Försvarsutskottets betänkande 2025/26:FöU2

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till cybersäkerhetslag som syftar till att genomföra det s.k. NIS 2-direktivet. Den nya lagen innebär att såväl offentliga som enskilda verksamhetsutövare inom vissa utpekade sektorer bl.a. ska vidta åtgärder för att skydda sina nätverks- och informations­system samt rapportera betydande incidenter. I lagen finns också regler om tillsyn och ingripandemöjligheter vid överträdelser av lagens bestämmelser. Lagens syfte är att uppnå en hög nivå av cybersäkerhet i samhället. Utskottet tillstyrker även regeringens förslag till ändring i andra lagar som rör elektronisk kommunikation, toppdomäner och sekretess. De nya reglerna föreslås träda i kraft den 15 januari 2026. Utskottet anser att riksdagen bör avslå samtliga motions­yrkanden.

I betänkandet finns fem reservationer (S, V, C, MP).

Behandlade förslag

Proposition 2025/26:28 Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag.

Åtta yrkanden i följdmotioner.

Fyra yrkanden i motioner från allmänna motionstiden 2025/26.

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Propositionens huvudsakliga innehåll

Utskottets överväganden

Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag

Reservationer

1. Finansieringen av den nya lagen, punkt 2 (V, MP)

2. Ledningens ansvar, punkt 3 (C)

3. Påverkan på mindre företag och organisationer, punkt 4 (V, C, MP)

4. Övriga frågor om lagstiftningens framtida utformning, punkt 5 (V, C)

5. Cyberpolitikens utveckling, punkt 6 (S)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Följdmotionerna

Motioner från allmänna motionstiden 2025/26

Bilaga 2
Regeringens lagförslag

 

Utskottets förslag till riksdagsbeslut

 

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlar utskottet proposition 2025/26:28 Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag. I propositionen finns en redogörelse för ärendets beredning fram till regeringens beslut om propositionen.

Regeringens förslag till riksdagsbeslut finns i bilaga 1. Regeringens lagförslag finns i bilaga 2. Två motioner med sammanlagt åtta yrkanden har väckts med anledning av propositionen. I betänkandet behandlas även fyra yrkanden i motioner från allmänna motionstiden 2025/26. Förslagen i motionerna finns i bilaga 1.

Bakgrund

I juli 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informations­system i hela unionen, det s.k. NIS-direktivet. Syftet med direktivet var att förbättra den inre marknadens funktion genom att bl.a. fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informations­system inom unionen. Direktivet gällde för leverantörer av samhälls­viktiga tjänster inom sju särskilt utpekade sektorer.

NIS-direktivet genomfördes i svensk rätt genom lagen (2018:1174) om informations­säkerhet för samhällsviktiga och digitala tjänster och den tillhörande förordningen (2018:1175) om informationssäkerhet för samhälls­viktiga och digitala tjänster.

Den 14 december 2022 antog Europaparlamentet och rådet direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (det s.k. NIS 2-direktivet).

Genom NIS 2-direktivet upphävdes alltså NIS-direktivet. Medlems­staterna skulle senast den 17 oktober 2024 ha antagit de nationella bestämmelser som krävs för att genomföra det nya direktivet.

 

 

 

Propositionens huvudsakliga innehåll

EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhets­nivå inom EU, det s.k. NIS 2-direktivet. I syfte att genomföra direktivet i svensk rätt föreslår regeringen att det ska införas en ny cybersäkerhetslag.

Den nya lagen innebär att offentliga och enskilda verksamhetsutövare inom vissa utpekade sektorer bl.a. ska vidta åtgärder för att skydda sina nätverks- och informationssystem samt rapportera betydande incidenter. Den nya lagen innehåller också regler om tillsyn och ingripandemöjligheter för verksamhets­utövare som inte följer lagens bestämmelser. Därutöver föreslås ändringar i andra lagar som rör elektronisk kommunikation, toppdomäner och sekretess.

Den nya lagen och övriga lagändringar föreslås träda i kraft den 15 januari 2026.

Utskottets överväganden

Propositionen

Regeringen redovisar i propositionen i huvudsak följande förslag och bedömningar. ­

NIS 2-direktivet

En översyn av NIS-direktivet har visat brister som hindrat direktivet från att effektivt hantera utmaningar på cybersäkerhets­området. Översynen har också visat på stora skillnader i genomförandet, vilket har medfört en fragmentering av den inre marknaden. NIS 2-direktivets mål är att undanröja skillnaderna mellan medlems­staterna. Mot den bakgrunden upphävdes NIS-direktivet och ersattes av NIS 2-direktivet.

Syftet med NIS 2-direktivet är att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam cybersäkerhets­nivå inom unionen. NIS 2-direktivet innebär skärpta krav på berörda aktörer jämfört med NIS-direktivet och omfattar betydligt fler aktörer.

Direktivet är tillämpligt på offentliga eller privata entiteter av den typ som avses i direktivets bilaga 1 eller 2, som uppfyller ett visst storlekskrav och som tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen. Direktivet är även tillämpligt på vissa entiteter oavsett storlek. I bilagorna till direktivet anges de 18 sektorer, uppdelade i högkritiska och andra kritiska sektorer, som omfattas av direktivet:

•       energi

•       transporter

•       bankverksamhet

•       finansmarknadsinfrastruktur

•       hälso- och sjukvårdssektorn

•       dricksvatten

•       avloppsvatten

•       digital infrastruktur

•       förvaltning av tjänster inom informations- och kommunikationsteknik (IKT), mellan företag

•       offentlig förvaltning

•       rymden

•       post- och budtjänster

•       avfallshantering

•       tillverkning, produktion och distribution av kemikalier

•       produktion, bearbetning och distribution av livsmedel

•       tillverkning

•       digitala leverantörer

•       forskning.

