsnitt 8.3.2 haft flera positiva effekter för tillämpningen av den nuvarande NIS-regleringen. Implementeringen av NIS2-direktivet kommer att innebära att det tillkommer både fler sektorer och tillsynsmyndigheter. Antalet verksamhetsutövare som kommer att bedriva verksamhet i flera olika sektorer kommer därmed att öka. Dessa verksamhetsutövare kommer som en följd av detta att stå under tillsyn av flera olika myndigheter. Det är därmed sannolikt att behovet av samordning och informationsutbyte mellan myndigheterna kommer att öka. Utredningen föreslår därför att det även fortsättningsvis anges i förordning att MSB ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Utredningen föreslår ovan att möjligheten att meddela föreskrifter i Hälso- och sjukvårdssektorn flyttas från Socialstyrelsen till IVO, Socialstyrelsen behöver därför inte längre ingå i samarbetsforumet.

Tillsynsvägledning

MSB, Livsmedelsverket och Transportstyrelsen har framfört till utredningen att det finns ett behov av ökade möjligheter för MSB att vägleda tillsynsmyndigheterna och följa upp arbetet med tillsyn. Liknande synpunkter framfördes också i den utvärdering som MSB låtit göra angående implementeringen av NIS-direktivet.19

Tillsynsvägledning används bland annat inom miljöområdet och enligt 26 kap. 1 a § i miljöbalken (1998:808) avses med begreppet att utvärdera, följa upp och samordna tillsynen samt att ge råd och stöd till tillsynsmyndigheterna. Enligt miljötillsynsförordningen (2011:13)

19 Utvärdering av resultatet av Sveriges implementering av NIS-direktivet, Myndigheten för sam-

hällsskydd och beredskap, slutrapport 2022-12-20.

har ett flertal myndigheter ansvar för tillsynsvägledning inom sina expertområden. Till exempel ska Affärsverket svenska kraftnät ge tillsynsvägledning i frågor om dammsäkerhet enligt 11 kap. miljöbalken. Naturvårdsverket ska också ge allmän tillsynsvägledning i frågor som avser tillämpningen av 26 (tillsyn) och 30 (sanktioner) kap. miljöbalken. Enligt förarbetena till miljöbalken syftar tillsynsvägledningen till att bidra till att tillsynen bedrivs ändamålsenligt med avseende på såväl lokala som regionala och nationella förhållanden.20

De myndigheter som ansvarar för tillsynsvägledning på miljöområdet bedriver själva tillsyn inom sitt expertområde. Utredningens bedömning är att de tillsynsmyndigheter som utredningen föreslår är de som närmast motsvarar dessa myndigheter med tillsynsvägledningsansvar. Det är tillsynsmyndigheterna som har kunskap om det tillsynsområde som de ansvarar för. Utredningen lämnar därför inget förslag om att en central myndighet, MSB, skulle vara tillsynsvägledande myndighet för samtliga sektorer.

Den samordning som behövs för en effektiv och likvärdig tillsyn bedöms kunna bedrivas inom ramen för det samarbetsforum som MSB ansvarar för. Detta förutsätter dock de deltagande myndigheternas engagemang och att de ställer personalresurser till förfogande i de olika frågor som identifieras inom ramen för samarbetsforumet.

När det gäller uppföljning av tillsynsmyndighetens uppdrag anser utredningen att den bör ligga hos regeringen. Som framgått ovan så har det tagit relativt lång tid för flera myndigheter att komma igång med tillsynsverksamhet enligt regleringen. Utredningens bedömning är att det efter den nya lagens ikraftträdande bör ges tydliga återrapporteringskrav i samtliga tillsynsmyndigheters regleringsbrev för att ge förutsättningar för uppföljning och effektiv styrning.

MSB har framfört till utredningen att myndigheten bör få ett tydligare mandat att inrikta och stärka tillsynen genom att myndigheten görs till samordningsmyndighet på motsvarande sätt som Säkerhetspolisen och Försvarsmakten är detta i säkerhetsskyddsregleringen. Enligt 2 § säkerhetsskyddsförordningen ska Säkerhetspolisen och Försvarsmakten i samverkan följa upp, utvärdera och utveckla arbetet med tillsyn, i samråd ta fram och tillhandahålla metodstöd för tillsyn, förmedla relevant hotinformation till tillsynsmyndigheterna och leda ett samarbetsforum.

20 Prop. 1997/98:45, del 1, s. 496.

Säkerhetspolisen och Försvarsmakten är de två huvudansvariga tillsynsmyndigheterna enligt säkerhetsskyddsregleringen och har möjlighet att ta över tillsynsansvaret för en verksamhetsutövare som hör till någon annan tillsynsmyndighets tillsynsområde. I ett sådant system är det enligt utredningen naturligt att dessa myndigheter har i uppdrag att följa upp, utvärdera och utveckla arbetet med tillsyn. Utredningen anser inte motsvarande gäller för den reglering som utredningen föreslår där MSB inte är tillsynsmyndighet.

Verksamhetsutövare som står under tillsyn av flera myndigheter

Utredningens bedömning: Om tillsyn över en verksamhets-

utövare utövas av fler än en tillsynsmyndighet ska respektive tillsynsmyndighet inte utöva tillsyn gällande den del av verksamheten som anges som en annan tillsynsmyndighets tillsynsområde.

I de fall en verksamhetsutövare bedriver verksamhet inom flera sektorer kan det uppstå en situation där flera myndigheter är behöriga att bedriva tillsyn över samma verksamhetsutövare. Eftersom hela verksamheten omfattas (se avsnitt 5.2.2) så innebär det att flera tillsynsmyndigheter kan komma att tillsyna samma delar av verksamheten. Detta riskerar att bli kostnadsdrivande för verksamhetsutövarna och medför en risk för oförenliga krav och sanktioner. Situationen kommer sannolikt främst uppstå när det gäller kommuner som kan bedriva verksamhet inom flera sektorer som träffas av regleringen. I många fall bedriver dock kommuner sådan verksamhet i ett kommunalt bolag. Att en verksamhetsutövare står under tillsyn av flera myndigheter bör enligt utredningen i möjligaste mån undvikas. Det bör därför införas en bestämmelse i förordningen som anger att om tillsyn över en verksamhetsutövare utövas av fler än en tillsynsmyndighet ska respektive tillsynsmyndighet inte utöva tillsyn gällande den verksamhet som ingår i den sektor eller delsektor som en annan myndighet är tillsynsmyndighet för.

Det får förutsättas att tillsynsmyndigheterna samarbetar vid genomförande av tillsyn rörande verksamhetsutövare som bedriver verksamhet i flera sektorer. Detta följer av förvaltningslagen och myndighetsförordningen och behöver inte anges särskilt i regleringen.

Övrigt nationellt samarbete

Utredningens bedömning: Tillsynsmyndigheten ska samarbeta

med Integritetsskyddsmyndigheten vid hantering av incidenter som även utgör personuppgiftsincidenter.

Om tillsynsmyndigheten, när den bedriver tillsyn enligt cybersäkerhetslagen, får kännedom om en omständighet som kan innebära en personuppgiftsincident som ska anmälas enligt dataskyddsförordningen ska tillsynsmyndigheten utan onödigt dröjsmål informera Integritetsmyndigheten.

Om tillsynsmyndigheten bedriver tillsyn över en verksamhetsutövare som har identifierats som en kritisk tredjepartsleverantör av IKT-tjänster enligt artikel 31 i Dora-förordningen ska tillsynsmyndigheten informera det tillsynsforum som inrättats enligt artikel 32 i samma förordning.

CER-direktivet

Enligt artikel 32.9 ska medlemsstaterna säkerställa att behöriga myndigheter informerar relevanta myndigheter enligt CER-direktivet inom samma medlemsstat när de utövar sina befogenheter med avseende på tillsyn på verksamhetsutövare som identifierats som kritisk enligt CER-direktivet. Enligt samma artikel får en CER-myndighet när så är lämpligt begära att en tillsynsmyndighet enligt NIS2-direktivet bedriver tillsyn över en sådan verksamhetsutövare. Enligt kommittédirektivet är utgångspunkten att samma myndighet som utövar tillsyn enligt NIS2-direktivet även utövar tillsyn enligt CER-direktivet. Vid en sådan ordning behövs ingen reglering av samarbetet. Utredningen återkommer till denna fråga i slutbetänkandet.

Dora-förordningen

Enligt artikel 32.10 och 33.6 ska medlemsstaterna säkerställa att de behöriga myndigheterna enligt NIS2-direktivet samarbetar med de relevanta behöriga myndigheterna i den berörda medlemsstaten en-

ligt Dora-förordningen.21 Medlemsstaterna ska särskilt säkerställa att deras behöriga myndigheter enligt NIS2-direktivet informerar det tillsynsform som inrättats enligt artikel 32.1 i Dora-förordningen när de utövar tillsyn mot en väsentlig eller viktig verksamhetsutövare som har identifierats som en kritisk tredjepartsleverantör av IKTtjänster enligt artikel 31 i Dora-förordningen.

En kritisk tredjepartsleverantör av IKT-tjänster är enligt artikel 2.2 i Dora-förordningen inte en så kallad finansiell entitet. En sådan leverantör omfattas inte av kraven på finansiella entiteter och omfattas därmed inte av undantaget för sektorsspecifika unionsakter.22 En sådan leverantör kan därför komma att tillsynas av en tillsynsmyndighet enligt NIS2-direktivet.

För att införliva artikel 32.10 och 33.6 bör det tas in en bestämmelse i förordning som anger att om tillsynsmyndigheten utövar tillsyn mot en verksamhetsutövare som har identifierats som en kritisk tredjepartsleverantör av IKT-tjänster enligt Dora-förordningen ska tillsynsmyndigheten informera det tillsynsforum som inrättats enligt artikel 32.1 i samma förordning.

Personuppgiftsincidenter

Enligt artikel 31.3 ska tillsynsmyndigheterna ha ett nära samarbete med tillsynsmyndigheterna enligt dataskyddsförordningen23 när de behandlar incidenter som medför personuppgiftsincidenter. Enligt artikel 35.1 ska tillsynsmyndigheten också utan onödigt dröjsmål informera tillsynsmyndigheten enligt dataskyddsförordningen om den får kännedom om en överträdelse av direktivet som även kan innebära en personuppgiftsincident. Av 35.3 framgår att om tillsynsmyndigheten som är behörig enligt dataskyddsförordningen är etablerad i en annan medlemsstat ska tillsynsmyndigheten enligt NIS2-direktivet informera tillsynsmyndigheten som är etablerad i Sverige. IMY är Sveriges nationella tillsynsmyndighet för behandling av personuppgifter.

21

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

22

Se avsnitt 5.4.

23

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Utredningen bedömer att en bestämmelse med denna innebörd bör införas i den nya förordningen.

Frågan om samordning med IMY rörande administrativa sanktionsavgifter behandlas i avsnitt 9.6.3.

Säkerhetsskyddslagen

Enligt utredningens förslag i kapitel 5 undantas säkerhetskänslig verksamhet från hela eller delar av cybersäkerhetslagens tillämpningsområde. Verksamhetsutövaren behöver inte heller lämna säkerhetsskyddsklassificerade uppgifter till tillsynsmyndigheten. Cybersäkerhetslagen gäller dock för övrig verksamhet som verksamhetsutövaren bedriver. Detta innebär att en tillsynsmyndighet kan bedriva tillsyn hos en verksamhetsutövare som även bedriver säkerhetskänslig verksamhet. Gränsdragningen rörande vad som utgör säkerhetskänslig verksamhet kan därmed bli avgörande för vilka delar av verksamheten som tillsynsmyndigheten kan tillsyna. För flera tillsynsområden kommer det att vara samma tillsynsmyndighet som bedriver tillsyn enligt säkerhetsskyddsregleringen och NIS2-regleringen. För några sektorer och verksamhetsutövare kommer det dock att vara olika tillsynsmyndigheter. Det finns därmed ett behov av samarbete mellan tillsynsmyndigheten för säkerhetsskyddslagen och tillsynsmyndigheten för cybersäkerhetslagen i de fall en verksamhetsutövare bedriver säkerhetskänslig verksamhet. Enligt 8 § förvaltningslagen (2017:900) ska en myndighet inom sitt verksamhetsområde samverka med andra myndigheter. Enligt 6 § myndighetsförordningen (2007:515) ska myndigheten också verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. Mot den bakgrunden bedömer utredningen att det inte behövs någon särskild bestämmelse för att reglera myndigheternas samverkan.

Internationellt samarbete

Utredningens bedömning: Tillsynsmyndigheten ska samarbeta

med och bistå tillsynsmyndigheter i andra medlemsstater inom EES när det gäller verksamhetsutövare som erbjuder tjänster i mer än en medlemsstat eller erbjuder tjänster i en eller flera med-

lemsstater och dess nätverks- och informationssystem finns i en eller flera medlemsstater.

Tillsynsmyndigheten får avslå en begäran om bistånd om myndigheten inte är behörig att tillhandahålla biståndet, om biståndet inte är proportionerligt i förhållande till tillsynsmyndighetens uppgifter eller om begäran avser information eller omfattar verksamhet som om den skulle lämnas ut eller utförs, skulle inverka skadligt på Sveriges säkerhetsintressen, allmänna säkerhet eller försvar.

Innan tillsynsmyndigheten avslår en begäran om bistånd ska tillsynsmyndigheten samråda med övriga berörda behöriga myndigheter samt, på begäran av de berörda medlemsstaterna, med kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa).

Om en verksamhetsutövare tillhandahåller tjänster i mer än en medlemsstat eller tillhandahåller tjänster i en eller flera medlemsstater och dess nätverks- och informationssystem finns i en eller flera medlemsstater ska de behöriga myndigheterna i de berörda medlemsstaterna vid behov samarbeta med och bistå varandra. Detta samarbete ska åtminstone omfatta följande:

a) Att tillsynsmyndigheten i en medlemsstat via den gemensamma

kontaktpunkten informerar och samråder med de behöriga myndigheterna i övriga berörda medlemsstater om det tillsynsåtgärder som vidtagits.

b) Att en behörig myndighet får begära att en annan behörig myn-

dighet vidtar tillsynsåtgärder.

c) Att en behörig myndighet, efter att ha mottagit en motiverad be-

gäran från en annan behörig myndighet, ska tillhandahålla ömsesidigt bistånd till den andra behöriga myndigheten i proportion till sina egna resurser så att tillsyn kan genomföras på ett ändamålsenligt, effektivt och konsekvent sätt.

Det ömsesidiga biståndet får omfatta begäranden om information och tillsynsåtgärder. En behörig myndighet får inte avslå begäran om det inte fastställs att myndigheten antingen inte är behörig att tillhandahålla det begärda biståndet, att det begärda biståndet inte står i proportion till den behöriga myndighetens tillsynsuppgifter eller att begäran avser information eller omfattar verksamhet som, om

den lämnas ut eller utförs, skulle strida mot den medlemsstatens väsentliga nationella säkerhetsintressen, allmänna säkerhet eller försvar. Innan den behöriga myndigheten avslår en sådan begäran ska den samråda med övriga berörda behöriga myndigheter samt, på begäran av de berörda medlemsstaterna, med kommissionen och Enisa.

När så är lämpligt får behöriga myndigheter från olika medlemsstater i samförstånd genomföra de gemensamma tillsynsåtgärderna (artikel 37).

Artikeln innebär en skyldighet för nationella tillsynsmyndigheter att samarbeta med och vid behov bistå behöriga myndigheter i andra medlemsstater. Detta samarbete och bistånd får omfatta informationsutbyte mellan de berörda myndigheterna och begäranden om att vidta tillsynsåtgärder i en annan medlemsstat. Det ska därför tas in en bestämmelse i förordningen som anger att tillsynsmyndigheten ska samarbeta med och bistå tillsynsmyndigheter i andra medlemsstater inom EES när det gäller verksamhetsutövare som tillhandahåller tjänster i mer än en medlemsstat eller tillhandahåller tjänster i en eller flera medlemsstater och dess nätverks- och informationssystem finns i en eller flera medlemsstater. En bestämmelse om att tillsynsmyndigheten ska samarbeta och bistå tillsynsmyndigheter i andra medlemsstater finns i dag i 19 § NIS-förordningen när det gäller tillhandahållare av digitala tjänster.

Vidare innehåller artikeln omständigheter då en tillsynsmyndighet får avslå en begäran om bistånd från en annan medlemsstats tillsynsmyndighet samt en skyldighet att samråda innan ett sådant beslut om avslag. Utredningen anser att även dessa förutsättningar bör anges i förordningen.

9. Ingripanden och sanktioner

9.1. Inledning

9.1.1. Bakgrund

Av NIS2-direktivet följer en skyldighet för medlemsstaterna att införa verktyg i syfte att uppnå effektiv tillsyn och efterlevnadskontroll. Tillsynsmyndigheternas befogenheter för att genomföra tillsyn behandlas i kapitel 8. Vidare ska medlemsstaterna fastställa regler om sanktioner för överträdelser av nationella regler som antagits med stöd av NIS2-direktivet och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. De nationella sanktionsbestämmelserna ska anmälas till kommissionen senast den 17 januari 2025 och eventuella ändringar som berör dem ska anmälas utan dröjsmål.1

NIS2-direktivet anger ett antal sanktioner för tillsynsmyndigheterna som i dagsläget saknas i NIS-lagen. Vidare anger NIS2-direktivet vissa miniminivåer avseende sanktionsavgifternas storlek, vilket saknades i NIS-direktivet. Dessa förändringar medför ett behov av att se över systemet för sanktioner, och i den mån det behövs föreslå förändringar och tillägg till dessa. Utredningen föreslår i det följande åtgärder som kompletterar tillsynsåtgärderna som föreslagits i kapitel 8.

9.1.2. Sammanfattning av utredningens förslag i denna del

Utredningens bedömning: Tillsynsmyndigheten ska i varje en-

skilt fall avgöra vilken sanktion som är mest lämplig att använda och hur den ska utformas. Avhjälpande åtgärder kan förenas med sanktioner. Om tillsynsmyndigheten inte har anledning att in-

1 Se artikel 36 NIS2-direktivet.

gripa på något annat sätt ska den meddela en anmärkning mot verksamhetsutövaren. Den kan i särskilda fall avstå från att ingripa.

Utredningens förslag: Tillsynsmyndigheten ska ingripa om en

verksamhetsutövare har åsidosatt sina skyldigheter enligt lagen om cybersäkerhet, eller föreskrifter som har meddelats med stöd av bestämmelserna om

1. skyldighet att utse företrädare enligt 1 kap. 6 §,

2. anmälningsskyldighet enligt 2 kap. 2 §,

3. riskhanteringsåtgärder enligt 3 kap. 1 §,

4. utbildning enligt 3 kap. 3 §, eller

5. incidentrapportering enligt 3 kap. 5–7 §§.

Tillsynsmyndigheten får avstå från att ingripa om någon annan har vidtagit åtgärder mot verksamhetsutövaren eller den fysiska personen med anledning av överträdelsen och tillsynsmyndigheten bedömer att dessa åtgärder är tillräckliga.

Tillsynsmyndigheten är skyldig att ingripa mot överträdelser av de skyldigheter som anges och avgöra på vilket sätt den ska ingripa, samt hur ingripandet ska utformas. Med ingripande avses ageranden som innebär att tillsynsmyndigheten använder sig av en eller flera av de angivna sanktionerna (föreläggande, förbud, sanktionsavgift eller anmärkning). Vid dessa bedömningar ska samtliga relevanta omständigheter beaktas, men vissa anges särskilt i lagen (se vidare avsnitt 9.4.2). Genom de ingripandemöjligheter som föreslås kommer det finnas ett stort utrymme för tillsynsmyndigheten att agera inom. Den lindrigaste formen av ingripande kommer att utgöras av att anmärkning beslutas, och detta ska vara obligatoriskt om inte något annat ingripande görs (se vidare avsnitt 9.5.7 nedan). Den allvarligaste formen av ingripande kommer att kunna bestå av en kombination av förelägganden, förbud och sanktionsavgift. I särskilda fall kan tillsynsmyndigheten avstå från att ingripa (se vidare avsnitt 9.3.1 nedan).

9.2. Administrativa sanktioner eller straffrättsliga påföljder?

Utredningens bedömning: Tillsynsmyndigheten ska kunna be-

sluta om administrativa sanktioner för överträdelser av bestämmelser i förslaget till den nya cybersäkerhetslagen och föreskrifter som har meddelats med stöd av den lagen.

I NIS2-direktivet (skäl 131 och 132) anges bland annat att medlemsstaterna ska kunna fastställa straffrättsliga påföljder och administrativa sanktioner för överträdelser av direktivets bestämmelser. Det överlämnas åt medlemsstaterna att i nationell rätt fastställa om påföljderna ska vara av administrativ eller straffrättslig natur.

Vid genomförandet av NIS-direktivet gjordes bedömningen att överträdelser inte skulle förenas med straffrättsliga påföljder, utan att påföljderna i stället skulle utgöras av administrativa sanktioner.2 Som skäl för sin bedömning angav utredningen bland annat att straffrättsliga sanktioner bör väljas som en sista utväg och om exempelvis administrativa sanktioner inte kan anses tillräckligt effektiva för att uppnå det aktuella ändamålet. Vidare bedömde utredningen att NISdirektivets syften kunde uppnås minst lika effektivt genom administrativa sanktioner i jämförelse med att införa bestämmelser om straffansvar. Som följd bedömde utredningen att genomförandet av NIS-direktivets sanktioner skulle föreslås vara av administrativt slag i svensk rätt. Regeringen anslöt sig till denna slutsats och bedömde att det var effektivare och i övrigt lämpligare med administrativa sanktioner än med straff.3 Därutöver har regeringen tidigare bedömt att sanktionsavgifter inte anses ingå i det straffrättsliga systemet och att det därför i princip saknas krav på att utforma sanktionsavgifter i enlighet med straffrättsliga principer.4

Den nu aktuella utredningen saknar skäl att göra någon annan bedömning avseende NIS2-direktivets genomförande, och ansluter sig till den argumentation som framfördes i NIS-utredningen. Som följd bör de sanktioner som införs till följd av NIS2-direktivet vara av administrativt slag.

2 SOU 2017:36 s. 183 ff. 3

Prop. 2017/18:205 s. 64 f.

4

Skr. 2009/10:79 s. 46.

9.3. Vilka överträdelser kan läggas till grund för sanktioner?

Utredningens förslag: Tillsynsmyndigheten ska ingripa om en

verksamhetsutövare har åsidosatt sina skyldigheter enligt cybersäkerhetslagen, eller föreskrifter som har meddelats med stöd av bestämmelserna om

1. skyldighet att utse företrädare enligt 1 kap. 6 §,

2. anmälningsskyldighet enligt 2 kap. 2 §,

3. riskhanteringsåtgärder enligt 3 kap. 1 §,

4. utbildning enligt 3 kap. 3 §, eller

5. incidentrapportering enligt 3 kap. 5–7 §§.

Av artikel 31.4 NIS2-direktivet följer en skyldighet för medlemsstaterna att införa befogenheter för tillsynsmyndigheterna som möjliggör ingripanden mot överträdelser av direktivet. Sådana överträdelser avser skyldigheterna att utse företrädare, vidta riskhanteringsåtgärder för cybersäkerhet, utbildning, incidentrapportering (se kapitel 7) och skyldigheten för verksamhetsutövare att anmäla sig till tillsynsmyndigheten (se avsnitt 6.2).

Rörande skyldigheterna att vidta riskhanteringsåtgärder inklusive utbildning och att incidentrapportera anser utredningen att samtliga sanktioner ska finnas tillgängliga för tillsynsmyndigheterna.

Avseende verksamhetsutövarens skyldighet att anmäla sig finns en motsvarande bestämmelse i dag (23 § NIS-lagen) och tillsynsmyndigheterna har enligt gällande rätt endast möjlighet att utfärda sanktionsavgifter mot verksamhetsutövare som underlåtelser att anmäla sig (29 § 1). Enligt utredningens uppfattning ska underlåtelse att anmäla sig även fortsättningsvis vara en sanktionsgrundande överträdelse. Till skillnad från vad som gäller i dag anser utredningen dock att en sådan överträdelse inte bara ska kunna angripas med sanktionsavgift, utan tillsynsmyndigheterna ska även ha möjlighet att meddela exempelvis förelägganden förenat med vite (se vidare avsnitt 9.5.1 nedan) i syfte att framtvinga en anmälan. I dag finns även en skyldighet för gränsöverskridande verksamhetsutövare som erbjuder tjänster inom EU men som saknar etablering inom unionen att anmäla en

företrädare i någon av de medlemsstater där tjänsterna erbjuds.5Motsvarande skyldighet följer också av artikel 26.3 i NIS2-direktivet och bör även fortsättningsvis gälla och vara grund för sanktioner om den inte uppfylls.

9.3.1. Tillsynsmyndigheten ska kunna avstå från att ingripa i särskilda fall

Utredningens förslag: Tillsynsmyndigheten får avstå från att in-

gripa om någon annan har vidtagit åtgärder mot verksamhetsutövaren eller den fysiska personen med anledning av överträdelsen och tillsynsmyndigheten bedömer att dessa åtgärder är tillräckliga.

Av artikel 4 i Europakonventionens sjunde tilläggsprotokoll följer bland annat det s.k. dubbelprövningsförbudet. Det innebär en rätt att inte bli lagförd eller straffas två gånger för samma brott (gärning). Eftersom en verksamhetsutövare kan bedriva flera verksamheter som faller under olika tillsynsmyndigheter riskerar en överträdelse att kunna angripas av flera tillsynsmyndigheter parallellt. På motsvarande sätt medför bestämmelserna om jurisdiktion (se avsnitt 5.3.2 ovan) att en enskild verksamhetsutövare kan omfattas av flera länders jurisdikton. Detta kan innebära att flera NIS2-tillsynsmyndigheter kan ingripa mot samma överträdelse. Om någon annan tillsynsmyndighet – svensk eller utländsk – ingriper mot samma överträdelse riskerar agerandet att bryta mot dubbelprövningsförbudet. Eftersom utredningen föreslår att tillsynsmyndigheten alltid ska ingripa mot överträdelser behöver en ventil skapas för att dubbelprövningsförbudet inte ska överträdas. Enligt utredningens mening ska det dock råda stark presumtion för ingripande. Som följd ska ventilen utformas på så sätt att det är möjligt att ingripa även om en annan myndighet ingripit, så länge dubbelprövningsförbudet inte överträds. Exempelvis skulle en överträdelse – som faller inom två tillsynsmyndigheters ansvarsområden – av den ena tillsynsmyndigheten kunna leda till ett åtgärdsföreläggande för att åtgärda överträdelsen och att den därefter avslutar sitt ingripande. Den andra tillsynsmyndigheten är då oförhindrad att meddela en sanktionsavgift till följd av samma överträdelse. Föreläggandet var av reparativ art (upphöra med en

5 Se 10 och 28 §§ NIS-lagen.

överträdelse) medan sanktionsavgiften är en påföljd för att överträdelsen över huvud taget skett. Ventilen skulle även kunna tillämpas när samma incident redan lett till kännbara sanktioner enligt något annat regelverk, t.ex. enligt säkerhetsskyddslagen.6

9.4. Gemensamma bestämmelser för sanktionerna

I denna del kommer utredningen att redogöra för de bestämmelser som är gemensamma i fråga om val av sanktion och utformning av dem.

9.4.1. Val av sanktion och generella krav på sanktionernas utformning

Utredningens bedömning: Det behöver inte införas särskilda be-

stämmelser i svensk rätt för att tillgodose NIS2-direktivets generella krav på sanktionernas utformning.