Jämfört med det förra direktivet (som gällde sju utpekade sektorer) omfattas alltså många fler sektorer. Kraven har även skärpts på vilka åtgärder berörda aktörer ska vidta för att bl.a. hantera risker och förhindra incidenter kopplade till de nätverks- och informationssystem som de använder. Dessutom har mer precisa rapporteringsskyldigheter införts, bl.a. när det gäller skyldigheten att rapportera betydande incidenter till en utpekad myndighet. Det finns också bestämmelser om tillsyns- och efter­levnads­­kontrollåtgärder samt sanktioner.  

I likhet med vad som gällde enligt NIS-direktivet ska medlemsstaterna enligt NIS 2-direktivet utse en eller flera behöriga myndigheter och en nationell gemensam kontaktpunkt. De behöriga myndigheterna ska utöva tillsyn och övervaka tillämpningen av direktivet på nationell nivå. Den nationella gemensamma kontaktpunkten ska ha en sambandsfunktion som säkerställer gränsöverskridande samarbete mellan olika medlemsstaters myndigheter och ett sektorsövergripande samarbete mellan de nationella behöriga myndigheterna i varje medlemsstat. NIS 2-direktivet föreskriver, i likhet med vad som gällde tidigare, att det ska finnas en eller flera enheter för hantering av it-säkerhetsincidenter, s.k. CSIRT-enheter (Computer Security Incident Response Team). Vidare ska medlemsstaterna utse en eller flera behöriga myndigheter, s.k. cyberkrishanteringsmyndigheter, som ska ansvara för hanteringen av storskaliga cybersäkerhetsincidenter och cyberkriser.

Genom NIS-direktivet inrättades bl.a. en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlems­staterna samt ett nätverk för nationella CSIRT-enheter. I NIS 2-direktivet stärks det befintliga samarbetet samt inrättas nya forum för samarbete mellan medlemsstaterna. Ett av dessa är det europeiska kontakt­nätverket för cyberkriser, EU-CyCLONe, som ska verka stödjande vid samordning och hantering av storskaliga incidenter och cyberkriser. I likhet med NIS-direktivet föreskriver NIS 2-direktivet också en skyldighet för medlemsstaterna att anta en nationell strategi för cybersäkerhet.

NIS 2-direktivet är ett s.k. minimidirektiv, vilket innebär att medlems­staterna får anta eller behålla bestämmelser som säkerställer en högre cybersäkerhetsnivå, förutsatt att sådana bestämmelser står i överensstämmelse med medlemsstaternas förpliktelser enligt unionsrätten.

En ny cybersäkerhetslag ska införas

Regeringen föreslår att NIS 2-direktivet i huvudsak ska genomföras genom en ny cybersäkerhetslag. Syftet med den nya lagen ska vara att uppnå en hög nivå av cybersäkerhet i samhället.

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ska samtidigt upphävas.

Vilka ska omfattas av lagen?

I propositionen föreslår regeringen att såväl offentliga som enskilda verk­samhetsutövare ska omfattas av den nya lagen enligt följande. 

Lagen ska gälla för en verksamhetsutövare som i Sverige tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elek­troniska kommunikationstjänster.

Lagen ska även gälla för en verksamhetsutövare som har huvudsakligt etableringsställe i Sverige, eller en företrädare som är etablerad i Sverige, och som är en registreringsenhet för toppdomäner eller erbjuder domännamns­systemtjänster (DNS-tjänster) eller domännamnsregistreringstjänster.

Lagen ska vidare gälla för en verksamhetsutövare som har huvudsakligt etableringsställe i Sverige, eller en företrädare som är etablerad i Sverige, och som storleksmässigt motsvarar eller är större än ett medelstort företag, och erbjuder molntjänster, datacentraltjänster, nätverk för leverans av innehåll, utlokaliserade driftstjänster, utlokaliserade säkerhetstjänster, marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster.

Lagen ska även gälla för en verksamhetsutövare som är etablerad i Sverige och tillhandahåller betrodda tjänster.

Lagen ska också gälla för en verksamhetsutövare som omfattas av bilaga 1 eller 2 till NIS 2-direktivet i övrigt och är etablerad i Sverige samt en verksamhetsutövare som erbjuder molntjänster, datacentraltjänster, nätverk för leverans av innehåll, utlokaliserade driftstjänster, utlokaliserade säkerhets­tjänster, marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster, om

•       verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet

•       en störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker eller

•       verksamhetsutövaren har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av verksamhetsutövaren.

Lagen ska därutöver gälla för en annan verksamhetsutövare som omfattas av bilaga 1 eller 2 till NIS 2-direktivet i övrigt, om verksamhetsutövaren är etablerad i Sverige och storleksmässigt motsvarar eller är större än ett medelstort företag.

Ett medelstort företag ska i lagen definieras som ett företag som räknas som ett medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag, utan beaktande av artikel 3.4 enligt samma bilaga.

I propositionen redogör regeringen för att ett medelstort företag enligt definitionen innebär att en verksamhetsutövare som har minst 50 anställda eller en balansomslutning och årsomsättning som överstiger 10 000 000 euro per år omfattas av lagen.

Regeringen eller den myndighet som regeringen bestämmer ska enligt förslaget i propositionen få meddela ytterligare föreskrifter om kriterier för när verksamhetsutövare ska omfattas av lagen med hänvisning till deras särskilda betydelse.

Regeringen eller den myndighet som regeringen bestämmer ska också få meddela föreskrifter om vad som utgör huvudsakligt etableringsställe och om undantag från skyldigheterna enligt lagen för vissa partnerföretag och anknutna företag.

Regeringen eller den myndighet som regeringen bestämmer ska, i enskilda fall, om det finns särskilda skäl, få besluta om undantag från skyldigheterna enligt lagen för vissa partnerföretag och anknutna företag.

I regeringens förslag finns också regler om vilka lärosäten som omfattas av lagen. 

Vidare föreslår regeringen att de verksamhetsutövare som uppfyller kriterierna för att omfattas av lagen ska som utgångspunkt omfattas av regelverket i sin helhet, dvs. lagens krav ska gälla hela verksamheten hos den aktuella utövaren och inte endast den del som faller inom någon av de utpekade sektorerna. Undantag finns dock för sådan verksamhet som bedriver säkerhets­känslig verksamhet till någon del (se nedan).

Andra offentliga verksamhetsutövare som ska omfattas av lagen

Offentliga verksamhetsutövare ska omfattas av lagen om de uppfyller något av kraven som beskrivits ovan. Därutöver föreslår regeringen att offentlig verksamhet ska omfattas av lagen enligt följande.

Statliga myndigheter som har befogenhet att fatta beslut som påverkar fysiska eller juridiska personers rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital ska omfattas av lagen.

Därutöver ska de statliga myndigheter som regeringen bestämmer omfattas av lagen. Regeringen, Regeringskansliet, utlandsmyndigheter, kommitté­väsendet, myndigheter under riksdagen, domstolar och nämnder som utövar rättskipning ska däremot inte omfattas av lagen.

Även regioner, kommuner och kommunalförbund, med undantag för fullmäktige och förbundsdirektion, ska omfattas av lagen.

Väsentliga och viktiga verksamhetsutövare

Regeringen föreslår att verksamhetsutövarna ska delas in i väsentliga och viktiga sådana. Kategoriseringen får betydelse för bl.a. vilka tillsynsåtgärder som kan vidtas.

Enligt förslaget ska följande verksamhetsutövare betecknas som väsentliga:

•       en verksamhetsutövare som är en statlig myndighet

•       en verksamhetsutövare som är en kommun eller en region och som är större än ett medelstort företag

•       en verksamhetsutövare som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikations­­tjänster och som storleksmässigt motsvarar eller är större än ett medelstort företag

•       en verksamhetsutövare som är en kvalificerad tillhandahållare av betrodda tjänster

•       en verksamhetsutövare som är en registreringsenhet för toppdomäner eller erbjuder DNS-tjänster eller

•       en verksamhetsutövare som är större än ett medelstort företag och som i övrigt omfattas av bilaga 1 till NIS 2-direktivet eller som är en enskild utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om när verksamhetsutövare som omfattas av lagen med hänvisning till deras särskilda betydelse i samhället ska räknas som väsentliga.

Verksamhetsutövare som inte är väsentliga ska räknas som viktiga verksamhetsutövare.

Undantag från lagens tillämpningsområde

Undantag på grund av krav i andra författningar

Regeringen föreslår att om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder eller incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt den nya lagen, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna.

Regeringen anför att det kan finnas sådana bestämmelser inom t.ex. sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur.

Regeringen föreslår också vissa undantag från lagen med hänvisning till bestämmelser i den s.k. DORA-förordningen som gäller digital operativ motståndskraft i den finansiella sektorn.

Undantag för säkerhetskänslig verksamhet och brottsbekämpande verksamhet

Regeringen föreslår att lagen inte ska gälla för en enskild verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet.

Lagen ska enligt förslaget inte heller gälla för en statlig myndighet som till övervägande del bedriver säkerhetskänslig verksamhet eller brotts­bekämpande verksamhet. Lagen ska inte gälla för en enskild verksamhets­utövare som enbart erbjuder tjänster till en sådan statlig myndighet.

För andra verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet eller brottsbekämpande verksamhet eller till någon del erbjuder tjänster till en sådan statlig myndighet som anges ovan ska skyldigheterna enligt lagen, frånsett skyldigheten att utse företrädare och anmälnings­skyldigheten, inte gälla i förhållande till den säkerhetskänsliga verksamheten eller brottsbekämpande verksamheten eller den verksamhet som erbjuder tjänsterna.

Undantagen ska inte gälla för en verksamhetsutövare som tillhandahåller betrodda tjänster.

I propositionen anför regeringen att säkerhetskänslig verksamhet som ska undantas från lagens tillämpningsområde är sådan verksamhet som omfattas av säkerhetsskyddslagen (2018:585). Med brottsbekämpande verksamhet avses sådan verksamhet som en brotts­bekämpande myndighet bedriver för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller lagföra brott.