Tillsynsmyndighetens möjligheter att meddela sanktioner ska framgå av lag.

Av artikel 36 i NIS2-direktivet följer att de sanktioner som en tillsynsmyndighet meddelar ska vara effektiva, proportionella och avskräckande. Utredningen anser att dessa aspekter ska vara vägledande för tillsynsmyndigheternas ingripanden inom ramen för NIS2-bestämmelserna i fråga om vilken sanktion som ska väljas och vid utformningen av den. Vad gäller kravet på att åtgärden ska vara effektiv och proportionerlig framgår sådana krav redan av 5 § tredje stycket förvaltningslagen (2017:900). Det saknar enligt utredningens mening därför skäl att införa särskilda bestämmelser till följd av NIS2-direktivet. I fråga om att sanktionerna ska ha en avskräckande effekt anser utredningen att ett sådant krav uppfylls genom det handlingsutrymme som tilldelas tillsynsmyndigheterna i fråga om val av åtgärd och dess utformning.7 Vidare bedömer utredningen att NIS2-direktivets krav (artikel 32.8) på motivering av beslut och kommunicering med mera för svenska myndigheter redan följer av förvaltningslagen. Som följd anser utredningen att det inte behöver införas särskilda bestämmel-

6

Se prop. 2017/18:205 s. 71 f.

7

Se till exempel prop. 2020/21:194 s. 89 och 103.

ser i svensk rätt för att genomföra NIS2-direktivets krav avseende sanktionernas utformning eller det processuella förfarandet knutet till dem.

Precis som gäller i dag bör sanktionerna – som är ingripande åtgärder – regleras i lag för att uppfylla regeringsformens krav på normgivning.8

9.4.2. Vad ska beaktas särskilt vid val av sanktion och utformningen av dem?

Utredningens bedömning: Vid valet av sanktion, utformningen

av den och vid bestämmande av en sanktionsavgifts storlek ska tillsynsmyndigheten beakta samtliga relevanta omständigheter. Därutöver ska vissa omständigheter beaktas särskilt.

Utredningens förslag: Vid val och utformning av ingripande-

åtgärder ska hänsyn tas till hur allvarlig överträdelsen är, hur länge den har pågått, samt den skada eller risk för skada som uppstått till följd av överträdelsen.

Vid bedömningen ska särskilt beaktas

1. de åtgärder verksamhetsutövaren vidtagit för att förhindra eller

minska skadan,

2. verksamhetsutövarens samarbete med tillsynsmyndigheten,

3. om överträdelsen begåtts med uppsåt eller oaktsamhet, och

4. den ekonomiska fördel som verksamhetsutövaren fått till följd

av överträdelsen.

Enligt artiklarna 32.7, 33.5 och 34.3 i NIS2-direktivet ska medlemsstaterna tillgodose att tillsynsmyndigheterna åtminstone tar hänsyn till vissa omständigheter (angivna i artikel 32.7) när de beslutar om ett ingripande, eller om en sanktionsavgift ska påföras och dess storlek. Dessa omständigheter är:

8 Jfr 8 kap. 2 § första stycket 2 regeringsformen, se vidare SOU 2017:36 s. 189.

a) Överträdelsens allvar och betydelsen av de bestämmelser som har

överträtts, med beaktande av att bland annat följande alltid ska anses vara en allvarlig överträdelse:

i) Upprepade överträdelser. ii) Underlåtenhet att underrätta om eller avhjälpa betydande incidenter.

iii) Underlåtenhet att avhjälpa brister enligt bindande instruktioner från behöriga myndigheter.

iv) Hindrande av revisioner eller övervakningsverksamhet som den behöriga myndigheten beordrat efter det att en överträdelse konstaterats.

v) Tillhandahållande av falsk eller grovt felaktig information i fråga om riskhanteringsåtgärder för cybersäkerhet eller rapporteringsskyldigheter enligt artiklarna 21 och 23.

b) Överträdelsens varaktighet.

c) Eventuella tidigare relevanta överträdelser från den berörda enti-

tetens sida.

d) Den materiella eller immateriella skada som uppstått, inbegripet

finansiella eller ekonomiska förluster, effekter på andra tjänster och det antal användare som berörs.

e) Uppsåt eller oaktsamhet från den som har gjort sig skyldig till

överträdelsen.

f) De åtgärder som entiteten har vidtagit för att förhindra eller be-

gränsa den materiella eller immateriella skadan.

g) Efterlevnad av godkända uppförandekoder eller godkända certi-

fieringsmekanismer.

h) I vilken utsträckning de fysiska eller juridiska personer som hålls

ansvariga samarbetar med de behöriga myndigheterna.

Dessa bestämmelser saknar motsvarighet i NIS-direktivet och NISlagen. Omständigheterna i 32.7 NIS2-direktivet är många, tar sikte på olika händelsetyper (överträdelser och incidenter) och kan innebära att en överträdelse ska bedömas som allvarlig. Utredningen anser att dessa omständigheter bör anges i lag med de anpassningar som behövs, i syfte att främja en enhetlig tillämpning hos tillsynsmyndigheterna. En sådan ordning skapar också ökad förutsebarhet

även för de verksamhetsutövare som omfattas av regleringen. Utredningen anser dock inte att uppräkningen ska uppfattas som uttömmande kring vilka omständigheter ska beaktas vid prövningen, utan ska ses som styrning kring vilka omständigheter som särskilt ska beaktas. Utredningen bedömer att skyldigheten att beakta samtliga relevanta omständigheter – utöver de nyss uppräknade – följer av 23 § förvaltningslagen (2017:900) och den så kallade omsorgsprincipen.9Som följd behöver en sådan skyldighet inte regleras särskilt i den föreslagna cybersäkerhetslagen. Enligt utredningens uppfattning bör den bärande principen vid bestämmandet av ett ingripande eller en sanktionsavgift vara en sammanvägd bedömning av omständigheterna i det enskilda fallet.

Av systematiken i NIS2-direktivet följer att vissa omständigheter ska anses innebära en allvarlig överträdelse. Utredningen anser att en överträdelse kan anses allvarlig även om sådana omständigheter saknas. Som följd bör tillsynsmyndigheten beakta vissa omständigheter särskilt, och förekomsten av dem ska innebära en presumtion för att överträdelsen är allvarlig, men även andra omständigheter kan göra att en överträdelse ska bedömas som allvarlig. Mot bakgrund av detta föreslår utredningen en ordning där vissa omständigheter ska beaktas, och de kan i det enskilda fallet innebära förmildrande, neutrala eller försvårande omständigheter. Vidare ska vissa omständigheter alltid beaktas som förmildrande, medan andra alltid som försvårande. Slutligen ska förekomsten av vissa omständigheter alltid medföra att överträdelsen ska beaktas som allvarlig.

Omständigheter som ska beaktas

Hur allvarlig överträdelsen är och hur länge den har pågått

Vid bedömningen av en överträdelses allvarsgrad ska överträdelsens omfattning vägas in. Allvarlighetsbedömningen kan även påverkas av särskilda bedömningsgrunder som redogörs för senare i detta avsnitt. Vidare bör tiden som överträdelsen pågått vägas in. Här ska noteras att en överträdelse som inträffar vid en viss tidpunkt men upptäcks långt senare och åtgärdas omedelbart ändå kan vara att betrakta som en allvarlig överträdelse. I gengäld bör ett sådant skynd-

9 Se prop. 2016/17:180 s. 148 f.

samt agerande att åtgärda den allvarliga överträdelsen kunna vägas in i mildrande riktning.

Uppkommen (risk för) skada

Omfattningen av den skada, eller risk för skada, som har uppstått till följd av överträdelsen är en faktor som ska beaktas särskilt. I NIS2direktivet anges att skadan kan avse både materiell och immateriell skada, inklusive finansiella eller ekonomiska förluster, effekter på andra tjänster och det antal användare som berörs. Utredningen bedömer att dessa exempel kan vara vägledande, men det saknas skäl att begränsa tillsynsmyndighetens bedömning till dessa aspekter. I stället ska begreppet ”skada” ses ur ett brett perspektiv utifrån omständigheterna i det enskilda fallet. Utredningen föreslår vidare att bedömningsgrunden inte ska vara begränsad till faktisk skada, utan även risk för skada som överträdelsen kan ha medfört.

Vidtagna åtgärder för att minimera skada

Många gånger kommer omfattningen av ett ingripande att påverkas av vilka åtgärder som verksamhetsutövaren har vidtagit för att minska eller helt förhindra skadan som (hade kunnat) uppstått till följd av överträdelsen. Det ska enligt utredningens bedömning röra sig om verksamma åtgärder för att bestämmelsen ska kunna leda till en mildrande påverkan av vilken sanktion som tillgrips och utformningen av den (exempelvis en sanktionsavgifts storlek). Bedömningspunkten kommer kunna ha ett nära samband med punkten Uppkommen (risk

för) skada ovan, enligt vilken det kan ha uppstått en risk för skada,

men där faktisk skada har undvikits eller minimerats tack vare att verksamhetsutövaren vidtagit skyndsamma och verkningsfulla åtgärder.

Verksamhetsutövarens samarbete med tillsynsmyndigheten i utredningen

En ytterligare aspekt att beakta är i vilken utsträckning verksamhetsutövaren samarbetat med tillsynsmyndigheten inom ramen för den aktuella utredningen. Att verksamhetsutövaren har incident-

rapporterat är således inte i sig en åtgärd som tyder på samarbetsvilja eftersom det utgör en skyldighet för verksamhetsutövaren. Om verksamhetsutövaren motverkat eller inte bidragit i utredningen bör detta beaktas i försvårande riktning, medan ett aktivt samarbete där verksamhetsutövaren rättar sig efter tillsynsmyndighetens anvisningar och rekommendationer ska beaktas som förmildrande.

Uppsåt eller oaktsamhet hos verksamhetsutövaren

Ingripande mot en oavsiktlig och oaktsam överträdelse ska som utgångspunkt ske mildare än en avsiktlig och genomtänkt överträdelse. Detta hänger även samman med att överträdelser av regelverket i vissa fall kommer vara enklare att konstatera än i andra. Som följd kan oavsiktliga överträdelser av regelverket uppstå trots att verksamhetsutövaren har försökt att efterleva detsamma. På omvänt sätt ska en grovt oaktsam eller uppsåtlig överträdelse betraktas i starkt försvårande riktning. Vid sådana överträdelser anser utredningen att tillsynsmyndigheten bör betrakta överträdelsen som allvarlig och anpassa sitt ingripande därefter.

Ekonomiska fördelar genom överträdelsen

Av 31 § NIS-lagen följer bland annat att de kostnader som verksamhetsutövaren har undvikit till följd av överträdelsen ska beaktas vid bestämmande av en sanktionsavgifts storlek. Denna aspekt saknar grund i NIS-direktivet och NIS2-direktivet innehåller inte heller någon liknande punkt att beakta. Utredningen bedömer dock att den aktuella bedömningsgrunden har visat sig effektiv och anser att den ska överföras även till den nya lagen med vissa modifieringar. Även om bedömningsgrunden troligen är mest relevant i fråga om bestämmande av sanktionsavgifters storlek kan det inte uteslutas att den även kan vara relevant vid andra bedömningar av en överträdelse. Utredningen föreslår vidare att begreppet ”ekonomisk fördel” ska användas i stället för ”vinst” eller ”kostnad” som förekommer i annan författning.10 Fördelen med begreppet ”ekonomisk fördel” är att det

10

Se 7 kap. 5 § säkerhetsskyddslagen (2018:585).

enligt utredningens mening både inbegriper fastställbara vinster och undvikna kostnader till följd av överträdelser.11

Om en verksamhetsutövare genom sin överträdelse fått någon ekonomisk fördel ska detta därmed beaktas som försvårande vid bestämmande av sitt ingripande. Exempelvis ska en sanktionsavgifts storlek kunna anpassas för att eliminera de ekonomiska fördelar som verksamhetsutövaren dragit av sitt agerande, till exempel genom att inte bekosta en viss skyddsåtgärds genomförande.

Omständigheter som ska påverka i försvårande respektive mildrande riktning

Utredningens förslag: Vid bedömningen av en överträdelse ska

det beaktas som försvårande om verksamhetsutövaren tidigare har begått en överträdelse.

I förmildrande riktning ska beaktas om verksamhetsutövaren har följt godkända uppförandekoder eller godkända certifieringsmekanismer.

Tidigare överträdelser

Om en verksamhetsutövare tidigare begått en eller flera överträdelser ska tillsynsmyndigheten överväga om de kan anses utgöra en försvårande omständighet vid bedömningen av den nu aktuella överträdelsen. Denna bedömning tar sikte på en bredare krets av överträdelser än sådana som kan leda till att det kan anses röra sig om

upprepade överträdelser (se vidare nedan). De tidigare överträdel-

serna bör bedömas vara relevanta, men de behöver inte vara identiska med den nu aktuella. Tiden sedan den föregående och relevanta överträdelsen begicks bör också vägas in i bedömningen, där en lång tid bör tala i mildrande riktning och vice versa. Om verksamhetsutövaren gjort sig skyldig till likartade överträdelser som dessutom ligger nära i tiden ska detta bedömas som försvårande. Samma slutsats bör gälla om tillsynsmyndigheten bedömer att överträdelserna har skett på ett närmast systematiskt sätt.

11 Jfr prop. 2016/17:22 s. 386.

Efterlevnad till godkända uppförandekoder eller certifieringsmekanismer

En omständighet som alltid ska beaktas i förmildrande riktning är om en verksamhetsutövare har valt att följa uppförandekoder eller certifieringsmekanismer som tagits fram baserat på EU:s arbete. En tillsynsmyndighet skulle kunna bedöma att en verksamhetsutövare som tillämpar en sådan uppförandekod har begått en överträdelse i ett visst avseende. Vid granskning bedömer man dock att skälet till att överträdelsen har uppstått är att uppförandekoden följts. I ett sådant läge där en lojal tillämpning av en uppförandekod medför en överträdelse av NIS2-direktivets skyldigheter anser utredningen att det alltid ska påverka i mildrande riktning.

Omständigheter som ska göra att en överträdelse är allvarlig

Utredningens förslag: En överträdelse ska betraktas som allvarlig

om verksamhetsutövaren

1. har begått upprepade överträdelser,

2. inte har rapporterat eller avhjälpt en betydande incident,

3. inte har följt ett tidigare föreläggande från en tillsynsmyndig-

het,

4. har hindrat säkerhetsrevisioner eller tillsynsåtgärder som till-

synsmyndigheten beslutat om, eller

5. har lämnat oriktiga uppgifter avseende riskhanteringsåtgärder

eller rapporteringsskyldigheter enligt 3 kap. 1 eller 5–7 §§.

Utredningen anser mot bakgrund av NIS2-direktivets exemplifiering att förekomsten av någon av följande omständigheter ska göra att överträdelsen är att betrakta som allvarlig.

Upprepade överträdelser

Om verksamhetsutövaren har begått överträdelser som är av samma eller likartad art kan den aktuella överträdelsen bedömas utgöra ett led i upprepade överträdelser. En upprepad överträdelse ska alltid innebära att överträdelsen är att betrakta som allvarlig. För att kunna avgöra om en överträdelse är upprepad bör både överträdelsens art och tiden mellan den föregående och nu aktuella överträdelsen beaktas. Detta skulle exempelvis kunna innebära att en verksamhetsutövare har gjort sig skyldig till två tidigare identiska överträdelser, men att de har skett med två års mellanrum varje gång. Det rör sig då förvisso om identiska överträdelser som har upprepats, men det är inte säkert att de ska bedömas som upprepade enligt den aktuella bedömningsgrunden, utan det kan ligga närmare till hands att beakta dem som tidigare överträdelser enligt ovan. Om överträdelserna tyder på att verksamhetsutövaren begått dem på ett systematiskt sätt bör det anses utgöra en upprepad överträdelse.

Underlåtelse att rapportera eller avhjälpa betydande incidenter

Om en verksamhetsutövare underlåter att rapportera eller avhjälpa en betydande incident12 ska en sådan överträdelse bedömas som allvarlig. En sådan överträdelse ska enligt utredningen anses föreligga både om verksamhetsutövaren inte rapporterar eller avhjälper över huvud taget, eller om det avseende rapporteringen sker men efter de tidsramar som anges i cybersäkerhetslagen.

Om tidigare föreläggande inte följts

En överträdelse som har sitt ursprung i att en verksamhetsutövare inte har följt ett föreläggande från en tillsynsmyndighet (se avsnitt 9.5.1 nedan) ska anses utgöra en allvarlig överträdelse. Bedömningen kan komma att behöva nyanseras av tillsynsmyndigheten, exempelvis om verksamhetsutövaren uppenbart försökt följa föreläggandet på ett lojalt sätt, men inte lyckats fullt ut. Åt andra hållet kan uppenbart motstånd, exempelvis genom att ingen åtgärd vidtagits alls, beaktas som försvårande.

12

Se artikel 23 i NIS2-direktivet.

Hindrat verkställighet av tillsynsmyndighetens tillsynsåtgärder m.m.

Även sådana ageranden som innebär att verksamhetsutövaren har hindrat säkerhetsrevisioner eller andra åtgärder som en tillsynsmyndighet har beslutat om ska anses utgöra en allvarlig överträdelse av bestämmelserna. För att ageranden ska kunna utgöra en sådan överträdelse krävs enligt utredningens mening att agerandet bestått av någon form av passiv eller aktiv obstruktion av åtgärden, till exempel genom att vägra tillsynsmyndigheten tillträde till verksamhetsutövarens lokaler. Det kan därmed inte röra sig om att överklaga tillsynsmyndighetens beslut.

Oriktiga uppgifter

Slutligen ska även oriktiga uppgifter beaktas särskilt och leda till att en överträdelse ska bedömas som allvarlig. Bestämmelsen bör inte ta sikte på oriktiga uppgifter i alla skeden, utan begränsas till sådana som lämnas avseende riskhanteringsåtgärder eller rapporteringsskyldigheter. Motsvarande begränsning finns bland annat inom säkerhetsskyddsbestämmelserna.13 Med ”oriktig uppgift” avses felaktiga eller missvisande uppgifter, men även utelämnade uppgifter som borde ha lämnats.14

Effekten av att en överträdelse är att betrakta som allvarlig

NIS2-direktivet anger inte vad följden av att en överträdelse bedöms som allvarlig ska vara. Enligt utredningens mening får en sådan klassificering ses i ljuset av de grundläggande principerna i direktivet om att sanktioner ska vara effektiva, proportionella och avskräckande med beaktande av omständigheterna i varje enskilt fall. Att en överträdelse är allvarlig bör innebära att mer ingripande och avskräckande sanktioner anses uppfylla proportionalitetskravet. Det bör således innebära att tillsynsmyndigheten dels ska kunna tillgripa mer långtgående sanktionstyper (exempelvis förbudssanktionen, se avsnitt 9.5.6), dels utforma sanktionerna på ett mer ingripande sätt. Det senare kan exempelvis ske genom att tillsynsmyndigheten bestämmer ett vite

13 Se 7 kap. 1 § 5 och 2 § 3 säkerhetsskyddslagen (2018:585). 14

Jfr 49 kap. 5 § skatteförfarandelagen (2011:1244).

eller en sanktionsavgift till ett högre beloppsintervall, för att på så vis öka graden av avskräckande. Enligt utredningens uppfattning saknas det dock skäl att föra in dessa konsekvenser i författning, utan dessa ska i stället beaktas som en del av tillsynsmyndigheternas helhetsprövning.

9.5. Vilka administrativa sanktioner och andra möjligheter till ingripande ska finnas?

Utredningens bedömning: De sanktioner och ingripandemöjlig-

heter som i dag finns i NIS-lagen (föreläggande och sanktionsavgift) ska anpassas och överföras till den föreslagna nya cybersäkerhetslagen. Fyra nya sanktioner ska införas: anmärkning, information till användare om betydande cyberhot, offentliggörande av överträdelser, respektive förbud för personer att utöva ledningsfunktioner. Maximinivåerna för sanktionsavgifter ska höjas till de nivåer som följer av NIS2-direktivet.

Som tidigare redovisats bygger NIS2-direktivet vidare på de skyldigheter och ingripandemöjligheter som togs fram i NIS-direktivet och som genomförts i svensk rätt. Utredningens uppfattning är att dessa ingripandemöjligheter har visat sig ändamålsenliga och att de bör därför överföras till den nya regleringen, med de modifikationer och tillägg som föranleds av NIS2-direktivet. Övervägandena och ingripandemöjligheterna kommer att redovisas i det följande.

9.5.1. Föreläggande som kan förenas med vite

Utredningens förslag: Tillsynsmyndigheten får meddela de före-

lägganden som behövs för att verksamhetsutövare ska uppfylla skyldigheterna som följer av 5 kap. 1 § i den föreslagna cybersäkerhetslagen.

Ett föreläggande får förenas med vite.

Utredningen har i avsnitt 8.4.6 bedömt att tillsynsmyndigheten ska få meddela förelägganden vid vite. Föreläggande med vitesmöjlighet är ett centralt verktyg för att tillsynsmyndigheterna ska kunna tillse att de aktuella reglerna efterlevs.15 Sanktionen syftar till att den som står under tillsyn ska lämna viss information som behövs för tillsynen eller efterlevnadskontrollen. Utredningen bedömer att sanktionen även ska kunna användas för att förmå en aktör att vidta – eller avstå från att vidta – vissa åtgärder.

Motsvarande reglering återfinns i dag i 28 § NIS-lagen. Utredningen bedömer att motsvarande bestämmelse ska föreslås även i cybersäkerhetslagen. För att sanktionen ska kunna vara både effektiv och avskräckande bedömer utredningen att den även fortsättningsvis ska kunna förenas med vite. Om vite föreläggs är lagen (1985:206) om viten tillämplig, vilket bland annat innebär att proportionalitetskrav kommer att behöva beaktas vid fastställande av vitets storlek (se avsnitt 8.4.6). Lagen innehåller inte några beloppsbegränsningar, vilket medför att tillsynsmyndigheterna kan fastställa vitesbeloppet till den nivå man finner lämpligt för att den avsedda effekten ska uppnås.

Åtgärden ska kunna riktas mot offentliga aktörer. Utredningen förutsätter visserligen att offentliga aktörer kommer att rätta sig efter tillsynsmyndighetens anmaningar frivilligt, och därmed att viteshotet endast undantagsvis kommer att behöva realiseras. Möjligheten bör dock ändå finnas där för tillsynsmyndigheterna, till exempel för situationen när det finns en betydande risk i nätverks- eller informationssystem och där tillsynsmyndigheten misstänker att riskhanteringsåtgärder inte har vidtagits. Det kan också röra sig om att åtgärder måste vidtas skyndsamt i syfte att uppnå avsedd effekt.

9.5.2. Informera användare om betydande cyberhot

Utredningens förslag: Tillsynsmyndigheten får förelägga en verk-

samhetsutövare att informera de användare som kan påverkas av ett betydande cyberhot om hotet och vilka skydds- eller motåtgärder de kan vidta. Ett sådant föreläggande ska få förenas med vite.

15

Se skr. 2009/10:79 s. 44.

Enligt artiklarna 32.4 e och 33.4 e NIS2-direktivet ska medlemsstaterna säkerställa att tillsynsmyndigheterna har möjlighet att ålägga verksamhetsutövare att informera de fysiska eller juridiska personer till vilka de tillhandahåller tjänster eller utför verksamheter som potentiellt kan beröras av ett betydande cyberhot om hotets karaktär och om eventuella skyddsåtgärder eller avhjälpande åtgärder som dessa fysiska eller juridiska personer kan vidta som svar på hotet. Bestämmelsen saknar motsvarighet i NIS-direktivet. Enligt NIS2direktivet ansluter ingripandemöjligheten till förekomsten av ett bety-

dande cyberhot, vilket definieras i artikel 6.11. Av detta följer att

informationsskyldigheten inte kräver att en viss incident har inträffat, utan ett cyberhot är tillräckligt. Om ett sådant förekommer ska verksamhetsutövaren kunna göras skyldig att informera de som använder verksamhetsutövarens tjänster om cyberhotets karaktär och de åtgärder som kan vidtas av användaren för att undvika eller minska effekterna av hotet. En liknande bestämmelse återfinns i 8 kap. 4 § LEK. Utredningen bedömer att det finns anledning att det ska införas en möjlighet för NIS2-tillsynsmyndigheterna att meddela förelägganden för att framtvinga att en verksamhetsutövare informerar om cyberhot på det sätt som direktivet anger. Ett sådant föreläggande ska kunna förenas med vite.

9.5.3. Offentliggörande av överträdelser av direktivet

Utredningens förslag: Tillsynsmyndigheten får förelägga en verk-

samhetsutövare att offentliggöra information på det sätt som tillsynsmyndigheten beslutar rörande överträdelser av cybersäkerhetslagen och föreskrifter som har meddelats med stöd av lagen. Ett sådant föreläggande ska få förenas med vite.

Enligt artikel 32.4 h i NIS2-direktivet ska medlemsstaterna säkerställa att tillsynsmyndigheterna har möjlighet att ålägga de berörda verksamhetsutövarna att offentliggöra aspekter av överträdelser av direktivet på ett specificerat sätt. Bestämmelsen saknar motsvarighet i NIS-direktivet och någon liknande befogenhet har inte införts tidigare. Utredningen bedömer att den aktuella sanktionen kan anses täckas av möjligheterna i svensk rätt att meddela föreläggande. I andra lagstiftningsärenden där liknande – men inte identiska – bestämmelser

genomförts i svensk rätt har dock sanktionen angivits särskilt, utöver den allmänna möjligheten till förelägganden.16 Utredningen bedömer mot denna bakgrund att NIS2-sanktionen bör anges särskilt. Det bör ankomma på tillsynsmyndigheterna att närmare besluta var ett offentliggörande ska ske och vilka uppgifter offentliggörandet ska innehålla.

9.5.4. Utse övervakningsansvarig hos tillsynsmyndigheten

Utredningens bedömning: Det behöver inte införas någon sär-

skild rätt för tillsynsmyndigheten att utse en övervakningsansvarig hos tillsynsmyndigheten.

I artikel 32.4 g NIS2-direktivet anges att medlemsstaterna ska säkerställa att de behöriga myndigheterna har befogenhet att utse en övervakningsansvarig med väldefinierade uppgifter för en fastställd tidsperiod för att övervaka att de berörda verksamhetsutövarna efterlever artiklarna 21 och 23 i direktivet. Bestämmelsen ger en grund för tillsynsmyndigheten att peka ut en tjänsteman hos sig att fullgöra de angivna uppgifterna. Utredningen bedömer att sådana möjligheter redan föreligger för tillsynsmyndigheten utan att detta behöver anges särskilt. Som följd behöver inte några förslag lämnas för att genomföra den aktuella bestämmelsen i svensk rätt.

9.5.5. Tillfälligt upphävande av auktorisation eller certifiering

Utredningens bedömning: Det ska inte införas en möjlighet till

tillfälligt upphävande av en väsentlig verksamhetsutövares auktorisation eller certifiering.

16

Se till exempel 8 kap. 3 § andra stycket lagen (2022:482) om elektronisk kommunikation, jfr 5 kap. 6 c § i den upphävda lagen (2003:389) om elektronisk kommunikation.

Finns behov av att införa sanktionen?