Med anledning av remissynpunkter på gränsdragningsproblem framhåller regeringen att med uttrycket övervägande del i aktuell bestämmelse avses att myndighetens huvudsakliga verksamhet rör säkerhets­känslig verksamhet eller utgör brottsbekämpning. I de fallen undantas myndigheten i helhet från lagens tillämpningsområde. Vilka myndigheter som bedriver säkerhetskänslig verksamhet till övervägande del får enligt regeringen bedömas i varje enskilt fall. När det gäller verksamhetsutövare som till någon (men inte övervägande) del bedriver säkerhetskänslig eller brottsbekämpande verksamhet kommer den delen av verksamheten att omfattas endast av lagens krav på anmälan och, i förekommande fall, av kravet på att utse företrädare samt tillsyn och ingripanden kopplat till dessa. För den övriga delen gäller lagen i sin helhet. Även om det kan vara svårt att särskilja vilken del av verksamheten som är undantagen från den övriga anser regeringen att det utifrån direktivets formulering saknas utrymme för någon annan lösning. 

Regeringen anför vidare att säkerhetsskyddsregleringen och den nya cyber-säkerhets­­lagen kommer att gälla parallellt. Regeringen konstaterar också att de två regelverken har olika tillämpningsområden och syften. Införandet av den nya lagen innebär inte några förändrade krav enligt säkerhets­­skyddslagen. De verksamhetsutövare som omfattas av den regleringen ska alltjämt göra noggranna säkerhetsskyddsanalyser och vidta de säkerhets­skyddsåtgärder som bedöms nödvändiga utifrån den analysen.

Undantag för säkerhetskyddsklassificerade uppgifter

Regeringen föreslår att skyldigheterna att lämna uppgifter enligt lagen inte ska gälla säkerhetsskyddsklassificerade uppgifter.

Verksamhetsutövares skyldigheter

Vissa enskilda verksamhetsutövare ska utse en företrädare

Regeringen föreslår att verksamhetsutövare som erbjuder vissa tjänster i Sverige, men saknar etablering inom EES, ska utse en företrädare med etablering i Sverige eller i något annat land inom EES där tjänsterna erbjuds. Skyldigheten ska gälla bl.a. om verksamhetsutövaren är en registreringsenhet för toppdomäner eller erbjuder DNS-tjänster eller domännamnsregistrerings­tjänster.

Samtliga verksamhetsutövare ska göra en anmälan

Regeringen föreslår en skyldighet för samtliga verksamhetsutövare att så snart det kan ske anmäla sig till den myndighet som regeringen bestämmer. Om de förhållanden som har redovisats i en anmälan har ändrats ska verksamhets­utövare anmäla förändringen så snart det kan ske, dock senast 14 dagar efter det att förändringen ägde rum.

Skyldighet att vidta säkerhetsåtgärder

Regeringen föreslår en skyldighet för verksamhetsutövare att vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder).

Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken. Säkerhetsåtgärderna ska åtminstone avse

1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
2. incidenthantering
3. kontinuitetshantering och krishantering
4. säkerhet i leveranskedjan
5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
6. strategier och förfaranden för att bedöma effektiviteten i säkerhets­åtgärderna
7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
10. vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om säkerhetsåtgärder.

Ledningen ska genomgå utbildning om säkerhetsåtgärder

Regeringen föreslår att de personer som ingår i ledningen för en verksamhets­utövare ska genomgå utbildning om säkerhetsåtgärder. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om utbildningen.

Regeringen bedömer däremot att det inte behöver införas någon särskild reglering om att ledningen ska godkänna säkerhetsåtgärder och övervaka genom­förandet av dem.

Som skäl för regeringens bedömning i denna del anför regeringen att artikel 20 i direktivet ställer krav på att verksamhets­utövarens ledningsorgan ska godkänna och övervaka genomförandet av säkerhetsåtgärder samt genomgå utbildning med anledning av detta. Syftet är att ledningsorganen kan ställas till svars för överträdelser. Enligt regeringen omfattas ledningsorgan i både offentliga och privata entiteter av skyldigheterna, även om nationell rätt om bl.a. ansvarsregler som är tillämpliga på offentliga institutioner och ansvaret för statligt anställda inte ska påverkas enligt direktivet. Regeringen anser att uttrycket ledningsorgan som används, men inte definieras, i ett svenskt sammanhang motsvaras av uttrycket ledning. Detta uttryck har ingen vedertagen entydig innebörd och eftersom den nya lagen kommer att omfatta många olika typer av verksamhetsutövare måste en bedömning av vem som anses ingå i ledningen göras från fall till fall.

För ett aktiebolag får ledningen enligt regeringen primärt avse styrelsen. Av 8 kap. 4 § aktiebolags­lagen (2005:551) framgår att styrelsen svarar för ett aktiebolags organisation och förvaltningen av bolagets angelägenheter. Enligt 8 kap. 27 och 29 §§ aktiebolagslagen ska den verkställande direktören utses av styrelsen och sköta den löpande förvaltningen enligt styrelsens riktlinjer och anvisningar. Den verkställande direktören är med andra ord underställd styrelsen. Med hänsyn till utformningen och innebörden av aktuell artikel i direktivet anser regeringen att ledningen i det här sammanhanget bör omfatta styrelsen, den verkställande direktören och ersättare för dessa. Motsvarande ordning gäller för ekonomiska föreningar enligt 7 kap. 4 och 29 §§ lagen (2018:672) om ekonomiska föreningar. För handelsbolag gäller enligt lagen (1980:1102) om handelsbolag och enkla bolag att bolagsmännen ansvarar för förvaltningen.