Enligt artikel 32.5 a NIS2-direktivet ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenhet att tillfälligt upphäva eller begära att ett certifierings- eller auktorisationsorgan, eller en domstol, i enlighet med nationell rätt, tillfälligt upphäver en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls eller verksamheter som utövas av den väsentliga verksamhetsutövaren. Redan den omständigheten att sanktionen är en sådan som enligt NIS2-direktivet ska genomföras av medlemsstaterna talar med styrka för att det finns ett behov av att en sådan sanktion ska föreslås. Frågan är dock om en sådan sanktion kan anses ha någon praktisk verkan i det svenska systemet som föreslås.

Någon motsvarande bestämmelse finns inte i NIS-direktivet, men övervägdes ändå att införas i samband med det ursprungliga direktivets genomförande.17 Både NIS-utredningen och regeringen valde dock att inte föreslå någon sådan sanktion. Som skäl angavs bland annat att merparten av de aktörer som omfattas av NIS-lagen inte är beroende av tillstånd för att bedriva sin verksamhet, och att en sådan sanktion därmed inte är användbar för ingripanden i de flesta fall.18

Utredningen delar uppfattningen även avseende NIS2-direktivet att de flesta verksamhetsutövare som träffas av regleringen inte är beroende av ett visst tillstånd för att bedriva sin verksamhet. Detta skulle kunna tala för att behovet av att införa den aktuella sanktionen är begränsat. Utredningen noterar dock att genom formuleringen i NIS2-direktivet är sanktionen inte begränsad till ”tillstånd”, utan rör ”certifiering eller auktorisation”. Det framstår dock som oklart vilka former av auktorisationer eller certifieringar som avses. En sanktion som medger tillfälligt upphävande av certifiering eller auktorisation är en ingripande åtgärd som enligt utredningens mening ställer höga krav på att förutsägbarhets- och rättssäkerhetsperspektiv kan upprätthållas. Som följd behöver räckvidden av skrivningen tolkas. I brist på annat tillgängligt underlag bedömer utredningen i det finns åtminstone två olika tolkningar kring räckvidden.

Den första tolkningen är att sanktionen tar sikte på tillstånd att

bedriva verksamhet som faller under direktivets tillämpning. Utred-

ningen kan konstatera att varken NIS- eller NIS2-direktivet ställer

17 SOU 2017:36 s. 185 och prop. 2017/18:205 s. 66. 18

Prop. 2017/18:205 s. 66.

krav på att en verksamhetsutövare ska beviljas tillstånd för att få bedriva den verksamhet som gör att de träffas av direktiven. Det går inte att utesluta att andra medlemsländer har infört nationella bestämmelser om tillståndsplikt för NIS-verksamhet, och att sanktionen skulle kunna ta sikte på sådana länder. Några motsvarande krav finns dock inte i svensk rätt. Att införa ett sådant krav med tillhörande sanktionsmöjlighet skulle därför framstå som främmande. Detta talar enligt utredningen med styrka emot att införa sanktionsmöjligheten på denna grund.

Den andra tolkningen innebär att de certifieringar eller auktorisationer som avses är sådana som kan vara av betydelse för att uppnå en hög gemensam cybersäkerhetsnivå inom EU (artikel 1). Av artikel 35.2 NIS2-direktivet framgår dock inte någon exemplifiering på vilka certifieringar/auktorisationer detta skulle kunna avse, varför det behöver tolkas.

En extensiv tolkning av innebörden skulle som utgångspunkt innebära en rätt för tillsynsmyndigheterna att begära att alla former av certifieringar/auktorisationer ska kunna upphävas tillfälligt, så länge dessa till någon del kan påverka verksamhetsutövarens möjlighet att upprätthålla en verksamhet av betydelse för NIS2-direktivet. Detta skulle exempelvis kunna inkludera en verksamhetsutövares frivilliga certifiering enligt ISO 27000-serien, eller en mobiltelefonioperatörs tillstånd att använda radiosändare och som meddelats med stöd av lagen (2022:482) om elektronisk kommunikation. Upphävande av dessa typer av certifieringar eller auktorisationer skulle förvisso kunna påverka verksamhetsutövarnas möjligheter att utöva verksamhet enligt NIS2. En sådan räckvidd av sanktionen framstår dock som allt för ingripande i förhållande till vad den är tänkt att uppnå (jfr artikel 1), och det saknas stöd i NIS2-direktivet för att en sådan verkan har varit avsedd. Att ge verktyget en sådan långtgående verkan skulle också göra att det inte går att förutse vilken typ av ingripanden som skulle kunna ske med stöd av det. Detta skulle innebära oöverblickbara konsekvenser ur förutsägbarhets- och rättssäkerhetssynpunkt för de som kan drabbas av sanktionen, och därtill vålla avsevärda tillämpningssvårigheter för tillsynsmyndigheterna. Utredningen bedömer att ett sådant tillsynsverktyg inte kan föreslås införas i svensk rätt.

En restriktiv tolkning skulle enligt utredningens uppfattning kunna ta sikte på sådana auktorisationer och certifieringar som har en tydligare koppling till NIS2-direktivet.19 Utredningen har kunnat identifiera två exempel på sådana, nämligen eIDAS20 respektive europeiska cybersäkerhetscertifikat (nedan ECC). Båda dessa regelverk har sin grund i EU-förordningar, och i Sverige finns det endast en myndighet (PTS avseende eIDAS, FMV avseende ECC) som är behörig att fatta beslut med stöd av respektive regelverk.21 Om den nu aktuella NIS2-sanktionen ska införas behöver den därför utformas som en möjlighet för tillsynsmyndigheterna att ansöka hos behörig myndighet om tillfälligt upphävande av viss certifiering eller auktorisation. Ett sådant tillfälligt upphävande ska dessutom endast gälla till dess att verksamhetsutövaren har avhjälpt de aktuella bristerna eller uppfyllt de aktuella kraven från tillsynsmyndigheten. Således måste ett tillfälligt upphävande också kunna upphöra i förtid om förutsättningarna för det är uppfyllda. Förutsättningarna för en sådan mekanism ska undersökas i det följande.

Inget av regelverken innehåller någon fristående möjlighet att tillfälligt upphäva certifikat/auktorisation till följd av överträdelser enligt NIS2-direktivet. Detta innebär att en begäran om upphävande i stället skulle prövas enligt de ordinarie bestämmelserna i respektive regelverk. Detta talar enligt utredningen emot att en sanktion ska införas, givet att respektive regelverk inte har de övriga mekanismer som artikel 32.5 i NIS2-direktivet förutsätter. Inom ramen för eIDAS saknas möjligheten till tillfälliga upphävanden, där en återkallelse i stället gäller till dess att en status beviljats på nytt.22 Genom att möjligheten till tillfälligt upphävande saknas23 kan den aktuella sanktionen därmed inte heller återställas på NIS-tillsynsmyndighetens initiativ. Detta kan inte anses följa den systematik som artikel 32.5 förutsätter för att kunna tillämpas. Utredningen bedömer därför att

19

Se artiklarna 6.24–27 och 13.4–5 respektive 24.2 i NIS2-direktivet.

20

Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

21

Se 4 § lagen (2016:561) jämte 4 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, respektive 2 § lagen (2021:553) jämte 3 § förordningen (2021:555) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.

22

Jfr artiklarna 3.16–17, 3.20, 17.4 g och 20.3 i eIDAS-förordningen. Se även 4 § lagen (2016:561) jämte 4 § i den anslutande förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

23

Ett arbete med att ta fram en ny eIDAS-förordning pågår för närvarande inom EU, och det är än så länge oklart om någon möjlighet till tillfälligt upphävande av status kommer att införas i den nya förordningen.

NIS2-direktivets koppling till eIDAS-regelverket inte ger skäl för att införa den aktuella sanktionen.

Avseende ECC har kommissionen givits rätt att komplettera direktivet genom att göra cybersäkerhetscertifiering obligatorisk för vissa verksamhetsutövare.24 I dag är det frivilligt för aktörer att ansöka om sådan certifiering. För denna typ av certifikat finns möjlighet för den nationella tillsynsmyndigheten att begränsa, återkalla eller tillfälligt upphäva certifikat.25 Här kan noteras att mekanismen ”tillfälligt upphäva” finns angiven, vilket ansluter till NIS2-direktivets aktuella begrepp och systematik. Detta gör enligt utredningen att den kan anses ha en närmare koppling till NIS2:s mekanismer än vad eIDAS har. Som tidigare konstaterats ska dock prövningen av så väl tillfälligt upphävande som återställande ske enligt andra bedömningskriterier än de som återfinns i NIS2-direktivet. När NIS2-tillsynsmyndigheten bedömer att det inte längre finns grund för sanktionen ska den upphöra. Det kommer dock vara upp till FMV att avgöra om förutsättningarna för att häva sanktionen är uppfyllda. Det saknas därmed garantier för att sanktionen kommer att upphävas, trots NIS2-tillsynsmyndighetens begäran om det. Som följd anser utredningen att inte heller denna systematik motsvarar vad som förutsätts enligt artikel 32.5. Inte heller kopplingen mellan NIS2 och ECC är därför tillräcklig för att utredningen ska föreslå ett genomförande av den aktuella sanktionen.

Utredningen har inte kunnat identifiera några andra certifieringar eller auktorisationer med tydlig koppling till NIS2 och som skulle kunna komma i fråga att angripa med sanktionen. Som följd anser utredningen att sanktionen inte skulle få avsedd verkan om den genomfördes. Mot denna bakgrund saknas det tillräckligt underlag för att föreslå att sanktionen ska genomföras i svensk rätt i detta skede.

24

Artiklarna 24.2 och 38.2 i NIS2-direktivet.

25

Artikel 58.7 e i cybersäkerhetsakten samt 2 och 7 §§ lagen (2021:553) jämte 3 § förordningen (2021:555) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.

9.5.6. Förbud att utöva ledningsfunktion

Allmänna överväganden

Utredningens bedömning: Det ska införas en möjlighet för till-

synsmyndigheten att ansöka hos domstol om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner där.

Ett sådant beslut ska kunna riktas mot den som är styrelseledamot, verkställande direktör eller ersättare för någon av dessa, eller på motsvarande sätt är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud.

Bolagsverket ska ansvara för att avregistrera en person med ett meddelat förbud och hindra en person med förbudssanktion från att registreras på nytt under förbudstiden. Om verksamhetsutövaren är en stiftelse ska den registreringsansvariga länsstyrelsen fullgöra motsvarande uppgifter i stället för Bolagsverket.

Enligt artikel 32.5 b NIS2-direktivet ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenhet att begära att relevanta organ eller domstolar, i enlighet med nationell rätt, inför ett tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har ledningsansvar i en väsentlig verksamhet att utöva ledningsfunktioner i den. Till skillnad från övriga sanktioner som riktar sig mot verksamhetsutövaren som juridisk person är denna sanktion riktad mot en fysisk person. Sanktionen är en yttersta åtgärd för att framtvinga ett visst agerande hos en väsentlig verksamhetsutövare genom att en fysisk person hålls ansvarig för en verksamhetsutövares överträdelser. Sanktionen har ett samband med de befogenheter motsvarande ledningspersoner förväntas ha för att kunna säkerställa verksamhetsutövarens regelefterlevnad (jfr artikel 32.6). Utredningen anser därför att sanktionen är central för systematiken i NIS2-direktivet. Utredningen bedömer dock att det bör vara synnerligen ovanligt att denna typ av sanktion behöver tillgripas av en tillsynsmyndighet. Den aktuella sanktionen behöver därmed införas, trots bedömningen att den bara kommer att tillgripas i extrema undantagsfall. Frågan är då hur en sådan sanktion ska utformas.

Sanktionen ska innebära ett tillfälligt förbud för en person att utöva ledningsansvar hos en verksamhetsutövare. Av detta följer enligt utredningens bedömning att förbudet endast ska träffa sådant arbete som innebär att ”utöva ledningsansvar” och därtill enbart hos den aktuella verksamhetsutövaren. Sanktionen behöver alltså inte medföra ett generellt förbud att verka i ledningsfunktioner hos andra verksamhetsutövare, eller i andra roller än ledningsfunktion hos den aktuella verksamhetsutövaren. Den ska därutöver kunna vara tillfällig och upphävas när avsedd effekt är uppnådd. Dessa aspekter behöver beaktas vid utformningen av sanktionen.

Jämförelse med liknande sanktioner

Utredningen kan konstatera att sanktionen till del påminner om ett näringsförbud enligt lagen (2014:836) om näringsförbud. I jämförelse med ett näringsförbud har sanktionen dock begränsad omfattning eftersom den inte utgör ett generellt förbud att utöva näringsverksamhet, utan ett specifikt förbud att utöva ledningsfunktion hos en viss väsentlig verksamhetsutövare. Därtill medför ett näringsförbud ett förbud mot att vara anställd i den verksamhet där överträdelsen skett, vilket inte följer av NIS2-direktivet. Dessa två faktorer gör att ett näringsförbud skiljer sig väsentligt mot de effekter den aktuella sanktionen syftar till att uppnå. Som följd kan näringsförbud inte anses överlappa med den tänkta sanktionen i en sådan utsträckning att det saknas skäl att införa NIS2-sanktionen. Denna bedömning ligger även i linje med regeringens uppfattningar rörande liknande sanktionstyper som har införts i svensk rätt.26 Därutöver anser utredningen att sanktionen inte kan anses lika ingripande som ett näringsförbud, och därmed bör den kunna tillgripas vid lindrigare överträdelser än sådana som hade kunnat leda till näringsförbud.

Motsvarande sanktion återfinns i andra EU-rättsakter27 som har genomförts i svensk rätt, exempelvis i lagen (2007:528) om värdepappersmarknaden och lagen (2004:297) om bank- och finansieringsrörelse, genom vilka en fysisk person kan hållas ansvarig för en juridisk

26

Se till exempel prop. 2014/15:57 s. 45.

27

Se till exempel artikel 67.2 d i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG.

persons överträdelser av vissa regelverk. Utredningen uppmärksammar dock några större skillnader mellan dessa regelverk och NIS2.

Systematiken i de finansiella regelverken bygger på att verksamhetsutövaren bedriver tillståndspliktig verksamhet. Ett sådant tillstånd kan ytterst återkallas om verksamhetsutövaren inte tillser att förbudet verkställs. Det går även att rikta sanktioner mot andra ledningspersoner som på olika sätt bidragit till att ett förbud inte verkställts. För det andra utgör förbudssanktionen inom de finansiella regelverken sektorsspecifik lagstiftning. Sanktionen medför ett förbud som inte är begränsat till uppdrag inom ett specifikt bolag, utan omfattar i stället sådana uppdrag i alla bolag av den aktuella typen (exempelvis värdepappersinstitut eller värdepappersbolag). På det sättet är sanktionens räckvidd smalare än ett näringsförbud, men bredare än den sanktion som framgår av NIS2-direktivet. Därtill är NIS2-sanktionen tvärsektoriell och tar sikte på cybersäkerheten inom ett stort antal sektorer av olika slag.

Slutligen kan utredningen notera ett antal processuella överväganden. Den aktuella sanktionen beslutas enligt de finansiella regelverken genom sanktionsföreläggande. Förenklat innebär det att tillsynsmyndigheten (Finansinspektionen) utfärdar ett föreläggande mot en person i ett företags ledning, genom vilket personen förbjuds att vara verksam i företagsledningen. Personen kan välja att godta föreläggandet, och då gäller det godtagna föreläggandet som en lagakraftvunnen dom. Om personen motsätter sig föreläggandet kan tillsynsmyndigheten ansöka hos domstol om att sanktionen ska dömas ut. En sådan lösning innebär en kombination av ett snabbare förfarande (om ett föreläggande godtas) och möjligheten att tillvarata rättssäkerhetsaspekter genom en domstolsprövning i andra fall.28 Att tillsynsmyndigheten getts möjlighet att besluta om sådana förelägganden förefaller dock till huvudsak ha motiverats utifrån att det rört sig om en tillsynsmyndighet med större vana av denna typ av beslut.29 I fråga om NIS2 är utredningens förslag att det ska finnas elva tillsynsmyndigheter och argumentet kan därför enligt utredningens uppfattning endast få begränsad räckvidd.

Med dessa bedömningar som grund kan utredningen konstatera att det finns begränsad ledning att hämta från befintliga sanktioner vid utformningen av den nu aktuella sanktionen.

28

Se prop. 2014/15:57 s. 59.

29

Prop. 2014/15:57 s. 59.

Vilken personkrets ska kunna träffas av sanktionen?

Av artikel 32.5 b följer att sanktionen ska kunna träffa varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har ledningsansvar i den väsentliga verksamhetsutövaren. NIS2-direktivet definierar inte begreppen ”ledningsansvar” eller ”ledningsfunktioner”. Av systematiken i artikel 20 följer att det är verksamhetsutövarnas ledningsorgan som ska kunna hållas ansvariga för överträdelser av direktivet. Som utredningen funnit i avsnitt 7.2 anses ”ledningsorgan” i Sverige primärt omfatta styrelsen i ett aktiebolag.30 Utredningen noterar att begreppen i artikel 20 och 32.5 b skiljer sig åt, och att kretsen avseende sanktionen kan uppfattas som snävare genom exemplifieringen med verkställande direktör, vilket skulle kunna utesluta styrelsen från kretsen. Det är oklart varför denna diskrepans finns i direktivet, men utredningen anser att det ligger närmare till hands att låta sanktionen träffa den bredare krets som avses i artikel 20. Genom att låta sanktionen träffa en bredare krets bedömer utredningen att den avsedda systematiken i artikel 20 kan upprätthållas. Utredningen anser mot samma bakgrund att kretsen även ska omfatta ersättare, till exempel suppleanter. Som följd ska den aktuella sanktionen i fråga om aktiebolag kunna tillämpas på styrelsen eller verkställande direktör samt deras ersättare, samt motsvarande i fråga om andra associationsrättsliga former. För att definiera personkretsen avseende andra associationsrättsliga former anser utredningen att samma krets ska användas i detta sammanhang som anges i 3 § andra stycket lagen (2014:836) om näringsförbud. En hänvisning till bestämmelsen bör därför föras in i den föreslagna lagen.

Utredningen anser att förbudet inte ska uppfattas som att det påverkar eventuella andra anställningsförhållanden som den förbudsdrabbade har, exempelvis att den utöver att vara styrelseledamot även är personalchef. Förbudssanktionen ska uppfattas som en begränsning i att utöva uppdraget som bolagsfunktionär (styrelseledamot, vd, ersättare eller motsvarande). Det utgör således inte ett förbud att fortsatt ha en anställning hos verksamhetsutövaren.

30

Se prop. 2013/14:228 s. 166 f. och prop. 2014/15:57 s. 40 och 68.

Vad innebär förbudet?

För att kunna utforma sanktionen behöver en tolkning göras av begreppet ”utöva ledningsfunktion”. Utredningen anser att det bör omfatta det ansvar som följer av ett formellt ansvar, till exempel i egenskap av att vara styrelseledamot eller verkställande direktör i ett aktiebolag (se beskrivningen ovan av personkretsen). Förbudet ska avse en sådan funktionärs rätt att utöva sin formella behörighet i egenskap av funktionär, dvs. de rättigheter som tillkommer denne genom sin befattning.31

Sanktionens utformning

Utredningens förslag: Om ett föreläggande inte följts får tillsyns-

myndigheten ingripa mot en person som ingår i verksamhetsutövarens ledning. Ingripande sker genom att tillsynsmyndigheten ansöker hos allmän förvaltningsdomstol om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare (förbud).

Ett sådant ingripande får riktas mot den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud.

Ett ingripande får endast göras om överträdelsen som ligger till grund för föreläggandet är allvarlig och om personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Utredningen har övervägt två olika metoder för ingripande, men väljer att endast lämna förslag om att sanktionen utformas i enlighet med den ena metoden. Det lämnade förslaget innebär en möjlighet för tillsynsmyndigheten att ansöka om att en persons status som funktionär hos verksamhetsutövaren ska upphävas.

Den första metoden innebär att funktionären ska begränsas i sina befogenheter i fråga om vad den får göra hos verksamhetsutövaren. Funktionären får fortsatt vara aktiv inom bolaget och exempelvis utöva sina åtaganden i egenskap av att vara funktionär, men inte i sådana angelägenheter som faller inom ramen för NIS2. Med sådana angelägenheter avses alla former av påverkan på verksamhetsutövarens skyldigheter att vidta riskhanteringsåtgärder eller incidentrap-

31 Sådant ansvar i ett aktiebolag följer av 8 kap. 4 § aktiebolagslagen (2005:551) avseende styr-

elseledamöter och av 8 kap. 28 och 29 §§ samma lag avseende verkställande direktör och vice verkställande direktör.

portering. Ett exempel på innebörden av en sådan begränsning kan vara att en styrelseledamot inte får delta i beslut som rör fastställande av strategier för riskanalys. Frågan är hur sådan befogenhetsinskränkning skulle kunna verkställas och av vem. Genom att ingripandet inte påverkar funktionärens formella behörighet finns betydande begränsningar i verksamhetsutövarens möjligheter att hindra funktionären från att delta i sådana beslut. Den förbudsdrabbade funktionären skulle fortfarande vara formellt behörig att delta i alla former av beslut, och i vissa fall att teckna verksamhetsutövarens firma. Detta medför även att exempelvis en styrelseledamot i ett aktiebolag fortfarande är skyldig att fullgöra de förpliktelser som följer av aktiebolagslagen, och kan hållas ansvarig för överträdelser och underlåtelser (exempelvis enligt 25 kap. 18 § aktiebolagslagen). Att en förbudsdrabbad funktionär skulle fortsätta att utöva sin behörighet bör enligt utredningen därför som utgångspunkt inte kunna leda till att sanktioner riktas mot verksamhetsutövaren. Som följd bör incitament i stället finnas för att funktionären ska välja att avstå från att utöva sin formella behörighet i NIS2-frågor. Utredningen anser att sådana incitament kan vara svåra att skapa och därtill svåra att kontrollera efterlevnaden av. Som följd finns stora nackdelar med denna typ av system.

Den andra metoden får till följd att en bolagsfunktionär ska avregistreras från Bolagsverkets företagsregister. Ett sådant ingripande medför att funktionären blir av med sin formella behörighet genom att avregistreras. Genom avregistreringen görs funktionären således omedelbart obehörig att utöva ledningsfunktioner inom verksamhetsutövaren, och inte bara i NIS2-frågor. Detta är en mycket ingripande åtgärd som får omedelbara associationsrättsliga effekter, vars konsekvenser blir beroende på vilken typ av juridisk person det rör sig om och förhållandena i det enskilda fallet.

Ett sådant beslut om avregistrering går inte att tidsbegränsa eller återkalla. Om funktionären ska registreras på nytt krävs således att verksamhetsutövaren ansöker om sådan registrering till Bolagsverket. Detta går utöver NIS2-direktivets krav, men utredningen har inte kunnat identifiera några alternativa lösningar som kan uppnå samma effekt men med mindre ingripande medel. NIS2-direktivet är därtill ett minimidirektiv, varför Sverige inte är förhindrat att införa mer ingripande regler.

Att ett aktiebolag förlorar en styrelseledamot kan i förlängningen innebära att reglerna om tvångslikvidation aktualiseras (25 kap. 11 § aktiebolagslagen). Motsvarande bestämmelser gäller även för andra associationsrättsliga former, exempelvis om ett handelsbolag har reducerats till att bestå av en bolagsman (jfr 2 kap. 28 § lagen [1980:1102] om handelsbolag och enkla bolag). Ett ingripande kan således få mycket långtgående konsekvenser för verksamhetsutövaren. Det får därutöver stora konsekvenser för den enskilde funktionären. Dessa långtgående konsekvenser talar enligt utredningens mening med styrka för att rättssäkerhetsaspekter behöver väga tungt vid tillämpandet av denna sanktion, vilket behöver beaktas i det följande.

Särskilda förutsättningar för att sanktionen ska komma i fråga

Av artikel 32.5 NIS2-direktivet följer att sanktionen ska kunna användas om andra sanktioner är ineffektiva, och verksamhetsutövaren har förelagts att vidta åtgärder inom viss tidsfrist men att detta inte har skett. I svenska förhållanden motsvarar detta att ett föreläggande inte följts, och övriga ingripanden är ineffektiva. Det senare ledet väcker frågan om övriga sanktioner måste ha prövats först och konstaterats vara ineffektiva, eller om det bör räcka med att tillsynsmyndigheten har skäl att anta att andra sanktioner är ineffektiva. Det följer av sanktionens systematik att tillsynsmyndigheterna inte kan använda sig av förbudet som en inledande åtgärd, utan det måste föregås av åtminstone ett föreläggande. Först när ett sådan inte följts kan förbudssanktionen övervägas. Den avsedda effekten är att verksamhetsutövaren ska följa ett föreläggande. Övriga sanktioner (offentliggörande av överträdelse, anmärkning och sanktionsavgift) har till sin natur en begränsat framåtsyftande effekt. Deras effekter utgör därför inte typiskt sett desamma som uppnås genom föreläggande eller förbud. Utredningen bedömer därför att det är tillräckligt att tillsynsmyndigheten har anledning att anta att andra sanktioner inte är effektiva för att uppnå den avsedda effekten. Att övriga sanktioner inte måste ha använts behöver dock balanseras på annat sätt för att tillgodose rättssäkerhetsintressen.

Förbudssanktionen kan bara bli aktuell om det går att visa att det är en ledningsperson som är orsaken till att föreläggandet inte följts (se nedan om det subjektiva rekvisitet). Det rör sig således om en

sanktion som tar sikte på ett unikt problem som bara borde kunna uppstå i undantagsfall. Sanktionen kan förväntas få stora konsekvenser för både den enskilde och den väsentliga verksamhetsutövaren som behöver hantera de organisatoriska följderna av förbudet. Utredningens utgångspunkt är därför att ingripanden mot enskilda individer endast bör förekomma i fall av allvarliga överträdelser.

Till följd av sanktionens straffrättsliga karaktär bör den därtill förenas med ett subjektivt rekvisit som förutsättning för att få användas.32 En sådan utformning ligger därtill i linje med NIS2-direktivets krav på lämpliga rättssäkerhetsgarantier vid tillämpningen (artikel 32.5). En förutsättning för att sanktionen ska kunna tillgripas ska därför vara att individen med ledningsansvar på något vis har visat uppsåt eller grov oaktsamhet till den överträdelse som är i fråga. Det kan enligt utredningens uppfattning till exempel röra sig om att den verkställande direktören underlåtit att tillse att det finns en organisation för den incidentrapportering som förutsätts enligt NIS2-direktivets bestämmelser. Det kan också röra sig om medvetna risktaganden i fråga om vilka riskhanteringsåtgärder som vidtagits i relation till exempelvis samhälleliga konsekvenser, eller om uppföljning inte har skett av verksamhetsutövarens efterlevnad av NIS2direktivets bestämmelser.

Förfarandet för att ett förbud ska meddelas

Utredningens förslag: Ett beslut om förbud fattas av förvalt-

ningsrätten på ansökan från tillsynsmyndigheten. En ansökan ska innehålla uppgifter om

1. den person som ansökan avser,

2. verksamhetsutövaren,

3. överträdelsen och de omständigheter som behövs för att känne-

teckna den, och

4. de bestämmelser som är tillämpliga på överträdelsen.

Ett förbud ska tidsbegränsas till lägst ett år och högst tre år och ska upphävas omedelbart när föreläggandet har följts.

32

Se till exempel prop. 2014/15:57 s. 42 och prop. 2016/17:173 s. 368 f.

Förbud får inte riktas mot offentliga verksamhetsutövare. Ansökan ska prövas skyndsamt av domstolen. Förvaltningsrätten ska pröva om ett beslutat förbud ska upphävas om tillsynsmyndigheten eller den enskilde begär det, eller om det annars finns skäl för det. Den enskilde ska upplysas om sin rätt att begära att ett förbud ska upphävas.

Om tillsynsmyndigheten bedömer att det inte längre finns förutsättningar för förbudet ska den omedelbart begära att förvaltningsrätten ska upphäva förbudet.

När ett beslut om förbud har fått laga kraft ska domstolen underrätta Bolagsverket och verksamhetsutövaren om beslutet och dess innehåll. Om verksamhetsutövaren är en stiftelse ska den länsstyrelse som är registreringsmyndighet för stiftelsen underrättas i stället för Bolagsverket.

Domstolen ska skicka motsvarande underrättelser om ett sådant förbud upphävs.

När Bolagsverket eller en länsstyrelse som är registreringsmyndighet har fått en underrättelse om förbud ska de avregistrera personen som befattningshavare hos verksamhetsutövaren i det aktuella registret.

Bolagsverket eller en länsstyrelse som är registreringsmyndighet ska säkerställa att personen inte registreras på nytt som befattningshavare hos verksamhetsutövaren under förbudstiden.

Förbudet får endast meddelas av domstol

Utredningen har övervägt om förbudssanktionen ska få meddelas av tillsynsmyndigheten, eller om ett sådant förbud lämpligen bör meddelas av domstol. I tidigare lagstiftningsärenden har framhållits att kännbara ingripanden mot fysiska personer bör beslutas av domstol, medan det kan finnas ett större utrymme för administrativt bestämda påföljder om påföljden träffar ett företag.33 Givet den nu aktuella sanktionens straffrättsliga karaktär och att den, till skillnad från övriga föreslagna sanktioner, riktar sig mot en enskild individ anser utredningen att rättssäkerhetsskäl talar starkt för att prövningen inte

33

Se till exempel prop. 2004/05:142 s. 47.

ska få göras av en förvaltningsmyndighet. Utredningen bedömer även att denna slutsats följer svensk rättstradition.34

Som tidigare nämnts förekommer dock i liknande regelverk att tillsynsmyndigheten får besluta om sanktionsförelägganden avseende denna sanktionstyp, men i dessa fall finns det endast en tillsynsmyndighet. Utredningen bedömer att detta skiljer sig väsentligt från den nu föreslagna lösningen med elva tillsynsmyndigheter för NIS2. Utredningen anser därför att det inte finns skäl att frångå utgångspunkten att förbudet ska beslutas av domstol som första instans. För att åstadkomma en enhetlig, rättssäker och effektiv reglering bör prövningen göras av domstol efter ansökan av tillsynsmyndigheten. Ett meddelat förbud ska även kunna upphävas efter ansökan från tillsynsmyndigheten eller den enskilde.

I fråga om vilken domstol som ska göra denna prövning finner utredningen att både allmän domstol och allmän förvaltningsdomstol kan övervägas. Vad gäller övrig prövning enligt den föreslagna lagen föreslås att den ska ske i allmän förvaltningsdomstol. Utredningen finner att det finns starkt vägande skäl som talar emot att prövningen av samma otillåtna agerande (verksamhetsutövarens överträdelse) ska kunna ske i två typer av domstolar. Att samma typ av domstol ska handlägga alla överträdelser enligt den föreslagna lagen skapar dessutom samordningsfördelar inom domstolarna. Detta talar för att handläggningen ska ske i allmän förvaltningsdomstol. Därtill kan den enskildes behov av muntlig förhandling tillvaratas även i förvaltningsdomstol trots att förfarandet som huvudregel är skriftligt. Vidare talar möjligheterna till aktiv processledning för att den enskildes rättssäkerhetsintressen tillgodoses.35 Mot denna bakgrund anser utredningen att prövningen om sanktionen ska dömas ut ska göras av allmän förvaltningsdomstol.

Sanktionen ska begränsas i tid

Av NIS2-direktivet (artikel 35.2) följer vidare att den aktuella sanktionen ska vara tillfällig och endast tillämpas till dess att de sanktionsgrundande bristerna eller kraven är åtgärdade. Av detta följer dels att ett sanktionsbeslut behöver begränsas i tid, dels att det ska

34

Jfr prop. 2014/15:58 s. 57.

35

Jfr 8 och 9 §§förvaltningsprocesslagen (1971:291).

upphävas när skäl för sanktionen inte längre föreligger, även innan det att tidsbegränsningen uppnåtts. Detta skiljer sig från hur andra genomföranden av motsvarande EU-rättsligt grundade sanktioner har skett, där motsvarande sanktioner enbart förenats med en förutbestämd tidsbegränsning.36 I flera av dessa fall har tidsbegränsningen satts till samma spann som gäller i fråga om näringsförbud, tre till tio år.37 Som följd får denna åtgärd anses ha en framåtsyftande verkan. Utredningen bedömer att motsvarande tid kan vara vägledande i fråga om NIS2-sanktionen, men anser att den nu aktuella sanktionen i princip saknar framåtsyftande verkan och är av en betydligt mer tillfällig art genom att den är kopplad till att ett föreläggande ska följas. Detta ger skäl att bestämma sanktionens omfattning till lägre än vad som gäller i andra fall. Utredningen anser att förbudet ska tidsbegränsas. Som redogjorts för ovan kan dock inte verkställighetsåtgärden (avregistrering) tidsbegränsas, vilket skulle kunna anses tala emot behovet av tidsbegränsning av sådana beslut. Utredningen bedömer dock att det ändå finns skäl att kunna ange att ett sådant förbud ska gälla under viss tid. Att en funktionär avregistreras innebär nämligen inte något hinder mot att verksamhetsutövaren begär att funktionären ska registreras på nytt hos Bolagsverket. Ett beslut om förbud bör därför innebära att funktionären avregistreras och inte får registreras på nytt så länge förbudet gäller. Enligt utredningens uppfattning bör denna typ av förbud kunna tidsbestämmas till mellan ett och tre år. Som tidigare anförts ska den dock upphävas omedelbart när syftet med sanktionen har uppnåtts.

Sanktionen ska inte få användas mot offentliga verksamhetsutövare

Enligt artikel 32.5 NIS-direktivet ska den aktuella sanktionen inte kunna tillämpas på offentliga verksamhetsutövare. Utredningen delar denna uppfattning varför en sådan begränsning ska anges i bestämmelsens tillämpningsområde.

36

Se till exempel 15 kap. 1 a § fjärde stycket lagen (2004:297) om bank- och finansieringsrörelse och 18 kap. 2 a § försäkringsrörelselagen (2010:2043).

37

Se 10 § första stycket lagen (2014:836) om näringsförbud.

Ansökningsprocessen, handläggning och upphävande av ett beslut

Utredningen anser att processen ska inledas genom att tillsynsmyndigheten lämnar in en ansökan. Ansökan ska lämnas in till den domstol inom vars domsaga tillsynsmyndigheten är belägen. Av ansökan ska ett antal uppgifter framgå. Ledning för vilka dessa uppgifter bör vara kan hämtas i rättegångsbalkens regler om strafföreläggande (46 kap. 6 §) och anpassas för att omfatta de uppgifter som krävs för den nu aktuella prövningen. Domstolen ska pröva om det föreligger förutsättningar för att meddela ett förbud. Ett beslut ska som tidigare nämnts upphävas omedelbart när det inte längre finns skäl för det, t.ex. för att föreläggandet har följts. Det bör därför åvila tillsynsmyndigheten att omedelbart meddela domstolen när detta har skett. Vidare bör även den enskilde ha möjlighet att begära att förbudet ska upphävas. Vid sådan handläggning finns möjlighet att begära muntlig förhandling enligt 9 § förvaltningsprocesslagen (1971:291). Mot bakgrund av förbudets tillfälliga art anser utredningen att så väl beslut om förbud samt upphävande av det bör behandlas med förtur. Detta motiveras även av syftet med förbudet. En överträdelse som inte upphör riskerar att leda till fler och allvarligare konsekvenser än om den åtgärdas snabbt. Om en befattningshavares agerande är skälet till att ett föreläggande (som syftar till att få överträdelsen att upphöra) inte följs måste förbudssanktionen kunna handläggas skyndsamt för att få avsedd effekt och minska konsekvenserna av överträdelsen.

Verkställigheten av ett beslut

Effekten av ett beslut om förbud ska vara att personen avregistreras som funktionär hos verksamhetsutövaren ur aktuellt register, och inte får registreras på nytt under tiden beslutet gäller. Beslutet bör därför få verkställas först när det fått laga kraft. Domstolen ska därför underrätta Bolagsverket om att ett beslut fått laga kraft för att verkställighet (avregistrering) ska kunna ske. För det fall verksamhetsutövaren är en stiftelse ska registreringsansvarig länsstyrelse underrättas i stället för Bolagsverket, samt fullgöra motsvarande skyldigheter.38 Även verksamhetsutövaren ska underrättas om att ett beslut fått laga kraft.

38

Jfr 3 § andra stycket 8 lagen (2014:836) om näringsförbud samt 10 kap. 1 § och 9 kap. 1 §stiftelselagen (1994:1220) jämte 4 a § stiftelseförordningen (1995:1280).

Utredningen noterar att det inom andra regelverk inte verkar finnas någon uttrycklig bestämmelse som anger att effekten av en sådan underrättelse till Bolagsverket är att avregistrering ska ske.39Att en sådan avregistrering ska ske av Bolagsverket respektive länsstyrelsen bör enligt utredningens mening anges uttryckligen. Bolagsverket respektive länsstyrelsen ska även tillse att den enskilde inte får registreras på nytt som funktionär hos verksamhetsutövaren under tiden ett beslut är giltigt. På motsvarande sätt ska både Bolagsverket (alternativt länsstyrelsen) och verksamhetsutövaren underrättas om ett förbud upphävs.

9.5.7. Anmärkning

Utredningens bedömning: Det ska införas en möjlighet för till-

synsmyndigheten att meddela anmärkningar mot verksamhetsutövare som har överträtt den föreslagna cybersäkerhetslagen eller föreskrifter som har meddelats med stöd av den lagen.

Utredningens förslag: Om tillsynsmyndigheten inte finner skäl

att ingripa på något annat sätt ska den i stället meddela verksamhetsutövaren en anmärkning.

Enligt artikel 32.4 a och 33.4 a NIS2-direktivet ska tillsynsmyndigheterna ha möjlighet att utfärda varningar om verksamhetsutövares överträdelser av direktivets skyldigheter. Motsvarande bestämmelser saknas i dag. Utredningen kan dock konstatera att liknande system finns i svensk rätt.40 Vidare kan utredningen se att en sådan sanktion kan vara av värde för tillsynsmyndigheterna i deras uppdrag och för NIS2-regleringens efterlevnad i stort. Det kan exempelvis vara relevant för situationen när en inträffad överträdelse inte bedöms vara av sådan art eller svårighetsgrad att något av de andra ingripandena kan komma i fråga. Det skulle leda till att tillsynsmyndigheten inte kan vidta någon åtgärd mot överträdelsen. Utredningen anser att en sådan ordning inte är önskvärd, och att det i stället ska vara obligatoriskt för tillsynsmyndigheten att meddela en anmärkning om något annat ingripande inte görs, givet att den inte valt att avstå från att

39

Se till exempel 5 kap. 1 § förordningen (2007:572) om värdepappersmarknaden.

40

Se exempelvis lagen (2005:405) om försäkringsförmedling.

ingripa.41 Detta leder till att en överträdelse av NIS2-regleringen i princip inte kan leda till att en verksamhetsutövare undgår ingripande, men valet av ingripandeåtgärd avgörs av hur allvarlig överträdelsen är och anmärkning utgör den lindrigaste åtgärden.

Varning som sanktion förekommer på flera håll i svensk rätt, ofta med den alternativa möjligheten att meddela anmärkning.42 Sanktionen används då huvudsakligen som ett sätt att ingripa mot en aktör som bedriver tillståndspliktig verksamhet, men där återkallelse av tillståndet bedöms vara oproportionerlig i relation till den aktuella överträdelsen. Utredningen bedömer att varningssanktionen som anges i NIS2-direktivet har större likheter med hur anmärkning används inom svensk rätt. Som följd föreslås att begreppet anmärkning ska användas även i den föreslagna cybersäkerhetslagen.

9.6. Sanktionsavgifter

9.6.1. För vilka överträdelser ska sanktionsavgifter införas och när får sanktionsavgift tas ut?

Utredningens bedömning: Sanktionsavgift får tas ut av en verk-

samhetsutövare som har åsidosatt sina skyldigheter enligt cybersäkerhetslagens bestämmelser om att utse företrädare, anmälningsplikt, riskhanteringsåtgärder, utbildning och incidentrapportering (1 kap. 6 §, 2 kap. 2 § och 3 kap. 1 och 3 §§ samt 5–7 §§), eller enligt föreskrifter som meddelats med stöd av dessa bestämmelser.

Enligt artikel 34.2 NIS2-direktivet ska sanktionsavgifter påföras utöver någon av de åtgärder som anges i artikel 32.4 a–h, 32.5 eller 33.4 a–g. Utredningens tolkning av bestämmelsen är att om något av de tillgängliga sanktionsverktygen tillgrips till följd av en verksamhetsutövares överträdelse av skyldigheterna ska tillsynsmyndigheten även kunna besluta om sanktionsavgift. Utredningen anser även att sanktionsavgift ska kunna tillämpas trots att någon av de övriga sanktionerna inte har använts. Den nuvarande regleringen i NISlagen (29 §) innebär att det är tillsynsmyndigheten som fattar beslut

41

Om den avstått från att ingripa ska anmärkning inte meddelas (se avsnitt 9.3.1 ovan).

42

Se exempelvis 15 kap. 1 § andra stycket lagen (2004:297) om bank- och finansieringsrörelse och 25 kap. 1 § lagen (2007:528) om värdepappersmarknaden.

om sanktionsavgift och att tillsynsmyndigheten ska fatta sådant beslut till följd av att en verksamhetsutövare inte följt lagens eller anslutande författningsbestämmelser. Ordningen bygger på ett system med strikt ansvar, dvs. att sanktionsavgift ska tas ut oavsett om överträdelsen skett av oaktsamhet eller uppsåt. Utredningen noterar i detta sammanhang att sådant strikt ansvar nyligen underkänts av EU-domstolen i fråga om GDPR-överträdelser.43 Utredningen bedömer dock att medlemsstaternas handlingsutrymme är större i fråga om direktiv än förordningar, med följden att ett system med strikt ansvar i fråga om sanktionsavgifter kan föreslås avseende NIS2direktivets genomförande i svensk rätt. Vidare anser utredningen att det, precis som i fråga om överträdelser av nuvarande NIS-lagen,44finns en stark presumtion för att överträdelser av NIS2-direktivet sker av oaktsamhet eller uppsåtligen. Det föreslagna systemet bör därför bygga på strikt ansvar. En sådan systematik kräver dock ventiler för att kunna fånga upp överträdelser som skett utan vållande. Utredningen föreslår därför att tillsynsmyndigheten i varje enskilt fall ska avgöra om sanktionsavgift ska tas ut.

Att sanktionsavgift ska kunna användas medför dock ett krav på att det ska vara enkelt för verksamhetsutövaren att förstå hur den ska agera för att undvika att drabbas av sanktionen, och motsatsvis att det ska vara lätt för tillsynsmyndigheten att konstatera att en överträdelse har skett.45 Utredningen bedömer att dessa villkor kan anses uppfyllda genom de föreslagna kraven om riskhanteringsåtgärder respektive incidentrapportering. I fråga om anmälningsplikten bedömer utredningen att det i många fall kommer att vara lätt för både verksamhetsutövare och tillsynsmyndighet att avgöra om en viss verksamhet omfattas av NIS2-direktivets bestämmelser. Detta kan exempelvis anses gälla för en verksamhetsutövare som anmält till PTS att den erbjuder allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster.46I sådana fall följer även anmälningsskyldighet enligt NIS2-direktivet. På motsvarande sätt bör det inte råda någon tvekan kring vilka verksamhetsutövare som är att bedöma som offentliga. Utredningen bedömer dock att samma typ av enkla bedömningar inte nödvändigtvis

43 Se EU-domstolens domar av den 5 december 2023 i mål nr C-683/21 (ECLI:EU:C:2023:949)

och C-807/21 (ECLI:EU:C:2023:950).

44

Prop. 2017/18:205 s. 68 ff.

45

Se prop. 2007/08 :107 s. 18 f. och prop. 2015/16:118 s. 17 f.

46

Jfr 2 kap. 1 § lagen (2022:482) om elektronisk kommunikation.

gör sig gällande inom alla de sektorer som träffas av NIS2-direktivet. Det kan därför med fog ifrågasättas om det är försvarligt att införa ett system där sanktionsavgift ska tas ut för samtliga överträdelser, trots att sådana inte alltid är enkla för den enskilde att förutse, eller för tillsynsmyndigheten att konstatera. Utredningen bedömer att en sådan ordning skulle riskera att underminera sanktionsavgiftens legitimitet. Detta kan lösas på flera sätt.

Systemet med obligatorisk sanktionsavgift skulle kunna överföras från NIS-lagen, men då skulle det mot bakgrund av tolkningarna ovan behöva införas begränsningar kring vilka överträdelser som ska kunna leda till sanktionsavgift. Detta hade kunnat vara en tilltalande lösning genom att exkludera exempelvis anmälningsplikten som en sanktionsavgiftsgrundande överträdelse. Som utredningen bedömt ovan finns dock ett antal överträdelser av anmälningsplikten som är lätta att förutse och konstatera. Att inte kunna ta ut sanktionsavgift för dessa överträdelser framstår därför inte som en tilltalande lösning. Som följd anser utredningen att tillsynsmyndigheten förvisso ska kunna ta ut sanktionsavgifter vid samtliga typer av överträdelser av lagen, men att den inte ska vara skyldig att meddela sanktionsavgifter. Detta medför att tillsynsmyndigheten får avgöra i varje enskilt fall om förutsättningarna för att ta ut sanktionsavgift är uppfyllda. Av detta följer även att en tillsynsmyndighet inte ska ta ut en sanktionsavgift av en verksamhetsutövare som inte anmält sig, men där det varit oklart om verksamhetsutövaren varit anmälningspliktig. Tolkningsutrymmet för vilka som omfattas av anmälningsplikt bör kunna minska när tillsynsmyndigheten har publicerat vägledning i fråga om sektorsbeskrivningarna (se avsnitt 5.2.12).

9.6.2. Sanktionsavgiftens storlek ska förändras

Utredningens bedömning: Sanktionsavgiften för väsentliga verk-

samhetsutövare ska bestämmas till lägst 5 000 kronor och högst till det högsta av:

1. 2 procent av den väsentliga verksamhetsutövarens totala globala

årsomsättning närmast föregående räkenskapsår, eller

2. 10 000 000 euro.

Sanktionsavgiften för viktiga verksamhetsutövare ska bestämmas till lägst 5 000 kronor och högst till det högsta av:

1. 1,4 procent av verksamhetsutövarens totala globala årsomsätt-

ning närmast föregående räkenskapsår, eller

2. 7 000 000 euro.

Sanktionsavgiften för offentliga verksamhetsutövare ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

När sanktionsavgiftens storlek bestäms ska tillsynsmyndigheten särskilt beakta de omständigheter som följer av 5 kap. 3–5 §§ i den föreslagna cybersäkerhetslagen.

Av NIS2-direktivet följer en skyldighet för medlemsstaterna att säkerställa att de administrativa sanktionsavgifter som påförs verksamhetsutövare med stöd av direktivet är effektiva, proportionerliga och avskräckande med beaktande av omständigheterna i varje enskilt fall.47 Skyldigheterna i den föreslagna cybersäkerhetslagen kommer att träffa både offentliga och privata verksamhetsutövare. Verksamhetsutövarnas storlek och ekonomiska förutsättningar kommer som följd att skilja sig åt beroende på vilken aktörstyp och sektor den är verksam inom. Förutsättningarna kommer även att kunna skilja sig mellan aktörer inom samma sektor. Som följd behöver sanktionsavgifternas storlek kunna anpassas för att i varje enskilt fall anses effektiva, proportionerliga och avskräckande.

Av NIS-direktivet följde inte några beloppsgränser för medlemsstaterna att förhålla sig till vid genomförandet av direktivet. Som följd ska sanktionsavgifter enligt NIS-lagen bestämmas inom beloppsintervallet 5 000–10 000 000 kronor.

NIS2-direktivet anger inte något minimibelopp för sanktionsavgifternas storlek. Det lägsta beloppet för sanktionsavgift motsvarar vad som i dag utgör lägsta belopp vid åläggande av företagsbot, vilket även var vägledande för NIS-utredningens förslag.48 Storleken på företagsboten har sedan dess ändrats avseende maximibelopp (höjt från 10 miljoner kronor till 500 miljoner kronor), men minimibeloppet har lämnats oförändrat.49 Utredningen har övervägt om det

47

Se artikel 32.1, 33.1 och 34.1 samt skäl 132 NIS2-direktivet.

48

Se SOU 2017:36 s. 190 ff.

49

36 kap. 8 § andra stycket brottsbalken, se vidare prop. 2018/19:164.

finns skäl att förändra denna lägstanivå i fråga om överträdelser av NIS2-direktivet, men inte funnit några sådana skäl. Som följd bör lägstanivån för sanktionsavgift även fortsättningsvis vara 5 000 kronor.

Avseende maximinivån för sanktionernas storlek så inför NIS2direktivet två olika beräkningsgrunder och belopp, där valet av beräkningsgrund avgörs av om verksamhetsutövaren i fråga är väsentlig (artikel 34.4) eller viktig (artikel 34.5). Maximibeloppen är avsevärt högre än vad som gäller i dag.

För väsentliga verksamhetsutövare ska takbeloppet för sanktionsavgiften uppgå till det högsta alternativet av:

  • 10 000 000 euro, eller
  • 2,0 procent av den totala globala årsomsättningen under föregående räkenskapsår.

För viktiga verksamhetsutövare ska motsvarande belopp uppgå till det högsta alternativet av:

  • 7 000 000 euro, eller
  • 1,4 procent av den totala globala årsomsättningen under föregående räkenskapsår.

Utredningen bedömer att maximinivån för sanktionsavgifter åtminstone behöver höjas till en nivå som är i paritet med de som anges i NIS2-direktivet för att Sverige ska kunna anses ha implementerat direktivet fullt ut. Sådana maximibelopp skapar därtill stor handlingsfrihet för tillsynsmyndigheterna att i varje enskilt fall avgöra vilken nivå på sanktionsavgiften som krävs för att uppnå syftet med den. Det går därutöver att resonera kring om maximinivåerna borde sättas ännu högre för att uppnå avsedd effekt. Utredningen har dock inga uppgifter som tyder på att de i direktivet angivna maximinivåerna skulle vara otillräckliga för de största aktörerna som träffas av regleringen. Maximibeloppen i NIS2-direktivet framstår därför som väl avvägda för att kunna bli kännbara även för aktörer med stora ekonomiska resurser. Att överföra de i NIS2-direktivet angivna nivåerna i svensk rätt får vidare antas bidra till att sanktionssystemet får liknande utformning inom EU. Som följd bör de aktuella maximibeloppen anges i förslaget till ny cybersäkerhetslag. När storleken på

en sanktionsavgift ska bestämmas ska de omständigheter som framgår av avsnitt 9.4.2 beaktas särskilt.

Av artikel 34.7 NIS2-direktivet följer att medlemsstaterna får välja om och i vilken utsträckning sanktionsavgifter ska kunna påföras offentliga verksamhetsutövare. Utredningen bedömer att det är påkallat att införa sanktionsavgifter för sådana aktörer, men att det inte är motiverat att ha ett lika högt maximibelopp som gäller för andra verksamhetsutövare. De offentliga verksamhetsutövarna kan förväntas styras av andra målsättningar än att göra vinst eller göra besparingar på bekostnad av sin säkerhet.50 Även en lägre satt maximinivå för dessa sanktionsavgifter bör kunna få avsedd effekt. Inom andra områden har motsvarande maximinivåer satts till 10 miljoner kronor.51Utredningen finner denna nivå som lämplig och ändamålsenlig även för att uppnå de i NIS2-direktivet angivna syftena för de offentliga verksamhetsutövarna. Som följd ska en sådan maximinivå framgå av tillämpningsbestämmelsen.

9.6.3. Hinder mot att ta ut sanktionsavgift

Utredningens bedömning: Tillsynsmyndigheten får inte besluta

om sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Tillsynsmyndigheten får inte heller besluta om sanktionsavgift för samma överträdelse som lett till att verksamhetsutövaren har påförts en sanktionsavgift enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

I avsnitt 9.3.1 ovan har dubbelprövningsförbudet beskrivits. Det kan även anses innefatta förbud mot att bli påförd både straff och sanktionsavgift, eller sanktionsavgift och vite.52 I en situation där ett vite

50

Se prop. 2020/21:94 s. 103, jfr prop. 2017/18:232 s. 326.

51

Se 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och 7 kap. 4 § säkerhetsskyddslagen (2018:585).

52

Se motsvarande bedömningar i tidigare lagstiftningsärenden, exempelvis prop. 2007/08:107 s. 24, prop. 2012/13:143 s. 69 och prop. 2016/17:22 s. 133.

har dömts ut ska därför inte en sanktionsavgift kunna tas ut för samma händelse som låg till grund för vitet. På motsvarande sätt ska inte en sanktionsavgift få beslutas om den aktuella händelsen även ligger till grund för en ansökan om utdömande av vite.53 Detta motsvarar vad som gäller enligt nuvarande NIS-lagen (33 §). Utredningen anser att bestämmelsen bör överföras i sin nuvarande form till den nya lagen.

Om den myndighet som utgör tillsynsmyndighet enligt dataskyddsförordningen (i Sverige, IMY)54 har påfört sanktionsavgift enligt dataskyddsförordningen får inte en NIS2-tillsynsmyndighet påföra sanktionsavgift för samma överträdelse. Denna bestämmelse saknar motsvarighet i NIS-direktivet och utredningen anser att en sådan bestämmelse bör tas in i den nya lagen. Det bör noteras att det nyss sagda inte medför något hinder för NIS2-tillsynsmyndigheten att besluta någon av de andra sanktionerna än sanktionsavgift.55

9.6.4. Betalning, verkställighet och preskription

Utredningens bedömning: En sanktionsavgift får endast tas ut

om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Beslut om sanktionsavgift ska delges.

Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas i rätt tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. Sanktionsavgift tillfaller staten.

En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

53 Jfr prop. 2016/17:22 s. 228 och prop. 2017/18:205 s. 72 f. 54

Jfr lagen (2018:218) och 3 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.

55

Se artikel 35.2 NIS2-direktivet.

Bestämmelser kring förfarandet vid beslut om sanktionsavgift finns i dag i 34–36 §§ NIS-lagen. Dessa kompletterar de allmänna reglerna i förvaltningslagen (2017:900) om vad som krävs för att en förvaltningsmyndighet ska kunna fatta beslut, till exempel i fråga om kommunikation (25 §), beslutsfattande (28 §), dokumentation (31 §) och motivering av beslut (32 §). Utredningen har inte funnit skäl att föreslå några ändringar till de nuvarande bestämmelserna. Som följd bör de existerande bestämmelserna i NIS-lagen överföras även till den nya lagen.

9.7. Omedelbar verkställighet av förelägganden

Utredningens bedömning: Tillsynsmyndigheten ska få bestämma

att ett beslut om föreläggande ska gälla omedelbart.