När det gäller offentliga verksamhetsutövare hänvisar regeringen till 2 § myndighets­­förordningens definition av ledning. I den paragrafen framgår att huvudregeln är att en myndighet under regeringen leds av en myndighetschef om det är en enrådighetsmyndighet, en styrelse om det är en styrelsemyndighet och en nämnd om det är en nämndmyndighet. Av samma paragraf framgår att myndighetens ledningsform anges i myndighetens instruktion eller i någon annan författning. Regeringen anser inte att uttrycket bör ges någon annan betydelse i den nya lagen. För kommuner och regioner anser regeringen att ledningen utgörs av kommun- respektive regionstyrelsen i enlighet med 6 kap. 1 § kommunallagen (2017:725). Av paragrafen framgår att styrelsen ska leda och samordna förvaltningen av kommunens eller regionens angelägenheter och ha uppsikt över bl.a. övriga nämnders verksamhet.

Mot denna bakgrund anser regeringen att ledningen i enskilda och offentliga verksamhetsutövare ansvarar för att godkänna säkerhetsåtgärder och övervaka genomförandet av dem på det sätt som framgår av direktivet utan särskild reglering. Regeringen bedömer därmed att direktivets krav i denna del inte behöver regleras i lagen.

Incidentrapportering och informationsskyldighet

Regeringen föreslår en skyldighet för verksamhetsutövare att rapportera betydande incidenter enligt följande.

Verksamhetsutövare ska upplysa den myndighet som regeringen bestämmer om en betydande incident så snart det kan ske, dock senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om den betydande incidenten. Verksamhetsutövare ska till samma myndighet göra en incident­anmälan om den betydande incidenten så snart det kan ske, dock senast 72 timmar efter det att verksamhetsutövaren har fått kännedom om den betydande incidenten. För verksamhetsutövare som tillhandahåller betrodda tjänster ska anmälan i stället göras senast 24 timmar efter sådan kännedom. På begäran av myndigheten ska verksamhetsutövare lämna en delrapport med relevanta statusuppdateringar för den betydande incidenten. Senast en månad efter incident­anmälan ska verksamhetsutövare lämna en slutrapport till myndigheten. Om den betydande incidenten fortfarande är pågående ska i stället en lägesrapport lämnas vid denna tidpunkt och därefter en slutrapport inom en månad efter det att den betydande incidenten har hanterats. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om incidentrapporteringen.

Regeringen föreslår vidare en informationsskyldighet för verksamhets­utövare vid betydande incidenter och betydande cyberhot enligt följande.

Om det är lämpligt ska verksamhetsutövare så snart det kan ske informera mottagarna av deras tjänster om en betydande incident som sannolikt inverkar negativt på tillhandahållandet av tjänsterna. Vid ett betydande cyberhot ska verksamhetsutövare så snart det kan ske informera mottagarna av deras tjänster som kan påverkas av hotet om skydds- och motåtgärder som mottagarna kan vidta. Om det är lämpligt ska verksamhetsutövare även informera om själva hotet. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om informationsskyldigheten.

Förhållandet till säkerhetsskyddslagen i fråga om incidentrapportering

Regeringen uppger att ett flertal remissinstanser har resonerat om hur förslaget om incidentrapportering förhåller sig till säkerhetsskydds­regleringen. En del har begärt ett förtydligande i fråga om att berörda aktörer inte ska behöva rapportera incidenter enligt såväl den nya lagen som säkerhets­skydds­regleringen. Med anledning av detta redogör regeringen för bl.a. följande regler ur det regelverket. Enligt 2 kap. 1 § säkerhetsskyddslagen ska en verksamhetsutövare anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Enligt 2 kap. 4 § säkerhetsskyddsförordningen (2021:955) ska en verksamhetsutövare skyndsamt göra en anmälan till Säkerhetspolisen vid säkerhetshotande händelser eller verksamhet. Detta gäller bl.a. om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhets­känslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet. Om verksamhets­utövaren tillhör Försvarsmaktens tillsynsområde ska anmälan göras också till Försvarsmakten.

Regeringen påminner om att den nya lagen inte ska gälla för bl.a. statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet och inte heller för enskilda verksamhetsutövare som enbart bedriver sådan verksamhet eller enbart erbjuder tjänster till en statlig myndighet som till övervägande del bedriver säkerhetskänslig verksamhet. För andra utövare som till någon del bedriver säkerhetskänslig verksamhet eller till någon del erbjuder tjänster till en statlig myndighet som i sin tur till övervägande del bedriver säkerhetskänslig verksamhet gäller inte vissa krav, t.ex. rapporterings­­­skyldigheten, för den del av verksamheten som är säkerhets­känslig eller tillhandahåller tjänsterna. För övriga delar föreslås lagen gälla i dess helhet. Regeringen anför att förslaget om rapportering enligt den nya lagen i allt väsentligt följer NIS 2-direktivets krav och därmed är nödvändigt för att genomföra direktivet i nationell rätt. Om en annan författning innehåller bestämmelser om krav på säkerhetsåtgärder eller incidentrapportering med motsvarande verkan gäller enligt regeringens förslag inte kraven i den nya lagen för verksamhets­utövaren (se ovan om undantag på grund av krav i andra författningar).