Enligt 38 § NIS-lagen kan en tillsynsmyndighet besluta om att ett föreläggande enligt lagen ska gälla omedelbart. Sådana regler återfinns även i 35 § tredje stycket förvaltningslagen (2017:900). Utredningen bedömer att en sådan ordning är förenlig med artikel 32.8 i NIS2-direktivet. Omedelbar verkställighet kan till exempel motiveras av att tillsynsmyndigheten omedelbart behöver tillförsäkra sig tillgång till en verksamhetsutövares lokaler eller dokumentation i syfte att tillsynen ska kunna genomföras på ett ändamålsenligt sätt. Sådana beslut kan bland annat underlätta bevissäkringsåtgärder genom att beslutet inte behöver invänta laga kraft för att kunna verkställas. Rättssäkerhetsgarantier för den enskilde finns genom möjligheten att överklaga beslutet och att en allmän förvaltningsdomstol kan besluta om så kallad inhibition som innebär att tillsynsmyndighetens beslut tills vidare inte får verkställas.56 Utredningen bedömer att möjligheten till omedelbar verkställighet ska överföras till den nya lagen i sin nuvarande form.

56

Se 28 § förvaltningsprocesslagen (1971:291).

9.8. Överklagande

Utredningens bedömning: Tillsynsmyndighetens beslut enligt

lagen eller anslutande föreskrifter får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten.

De beslut som tillsynsmyndigheterna fattar avseende enskilda kan antas påverka deras civila rättigheter och skyldigheter enligt artikel 6 i Europakonventionen. Som följd behöver det finnas möjligheter att få sådana beslut prövade av domstol. En sådan möjlighet finns i dag i NIS-lagen och den bör även finnas i den nya lagen. Överklagandena bör även fortsättningsvis prövas av allmän förvaltningsdomstol. Rätten till överklagande bör även omfatta myndigheter och andra offentliga aktörer som tillsynsmyndigheten riktar beslut emot. Som följd bör tillsynsmyndigheten även i dessa fall anges utgöra motpart till den klagande.57

Utredningen har identifierat åtminstone två tänkbara alternativ avseende forumregler för överklagande. Det första alternativet följer huvudregeln som innebär att överklagandet ska prövas av den förvaltningsdomstol inom vars domkrets ärendet först prövats.58 Genom utredningens förslag på tillsynsmyndigheter (se avsnitt 8.4.2) och deras geografiska spridning kommer därmed flera förvaltningsrätter och kammarrätter bli behöriga att pröva sådana mål, och Högsta förvaltningsdomstolen utgör högsta prövningsinstans. Detta alternativ motsvarar dagens ordning enligt NIS-lagen.59 Det andra alternativet innebär att en viss förvaltningsrätt (och därmed kammarrätt) pekas ut som ensamt behörig att pröva av mål enligt lagen. Alternativet skulle medföra en koncentrering av målhanteringen och skulle motsvara den ordning som i huvudsak följer enligt säkerhetsskyddslagstiftningen.60 Utredningen bedömer dock att det inte framkommit några särskilda skäl som talar för en sådan lösning. Som följd bör den nuvarande ordningen överföras till den nya lagen.

57

Jfr 7 a § förvaltningsprocesslagen (1971:291).

58

Se 14 § andra stycket lagen (1971:289) om allmänna förvaltningsdomstolar.

59

39 § NIS-lagen.

60

Se 8 kap. 4 § första stycket säkerhetsskyddslagen (2018:585), se vidare prop. 2020/21:194 s. 109 f.

Att domstolens beslut om förbud (avsnitt 9.5.6) går att överklaga följer av 33 § förvaltningsprocesslagen (1971:291) och behöver inte anges särskilt i den nu aktuella lagen.

10. Gemensam kontaktpunkt, CSIRT-enhet och cyberkrishanteringsmyndighet

10.1. Gemensam kontaktpunkt

10.1.1. Inledning

Enligt NIS2-direktivet ska varje medlemsstat utse eller inrätta en gemensam kontaktpunkt. Den gemensamma kontaktpunkten ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete mellan medlemsstatens myndigheter och relevanta myndigheter i andra medlemsstater och, när det är lämpligt, kommissionen och Enisa samt ett sektorsövergripande samarbete med andra behöriga myndigheter i medlemsstaten (artikel 8.3 och 8.4).

Enligt kommittédirektivet bör utgångspunkten för utredarens uppdrag vara att MSB ska vara gemensam kontaktpunkt.

10.1.2. Gemensam kontaktpunkt i Sverige

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska vara gemensam kontaktpunkt.

Enligt 22 § NIS-förordningen är MSB gemensam nationell kontaktpunkt i Sverige. Vid implementeringen av NIS-direktivet konstaterade regeringen att MSB har den struktur och kompetens som krävs både för att samordna frågor om säkerhet i nätverks- och informationssystem och för att ansvara för kommunikation och gränsöverskridande samarbete i anslutning till detta.1 Detta innebär att MSB

1

Prop. 2017/18:205 s. 77.

i dag samverkar med gemensamma kontaktpunkter i andra medlemsstater och fullgör de uppgifter som följer av det första NIS-direktivet. Myndigheten företräder också Sverige i den samarbetsgrupp som inrättades genom NIS-direktivet (NIS Cooperation Group). MSB leder vidare ett samarbetsforum där samtliga tillsynsmyndigheter och Socialstyrelsen ingår samt en privat-offentlig samverkansgrupp där de reglerade sektorerna ingår.

Mot bakgrund av att MSB i dag fullgör de uppgifter som följer av att vara gemensam kontaktpunkt samt myndighetens uppgift att stödja och samordna arbetet med samhällets informationssäkerhet anser utredningen att MSB även fortsatt ska vara gemensam kontaktpunkt i Sverige.

Utredningen anser att regleringen av vilken myndighet som ska utgöra gemensam kontaktpunkt och dess uppgifter bör ske i förordning. Detta följer även den generella systematik i den föreslagna regleringen, som innebär att regeringen har möjlighet att förändra utpekade myndigheter och deras uppdrag utan att en lagändring krävs.

10.1.3. Den gemensamma kontaktpunktens uppgifter

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska fullgöra de uppgifter som åligger den gemensamma kontaktpunkten enligt NIS2-direktivet samt de uppgifter som regeringen bestämmer.

Den gemensamma kontaktpunkten ska:

1. Utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete med myndigheter i andra medlemsstater, kommissionen och Enisa samt ett sektorsövergripande samarbete med tillsynsmyndigheterna.

2. På begäran av CSIRT-enheten vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra medlemsstater.

3. Var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud.

4. Underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare som förtecknats för varje sektor och delsektor.

5. Informera kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare samt deras verksamhet som identifierats enligt 1 kap. 8 § lagen om cybersäkerhet.

6. Upprätta ett särskilt register över gränsöverskridande verksamhetsutövare och ge in det skyndsamt till Enisa. Vidare ska den gemensamma kontaktpunkten löpande underrätta Enisa om uppgifter avseende gränsöverskridande verksamhetsutövare.

Den gemensamma kontaktpunkten ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete mellan medlemsstatens myndigheter och relevanta myndigheter i andra medlemsstater och, när det är lämpligt kommissionen och Enisa. Den ska också säkerställa ett sektorsövergripande samarbete med andra behöriga myndigheter i Sverige (artikel 8.4).

En del av det sektorsövergripande samarbetet mellan den gemensamma kontaktpunkten och tillsynsmyndigheterna är det samarbetsforum som föreslås i avsnitt 8.4.7 men det kan också innebära att tillsynsmyndigheten, när sådant behov uppstår, bistår den gemensamma kontaktpunkten med utskick av information till verksamhetsutövare inom tillsynsområdet.

På begäran av CSIRT-enheten eller den behöriga myndigheten ska den gemensamma kontaktpunkten vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra berörda medlemsstater (artikel 23.8).

Den gemensamma kontaktpunkten ska var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud som rapporterats av verksamhetsutövarna (artikel 23.9).

Enisa ska skapa och upprätta ett register över gränsöverskridande verksamhetsutövare på sätt som beskrivs i avsnitt 6.2. Medlemsstaterna ska ålägga dessa verksamhetsutövare att lämna nödvändiga uppgifter till tillsynsmyndigheterna. Den gemensamma kontaktpunkten ska efter att ha tagit emot uppgifterna utan dröjsmål vidarebefordra informationen till Enisa (artikel 27).

Som beskrivs i avsnitt 6.2 ska den gemensamma kontaktpunkten senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare som förtecknats för varje sektor och delsektor. Vidare ska myndigheten informera om antalet väsentliga och viktiga verksamhetsutövare samt deras verksamhet som identifierats enligt 1 kap. 8 §.

Utredningen bedömer att dessa uppgifter bör anges i förordning. Som framgår i avsnitt 8.4.7 ska tillsynsmyndigheterna vid behov samarbeta med och bistå tillsynsmyndigheter i andra medlemsstater. Detta ska bland annat omfatta att via den gemensamma kontaktpunkten informera och samråda med tillsynsmyndigheter i övriga berörda medlemsstater om de tillsynsåtgärder som vidtagits (artikel 37.1 a). Denna uppgift ingår i den gemensamma kontaktpunktens uppgift att utöva en sambandsfunktion och behöver enligt utredningen inte regleras särskilt.

Samarbetsgrupp

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska företräda Sverige i den samarbetsgrupp som inrättats enligt artikel 14 i NIS2-direktivet.

Tillsynsmyndigheten ska lämna stöd till Sveriges representant i samarbetsgruppen.

Genom NIS-direktivet inrättades en samarbetsgrupp på EU-nivå (NIS Cooperation Group). Enligt artikel 14.1 i NIS2-direktivet ska samarbetsgruppen underlätta strategiskt samarbete och informationsutbyte mellan medlemsstaterna samt stärka förtroende och tillit. Samarbetsgruppen ska bestå av företrädare för medlemsstater, kommissionen och Enisa. Europeiska utrikestjänsten ska delta som observatör. Samarbetsgruppens uppgifter listas i artikel 14.4 a–s. Till stor del motsvarar dessa uppgifter de som angavs i NIS-direktivet men det har också tillkommit nya uppgifter, till exempel att genomföra samordnade riskbedömningar av kritiska leveranskedjor.

MSB är i dag Sveriges representant i samarbetsgruppen vilket anges i 23 § NIS-förordningen. Det framgår av kommittédirektivet att MSB även fortsatt bör representera Sverige i samarbetsgruppen

och utredningen saknar skäl att göra någon annan bedömning. Uppdraget bör anges i den nya förordningen.

Av 19 § 5 i NIS-förordningen framgår att tillsynsmyndigheterna ska lämna stöd till Sveriges representant i samarbetsgruppen. Samarbetsgruppen har sedan den inrättats bildat ett flertal arbetsgrupper. Dessa arbetsgrupper är i flera fall sektorsspecifika och behandlar frågor där kunskapen finns hos tillsynsmyndigheterna. Det är tillsynsmyndigheterna som till största del representerat Sverige i de sektorsspecifika arbetsgrupperna. Det bör enligt utredningen även fortsättningsvis vara möjligt för tillsynsmyndigheterna att delta i dessa arbetsgrupper. För närvarande deltar PTS, Energimyndigheten, IVO och Transportstyrelsen i sex arbetsgrupper och MSB deltar i åtta. Det bör därför även i den nya förordningen anges att tillsynsmyndigheterna ska lämna stöd till Sveriges representant i samarbetsgruppen.

10.2. Enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet)

10.2.1. Inledning

Varje medlemsstat ska utse eller inrätta en eller flera CSIRT-enheter (Computer Security Incident Response Team). CSIRT-enheterna ska uppfylla de krav som anges i artikel 11.1, ska omfatta minst de sektorer, delsektorer och typer av verksamhetsutövare som avses i NIS2-direktivets bilagor och ska ansvara för incidenthantering i enlighet med ett tydligt fastställt förfarande (artikel 10.1). Enligt kommittédirektivet bör utgångspunkten för utredarens uppdrag vara att MSB även enligt den nya regleringen ska ha rollen som CSIRT-enhet.

10.2.2. CSIRT-enhet i Sverige

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska vara CSIRT-enhet.

MSB ansvarar för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera itincidenter. Arbetet sker genom MSB:s CERT-verksamhet2 som har benämningen CERT-SE. Till uppgifterna hör bland annat att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbetet som krävs för att avhjälpa eller lindra effekter av det inträffade samt samverka med myndigheter med särskilda uppgifter inom cybersäkerhetsområdet. MSB/CERT-SE är Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder.

Enligt 12 § NIS-förordningen är MSB CSIRT-enhet och ska bland annat ta emot incidentrapporter som lämnas enligt NIS-lagen samt uppfylla de krav och fullgöra de uppgifter som följer av bilaga 1 till NIS-direktivet. MSB ska även ta emot de it-incidentrapporter som statliga myndigheter lämnar enligt 14 § i förordningen (2022:524) om statliga myndigheters beredskap. MSB har tagit fram ett digitalt rapporteringsverktyg där incidenterna kan rapporteras.

Mot bakgrund av de uppdrag MSB har i dag och den kompetens som finns inom myndigheten så bedömer utredningen att MSB även fortsatt ska vara CSIRT-enhet i Sverige. Utredningen anser att regleringen av vilken myndighet som ska vara CSIRT-enhet och dess uppgifter bör ske i förordning.

10.2.3. CSIRT-enhetens uppgifter

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska uppfylla de krav och fullgöra de uppgifter som åligger CSIRT-enheten enligt artikel 11 i NIS2-direktivet.

När CSIRT-enheten utför sina uppgifter ska den,

1. säkerställa en hög nivå av tillgänglighet för sina kommunika-

tionskanaler,

2. ha lokaler och informationssystem på säkra platser,

3. ha ett ändamålsenligt system för handläggning och dirigering

av förfrågningar,

2

Computer Emergency Response Team.

4. vara ständigt tillgänglig och säkerställa att personalen har fått

lämplig utbildning,

5. ha redundanta system och reservlokaler för att säkerställa kon-

tinuiteten i tjänsterna, och

6. ha en säker och motståndskraftig kommunikations- och infor-

mationsinfrastruktur för utbyte av information med verksamhetsutövare och andra relevanta intressenter.

CSIRT-enheten ska,

1. övervaka och analysera cyberhot, sårbarheter och incidenter

på nationell nivå och tillhandahålla varningar och information,

2. erbjuda stöd avseende realtidsövervakning av nätverks- och

informationssystem,

3. ta emot incidentrapporter, vidta åtgärder och erbjuda stöd,

4. om en incident kan antas ha sin grund i en brottslig gärning

skyndsamt uppmana verksamhetsutövaren att anmäla incidenten till Polismyndigheten,

5. tillgängliggöra informationen i incidentrapporter utan dröjs-

mål för tillsynsmyndigheten,

6. samla in och analysera forensiska uppgifter,

7. tillhandahålla dynamiska risk- och incidentanalyser samt läges-

uppfattning,

8. på begäran av en verksamhetsutövare utföra en proaktiv skanning

av den berörda verksamhetsutövarens nätverks- och informationssystem,

9. delta i det nätverk som inrättats enligt artikel 15 i NIS2-direk-

tivet (CSIRT-nätverket), 10. vara samordnare för samordnad delgivning av information om

sårbarheter, och 11. upprätta samarbetsförbindelser med relevanta intressenter inom

privat och offentlig sektor samt bidra till samverkan rörande cybersäkerhet.

CSIRT-enheten får utföra proaktiva, icke-inkräktande skanningar av verksamhetsutövarnas allmänt tillgängliga nätverks- och informationssystem i syfte att upptäcka sårbara eller osäkert konfigurerade system.

Kraven på CSIRT-enheten framgår av artikel 11.1 i NIS2-direktivet. CSIRT-enheten ska uppfylla följande krav:

a) CSIRT-enheterna ska säkerställa en hög nivå av tillgänglighet för

sina kommunikationskanaler genom att undvika felkritiska systemdelar och ska kunna kontaktas och kontakta andra när som helst och på flera olika sätt. De ska tydligt ange kommunikationskanalerna och underrätta användargrupper och samarbetspartner om dessa.

b) CSIRT-enheternas lokaler och de informationssystem som de

använder sig av ska vara belägna på säkra platser.

c) CSIRT-enheterna ska ha ett ändamålsenligt system för handlägg-

ning och dirigering av förfrågningar, särskilt för att underlätta ändamålsenliga och effektiva överlämnanden.

d) CSIRT-enheterna ska säkerställa verksamhetens konfidentialitet

och trovärdighet.

e) CSIRT-enheterna ska ha tillräckligt med personal för att säker-

ställa att deras tjänster är ständigt tillgängliga och de ska säkerställa att personalen har fått lämplig utbildning.

f) CSIRT-enheterna ska utrustas med redundanta system och reserv-

lokaler för att säkerställa kontinuiteten i deras tjänster.

Artikeln innebär bland annat krav på tillgänglighet, informationssystem, lokaler utbildning, konfidentialitet och trovärdighet. Enligt artikel 10.3 ska medlemsstaterna också säkerställa att CSIRT-enheten har tillgång till en lämplig, säker och motståndskraftig kommunikations- och informationsstruktur för utbyte av information med verksamhetsutövarna och andra relevanta intressenter. Det bör anges i den nya förordningen att CSIRT-enheten ska uppfylla dessa krav.

Kravet på att CSIRT-enheten ska säkerställa verksamhetens konfidentialitet och trovärdighet behöver enligt utredningen inte anges särskilt i förordningen. Att verksamheten ska vara trovärdig får an-

ses följa av de generella kraven på förvaltningsmyndigheters arbete enligt förvaltningslagen (2017:900). Krav på konfidentialitet följer av offentlighets- och sekretesslagen (2009:400).

CSIRT-enhetens uppgifter anges i artikel 11.3 i NIS2-direktivet och är följande:

a) Övervakning och analys av cyberhot, sårbarheter och incidenter

på nationell nivå och, på begäran, tillhandahållande av stöd till berörda väsentliga och viktiga verksamhetsutövare avseende realtidsövervakning eller nära realtidsövervakning av deras nätverks- och informationssystem.

b) Tillhandahållande av tidiga varningar, larm, meddelanden och sprid-

ning av information till väsentliga och viktiga verksamhetsutövare samt till behöriga myndigheter och andra relevanta intressenter om cyberhot, sårbarheter och incidenter, om möjligt i nära realtid.

c) Vidtagande av åtgärder till följd av incidenter och, i tillämpliga

fall, tillhandahållande av stöd till de berörda väsentliga och viktiga verksamhetsutövarna.

d) Insamling och analys av forensiska uppgifter och tillhandahåll-

ande av dynamisk risk- och incidentanalys och situationsmedvetenhet när det gäller cybersäkerhet.

e) Tillhandahållande, på begäran av den väsentliga eller viktiga verk-

samhetsutövaren, av en proaktiv skanning av den berörda verksamhetsutövarens nätverks- och informationssystem i syfte att upptäcka sårbarheter med en potentiellt betydande påverkan.

f) Deltagande i CSIRT-nätverket och ömsesidigt bistånd i enlighet

med CSIRT-enhetens kapacitet och befogenheter till andra medlemmar i CSIRT-nätverket.

g) I tillämpliga fall fungera som processamordnare för den samord-

nade delgivningen av information om sårbarheter enligt artikel 12.1.

h) Bidra till införandet av säkra verktyg för informationsutbyte en-

ligt artikel 10.3.

Enligt artikel 11 får CSIRT-enheterna också utföra en proaktiv, ickeinkräktande skanning av väsentliga och viktiga verksamhetsutövares allmänt tillgängliga nätverks- och informationssystem. Sådan skanning ska utföras för att upptäcka sårbara eller osäkert konfigurerade nätverks- och informationssystem och informera de berörda verksamhetsutövarna. Sådan skanning får inte ha någon negativ inverkan på hur verksamhetsutövarnas tjänster fungerar.

När CSIRT-enheterna utför uppgifterna som anges i NIS2-direktivet får de prioritera särskilda uppgifter på grundval av en riskbaserad metod.

Artikeln innehåller ett stort antal uppgifter som CSIRT-enheten ska ha. Nedan redogör utredningen för vilka uppgifter som bör anges i förordning.

Övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå och tillhandahålla varningar och information

CSIRT-enheten ska på nationell nivå övervaka och analysera cyberhot, sårbarheter och incidenter. Detta innebär bland annat att samla in information om sårbarheter. CSIRT-enheten ska också tillhandahålla varningar, larm, meddelanden och information till de verksamhetsutövare som omfattas av cybersäkerhetslagen, tillsynsmyndigheter och andra relevanta intressenter.

Erbjuda stöd avseende realtidsövervakning av nätverks- och informationssystem

På begäran av en verksamhetsutövare ska CSIRT-enheten erbjuda stöd avseende realtidsövervakning eller nära realtidsövervakning av deras nätverk- och informationssystem. Stödet kan avse till exempel anvisningar, råd och tekniskt stöd. Uppgiften innebär en stödjande roll för CSIRT-enheten men påverkar inte verksamhetsutövarens ansvar för säkerheten i de nätverk- och informationssystem som den använder.

Ta emot incidentrapporter, vidta åtgärder och erbjuda stöd

CSIRT-enheten ska ta emot incidentrapporter, se avsnitt 7.3. Beroende på vilken information incidentrapporten innehåller kan CSIRTenheten behöva vidta åtgärder. Detta kan ske genom anvisningar, råd och stöd till den som rapporterat incidenten. Det kan också innefatta att bistå en verksamhetsutövare i incidenthanteringen. Det är dock alltid verksamhetsutövaren som ansvarar för incidenthanteringen och att nödvändiga åtgärder vidtas.

Av artikel 23.5 framgår att CSIRT-enheten utan onödigt dröjsmål och om möjligt inom 24 timmar ska lämna ett svar till den rapporterande verksamhetsutövaren med initial återkoppling. På begäran av verksamhetsutövaren ska CSIRT-enheten även lämna operativa råd, vägledning och tekniskt stöd.

Om incidenten misstänks vara av brottslig art ska verksamhetsutövaren få vägledning om anmälan till brottsbekämpande myndigheter. Detta framgår i dag av 12 § NIS-förordningen och utredningen bedömer därför att det även fortsättningsvis bör framgå av den nya förordningen.

När så är lämpligt, och särskilt om incidenten berör två eller flera medlemsstater, ska enligt artikel 23.6 andra berörda medlemsstater och Enisa informeras under förutsättning att verksamhetsutövarens säkerhets- och affärsintressen och informationens konfidentialitet kan bevaras. Som framgår ovan kan CSIRT-enheten använda sig av den gemensamma kontaktpunkten för att lämna sådan information.

Av artikel 23.7 framgår att CSIRT-enheten eller tillsynsmyndigheten efter samråd med den berörda verksamhetsutövaren får informera allmänheten om en betydande incident eller ålägga verksamhetsutövaren att göra detta om det behövs för att förhindra en betydande incident eller för att hantera en pågående betydande incident. Utredningen bedömer att CSIRT-enhetens möjlighet att informera täcks av bestämmelsen om att tillhandahålla varningar och information. När det gäller möjligheten att ålägga verksamhetsutövaren att informera allmänheten så bedömer utredningen att en sådan möjlighet inte ska införas för CSIRT-enheten eftersom det skulle innebära ett avsteg från den stödjande rollen.

Enligt artikel 23.10 ska CSIRT-enheten förse de behöriga myndigheterna enligt CER-direktivet med information om betydande incidenter, incidenter, cyberhot och tillbud. Enligt 12 § i den nuvar-

ande NIS-förordningen ska CSIRT-enheten utan dröjsmål tillgängliggöra informationen i incidentrapporter för tillsynsmyndigheterna och Socialstyrelsen. En motsvarande bestämmelse bör enligt utredningen införas i den nya förordningen. Bestämmelsen innebär att informationen ska tillgängliggöras för den tillsynsmyndighet som ansvar för tillsyn i den sektor som incidentrapporten avser. Enligt kommittédirektivet ska det som utgångspunkt vara samma myndighet som utövar tillsyn över verksamhetsutövare som omfattas av NIS2- och CER-direktiven och vid en sådan ordning behövs inget tillägg för tillsynsmyndigheter enligt CER-direktivet. Om det inte skulle vara samma myndigheter behöver det läggas till i förordningen att även tillsynsmyndigheter enligt CER-direktivet ska informeras. Utredningen återkommer till denna fråga i samband med att CERdirektivet behandlas.

Samla in och analysera forensiska uppgifter

CSIRT-enheten ska samla in och analysera information om cyberhot, sårbarheter och incidenter. Det kan till exempel avse digitala bevis, angreppsindikatorer (IOC) eller andra tekniska kännetecken och spår som har samband med en incident. Informationen kan till exempel samlas in i samband med att CSIRT-enheten bistår en verksamhetsutövare eller från något av de olika nätverk där CSIRT-enheten deltar.

Tillhandahålla dynamiska risk- och incidentanalyser samt lägesuppfattning

CSIRT-enheten ska tillhandahålla dynamiska risk- och incidentanalyser och situationsmedvetenhet när det gäller cybersäkerhet. Uppgiften innebär till exempel att utarbeta risk- och incidentanalyser utifrån information i de incidentrapporter som lämnas eller information som CSIRT-enheten inhämtar på annat sätt. Att de ska vara dynamiska innebär att de ska uppdateras vid behov. Den engelska termen ”situational awareness” har i NIS2-direktivet översatts till situationsmedvetenhet. Utredningen anser att begreppet lägesuppfattning bättre beskriver vad som avses och bör användas i stället i förordningen. Att tillhandahålla lägesuppfattning innebär bland annat att ta fram lägesbilder.

Proaktiv skanning av verksamhetsutövarnas nätverks- och informationssystem

På begäran av en verksamhetsutövare ska CSIRT-enheten utföra en proaktiv skanning av den berörda verksamhetsutövarens nätverks- och informationssystem i syfte att upptäcka sårbarheter med en potentiellt betydande påverkan.

Enligt artikel 11 får CSIRT-enheten också utföra proaktiva, ickeinkräktande skanningar av verksamhetsutövarnas allmänt tillgängliga nätverks- och informationssystem i syfte att upptäcka sårbara eller osäkert konfigurerade system. CSIRT-enheten ska informera de berörda verksamhetsutövarna om något upptäcks. Det bör vara upp till CSIRT-enheten att avgöra vad som motiverar att verksamhetsutövaren kontaktas. Att skanningarna ska vara icke-inkräktande innebär att de till exempel kan avse att skicka förfrågningar till ett nätverks- och informationssystem för att upptäcka öppna portar eller oskyddade tekniska lösningar i systemet. De kan också användas för att samla in information om tekniska lösningar för att fastställa om sårbara eller oskyddade tekniska lösningar används. En proaktiv skanning får däremot inte innebära ett intrång i ett nätverks- och informationssystem till exempel genom att en sårbarhet utnyttjas. En proaktiv skanning får inte heller ha någon negativ inverkan på hur verksamhetsutövarens tjänster fungerar.

Delta i det nätverk som inrättats enligt artikel 15 i NIS2-direktivet (CSIRT-nätverket)

Genom NIS-direktivet inrättades CSIRT-nätverket. Nätverket ska enligt artikel 15.1 i NIS2-direktivet bidra till utvecklingen av förtroende och tillit och främja ett snabbt och ändamålsenligt operativt samarbete mellan medlemsstater. Nätverket ska enligt artikel 15.2 bestå av företrädare för de CSIRT-enheter som utsetts enligt direktivet och incidenthanteringsorganisationen för unionens institutioner, organ och byråer (Cert-EU). Kommissionen ska delta som observatör och Enisa ska tillhandahålla sekretariat och aktivt bidra med stöd till samarbetet mellan CSIRT-enheterna.