Regeringen konstaterar att det visserligen skulle kunna uppstå en situation då samma incident både påverkar den säkerhetskänsliga verksamhet som verksamhetsutövaren bedriver och övrig verksamhet. För verksamhetsutövare som endast undantas från rapporteringsskyldigheten i vissa delar kan det då bli fråga om att rapportera incidenten enligt båda regelverken. Regeringen uppger att den tar frågan om vilka negativa konsekvenser som parallella regelverk kan föra med sig på allvar. Regeringen bedömer dock att det inte finns något utrymme, med tanke på direktivets innehåll och regelverkens olika syften och tillämpningsområden, att t.ex. låta ett av regelverken vara subsidiärt i förhållande till det andra. Mot bakgrund av att anmälningarna enligt den nya lagen och säkerhetsskyddslagen hanteras av olika myndigheter, utifrån olika befogenheter och ur olika perspektiv, bedömer regeringen att det inte finns risk för att verksamhetsutövare ska uppleva otydlighet i fråga om vad skyldigheterna innebär. Regeringen kan därför inte se att incident­rapporteringen enligt den nya lagen kan komma i konflikt med säkerhets­skyddsregleringen. Den administrativa börda som dubbla anmälningar kan innebära anses vidare vara godtagbar.

Tillsyn

Regeringen föreslår att det i lagen införs följande bestämmelser om tillsyn.

Den eller de myndigheter som regeringen bestämmer ska vara tillsyns­myndighet. Regeringen avser att peka ut dessa i förordningen till lagen.

En tillsynsmyndighet ska utöva tillsyn över att lagen och föreskrifter som har meddelats i anslutning till lagen följs. Tillsynsmyndigheten ska också utöva tillsyn över att sådana rättsakter följs som har antagits med stöd av NIS 2-direktivet.

I fråga om tillsynsmyndigheternas befogenheter föreslår regeringen att den som står under tillsyn ska vara skyldig att på begäran tillhandahålla en tillsynsmyndighet de uppgifter eller handlingar som myndigheten behöver för sin tillsyn. En tillsynsmyndighet ska ha rätt att i den omfattning som det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamheten. En tillsynsmyndighet ska också få begära handräckning av Kronofogde­myndigheten för att genomföra tillsyns­åtgärderna. Vid handräckning ska bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande gälla. En tillsynsmyndighet ska få besluta att förelägga verksamhetsutövaren att till­handahålla uppgifterna eller handlingarna och att ge tillträde. Ett föreläggande ska få förenas med vite. Ett vitesföreläggande ska även få riktas mot staten.

Regeringen föreslår vidare att en tillsynsmyndighet ska, om det finns särskilda skäl, få utföra riktade säkerhetsrevisioner av den som står under tillsyn eller låta ett oberoende organ utföra sådana säkerhetsrevisioner. En tillsynsmyndighet ska även få utföra regelbundna säkerhetsrevisioner av väsentliga verksamhetsutövare eller låta ett oberoende organ utföra sådana säkerhetsrevisioner. En tillsynsmyndighet ska också få genomföra säkerhets­skanningar hos den som står under tillsyn. En säkerhetsskanning ska ske i samarbete med verksamhetsutövaren. Tillsynsmyndigheten ska få förelägga verksamhets­utövare att medverka till säkerhetsrevisioner och till säkerhets­skanning. Ett sådant föreläggande ska få förenas med vite. Ett vites­föreläggande ska även få riktas mot staten. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om säkerhetsrevisioner och om säkerhetsskanningar.

När det gäller viktiga verksamhetsutövare föreslår regeringen att tillsyns­åtgärder endast ska få vidtas när tillsynsmyndigheten har anledning att anta att lagen, de föreskrifter som har meddelats i anslutning till lagen eller sådana rättsakter som har antagits med stöd av NIS 2-direktivet inte följs.

Med anledning av remissynpunkter på vikten av samordning mellan de tilltänkta tillsynsmyndigheterna konstaterar regeringen att det av 6 § myndighets­­förordningen (2007:515) framgår att en myndighet ska verka för att genom samarbete med bl.a. andra myndigheter ta till vara de fördelar som kan vinnas för enskilda och för staten som helhet. Vidare följer av 8 § förvaltningslagen (2017:900) att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter och i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter. Regeringen utgår från att samverkan mellan tillsyns­myndigheterna kommer att fungera väl när det gäller bl.a. sådana frågor som behöver hanteras gemensamt.

Avgift vid tillsyn med koppling till viss digital infrastruktur

Regeringen föreslår att en tillsynsmyndighet ska få ta ut en handläggnings­avgift och en årlig avgift av en verksamhetsutövare som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster i Sverige och som har anmält sin verksamhet enligt lagen.

Handläggningsavgiften ska motsvara myndighetens kostnader för handläggningen av anmälningsärendet. De årliga avgifterna ska sammantagna motsvara de kostnader som myndigheten, utöver kostnaderna för hand­läggning av ärendet, har för sin verksamhet enligt lagen när det gäller nämnda slags verksamhetsutövare. Avgifterna ska fördelas med skälig andel på var och en av verksamhetsutövarna.

Ingripanden

Regeringen föreslår i propositionen i huvudsak följande bestämmelser om ingripanden vid överträdelser av lagen. 

Vilka överträdelser ska kunna leda till ingripanden?

Enligt regeringens förslag ska en tillsynsmyndighet ingripa om en verksamhets­utövare har åsidosatt sina skyldigheter att utse företrädare, göra en anmälan, vidta säkerhetsåtgärder, låta de personer som ingår i ledningen genomgå utbildning, rapportera betydande incidenter eller informera vid betydande incidenter och betydande cyberhot enligt lagen eller enligt föreskrifter som har meddelats i anslutning till lagen. Tillsynsmyndigheten ska också ingripa om verksamhetsutövaren har åsidosatt sina skyldigheter enligt sådana rättsakter som har antagits med stöd av NIS 2-direktivet.