CSIRT-enheten ska delta i nätverket och, i enlighet med deras kapacitet och befogenheter, bistå andra medlemmar i CSIRT-nätverket på deras begäran.

Säkra verktyg för informationsutbyte

Som framgår ovan ska medlemsstaterna enligt artikel 10.3 säkerställa att CSIRT-enheten har tillgång till en lämplig, säker och motståndskraftig kommunikations- och informationsstruktur för utbyte av information med verksamhetsutövarna och andra relevanta intressenter. Medlemsstaterna ska därför säkerställa att CSIRT-enheten bidrar till införandet av säkra verktyg för informationsutbyte. I artikel 11.3 h anges som en uppgift för CSIRT-enheten att bidra till införandet av säkra verktyg för informationsutbyte enligt artikel 10.3. Utredningen bedömer att eftersom det i den föreslagna förordningen anges krav på att CSIRT-enheten ska ha tillgång till säkra verktyg för informationsutbyte så behöver det inte också anges som en uppgift för CSIRT-enheten att bidra till införandet av dessa.

Vara samordnare för samordnad delgivning av information om sårbarheter

Utnyttjandet av sårbarheter i nätverks- och informationssystem kan orsaka betydande störningar och skada. Det är därför viktigt att snabbt identifiera och åtgärda sådana sårbarheter. Eftersom sårbarheter ofta upptäcks och meddelas av tredjeparter bör tillverkare eller leverantörer av IKT-produkter eller IKT-tjänster införa nödvändiga förfaranden för att ta emot sårbarhetsinformation från tredjeparter. En stärkt samordning mellan rapporterande fysiska och juridiska personer och tillverkare eller leverantörer av IKT-produkter eller IKTtjänster är viktig för att underlätta frivillig delgivning av information om sårbarheter. Samordnad delgivning av information om sårbarheter specificerar en strukturerad process genom vilken sårbarheter rapporteras till tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna. Rapporteringen ska ske på ett sätt som gör det möjligt för leverantören att åtgärda sårbarheten innan detaljerad information om sårbarheten meddelas tredjeparter eller allmänheten. Samordnad delgivning av information om sårbarheter bör även inbegripa samordning mellan den rapporterande fysiska eller juridiska personen och tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna vad gäller tidpunkten för åtgärdandet och offentliggörandet av sårbarheter (skäl 58).

Enligt NIS2-direktivet ska medlemsstaterna anta en nationell strategi för cybersäkerhet. Strategin ska bland annat innehålla riktlinjer för hantering av sårbarheter, inbegripet främjande och underlättande av samordnad delgivning av information om sårbarheter. Framtagandet av den nationella strategin ingår enligt kommittédirektivet inte i utredningens uppdrag.

Varje medlemsstat ska även utse en CSIRT-enhet till samordnare för den samordnade delgivningen av informationen om sårbarheter. CSIRT-enheten ska fungera som betrodd mellanhand och vid behov underlätta interaktionen mellan en fysisk eller juridisk person som rapporterar en sårbarhet och tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna, på begäran av endera parten. Den CSIRT-enhet som utsetts till samordnare ska bland annat

a) identifiera och kontakta de berörda entiteterna,

b) stödja de fysiska eller juridiska personer som rapporterar en sår-

barhet, och

c) förhandla om tidsramar för delgivning av information och hantera

sårbarheter som påverkar flera entiteter.

Medlemsstaterna ska säkerställa att fysiska eller juridiska personer anonymt kan rapportera en sårbarhet till den CSIRT-enhet som utsetts till samordnare. Den CSIRT-enhet som utsetts till samordnare ska säkerställa att skyndsamma uppföljningsåtgärder vidtas. Om en rapporterad sårbarhet kan ha en betydande påverkan på entiteter i fler än en medlemsstat, ska CSIRT-enheten, när det är lämpligt, samarbeta med andra CSIRT-enheter som utsetts till samordnare inom CSIRT-nätverket (artikel 12).

Enligt utredningens förslag är MSB CSIRT-enhet och ska därmed även fungera som samordnare för delgivning av sårbarheter. Detta bör anges i förordning.

Riktlinjer för hantering av sårbarheter, inbegripet främjande och underlättande av samordnad delgivning av information om sårbarheter ingår i den nationella strategin för cybersäkerhet som ska tas fram i särskild ordning och som inte ingår i utredningens uppdrag.

Upprätta samarbetsförbindelser med relevanta intressenter inom privat och offentlig sektor samt bidra till samverkan rörande cybersäkerhet

Enligt artikel 11.4 ska CSIRT-enheten upprätta samarbetsförbindelser med relevanta intressenter inom den privata sektorn i syfte att uppnå målen med direktivet. För att underlätta samarbetet ska CSIRTenheten främja antagande och användning av gemensamma eller standardiserade metoder, klassificeringssystem och taxonomier när det gäller förfaranden för incidenthantering, krishantering och samordnad delgivning av sårbarheter.

Enligt artikel 29 ska medlemsstaterna säkerställa att verksamhetsutövare och andra relevanta aktörer på frivillig basis har möjlighet att utbyta information om cybersäkerhet sinsemellan. Informationsutbytet syftar till att förebygga, upptäcka, reagera på och återhämta sig från incidenter samt att höja cybersäkerhetsnivån.

CSIRT-enheten bedriver i dag ett omfattande arbete med samverkan för att sprida information samt vid behov samordna åtgärder. Myndigheten driver ett flertal forum för informationsdelning rörande cybersäkerhet i olika sektorer.

Det bör anges i förordningen att CSIRT-enheten ska upprätta samarbetsförbindelser med relevanta intressenter inom privat och offentlig sektor samt bidra till samverkan rörande cybersäkerhet.

Prioritering av uppgifter

När CSIRT-enheten utför sina uppgifter får de enligt NIS2-direktivet prioritera särskilda uppgifter på grundval av en riskbaserad metod. Innebörden av detta är att CSIRT-enheten kan prioritera till exempel cyberhot som kan få allvarliga konsekvenser eller med stor sannolikhet kommer att realiseras. Utredningen bedömer att en sådan möjlighet redan finns för CSIRT-enheten i Sverige och att det därför inte behöver anges särskilt i regleringen.

10.3. Cyberkrishanteringsmyndighet

10.3.1. Inledning

Varje medlemsstat ska enligt artikel 9.1 utse eller inrätta en eller flera myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter). Enligt kommittédirektivet bör utgångspunkten för utredarens uppdrag vara att MSB utses till cyberkrishanteringsmyndighet.

10.3.2. Cyberkrishanteringsmyndighet i Sverige

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska vara cyberkrishanteringsmyndighet.

Mot bakgrund av de uppdrag MSB har i dag och den kompetens som finns inom myndigheten bedömer utredningen att MSB ska vara cyberkrishanteringsmyndighet i Sverige. Utredningen anser att regleringen av vilken myndighet som ska vara cyberkrishanteringsmyndighet och dess uppgifter bör ske i förordning.

MSB:s uppdrag regleras i förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.

MSB har enligt 1 § ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka, kris, krig eller krigsfara. Myndigheten ska

  • utveckla och stödja arbetet med civilt försvar,
  • utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder,
  • arbeta med och verka för samordning mellan berörda samhällsaktörer för att förebygga och hantera olyckor, kriser och konsekvenser av krig och krigsfara,
  • samordna kommunerna på nationell nivå och stödja dem med råd och information i deras verksamhet enligt lagen (2003:778) om skydd mot olyckor samt utföra tillsyn enligt samma lag,
  • bidra till att minska konsekvenser av olyckor, kriser, krig och krigsfara,
  • följa upp och utvärdera samhällets arbete med krisberedskap och civilt försvar,
  • se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde, och
  • företräda det civila försvaret på central nivå i frågor som har betydelse för avvägningen mellan civila och militära behov av samhällets resurser om inte något annat följer av annan författning.

När det gäller förebyggande och förberedande arbete ska myndigheten enligt 2 § i samverkan med myndigheter, kommuner, regioner, organisationer och företag identifiera och analysera sådana sårbarheter, hot och risker i samhället som kan anses vara särskilt allvarliga. Myndigheten ska vidare tillsammans med de ansvariga myndigheterna genomföra en övergripande planering av åtgärder som bör vidtas. Myndigheten ska värdera, sammanställa och rapportera resultatet av arbetet till regeringen.

När det gäller samordning och stöd vid olyckor och kriser ska myndigheten enligt 7 § stödja berörda myndigheters samordning av åtgärder vid en kris eller höjd beredskap. Myndigheten ska se till att berörda aktörer under sådana förhållanden, när det gäller krishantering och civilt försvar, får tillfälle att

  • samordna åtgärder,
  • samordna information till allmänhet och medier,
  • effektivt använda samhällets resurser och internationella förstärkningsresurser, och
  • samordna stödet till centrala, regionala och lokala organ i fråga om information och lägesbilder.

Myndigheten ska också bistå Regeringskansliet med underlag om information av betydelse för myndighetens ansvarsområde i samband med allvarliga olyckor och kriser samt under höjd beredskap.

Enligt 7 a § ska MSB utifrån en nationell riskbild upprätthålla beredskap med stödresurser för att kunna bistå i samband med allvarliga olyckor och kriser och vid höjd beredskap.

För uppföljning, utvärdering och lärande ska myndigheten enligt 10 § beredskapssektorsvis, geografiskt områdesvis och på en övergripande samhällsnivå följa upp och utvärdera krisberedskap och civilt försvar och bedöma om vidtagna åtgärder fått önskad effekt.

Myndigheten ska enligt 11 § se till att erfarenheter tas till vara från inträffade olyckor och kriser. Till stöd för detta ska myndigheten tillhandahålla tvärsektoriella och samlade bilder och bedömningar samt utveckla kompetens och metodik inom området som tillgodoser nationella, regionala och lokala behov.

10.3.3. Cyberkrishanteringsmyndighetens uppgifter

Utredningens bedömning: Myndigheten för samhällsskydd och

beredskap ska fullgöra de uppgifter som åligger cyberkrishanteringsmyndigheten enligt NIS2-direktivet samt de uppgifter som regeringen bestämmer.

Myndigheten för samhällsskydd och beredskap ska delta i det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe).

Varje medlemsstat ska anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser där mål och villkor för hanteringen av storskaliga cybersäkerhetsincidenter och kriser fastställs. Planen ska bland annat innehålla cyberkrishanteringsmyndighetens uppgifter och ansvarsområden. Utformningen av den nationella planen omfattas enligt kommittédirektivet inte av utredningens uppdrag. Cyberkrishanteringsmyndighetens uppgifter bör därför anges i förordning efter att den nationella planen för hantering av storskaliga cybersäkerhetsincidenter tagits fram. Utredningen lämnar därför inget förslag i denna del.

EU-CyCLONe

Genom artikel 16.1 inrättas ett europeiskt kontaktnätverk för cyberkriser (EU-CyCLONe) för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser och säkerställa informationsutbyte mellan medlemsstaterna och EU:s institutioner. EU-CyCLONe bör fungera som mellanhand mellan den tekniska och

politiska nivån under storskaliga cybersäkerhetsincidenter och kriser och bör stärka samarbetet och stödja beslutsfattandet på politisk nivå. I samarbete med kommissionen, och med beaktande av kommissionens behörighet inom krishantering, bör EU-CyCLONe ta fasta på CSIRT-nätverkets slutsatser och använda sin egen kapacitet för att göra en konsekvensanalys av storskaliga cybersäkerhetsincidenter och kriser (skäl 71). EU-CyCLONe ska bestå av företrädare för medlemsstaternas cyberkrishanteringsmyndigheter samt i vissa fall kommissionen (artikel 16.2).

MSB ska i egenskap av cyberkrishanteringsmyndighet företräda Sverige i nätverket vilket bör anges i förordningen.

11. NIS2-direktivet och LEK

11.1. Inledning

Den 21 december 2018 trädde direktivet om inrättande av en europeisk kodex för elektronisk kommunikation1 i kraft (nedan ”kodexen”). Kodexen har genomförts i svensk rätt, huvudsakligen genom lagen (2022:482) om elektronisk kommunikation (nedan ”LEK”). Genom NIS2-direktivet upphävs artikel 40 och 41 i kodexen med verkan från och med den 18 oktober 2024 och ersätts med bestämmelserna som följer av NIS2-direktivet.2 Dessa artiklar i kodexen ligger till grund för bestämmelserna i 8 kap. 1–4 §§ LEK. Konsekvenserna för bestämmelserna i LEK av att kodexen upphävs behöver analyseras.

11.2. Bestämmelserna i LEK, kodexen och NIS2

11.2.1. Allmänt

Utredningen behöver inledningsvis bedöma om de individuella bestämmelserna i LEK även innehåller andra bestämmelser än de som är avsedda att genomföra artiklarna 40 och 41 i kodexen. I samband med det svenska genomförandet av kodexen har även en portalbestämmelse införts i LEK och som innebär att bland annat Sveriges säkerhet ska beaktas vid all tillämpning av lagen.3 Portalbestämmelsen kan därför påverka hur andra materiella bestämmelser såsom 8 kap. 1–4 §§ LEK ska tillämpas, men det är oklart i vilken utsträckning. Någon motsvarande portalbestämmelse har inte föreslagits av utredningen avseende NIS2. Utredningen saknar möjlighet att inom den snäva tidsram som råder vidare utreda konsekvenserna av denna skillnad.

1

Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrätt-

ande av en europeisk kodex för elektronisk kommunikation (omarbetning).

2

Se skäl 92 och artikel 43 i NIS2-direktivet.

3

Se 1 kap. 1 § tredje stycket LEK.

Utredningen anser dock att avsaknaden av en motsvarande portalbestämmelse i den föreslagna cybersäkerhetslagen inte innebär ett hinder mot att 8 kap. 1–4 §§ LEK upphävs med anledning av att artiklarna 40 och 41 i kodexen upphör att gälla.

11.2.2. Kretsen som ska tillämpa kraven

8 kap. 1–4 §§ LEK ska tillämpas av den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst (nedan ”tillhandahållare”). Innebörden av dessa begrepp anges i 1 kap. 7 § LEK och motsvarar materiellt definitionerna av motsvarande begrepp i kodexen.4 I NIS2-direktivet används samma begrepp som i kodexen, och hänvisar också till kodexens definitioner.5 En allmänt tillgänglig elektronisk kommunikationstjänst utgör i sig inte ett nätverks- och informationssystem enligt NIS2-direktivets definition.6 Det följer dock att alla tillhandahållare antingen är väsentliga eller viktiga verksamhetsutövare, beroende på om de uppfyller det aktuella storlekskravet.7 Som följd är sådana aktörer skyldiga att följa den kravmassa som följer av direktivet. Utredningen bedömer mot denna bakgrund att det inte råder någon skillnad i vilken krets som träffas av kodexens respektive NIS2direktivets bestämmelser.

11.2.3. Riskhanteringsåtgärder

Av 8 kap. 1 § LEK följer tillhandahållares skyldighet att vidta riskhanteringsåtgärder:

[Tillhandahållare] ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på ett lämpligt sätt hantera risker som hotar säkerheten i nät och tjänster.

Åtgärderna ska säkerställa en nivå på säkerheten i nät och tjänster som är lämplig i förhållande till riskerna. Åtgärder ska vidtas särskilt för att förebygga och minimera säkerhetsincidenters påverkan på användare och på andra nät och tjänster.

4

Se artiklarna 2.1, 2.4 och 2.8 i kodexen samt prop. 2021/2022:136 s. 406 f.

5

Jfr artiklarna 6.1 a och 6.36 och 6.37 i NIS2-direktivet.

6

Artikel 6.1 ec i NIS2-direktivet.

7

Artiklarna 2.2 a, 3.1 c och 3.2, jfr bilaga 1 och sektorn Digital infrastruktur i NIS2-direktivet.

Bestämmelsen utgör ett nationellt genomförande av både artikel 40.1 och 108 (delvis) i kodexen.8

Artikel 40

Av artikel 40.1 första stycket i kodexen följer skyldigheten att vidta riskhanteringsåtgärder:

[Tillhandahållare ska] vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på ett lämpligt sätt hantera risker som hotar näts och tjänsters säkerhet. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten som är lämplig i förhållande till den föreliggande risken. I synnerhet ska åtgärder, inbegripet kryptering när så är lämpligt, vidtas för att förhindra och minimera säkerhetsincidenters inverkan på användare och på andra nät och tjänster.

På motsvarande sätt följer av artikel 21.1 i NIS2-direktivet att:

[Väsentliga och viktiga verksamhetsutövare ska] vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster.

Med beaktande av de senaste, och i tillämpliga fall, relevanta europeiska och internationella standarder samt genomförandekostnaderna, ska de åtgärder som avses i första stycket säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till entitetens grad av riskexponering, entitetens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser.

Utredningen bedömer att ”ändamålsenliga” (kodexen) och ”lämpliga” (NIS2) i denna kontext har likvärdig innebörd. Begreppet ”lämpliga” har av utredningen bedömts snarlikt ”proportionell” och i förslaget till cybersäkerhetslag har därför proportionell använts i stället (se avsnitt 7.2). I NIS2-skrivningen anges utöver tekniska och organi-

8 Se prop. 2021/22:136 s. 493.

satoriska åtgärder även driftsrelaterade sådana, vilket i vart fall inte kan uppfattas som en avsmalning i relation till kodexen.9

Vidare anges vad det är som ska skyddas från hoten, nämligen ”näts och tjänsters säkerhet” (kodexen) och ”säkerheten i nätverks- och informationssystem” (NIS2). Begreppet säkerhet för nät och tjänster definieras i artikel 2.21 i kodexen på följande sätt.

Elektroniska kommunikationsnäts och tjänsters förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos dessa nät och tjänster, hos lagrade eller överförda eller behandlade uppgifter eller hos de närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät och tjänster.

I artikel 6.2 i NIS2-direktivet definieras motsvarande begrepp, säker-

het i nätverks- och informationssystem, på följande sätt.

Nätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.

Även med beaktande av vissa semantiska skillnader, till exempel ”motstå åtgärder” och ”integriteten” (kodexen) kontra ”motstå händelser” och ”autenticiteten” (NIS2) bedömer utredningen att säkerhetsbegreppet i de två direktiven är att betrakta som likvärdiga.10

Därutöver anges i NIS2 att säkerheten ska avse sådana system som verksamhetsutövaren använder för sin verksamhet eller för att tillhandahålla sina tjänster. Åtgärderna ska således vidtas både för system som används i verksamhetsutövarens verksamhet men inte nödvändigtvis för att erbjuda NIS-tjänsten, och sådana system som används för att erbjuda NIS-tjänsten. Detta är enligt utredningen ett förtydligande i relation till motsvarande definition i det ursprungliga NIS-direktivet (artikel 4.2). Kodexen saknar motsvarande skrivning och utredningen bedömer att NIS2-direktivets krav åtminstone är likvärdiga med kodexen i denna del.

Nivån på säkerhet enligt kodexen ska vara ”lämplig i förhållande till risken”, och åtgärder ska vidtas för att förhindra och minimera incidenters inverkan på användare och på andra nät och tjänster.

9 Det går att resonera kring om skrivningen utgör en exemplifiering som i och för sig omfattas

av kodexens bestämmelser, trots att den inte anges där. Det saknar dock relevans för analysen.

10

Se även prop. 2021/22:136 s. 313 f.

Motsvarande krav följer av NIS2-direktivets skrivningar, som även anger vilka faktorer som ska beaktas vid avvägningen mellan åtgärd och risk. Kodexen nämner att ”den senaste tekniska utvecklingen” ska beaktas, vilket inte framgår av NIS2. Enligt utredningen finns dock möjlighet att beakta sådana aspekter inom ramen NIS2 och det finns därför inte någon materiell skillnad på kraven i denna del.

Sammanfattningsvis anser utredningen att bestämmelsen i LEK korresponderar med det materiella innehåll som följer av artikel 40 i kodexen, och att NIS2-direktivets bestämmelser inte är begränsande i förhållande till kodexen i denna del. På motsvarande sätt ger utredningens föreslagna bestämmelser om riskhanteringsåtgärder (3 kap. i den föreslagna cybersäkerhetslagen) i denna del samma, eller större, utrymme för riskhanteringsåtgärder jämfört med vad som följer enligt LEK.

Artikel 108

Regeringen har bedömt att artikel 108 i kodexen syftar till att ge ett särskilt skydd för slutanvändares tillgång till grundläggande möjligheter att ringa röstsamtal och ha tillgång till internet samt nödnumret 112.11 Artikeln har genomförts delvis genom bestämmelsen om säkerhetsåtgärder i 8 kap. 1 § LEK.12 Den föreslagna cybersäkerhetslagens bestämmelser har ovan bedömts ge motsvarande eller större utrymme för riskhanteringsåtgärder än 8 kap. 1 § LEK. Utredningen bedömer mot denna bakgrund att artikel 108 i kodexen på motsvarande sätt ska anses delvis genomförd genom 3 kap. 1 § cybersäkerhetslagen.

11.2.4. Ramen för vad riskhanteringsåtgärderna kan avse

Kodexen använder begreppet ”säkerhetsåtgärder”. Utredningen kommer dock i det följande att använda begreppet ”riskhanteringsåtgärder” för att beteckna motsvarande åtgärder enligt så väl kodexen som NIS2-direktivet.

11

Prop. 2021/22:136 s. 316.

12

Prop. 2021/22:136 s. 492 f.

Enligt kodexen kan riskhanteringsåtgärder avse åtgärder inom flera områden, exempelvis. kontinuitetsplanering och fysisk säkerhet.13

Enligt NIS2-direktivet ska de aktuella riskhanteringsåtgärderna avse cybersäkerhet (se avsnitt 7.1.2 ovan). Med begreppet cybersäkerhet avses all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.14 Cyberhot definieras i sin tur som en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer (dessa kategorier benämns nedan som ”skyddsföremålen”).15 Vid en första anblick skulle cyberhot semantiskt kunna förstås som hot som finns i cyberrymden, dvs. logiska hot såsom dataintrång eller dataförluster. Begreppet är dock i NIS2-kontexten betydligt bredare än så, och omfattar alla omständigheter som kan påverka skyddsföremålen negativt (jfr artikel 21.1). Som följd inkluderas alla aspekter som kan få påverkan, dvs. även exempelvis fysiska angrepp eller händelser (se artikel 21.2). Riskhanteringsåtgärderna vidtas för att hantera risker som hotar säkerheten i nätverks- och informationssystem (artikel 21.1 första stycket och artikel 6.2). De ska skydda både skyddsföremålen och lagrade, överförda eller behandlade uppgifter. Dessa ska skyddas mot alla händelser som kan ge negativ påverkan, oavsett om detta är fysiska eller logiska (”digitala”) händelser. Det kan även röra sig om organisatorisk påverkan, till exempel genom personalbrist eller brister i en delegationsordning. Eftersom ett elektroniskt kommunikationsnät utgör ett nätverks- och informationssystem16 ska även denna fysiska infrastruktur skyddas. Mot denna bakgrund bedömer utredningen att ramen för riskhanteringsåtgärder som följer av NIS2 åtminstone motsvarar vad som följer enligt kodexen.

11.2.5. Säkerhetsrevision

Av 8 kap. 2 § LEK följer skyldigheten för tillhandahållare att utföra säkerhetsgranskning (säkerhetsrevision enligt utredningens förslag, se kapitel 8).

13

Jfr skäl 9 och prop. 2021/22:136 s. 316.

14

Artikel 6.3 NIS2-direktivet, jfr artikel 2.1 i cybersäkerhetsakten.

15

Artikel 6.10 NIS2-direktivet, jfr artikel 2.8 i cybersäkerhetsakten.

16

Se artikel 6.1 a i NIS2-direktivet, jfr artikel 2.1 i kodexen.

Om det finns särskilda skäl, får tillsynsmyndigheten ålägga den som [är tillhandahållare] att på egen bekostnad låta ett oberoende kvalificerat organ utföra en säkerhetsgranskning av hela eller delar av verksamheten och att redovisa resultatet av granskningen för myndigheten.

Bestämmelsen genomför artikel 41.2 b i kodexen17 som har följande lydelse.

[Tillhandahållare ska] underkasta sig en säkerhetsgranskning som utförs av ett kvalificerat oberoende organ eller en behörig myndighet och göra resultatet av granskningen tillgängligt för den behöriga myndigheten; kostnaderna för säkerhetsgranskningen ska betalas av tillhandahållaren.

Utredningen bedömer att LEK:s genomförande inte går utöver vad som följer av kodexen. Motsvarande krav i NIS2-direktivet återfinns i artikel 32.2 och 33.2 (se avsnitt 8.4.6). Dessa krav omfattar enligt utredningen samma möjligheter som följer av kodexen. Genom utredningens förslag på genomförande av NIS2-direktivet i denna del kommer tillsynsmyndigheternas möjligheter att besluta om säkerhetsrevision motsvara vad som i dag gäller enligt LEK.

11.2.6. Incidentbegreppet

Säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster är rapporteringspliktiga enligt 8 kap. 3 § LEK och kodexen (artikel 40.2). En säkerhetsincident definieras i 1 kap. 7 § LEK som:

En händelse med en faktisk negativ inverkan på tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst, hos lagrade, överförda eller behandlade uppgifter eller hos de närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller elektroniska kommunikationstjänster, eller på förmågan att motstå sådana händelser.

Denna definition motsvarar innehållet i artikel 2.42 jämförd med artikel 2.21 i kodexen.18

säkerhetsincident: en händelse med en faktisk negativ inverkan på säker-

heten i elektroniska kommunikationsnät eller kommunikationstjänster

17 Se prop. 2021/22:136 s. 317 f. och 494 f. 18

Jfr prop. 2021/22:136 s. 411.

säkerhet för nät och tjänster: elektroniska kommunikationsnäts och kom-

munikationstjänsters förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos dessa nät och tjänster, hos lagrade eller överförda eller behandlade uppgifter eller hos de närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller kommunikationstjänster

Motsvarande definition följer av artikel 6.6 jämförd med artikel 6.2 i NIS2-direktivet:

incident: en händelse som undergräver tillgängligheten, autenticiteten,

riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem

säkerhet i nätverks- och informationssystem: nätverks- och informations-

systems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem

Som synes ovan har incidentbegreppet i LEK kompletterats med ”eller på förmågan att motstå sådana händelser”, hämtat från definitionen av säkerhet för nät och tjänster. Tillägget till incidentdefinitionen synes ha tillförts till LEK-bestämmelsen efter PTS förslag och för att incidentbegreppet både skulle träffa händelser med faktisk påverkan på tillgänglighet, riktighet etcetera, samt sådana händelser som påverkar förmågan att motstå sådana händelser.19 Motsvarande tillägg finns även i NIS2-definitionen av säkerhet i nätverks- och

informationssystem. Utredningen har dock inte funnit skäl att föreslå

att incidentbegreppet ska få samma utformning som i LEK. I NIS2 omfattar incidentbegreppet fysisk infrastruktur och fysisk påverkan, men kräver att den aktuella händelsen ska ha någon form av påverkan på uppgifter eller tjänster. Det bör i det fortsatta lagstiftningsarbetet övervägas om denna skillnad i omfattning medför ett behov av vidare åtgärder.

19

Prop. 2021/22:136 s. 319.

11.2.7. Kravet på incidentrapportering

Av 8 kap. 3 § första stycket LEK följer skyldigheten att rapportera säkerhetsincidenter:

[Tillhandahållare] ska utan onödigt dröjsmål till tillsynsmyndigheten rapportera säkerhetsincidenter som har haft en betydande påverkan på nät och tjänster.

Bestämmelsen genomför artikel 40.2 första och andra stycket i kodexen som har följande lydelse.

[Tillhandahållare ska] utan onödigt dröjsmål meddela den behöriga myndigheten om säkerhetsincidenter som har haft en betydande påverkan på driften av nät och tjänster.

För att fastställa hur betydande påverkan en säkerhetsincident har ska särskilt följande parametrar, när sådana finns tillgängliga, beaktas:

a) Det antal användare som påverkas av säkerhetsincidenten.

b) Hur länge säkerhetsincidenten varar.

c) Hur stort det geografiska område som påverkas av säkerhetsinciden-

ten är.

d) Den utsträckning i vilken nätverkets eller tjänstens funktion påverkas.

e) Den utsträckning i vilken ekonomisk och samhällelig verksamhet på-

verkas.

I LEK anges inte vad som avses med betydande påverkan, men förarbetena hänvisar i denna del till de parametrar som ska beaktas enligt kodexen.20 Utredningen anser att kraven i 8 kap. 3 § LEK direkt motsvarar kodexens bestämmelser i denna del.

Motsvarande krav i NIS2-direktivet följer av artikel 23 (se kapitel 7). Verksamhetsutövaren är bland annat skyldig att utan onödigt dröjsmål rapportera betydande incidenter till den behöriga myndigheten (artikel 23.1). Avgörande för om en incident ska anses vara betydande (se artikel 23.3) är om den:

1. har orsakat eller kan orsaka allvarliga driftsstörningar för tjänst-

erna eller ekonomiska förluster för den berörda entiteten, eller

2. har påverkat eller kan påverka andra fysiska eller juridiska personer

genom att vålla betydande materiell eller immateriell skada.

20

Prop. 2021/22:136 s. 320 och 495.

Utredningen kan konstatera att kodexen innehåller mer detaljerade bestämmelser än NIS2-direktivet om vad som ska beaktas vid bedömningen av om en incident har haft betydande påverkan och därmed är rapporteringspliktig. Genom utredningens förslag om att regeringen, eller den myndighet regeringen bestämmer, ska få meddela föreskrifter om vad som utgör en betydande incident anser utredningen dock att denna diskrepans mellan direktiven sannolikt kommer att sakna betydelse i den svenska tillämpningen.

11.2.8. Informera allmänheten om incidenter

Av artikel 40.2 tredje stycket i kodexen följer en möjlighet för behöriga myndigheter – om det kan anses ligga i allmänhetens intresse – att informera allmänheten, eller kräva att tillhandahållare ska informera allmänheten, om en säkerhetsincident. Bestämmelsen har genomförts genom 8 kap. 3 § andra stycket LEK.

Bestämmelsen har sin direkta motsvarighet i artikel 23.7 i NIS2direktivet. Utredningen har även föreslagit en motsvarande möjlighet för tillsynsmyndigheten som i dag följer av LEK (se avsnitt 7.3). Mot denna bakgrund anser utredningen att 8 kap. 3 § andra stycket LEK direkt motsvaras av utredningens föreslagna reglering.

11.2.9. Informera om betydande cyberhot

Enligt artikel 40.3 i kodexen ska tillhandahållare informera sina användare om de kan påverkas av ett betydande hot om en säkerhetsincident i näten eller tjänsterna. De ska även informeras om eventuella skydds- eller motåtgärder som kan vidtas, och om det är lämpligt även om själva hotet. Bestämmelsen har genomförts genom 8 kap. 4 § LEK. Om skyldigheten inte uppfyllts kan PTS besluta om sanktionsavgift (12 kap. 1 § första stycket 6 LEK).

Motsvarande krav att informera om betydande cyberhot följer av artiklarna 23.2, 32.4 e och 33.4 e i NIS2-direktivet. Begreppet cyberhot har redogjorts för i avsnitt 7.3 och 11.3.4 ovan. Enligt utredningens förslag införs en motsvarande skyldighet att informera om betydande cyberhot. Skyldigheten föreslås även kunna leda till samtliga föreslagna sanktioner, däribland sanktionsavgift. Utredningen

bedömer mot denna bakgrund att bestämmelsen i LEK fullt ut motsvaras av den av utredningen föreslagna regleringen.

11.2.10. Ingripanden, sanktioner och vissa tillsynsåtgärder

Av artikel 41 i kodexen följer att tillsynsmyndigheten ska ha vissa befogenheter för att kunna säkerställa efterlevnad av direktivet. Utredningen bedömer att NIS2-direktivets bestämmelser i dessa delar21uppenbart omfattar de befogenheter som följer av kodexen.

Utredningen noterar att LEK:s utformning av bestämmelserna om uppgiftsskyldighet (11 kap. 3 §) skiljer sig språkligt mot motsvarande skyldighet enligt den föreslagna cybersäkerhetslagen. Till att börja med omfattar skyldigheten enligt 11 kap. 3 § första stycket LEK ”upplysningar eller handlingar”, kontra det av utredningen föreslagna ”information”. Utredningen anser att begreppet information innefattar både upplysningar och handlingar, varför den av utredningen föreslagna upplysningsskyldigheten är minst lika omfattande som den som följer av LEK i denna del.

Av 11 kap. 3 § andra stycket LEK följer dock även en möjlighet för PTS att förelägga andra aktörer än den aktuella tillhandahållaren att lämna upplysningar eller handlingar. Skyldigheten träffar sådana aktörer som inte omfattas av LEK, men som bedriver verksamhet inom sektorn elektronisk kommunikation. Bestämmelsen gäller vid all form av tillsyn enligt lagen, och är således inte begränsad till tillsyn avseende 8 kap. 1–4 §§ LEK. Av utredningens förslag följer att viss tillsyn som i dag bedrivs enligt LEK i stället kommer att bedrivas enligt cybersäkerhetslagen, där någon motsvarande möjlighet inte föreslås. Det kan därför finnas skäl att överväga om en bestämmelse av sådan innebörd är av betydelse för PTS tillsyn enligt cybersäkerhetslagen.

LEK innehåller möjligheter för PTS att meddela förelägganden för att åtgärda överträdelser av lagens bestämmelser (11 kap. 6 § första stycket 2). Sådana förelägganden kan i vissa fall gälla omedelbart (11 kap. 11 § första stycket 1). Bestämmelserna i LEK genomför både delar av artikel 41 och andra artiklar i kodexen. Det saknas därför skäl att överväga upphävande av dem. Utredningen kan dock konstatera att bestämmelserna – i de delar de genomför artikel 41 – helt

21 Jfr artiklarna 32–34 i NIS2-direktivet, se vidare kapitel 8–10.

motsvaras av regleringen i utredningens föreslagna cybersäkerhetslag (4 kap. 6 § samt 5 kap. 6 och 21 §§).

Överträdelser av 8 kap. 1–4 §§ LEK kan vara grund för sanktionsavgifter (12 kap. 4–6 §§). Som utredningen bedömt ovan motsvarar skyldigheterna i 8 kap. 1–4 §§ LEK av de som följer av NIS2-direktivet och utredningens föreslagna genomförande. Genom att skyldigheterna i 8 kap. 1–4 §§ LEK föreslås upphävas bör även de korresponderande bestämmelserna om sanktionsavgifter upphävas. Avseende sanktionsavgifternas storlek är maximibeloppet i LEK (12 kap. 2 §) betydligt lägre än enligt NIS2, varför NIS2 inte är begränsande heller i denna del. Utredningen anser mot denna bakgrund att sanktionsavgifterna enligt LEK helt täcks av det föreslagna genomförandet av NIS2-direktivet.

11.2.11. Föreskriftsrätt

PTS har i dag föreskriftsrätt avseende bestämmelserna i LEK om säkerhetsåtgärder (8 kap. 1 §), incidentrapportering (8 kap. 3 § första stycket) och information till användare om betydande hot om säkerhetsincidenter (8 kap. 4 §). Genom utredningens förslag föreslås PTS, i egenskap av tillsynsmyndighet, endast få föreskriftsrätt avseende riskhanteringsåtgärder. Det bör i den fortsatta lagstiftningsprocessen utredas vilka konsekvenser detta medför.

11.3. Slutsatser och följdförslag

Utredningen har ovan gjort bedömningen att artiklarna 40 och 41 i kodexen och hur de har genomförts i LEK motsvaras av NIS2direktivet och dess föreslagna genomförande i svensk rätt. På motsvarande sätt har utredningen bedömt att den krets som i dag träffas av 8 kap. 1–4 §§ LEK även träffas av NIS2-regleringen. Vidare är det även utredningens bedömning att de ingripanden, sanktioner och tillsynsbefogenheter som i aktuella delar följer av LEK motsvaras av utredningens föreslagna reglering. Som följd är utredningens inriktande förslag att 8 kap. 1–4 §§ LEK ska upphävas och förslag om författningsändringar lämnas därför inklusive de följdändringar som föranleds av ett sådant upphävande. Detta gäller dock inte reservationslöst. Det finns utrymme för närmare överväganden om ett antal

frågor, bland annat att en motsvarighet till LEK:s portalbestämmelse saknas i den föreslagna cybersäkerhetslagen, omfattningen av incidentbegreppet i NIS2-direktivet och ett eventuellt behov av en möjlighet att utfärda förelägganden motsvarande den som finns i 11 kap. 3 § andra stycket LEK vid PTS tillsyn av riskhanteringsåtgärder enligt cybersäkerhetslagen. Det kan även övervägas om en upplysningsbestämmelse bör lyftas in i LEK som informerar om att krav på bland annat incidentrapportering och riskhanteringsåtgärder framgår av den föreslagna cybersäkerhetslagen.

12. Konsekvensanalys

12.1. Allmänt

En utredning ska beskriva konsekvenserna av sina förslag och kraven är angivna i kommittéförordningen (1998:1474). I förordningens 14 § föreskrivs att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet.

Om förslagen innebär samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för det allmänna ska utredningen föreslå en finansiering.

Vidare ska enligt 15 § i förordningen eventuella konsekvenser för den kommunala självstyrelsen redovisas. Detsamma gäller eventuella konsekvenser för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Därutöver gäller enligt 15 a § i förordningen särskilda krav för förslag till nya eller ändrade regler. För dem ska konsekvenserna även anges på ett sätt som motsvarar kraven i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning. Av den förordningens 6 § följer att en konsekvensutredning för förslag till nya eller ändrade regler ska innehålla följande:

1. en beskrivning av problemet och vad man vill uppnå,

2. en beskrivning av alternativa lösningar samt effekterna av att en

reglering inte föreslås,

3. uppgifter om vem som berörs av regleringen,

4. uppgifter om kostnadsmässiga samt andra konsekvenser regler-

ingen skulle medföra och en jämförelse av konsekvenserna,

5. en bedömning av om regleringen överensstämmer med eller går

utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen (EU), och

6. en bedömning av om särskilda hänsyn behöver tas när det gäller

tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser.

Av 7 § samma förordning följer att om regleringen kan få effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt ska konsekvensutredningen, utöver vad som följer av 6 § och i den omfattning som är möjlig, innehålla en beskrivning av följande:

1. antalet företag som berörs, vilka branscher företagen är verksamma

i samt storleken på företagen,

2. tidsåtgången regleringen kan föra med sig för företagen och vad

regleringen innebär för företagens administrativa kostnader,

3. andra kostnader den föreslagna regleringen medför för företagen

och vilka förändringar i verksamheten som företagen kan behöva vidta till följd av den,

4. i vilken utsträckning regleringen kan komma att påverka kon-

kurrensförhållandena för företagen,

5. hur regleringen i andra avseenden kan komma att påverka före-

tagen, och

6. om särskilda hänsyn behöver tas till små företag vid reglernas ut-

formning.

Av regeringens direktiv följer också därutöver särskilt att utredarens förslag ska utformas så att reglerna blir tydliga och ger så låga administrativa och andra kostnader som möjligt för verksamhetsutövarna. I detta ingår enligt regeringen att bedöma de ekonomiska konsekvenserna av förslagen för de behöriga myndigheterna. Det följer också av direktivet att det i 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad

som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar den kommunala självstyrelsen ska utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslaget särskilt redovisas.

I detta kapitel ska konsekvenserna av utredningens förslag redovisas. Nedan kommer konsekvenserna för förslagen som hänför sig till NIS2 att redovisas.

12.2. Jämställdhet och de integrationspolitiska målen

Inledningsvis bedömer utredningen att förslagen inte berör jämställdheten mellan kvinnor och män eller möjligheterna att nå de integrationspolitiska målen.

12.3. Regleringsalternativ

Utredningens uppdrag har i huvudsak varit att lämna förslag om hur NIS2-direktivet kan införlivas i svensk rätt. Syftet med NIS2-direktivet är att fastställa åtgärder för att uppnå en hög gemensam nivå på cybersäkerhet i nätverks- och informationssystem inom unionen. Det är ett bindande minimidirektiv med innebörd att medlemsstaten får anta bestämmelser som säkerställer en högre cybersäkerhetsnivå. Utredningen har dock med något mindre undantag genomgående utarbetat förslag utifrån minimikraven. Det betyder att den föreslagna regleringen i princip uteslutande är en konsekvens av Sveriges medlemskap i EU och går inte utöver dessa skyldigheter. Förslagen innehåller med undantag av skyldigheten om systematiskt informationssäkerhetsarbete inga krav som syftar till att uppnå en högre nivå av säkerhet än de som följer av direktivet. Effekten av att någon reglering inte kommer till stånd skulle således vara att Sverige inte följer skyldigheterna enligt EU-rätten.

12.4. Vem berörs av förslagen?

NIS2-direktivet ersätter det tidigare NIS-direktivet som införlivades genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Lagen från 2018 föreslås upphävas genom cybersäkerhetslagen. Den gällande lagen omfattar leverantörer av samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknadsstruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Vidare omfattar lagen digitala tjänster. Sådan verksamhet drivs av statliga myndigheter, kommuner, regioner eller företag.1

Cybersäkerhetslagen omfattar såväl offentliga som enskilda verksamhetsutövare. De offentliga är majoriteten av alla myndigheter samt alla regioner och alla kommuner. Därutöver omfattas ett stort antal enskilda verksamhetsutövare. Huvudregeln är att samtliga enskilda verksamhetsutövare inom 18 olika sektorer som är listade i bilaga 1 och 2 till NIS2-direktivet omfattas av lagen under förutsättning att verksamheten är etablerad i Sverige och uppfyller kraven för medelstort företag. Med det avses att verksamheten sysselsätter minst 50 personer eller har en omsättning som överstiger 10 miljoner euro per år. Innebörden av det är att som huvudregel omfattas inte små företag. Definitionen för små företag är alltså att verksamheten sysselsätter mindre än 50 personer och vars omsättning är lägre än 10 miljoner euro.

Därutöver gäller dock att storlekskravet inte behöver vara uppfyllt för vissa utpekade verksamhetsutövare. Det är verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät, allmänt tillgängliga elektroniska kommunikationstjänster, betrodda tjänster, registreringsenhet för toppdomäner eller DNS-tjänster. Detsamma gäller för verksamheter som MSB bedömer som är särskilt kritiska, se cybersäkerhetslagen 1 kap.8 §. Det betyder att det skulle kunna finnas små företag bland dessa verksamhetsutövare. Utredningens bedömning är dock att det endast bör vara ett fåtal små företag som återfinns inom denna grupp.

Skillnaden mellan lagen om informationssäkerhet för samhällsviktiga och digitala tjänster och förslaget till cybersäkerhetslag är att den senare omfattar betydligt fler aktörer. Inledningsvis omfattar cybersäkerhetslagen som framgått 18 sektorer i stället för åtta. Det

1 SOU 2017:36 s. 267.

är också viktigt att notera att om verksamhetsutövaren omfattas så gäller det hela verksamheten. Offentlig verksamhet är en egen sektor, vilket får som följd att hela den offentliga verksamheten omfattas med vissa specifikt angivna undantag, se vidare kapitel 5.

Därutöver omfattas alltså alla enskilda verksamhetsutövare inom sektorerna enligt cybersäkerhetslagen som huvudregel om storlekskravet är uppfyllt. Motsvarande gäller inte för den gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. En förutsättning för att omfattas av den lagen är att leverantören tillhandahåller en samhällsviktig tjänst inom en av sektorerna, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Därutöver omfattas juridiska personer som tillhandahåller en digital tjänst.

12.5. Skyldigheterna för dem som omfattas

Verksamhetsutövarna har vissa skyldigheter. Till att börja med finns det en anmälningsskyldighet om verksamheten till tillsynsmyndigheten, se kapitel 6. Därutöver ska verksamhetsutövaren vidta riskhanteringsåtgärder och, i tillämpliga fall genomföra incidentrapportering. I riskhanteringsåtgärder innefattas utbildning om riskhantering och systematiskt och riskbaserat informationsarbete, se kapitel 7.

Därutöver följer det av cybersäkerhetslagen att myndigheter har uppgifter. Det handlar om tillsynsmyndigheter och MSB. Enligt förslag till cybersäkerhetsreglering är tillsynen delad mellan olika tillsynsmyndigheter. Innebörden är att det finns olika tillsynsmyndigheter för de olika sektorerna. Såväl MSB som merparten av tillsynsmyndigheterna har redan uppgifter enligt nu gällande lag.

12.6. Ekonomiska konsekvenser för tillsynsmyndigheterna och Myndigheten för samhällsskydd och beredskap samt finansiering

I detta avsnitt ska de ekonomiska konsekvenserna för tillsynsmyndigheterna och MSB analyseras samt förslag till finansiering lämnas.

12.6.1. Tillsynsmyndigheternas uppgifter

Av nedanstående tabell följer vem som är tillsynsmyndighet enligt utredningens förslag och deras tillsynsområden.

Tabell 12.1 Tabell över tillsynsmyndigheter

Tillsynsmyndighet

Sektor

Statens energimyndighet

Energi

Transportstyrelsen Transporter Tillverkning Finansinspektionen Bankverksamhet Finansmarknadsinfrastruktur Inspektionen för vård och omsorg Hälso- och sjukvårdssektorn, vårdgivare Läkemedelsverket Hälso- och sjukvårdssektorn Tillverkning Livsmedelsverket Avloppsvatten Dricksvatten Produktion, bearbetning och distribution av livsmedel Post- och telestyrelsen Digital infrastruktur Digitala leverantörer Förvaltning av IKT-tjänster Post- och budtjänster Rymden Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län

Avfallshantering Forskning Lärosäten med examenstillstånd Offentlig förvaltning Tillverkning, produktion och distribution av kemikalier Tillverkning av datorer, elektronikvaror och optik Tillverkning av elapparatur Tillverkning av övriga maskiner

Det handlar alltså om elva myndigheter. Tillsynsmyndigheternas uppgift är att utöva tillsyn över att verksamhetsutövarna uppfyller sina skyldigheter. Om skyldigheterna inte uppfylls ska sanktioner utgå på sätt som följer av kapitel 9.

I första hand ska myndigheterna se till att verksamhetsutövarna uppfyller sin anmälningsskyldighet att lämna uppgifter om verksamheten. Dessa uppgifter ska respektive myndighet registrera och vidarebefordra till MSB. I denna del har tillsynsmyndigheten ingen föreskriftsrätt, eftersom den åvilar MSB. Därutöver ska respektive tillsynsmyndighet bedriva tillsyn över att verksamhetsutövarna uppfyller sina skyldigheter och vidtar riskhanteringsåtgärder, bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete samt uppfyller utbildningskravet om det. Varje tillsynsmyndighet ska också meddela föreskrifter om riskhanteringsåtgärderna, det systematiska informationssäkerhetsarbetet och utbildning, se vidare kapitel 7. Därutöver har verksamhetsutövarna en skyldighet att genomföra incidentrapportering när så ska ske, se avsnitt 7.3 och tillsynsmyndigheterna ska förstås se till att detta efterlevs. MSB ansvarar för föreskriftsrätten för incidentrapportering.

Tillsynsmyndigheterna ska också efter ansökan meddela undantag från storlekskravet för enskilda verksamhetsutövare med följd att verksamhetsutövarna inte omfattas av lagen. Det kan bli aktuellt för partnerföretag eller anknutna företag som inte i sig uppfyller storlekskravet, se kapitel 5. Detta beräknas dock endast behöva ske i begränsad utsträckning. Slutligen ska tillsynsmyndigheten även se till att skyldigheten att utse en företrädare enligt 1 kap. 6 § cybersäkerhetslagen efterlevs. Även det bör förekomma endast undantagsvis.

Flera av de elva tillsynsmyndigheterna bedriver redan tillsyn enligt 17 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. Tillsynsfördelningen är följande:

Tabell 12.2 Gällande tillsynsfördelning

Tillsynsmyndighet

Sektor

Statens energimyndighet

Energi

Transportstyrelsen

Transport

Finansinspektionen Bankverksamhet Finansinspektionen Finansmarknadsinfrastruktur Inspektionen för vård och omsorg Hälso- och sjukvård Livsmedelsverket Leverans och distribution av dricksvatten Post- och telestyrelsen Digital infrastruktur

Tillsynsmyndigheterna får också meddela föreskrifter om säkerhetsåtgärder avseende riskanalyser, riskhanteringsåtgärder och incidenthantering enligt 1214 §§ lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster för sina respektive tillsynsområden. Socialstyrelsen får dock meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde. Det anförda betyder att sex av tillsynsmyndigheterna redan bedriver tillsyn enligt gällande regelverk och fem får meddela föreskrifter, men att dessa skyldigheter komma att upphävas och ersättas av nya tillsynsbestämmelser och nya bestämmelser om föreskriftsrätt.

Därutöver följer av 19 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster att tillsynsmyndigheterna ska lämna uppgifter till MSB, ge allmän vägledning och samarbeta med IMY, samarbetsgruppen och tillsynsmyndigheter i andra medlemsstater.

Det finns dock fem nya tillsynsmyndigheter som inte tidigare bedrivit tillsyn. Dessa är Läkemedelsverket och länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län.

12.6.2. Uppgifter för Myndigheten för samhällsskydd och beredskap

Enligt utredningens förslag till cybersäkerhetslag ska MSB vara gemensam kontaktpunkt och CSIRT-enhet. Det betyder att MSB kommer att ha ett flertal olika uppgifter. Sammantaget ska MSB enligt utredningens förslag ha följande uppgifter:

1. Ta emot det register över verksamhetsutövare från tillsynsmyndigheter och vidarebefordra dem till kommissionen och samarbetsgruppen (avsnitt 6.2),

2. upprätta ett särskilt register över gränsöverskridande verksamhets-

utövare och lämna det vidare till Enisa. Uppgifterna och registren ska uppdateras, vilket ger en löpande skyldighet för MSB att vidarebefordra uppgifterna (avsnitt 8.2),

3. meddela föreskrifter om verksamhetsutövarens uppgiftsskyldighet

(avsnitt 6.2),

4. vara ett stöd till tillsynsmyndigheterna i deras arbete med att

utforma en vägledning till stöd för de enskilde verksamhetsutövarna om vem som omfattas av de olika sektorerna (avsnitt 5.2.12),

5. i föreskrifter peka ut enskilda verksamheter som bedöms vara sär-

skilt kritiska och därför ska omfattas av lagen trots att storlekskravet inte är uppfyllt (avsnitt 5.2.13),

6. utarbeta en vägledning om riskhanteringsåtgärder till stöd för till-

synsmyndigheter (avsnitt 7.1),

7. ansvara för incidentrapportering (avsnitt 7.3),

8. leda ett samarbetsforum där tillsynsmyndigheterna ingår (av-

snitt 8.4.7),

9. utöva en sambandsfunktion som säkerställer ett gränsöverskrid-

ande samarbete mellan medlemsstatens myndigheter och relevanta myndigheter i andra medlemsstater, kommissionen och Enisa samt ett sektorsövergripande samarbete med tillsynsmyndigheterna (avsnitt 10.1.3), 10. vidarebefordra incidentrapporter till de gemensamma kontakt-

punkterna i andra berörda medlemsstater (avsnitt 10.1.3), 11. varje tredje månad lämna in en sammanfattande rapport till Enisa

med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud (avsnitt 10.1.3), 12. företräda Sverige i samarbetsgruppen (avsnitt 10.1.3), 13. övervaka och analysera cyberhot, sårbarheter och incidenter på

nationell nivå och tillhandahålla varningar (avsnitt 10.2.3), 14. erbjuda stöd avseende realtidsövervakning av nätverks- och infor-

mationssystem (avsnitt 10.2.3), 15. ta emot incidentrapporter och vidta åtgärder och erbjuda stöd.

Om en incident kan antas ha sin grund i en brottslig gärning ska verksamhetsutövaren skyndsamt uppmanas att anmäla incidenten till Polismyndigheten (avsnitt 10.2.3). 16. samla in och analysera forensiska uppgifter (avsnitt 10.2.3), 17. tillhandahålla dynamiska risk- och incidentanalyser samt situa-

tionsmedvetenhet (avsnitt 10.2.3),

18. på begäran utföra en proaktiv skanning av den berörda verksam-

hetsutövarens nätverks- och informationssystem, 19. delta i det nätverk som inrättats enligt artikel 15 i NIS2-direktivet

(CSIRT-nätverket) (avsnitt 10.2.3), 20. vara samordnare för samordnad delgivning av information om

sårbarheter (avsnitt 10.2.3), och 21. upprätta samarbetsförbindelser med relevanta intressenter inom

privat och offentlig sektor samt bidra till samverkan rörande cybersäkerhet (avsnitt 10.2.3).

MSB har dock redan i dag omfattande uppgifter till följd av regleringen om informationssäkerhet för samhällsviktiga och digitala tjänster. Dessa är likartade dem som föreslås och avser följande:

1. Meddela föreskrifter om vad som utgör samhällsviktiga tjänster och vad som utgör en betydande störning. Begreppen styr vem som omfattas av lagen enligt 3 §,

2. meddela föreskrifter om leverantörernas skyldighet att bedriva

ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster,

3. lämna råd och stöd till tillsynsmyndigheterna när de tar fram

föreskrifter om riskanalys, riskåtgärder och incidentåtgärder enligt 12–14 §§ lagen om informationssäkerhet för samhällsviktiga och digitala tjänster,

4. meddela föreskrifter om vad som avses med en betydande in-

verkan på kontinuiteten i en samhällsviktig tjänst. Begreppet har betydelse, eftersom leverantörer av samhällsviktiga tjänster enligt 18 § i samma lag ska rapportera incidenter ska rapportera incidenter som har sådan betydande inverkan,

5. vara CSIRT-enhet,

6. ta emot incidentrapporter, tillgängliggöra informationen i incident-

rapporter för tillsynsmyndigheterna och uppmana leverantörer att till Polismyndigheten anmäla incidenter som kan antas ha sin grund i en brottslig gärning. Vidare ska MSB övervaka incidenter på nationell nivå, tillhandahålla tidiga varningar till relevanta aktörer,

vidta åtgärder till följd av incidenter och tillhandahålla dynamisk risk- och incidentanalys och situationsmedvetenhet,

7. delta i CSIRT-nätverket, bygga upp samarbetsrelationer med den

privata sektorn, främja antagandet och användningen av gemensam eller praxis för förfaranden för hantering av incidenter och klassificeringssystem,

8. i vissa fall informera leverantörer, andra medlemsstater och all-

mänheten om incidenter,

9. på begäran av PTS bistå myndigheten i frågor om hantering av

säkerhetsincidenter enligt lagen (2022:482) om elektronisk kommunikation, 10. meddela föreskrifter om incidentrapportering, 11. meddela föreskrifter om anmälningsskyldighet, 12. leda ett samarbetsforum där tillsynsmyndigheterna ingår, 13. vara nationell kontaktpunkt, 14. utöva sambandsfunktion för att säkerställa gränsöverskridande

samarbete mellan medlemsstaternas myndigheter och med de berörda myndigheterna i andra medlemsstater samt med samarbetsgruppen, 15. informera samarbetsgruppen, 16. informera andra berörda medlemsstaterna, om incidenter som har

en betydande inverkan på kontinuiteten i samhällsviktiga tjänster i den medlemsstaten, 17. fullgöra Sveriges skyldighet att samråda med andra medlemsstater

samt rapportera resultatet av samrådet till berörd tillsynsmyndighet, 18. vara Sveriges representant i samarbetsgruppen, och 19. fullgöra Sveriges skyldighet att tillhandahålla information om ge-

nomförandet av NIS2-direktivet till kommissionen.