Vilka möjligheter till ingripande ska finnas?

Regeringen föreslår att ingripande ska ske genom ett beslut om föreläggande, en ansökan om förbud att inneha ledningsfunktion, ett beslut om sanktions­avgift eller genom en anmärkning. Tillsynsmyndigheten ska få avstå från ingripande om någon annan tillsynsmyndighet har vidtagit åtgärder mot verksamhetsutövaren med anledning av överträdelsen och dessa åtgärder bedöms tillräckliga.

Val av ingripande

Vid valet av ingripande ska enligt regeringens förslag hänsyn tas till hur allvarlig överträdelsen är, hur länge den har pågått och den skada eller risk för skada som uppstått till följd av överträdelsen. Vid bedömningen ska särskilt beaktas om verksamhetsutövaren tidigare har gjort sig skyldig till en överträdelse, vad verksamhetsutövaren har gjort för att förhindra eller minska skadan, om överträdelsen har varit uppsåtlig eller berott på oaktsamhet och den ekonomiska fördel som överträdelsen har inneburit för verksamhets­utövaren.

Regeringen föreslår att en överträdelse ska betraktas som allvarlig om verksamhetsutövaren

1. har begått upprepade överträdelser
2. inte har fullgjort sin skyldighet att rapportera eller informera om betydande incidenter
3. inte har avhjälpt en betydande incident
4. inte har följt ett föreläggande om att fullgöra vissa skyldigheter enligt lagen
5. har hindrat en tillsynsåtgärd eller
6. har lämnat falska eller andra grovt oriktiga uppgifter i fråga om säkerhets­åtgärder eller i samband med incidentrapportering eller fullgörande av informationsskyldighet.

Förelägganden

En tillsynsmyndighet ska få besluta om de förelägganden som behövs för att en verksamhetsutövare ska fullgöra sina skyldigheter att utse företrädare, göra en anmälan, vidta säkerhetsåtgärder, låta de personer som ingår i ledningen genomgå utbildning, rapportera betydande incidenter eller informera vid betydande incidenter och betydande cyberhot.

Tillsynsmyndigheten ska också få förelägga en verksamhetsutövare att offentliggöra information om överträdelser av dessa skyldigheter. Ett föreläggande ska få förenas med vite. Ett vitesföreläggande ska även få riktas mot staten.

Förbud att inneha ledningsfunktion

Regeringen föreslår att den som är befattningshavare hos en enskild verksamhetsutövare ska få förbjudas att inneha en ledningsfunktion hos verksamhetsutövaren, om

1. verksamhetsutövaren är väsentlig
2. det tidigare har riktats ett föreläggande mot verksamhetsutövaren om att fullgöra skyldigheterna att utse företrädare, göra en anmälan, vidta säkerhetsåtgärder, låta de personer som ingår i ledningen genomgå utbildning, rapportera betydande incidenter eller informera vid betydande incidenter och betydande cyberhot och föreläggandet inte har följts
3. den överträdelse som har legat till grund för föreläggandet har varit allvarlig
4. befattningshavaren har orsakat överträdelsen uppsåtligen eller av grov oaktsamhet.

Med anledning av remissynpunkter som gäller vilken krets av personer hos en enskild verksamhetsutövare som kan träffas av förbudet framhåller regeringen att enligt artikel 32.5 b i direktivet ska förbudet kunna träffa varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har lednings­ansvar i den väsentliga entiteten. I artikel 20 anges att viktiga och väsentliga entiteters ledningsorgan har ett ansvar för att godkänna och övervaka genomförandet av säkerhetsåtgärder och att de ska kunna ställas till svars för entiteternas överträdelse av artikel 21 som rör sådana åtgärder. Personkretsen i artiklarna 20 och 32.5 b är alltså definierad på olika sätt och den senare skulle kunna uppfattas som snävare än den som omfattas av artikel 20. Regeringen anser dock att förbudet bör kunna träffa den bredare krets som avses i artikel 20. Inte minst för att upprätthålla systematiken och för att denna krets ska kunna bli föremål för ingripanden på det sätt som artikel 20 i direktivet förutsätter. Regeringen föreslår således att ett förbud ska kunna meddelas mot befattningshavare enligt 3 § andra stycket lagen om näringsförbud. Det kan därmed röra sig om t.ex. en styrelseledamot, en verkställande direktör samt ersättare för dessa i ett aktiebolag. Förbudet förutsätter dock att personen med ledningsansvar ska ha orsakat den allvarliga överträdelsen uppsåtligen eller av grov oaktsamhet.

Regeringen föreslår att ett förbud ska meddelas av allmän förvaltnings­domstol på ansökan av en tillsynsmyndighet. Ett förbud ska vara tidsbegränsat och gälla lägst ett och högst tre år. I propositionen lämnar regeringen också förslag på andra regler om förfarandet vid en ansökan om förbud.

Sanktionsavgifter

Regeringen föreslår att tillsynsmyndigheten ska få besluta att ta ut en sanktionsavgift av en verksamhetsutövare om verksamhetsutövaren åsidosatt sina skyldigheter att utse företrädare, göra en anmälan, vidta säkerhets­åtgärder, låta de personer som ingår i ledningen genomgå utbildning, rapportera betydande incidenter eller informera vid betydande incidenter och betydande cyberhot.