12.6.3. Utgångspunkter och bedömning för Finansinspektionen

Utredningens bedömning: Förslagen medför inte ökade kost-

nader för Finansinspektionen.

Av artikel 8.5 och 11.2 i NIS2-direktivet följer att medlemsstaterna ska säkerställa att deras behöriga myndigheter har tillräckliga resurser för att på ett ändamålsenligt och effektivt sätt utföra de uppgifter de tilldelas och därigenom når målet för direktivet, men det saknas en bestämmelse om hur finansieringen ska ske. Motsvarande bestämmelse fanns i NIS-direktivet. Innebörden är att medlemsstaterna redan accepterat att de behöriga myndigheterna får tillräckliga resurser.

I kommittéförordningen anges som framgår ovan att utredningen ska föreslå en finansiering för kostnadsökningar och intäktsminskningar för det allmänna. Som framgår ovan är flera av de tillsynsmyndigheter som utredningen föreslår redan tillsynsmyndigheter enligt gällande lag. Det gäller Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och PTS.

Finansinspektionen har samma tillsynsområden. Här ska dock beaktas att utredningen föreslår att finansiella verksamhetsutövare som omfattas av Dora-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt lagen, se vidare avsnitt 5.4. Som följd kommer då inte heller tillsyns- och efterlevnadskontroll enligt lagen gälla för dem. Innebörden blir att finansiella verksamhetsutövare endast kommer att omfattas av uppgiftsskyldigheten. För Finansinspektionen betyder det att deras uppgifter i vart fall inte bör öka. Det som kommer att återstå är att Finansinspektionen ska se till att de finansiella verksamhetsutövarna lämnar uppgifter och vidarebefordrar dem till MSB. Utredningen drar för Finansinspektionen slutsatsen att kostnaderna inte kommer att öka.

Tillsynsområden är också samma för Statens energimyndighet och Inspektionen för vård och omsorg (IVO). För Statens energimyndighet tillkommer dock verksamhetsutövare inom delsektorerna elektricitet, fjärrvärme eller fjärrkyla, och olja och vätgas.

För IVO skulle det betyda att det endast tillkommer att myndigheten ska meddela föreskrifter, eftersom det arbete tidigare utförts av Socialstyrelsen. Här skulle samtidigt Socialstyrelsens kostnader minska med ungefärligt samma belopp.

För samtliga fem tillsynsmyndigheter, Statens energimyndighet, Transportstyrelsen, IVO, Livsmedelsverket och PTS blir en övergripande skillnad att den gällande lagen är begränsad till samhällsviktiga och digitala tjänster medan förslaget till cybersäkerhetslagen omfattar enskilda verksamhetsutövarna inom sektorn som uppfyller storlekskravet. Vidare omfattas nästan hela den offentliga sektorn enligt utredningens förslag.

Vad skillnaden innebär är oklar och behöver analyseras. Därtill tillkommer att samtliga myndigheter utom IVO får utökade tillsynsområden genom att sektorerna eller som för Statens energimyndighet undersektorerna utökas. Enligt gällande NIS-lag omfattar Transportstyrelsens område endast transport. För Transportstyrelsen tillkommer tillverkning, se vidare kapitel 8. För Livsmedelsverket har tillsynsområdet förändrats från leverans och distribution av dricksvatten till avloppsvatten, dricksvatten och produktion, bearbetning och distribution av livsmedel, se kapitel 8. Slutligen har PTS fått ett utökat tillsynsområde. Tidigare omfattade området endast digital infrastruktur och digitala tjänster, nu tillkommer digitala leverantörer, förvaltning av IKT-tjänster, post- och budtjänster samt rymden, se kapitel 8. För Statens energimyndighet tillkommer alltså verksamhetsutövare inom delsektorerna elektricitet, fjärrvärme eller fjärrkyla, och olja och vätgas. Dessa fyra myndigheter kan till följd av det få ökade kostnader. I vilken utsträckning behöver analyseras vidare.

Vidare tillkommer alltså fem tillsynsmyndigheter, som inte tidigare haft några uppgifter inom ramen för NIS. Läkemedelsverkets tillsynsområde är hälso- och sjukvårdssektorn samt tillverkning. Vidare ska Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län bedriva tillsyn över avfallshantering, forskning, offentlig förvaltning, tillverkning samt tillverkning, produktion och distribution av kemikalier. Utredningens slutsats för dessa fem myndigheter är förstås att det kommer att medföra ökade kostnader. Hur stora dessa kostnader är behöver analyseras vidare. Här ska dock för länsstyrelserna beaktas att de redan har en etablerad tillsynsorganisation och den kompetens som behövs.

Utredningen har gett Sweco Aktiebolag, Sweco, i uppdrag att analysera de oklarheter som finns i detta avsnitt. Rapporten finns i bilaga 4.

12.6.4. Ekonomiska konsekvenser för Bolagsverket och finansiering

Utredningens förslag: De utvecklingskostnader som uppstår för

Bolagsverket till följd av utredningens förslag bör finansieras inom befintlig ram.

Utredningen har i kapitel 9 lämnat förslag om införande av förbud att utöva ledningsfunktion. Genom förslaget pekas Bolagsverket och i registreringsansvariga länsstyrelser ut som ansvariga för att avregistrera en förbudsdrabbad individ från sina respektive associationsrättsliga register,2 samt tillse att denne inte kan registreras på nytt hos verksamhetsutövaren under förbudstiden. Bolagsverket bedömer att det kommer få ökade kostnader om 500 000 kronor till följd av utredningens förslag. Kostnaderna är hänförliga till utveckling av samtliga de IT-system som utgör de företagsregister som verket ansvarar för, och består i att utveckla en ny avregistreringsorsak samt en spärr mot återregistrering. Bolagsverket har angett att kostnaden utgör en engångskostnad och att förslaget i övrigt inte bedöms medföra några ökade löpande förvaltningskostnader. Eftersom dessa förbud inte ska registreras i ett särskilt offentligt register, som till exempel näringsförbudsregistret, behövs enligt verket en särskild teknisk utveckling för utredningens förslag.

Utredningen bedömer att utveckling av befintliga system är en uppgift som redan följer av myndighetens uppdrag. Med hänsyn härtill anser utredningen att den kostnad som föranleds av förslaget bör finansieras inom befintligt budgetutrymme.

12.6.5. Övriga tillsynsmyndigheter och Myndigheten för samhällsskydd och beredskap – bakgrund

Vid val av metod för beräkning av kostnaderna och finansiering för tillsynsmyndigheternas och MSB:s kostnader har utredningen tagit ledning av överväganden och beslut om kostnader och finansiering vid införandet av gällande NIS-lag. Det handlar såväl om NIS-utred-

2

Avseende Bolagsverket framgår dessa register av 1 § 1–3 förordningen (2007:1100) med in-

struktion för Bolagsverket.

ningen som Statskontorets bedömning och regeringens beslut om anslag.

NIS-utredningen

Den utredning som föreslog genomförandet av NIS-direktivet (NISutredningen) bifogade i sitt betänkande förstås en konsekvensanalys.3 Utredningen delade upp kostnaderna i initiala och löpande. De initiala kostnaderna skulle avse bland annat utarbetandet av nya föreskrifter, bygga upp system för tillsyn, rekrytera eller utveckla ny kompetens. Utredningen bedömde att samtliga sex tillsynsmyndigheter skulle behöva förstärkas med två årsarbetskrafter under 2018.4En årsarbetskraft motsvarar cirka en miljon kronor. Innebörden skulle alltså vara att varje tillsynsmyndighet skulle behöva tillföras två miljoner kronor avseende initiala kostnader. Därutöver menade dock utredningen att varje tillsynsmyndighetskulle ha löpande kostnader för tillsyn och administrativa sanktioner. Dessa skulle dock variera beroende på antal leverantörer som skulle komma att omfattas. Utredningen kunde inte bedöma denna kostnad, utan föreslog att Myndigheten för samhällsskydd och beredskap med stöd av tillsynsmyndigheterna gavs i uppdrag att göra en uppskattning av hur många leverantörer av samhällsviktiga tjänster som fanns inom varje sektor. Därefter föreslogs att Statskontoret skulle ges i uppdrag att lämna ett förslag på genomförande och finansiering.5

När det gällde finansiering övervägde utredningen en avgiftsfinansierad tillsyn. Utredningen anförde följande:

När det gäller finansiering av kostnader för att utöva tillsyn har utredningen övervägt en avgiftsfinansierad tillsyn. Av regeringens skrivelse, En tydlig, rättssäker och effektiv tillsyn, framgår bland annat att tillsyn i normalfallet bör finansieras genom avgifter. Det kan dock inom vissa områden vara mer lämpligt att låta tillsynen finansieras via skattemedel. Det kan exempelvis vara fallet när kostnaderna för att administrera ett avgiftsuttag bedöms som höga i relation till avgiften i övrigt. Det kan också finnas fördelningspolitiska och effektivitetsmässiga eller andra bärande motiv att låta tillsynen finansieras med skattemedel, särskilt inom områden där tillsynen riktas mot statligt och kommunalt finansierad verksamhet. En tillsynsavgift bör motsvaras av en tydlig motprestation, uppfattas som rättvis samt inte vara konkurrenssnedvridande. Av-

3 SOU 2017:36 s. 265 ff. 4

Se s. 271.

5

SOU 2017:36 s. 272.

gifterna bör vara lättbegripliga och förutsebara för de objektsansvariga och ge incitament till avsedda beteenden hos tillsynsorganen och de objektsansvariga.

Utredningen bedömde därefter att när det gällde sådan verksamhet som omfattades av den föreslagna lagen var det svårt att bedöma omfattningen av den tillsyn som skulle genomföras. Sektorernas verksamhet skiljde sig åt liksom komplexiteten i de olika nätverken och informationssystemen. Den snabba tekniska utvecklingen liksom samhällets digitalisering kunde också få stora effekter på tillsynsverksamhetens omfattning och innehåll. Därtill menade utredningen att den verksamhet som skulle omfattas delvis fanns inom stat, region eller kommun. Förutsättning för en avgiftsfinansierad tillsyn var enligt utredningen att det var känt vilka leverantörer som omfattades och att kontroller sker hos samtliga som betalar tillsynsavgift. Detta var dock inte fallet för utredningens förslag. Därutöver menade den utredningen också att det var svårt att bestämma avgifterna, eftersom såväl antalet leverantörer som kommer att omfattas och komplexiteten i den verksamheten var oklar. Förslaget var därför att tillsynen i vart fall inledningsvis skulle vara anslagsfinansierad och fördelas på de utgiftsområden som respektive sektor tillhör.

Utredningen menade också att kostnaderna till viss del, i vart fall på lång sikt, kunde finansieras genom samhällsekonomiska vinster som en hög gemensam nivå av säkerhet i nätverk och informationssystem medför för respektive sektor.6

Statskontorets rapport och regeringens anslag

Under den fortsatta beredningen av betänkandet gav regeringen Statskontoret i uppdrag att utreda de ekonomiska konsekvenserna för MSB och de myndigheter som fått ansvar för tillsynen. I uppdraget ingick också att utreda om tillsynsverksamheten borde finansieras med avgifter. Oavsett bedömning i den frågan skulle Statskontoret också utreda hur en avgiftsfinansiering kunde utformas för varje sektor. Statskontoret redovisade uppdraget i rapporten, Tillsyn

enligt NIS-direktivet – kostnader och finansiering, 2018:7, som publi-

cerades i mars 2018.7

6 SOU 2017:35 s. 271272. 7

https://www.statskontoret.se/publicerat/publikationer/publikationer-2018/tillsyn-enligt-

nis-direktivet--kostnader-och-finansiering/?publication=true, inhämtat 2024- 01-16.

I rapporten redovisas såväl initiala som löpande kostnader. Uppgifterna bygger i sin helhet på preliminära uppskattningar från de sex tillsynsmyndigheterna och MSB. Statskontoret bedömde att myndigheternas uppgifter vilade på någorlunda stabil grund, men noterade också att myndigheterna fann det svårt att uppskatta kostnaderna och att det fanns en stor spridning i bedömningarna hos myndigheterna. Statskontoret menade att det var möjligt att uppskatta de ekonomiska konsekvenserna mer exakt när tillsynsobjekten var kända.8

Sammanlagt uppskattade de sex tillsynsmyndigheterna de initiala kostnaderna till sammanlagt 17,2 miljoner kronor, men variationen mellan myndigheterna var stor.

De löpande kostnaderna för de sex tillsynsmyndigheterna bedömdes av dem till sammanlagt cirka 60 miljoner kronor per år.9

Avseende MSB anförs i rapporten följande:

MSB:s uppgifter är bland annat att vara nationell kontaktpunkt, att leda ett samarbetsforum för tillsynsmyndigheterna samt att representera Sverige i EU. MSB ska utveckla ett system för att ta emot och analysera incidentrapporter. I uppgifterna ingår också att ta fram föreskrifter för arbetet med tillsyn, stödja myndigheterna med tillsynsmetodik samt att informera om regler och krav.

Enligt MSB behöver myndigheten avsätta 10–11 årsarbetskrafter för sitt arbete med NIS-direktivet. MSB uppskattar sina totala kostnader för genomförandet till 14 miljoner kronor per år, inklusive overheadkostnader. Statskontoret ifrågasätter inte MSB:s uppskattning, men vi konstaterar att de ekonomiska konsekvenserna i hög grad beror på hur MSB väljer att genomföra de nya uppgifterna.10

När det särskilt gällde incidentrapportering uppgav MSB till Statskontoret att man uppskattade att antalet incidentrapporter skulle kunna bli flera tusen samt att antalet incidentrapporter som skulle omhändertas med stor sannolikhet skulle komma att mångdubblas (under 2017 tog CERT-SE emot drygt 300 incidentrapporter från statliga myndigheter).11

8 Avsnitt 7.1. 9

Avsnitt 4.8.

10

Se sammanfattningen.

11

Avsnitt 2.1.

Sammanlagt bedömde tillsynsmyndigheterna behovet av initiala kostnader och löpande kostnader på följande sätt i tusen kronor:

Tabell 12.3 Myndigheternas bedömning

Myndighet Initiala kostnader Löpande kostnader

Energimyndigheten

200

8 000

Transportstyrelsen

4 000

15 000

Finansinspektionen

3 000

3 000

IVO

3 500

19 200

Livsmedelsverket

10 000

9 000

PTS Kan ej uppge

5 200

Totalt

17 200

59 400

Av vårändringsbudgeten för 2018 följer sedan att Energimyndigheten tillerkändes 2,5 miljoner kronor, Transportstyrelsen 4 miljoner, Finansinspektionen 3 miljoner kronor, IVO 3,5 miljoner, Livsmedelsverket 10 miljoner och PTS 4 miljoner kronor. Innebörden är alltså att regeringen när det gällde ersättning för de initiala kostnaderna följde myndigheternas bedömningar som redovisades i Statskontorets rapport.

När det gäller löpande kostnader har det varit svårare för denna utredning att få en klar bild, särskilt avseende Energimyndigheten, Transportstyrelsen och Finansinspektionen. Det följer dock av Budgetpropositionen för 201912 att PTS fick ökat anslag med 5,2 miljoner för varje år under tiden för 2019–2021 avseende NIS-lagen. IVO tillerkändes 10 miljoner per år i ökat anslag och för Livsmedelsverket ökades anslaget med 9 miljoner per år från 2019. Rimligen har även Energimyndigheten och Transportstyrelsen erhållit anslagsförstärkningar under dessa år. Det betyder att regeringen följt bedömningarna i rapporten från PTS och Livsmedelsverket, men halverat den summa som IVO angett och som redovisades i rapporten.

MSB bedömde alltså sina kostnader till 14 miljoner kronor per år. I vårändringsbudgeten för 2018 tillerkändes MSB 7 miljoner, dvs. även här valde regeringen att halvera beloppet. För senare år är det rimligt att även MSB erhållit ökade anslag, men omfattningen har inte kunnat klarläggas.

12

2018/19:1 utgiftsområde 22, s. 101.

När det gällde avgiftsfinansiering ansåg Statskontoret inte att tillsynen enligt NIS-direktivet borde finansieras med avgifter. Inledningsvis anförde Statskontoret att det generellt finns goda skäl för en avgiftsfinansiering. Det hänvisades till att avgiftsfinansiering bör vara huvudregeln för tillsyn, eftersom det tydliggör kostnaden och avlastar statsbudgeten. Samtidigt anfördes att avgiftsfinansiering alltid bör vara fallet för verksamhetsutövare utanför den offentliga sektorn. Huvudsakliga skälet mot avgiftsfinansiering i detta fall var dock enligt Statskontoret risken för konkurrenssnedvridande effekter och höga administrationskostnader. Därutöver fanns det svårigheter att utforma tillsynen över sektorerna på ett enhetligt sätt och en svårighet att påvisa en tydlig motprestation för avgiften. Statskontorets analys byggde på intervjuer med tillsynsmyndigheterna och den visade att nackdelarna med en sådan finansieringsform vägde tyngre än fördelarna för fem av de sex aktuella myndigheterna.

Statskontoret föreslog därför att tillsynen enligt NIS-direktivet skulle finansieras med anslag, se vidare avsnitt 5 i rapporten.

I rapporten för Statskontoret även fram att regeringen bör ställa krav på att myndigheterna åtminstone för de närliggande åren att redovisa tillsynsverksamhetens kostnader och prestationer, det vill säga framför allt antalet utförda tillsyner. Det skulle också bidra till att effektivisera tillsynen, eftersom myndigheternas kostnader och prestationer i viss mån skulle kunna jämföras med varandra. Därutöver skulle redovisningen minska riskerna för att verksamheten korssubventioneras genom andra anslag.13

12.6.6. Swecos uppdrag och rapport

Swecos uppdrag har berört tio tillsynsmyndigheter och MSB, som samordnande myndighet. De tio tillsynsmyndigheterna är Statens Energimyndighet, Transportstyrelsen, IVO, Läkemedelsverket, Livsmedelsverket, PTS, samt länsstyrelserna i Norrbotten, Skåne, Stockholm och Västra Götaland. Av dessa tio tillsynsmyndigheter har alltså fem redan uppdrag som tillsynsmyndigheter enligt gällande NIS-reglering. Dessa fem är alltså Statens Energimyndighet, Transportstyrelsen, IVO, Livsmedelsverket och PTS. För dem handlar det om att klarlägga om kostnaderna ökar. Övriga fem myndigheter,

13 Avsnitt 7.3.

dvs. fyra länsstyrelser och Läkemedelsverket har inte haft några tillsynsuppdrag tidigare om NIS. För dem ska kostnaderna beräknas, men här behöver också – i vart fall i större omfattning – de initiala kostnaderna för att bygga upp tillsynsverksamheten beaktas.

MSB är redan samordnande myndighet enligt gällande NIS-reglering och för den myndigheten handlar det därför om uppgifterna och som en följd även kostnaderna kan förväntas öka. Enligt uppdraget skulle även möjlig EU-finansiering klarläggas. Utgångspunkt är den analys som Statskontoret genomförde och de beslut regeringen fattade om anslag för gällande NIS-regelverk 2018.

Sweco har kontaktat samtliga berörda myndigheter med önskemål om intervju. Länsstyrelserna i Norrbotten och Västra Götaland har dock inte önskat medverka. Länsstyrelsen i Norrbotten svarade inte på förfrågan om intervju och länsstyrelsen i Västra Götaland ville inte lämna uppgifter.

Övriga myndigheter intervjuades. Frågor skickades ut på förhand till myndigheten. Det som efterlystes var uppgifter om initiala och löpande kostnadsuppskattningar under en tre-årsperiod. Under intervjuerna uppstod för samtliga dessa myndigheter ett behov av komplettering av lämnade uppgifter. Efter intervjun sammanställde Sweco uppgifterna och skickade underlaget till myndigheterna för komplettering och verifiering. Endast fyra myndigheter återkom med svar. Från Sweco har påpekats att uppdraget förutsätter att berörda myndigheter bistår med kostnadsunderlag och annan relevant information.

Enligt Swecos rapport bedömer tillsynsmyndigheterna och MSB att de under en treårsperiod totalt skulle ha kostnader på grund av införlivningen av NIS2-direktivet på cirka 385 miljoner kronor. Kostnaderna avser delvis såväl initiala kostnader som löpande kostnader.

Statens Energimyndighet uppskattar sin kostnad till cirka 11– 17 miljoner kronor för treårsperioden. Uppskattningen grundar sig på att antalet tillsynsobjekt förväntas fördubblas. Enligt Sweco ska siffran bedömas med stor försiktighet, särskilt som myndigheten inte återkommit och verifierat Swecos beräkning.

Transportstyrelsen uppskattar sin kostnad till 18 miljoner kronor per år, dvs. sammanlagt för treårsperioden skulle kostnaden vara 54 miljoner kronor. Därtill skulle komma en uppstartskostnad på 770 000 kronor. Antalet tillsynsobjekt skulle öka från 130 till 750. Det skulle innebära att antalet årsarbetskrafter skulle behöva öka

från 5 till 15. Antalet tillsyner år 2022 var tre och det fanns då två årsarbetskrafter till en kostnad av 2 miljoner kronor. År 2025 skulle antalet tillsyner kunna vara 150, antalet årsarbetskrafter 15 och kostnaden 18 miljoner kronor. För tre år blir summan 54 miljoner kronor. Swecos bedömning är att Transportstyrelsen har inkommit med det mest kompletta underlaget, men den kostnadspost som saknas är kostnaderna för teknisk utveckling och systemstöd.

IVO uppskattar sin kostnad preliminärt till 38 miljoner kronor. Bedömningen vilar på att antal tillsynsobjekt skulle öka från 240 till 819. Under 2022 genomförde myndigheten tillsyn i 13 fall till en kostnad av cirka 8 miljoner kronor.

Livsmedelsverket uppskattar sin kostnad för treårsperioden till cirka 26 miljoner kronor. Myndigheten bedömer att antalet tillsynsobjekt kommer att öka från cirka 100 till cirka 525–675. Det skulle leda till ett behov av ytterligare åtta årsarbetskrafter till totalt 16. Enligt Sweco är beräkningarna osäkra, eftersom de inte verifierats av myndigheten.

PTS har till utredningen anfört att de angivna kostnaderna i rapporten är felaktiga. Myndigheten bedömer sina löpande kostnader till 18 miljoner kronor för treårsperioden, men här saknas uppskattning om initiala kostnader. Bedömningen grundar sig på att antalet tillsynsobjekt kommer att öka från 60 till 1 100, men det finns en del osäkerhet i ökningen. En komplikation är att 700 aktörer av de 1 100 i dag omfattas av LEK-regelverket, men framöver kommer att hänföras till NIS2-regleringen. För närvarande arbetar 5,5 årsarbetskrafter med tillsyn för gällande NIS-lag och åtta med tillsyn över LEK, som framöver kommer att höra till NIS-regleringen. Myndigheten bedömer att det finns ett behov av ytterligare sammanlagt 15 årsarbetskrafter. Av dessa arbetar dock åtta alltså redan med tillsyn enligt LEK-regleringen. Det betyder att det skulle behöva tillföras totalt sju helt nya årsarbetskrafter och den kostnaden beräknas till 21 miljoner för treårsperioden. Skulle dock även kostnaden för de åtta årsarbetskrafter som i dag arbetar med tillsyn enligt LEK ingå uppskattas de löpande kostnaderna till 45 miljoner kronor. Utredningen noterar att det bör finnas möjliga kostnadsminskningar för PTS till följd av att myndigheten inte längre kommer vara första mottagare av NIS2-verksamhetsutövarnas incidentrapporter, som i stället ska skickas till CSIRT-enheten först och därefter lämnas till PTS. PTS synes inte ha bedömt någon sådan kostnadsminskning.

När det gäller myndigheter som inte tidigare haft tillsynsuppdrag uppskattar Läkemedelsverket preliminärt kostnaden till 70 miljoner kronor, men med det tillägget att hänsyn inte tagits till vad tillsynen de facto kommer att innebära. Verket betonar att kostnadsuppskattningarna är preliminära och kommer att behöva kompletteras.

De fyra länsstyrelserna ansvarar redan för tillsyn enligt säkerhetsskyddslagen, varför länsstyrelsen i Skåne utgått från kostnaderna för breddning av tillsynsverksamheten. Det uppskattas att det behövs ytterligare fyra årsarbetskrafter för det löpande arbetet, samt en årsarbetskraft under ett år för att starta upp verksamheten, sammanlagt till en kostnad av 13 miljoner kronor för tre år. I beräkningen ingår alltså enbart årsarbetskraft. Länsstyrelsen i Stockholm har uppskattat kostnaden till 23 miljoner för årsarbetskraft, varav en årsarbetskraft avseende information under ett år och fem årsarbetskrafter under treårsperioden. Länsstyrelserna i Norrbotten och Västra Götaland har alltså inte inkommit med uppgifter.

MSB har uppskattat sina kostnader för tre år till totalt cirka 131 miljoner kronor. Det är kostnadsuppskattningar för att stärka organisatoriska och tekniska förmågor samt teknisk utveckling. Utredningen förstår då detta som att det är tillkommande belopp utöver den budgetfinansiering MSB uppbär på grund av gällande NIS-reglering. Som grund för bedömningen har myndigheten uppgett att beloppet avser organisatoriska förmågor och teknisk utveckling. För att stärka organisatoriska och tekniska förmågor skulle det krävas 15,7 årsarbetskrafter till en total kostnad av 47,1 miljoner kronor för tre år. Därutöver anges tillkommande kostnader till 65,5 miljoner kronor utan närmre precisering. Vidare skulle kostnaden för teknisk utveckling kräva 6,4 årsarbetskrafter till en kostnad av 6,4 miljoner kronor och tillkommande kostnader vara 12 miljoner kronor. Av Swecos rapport framgår inga uppgifter om EU-finansiering för MSB. Myndigheten har dock till utredningen anfört att MSB fått ett preliminärt besked om att den beviljats EU-medel för arbetet med att utveckla CSIRT-enheten och den nationella kontaktpunkten så att de svarar upp mot NIS2. Ett villkor är att halva beloppet finansieras nationellt.

12.6.7. Utredningens förslag – ekonomiska konsekvenser för tillsynsmyndigheterna och för Myndigheten för samhällsskydd och beredskap

Utredningens förslag:

1. Regeringen bör ge Statskontoret i uppdrag att klarlägga de löpande kostnaderna för tillsynsmyndigheterna och Myndigheten för samhällsskydd och beredskap för tiden från 1 januari 2026.

2. Regeringen bör för år 2025 ge Statens energimyndighet, Transportstyrelsen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen ett förstärkt anslag för löpande kostnader med två miljoner kronor vardera.

3. Regeringen