I fråga om sanktionsavgifternas storlek föreslår regeringen att för enskilda verksamhetsutövare som är väsentliga ska avgiften bestämmas till lägst 5 000 kronor och högst till det högsta av 2 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår eller ett belopp i kronor motsvarande 10 000 000 euro. För enskilda verksamhetsutövare som är viktiga ska avgiften bestämmas till lägst 5 000 kronor och högst till det högsta av 1,4 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår eller ett belopp i kronor motsvarande 7 000 000 euro. För offentliga verksamhetsutövare ska avgiften bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

När det gäller förfarandet föreslår regeringen bl.a. att en sanktionsavgift inte ska få beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

I propositionen framhåller regeringen att det inte finns utrymme att fastställa lägre maximibelopp för enskilda verksamhetsutövare än de föreslagna eftersom de följer av direktivet (artikel 34). Direktivet saknar däremot regler om miniminivåer. Av NIS-direktivet följde inte några beloppsgränser, men enligt 30 § NIS-lagen ska en sanktionsavgift bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. Regeringen anser att det inte finns skäl att nu förändra miniminivån och den bör därför även fortsättningsvis vara 5 000 kronor för både offentliga och enskilda verksamhetsutövare.

Med anledning av remissynpunkter på diskrepansen mellan offentliga och enskilda verksamhetsutövare i fråga om sanktionsavgiftens maximibelopp konstaterar regeringen att det inom ramen för ett antal regleringar görs sådan skillnad (t.ex. i 7 kap. 4 § säkerhetsskyddslagen). Regeringen anför att inom den privata sektorn kan en överträdelse av regleringen medföra otillbörliga konkurrens­fördelar som snedvrider marknaden. Någon sådan ekonomisk vinning, på bekostnad av andra aktörer på marknaden, kan offentliga verksamhets­utövare inte dra. Regeringen bedömer, i likhet med vad som gäller på andra områden och mot denna bakgrund, att det finns skäl att göra skillnad på offentliga och enskilda verksamhetsutövare i aktuellt avseende.

Med anledning av remissynpunkter på att sanktions­avgifternas storlek enligt den nya lagen och enligt säkerhetsskyddslagen bör harmonieras anför regeringen att utredningen i sitt slutbetänkande föreslog att maximibeloppet enligt säkerhets­skyddslagen, för andra än statliga myndigheter, kommuner och regioner, ska bestämmas till högst till det högsta av 120 000 000 kronor eller 2 procent av verksamhetsutövarens totala globala årsomsättning under föregående räken­skapsår. Förslaget bereds inom Regeringskansliet.

När sanktionsavgiftens storlek bestäms bör, enligt regeringens mening, tillsynsmyndigheten särskilt beakta de omständigheter som ska beaktas vid valet av ingripande. Vilken storlek på sanktionsavgiften som en överträdelse motiverar i det enskilda fallet kommer att avgöras av tillsynsmyndigheten eller, efter överklagande, av en domstol. Belopp i den övre delen av de föreslagna beloppsintervallen bör komma i fråga endast för mycket allvarliga överträdelser. Sanktionsavgiften ska i varje enskilt fall vara effektiv, proportionell och avskräckande i enlighet med direktivet.

Överklagande

Tillsynsmyndighetens beslut enligt lagen ska få överklagas till allmän förvaltningsdomstol. Tillsynsmyndigheten ska vid ett överklagande vara motpart i domstolen. Det ska krävas prövningstillstånd vid överklagande till kammarrätten.

Register för uppgifter om domännamnsregistrering

Regeringen föreslår att det i den nya cybersäkerhetslagen ska införas en skyldighet att föra register över tilldelade domännamn. Skyldigheten gäller dock inte för en domänadministratör som omfattas av lagen (2006:224) om nationella toppdomäner för Sverige på internet (toppdomänlagen). I propositionen lämnas även förslag på bl.a. innehållet i registret. Vidare förslås ändringar i toppdomänlagen med anledning av direktivet.

Ändringar i lagen om elektronisk kommunikation

Regeringen föreslår att vissa bestämmelser i lagen (2022:482) om elektronisk kommunikation ska upphöra att gälla eftersom den nya cybersäkerhetslagen kommer att innehålla motsvarande bestämmelser som kommer att träffa även den i förstnämnda lagen aktuella kretsen. I stället föreslås det införas en hänvisning till den nya cybersäkerhetslagen med upplysning om att det där finns krav som anknyter till lagen. Vidare föreslås vissa följdändringar.

Sekretess

Regeringen föreslår att det ska införas en ny bestämmelse i offentlighets- och sekretesslagen (2009:400) om att sekretess ska gälla för uppgift i en incidentrapport som lämnas enligt den nya lagen och för uppgift om vilka åtgärder som en verksamhetsutövare har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutövarens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas. Sekretessen ska gälla i högst fyrtio år. Rätten att meddela och offentliggöra uppgifter ska inte ha företräde framför den tystnadsplikt som följer av sekretessen.

Regeringen föreslår vidare att det i samma lag ska införas en ny sekretessbrytande bestämmelse som gör det möjligt för Myndigheten för civilt försvar att lämna vidare en uppgift som omfattas av sekretess i det internationella samarbetet och som myndigheten har fått i egenskap av gemensam kontaktpunkt, cyberkrishanteringsmyndighet eller enhet för hantering av it-säkerhetsincidenter enligt den nya lagen, om uppgiften behövs för att den mottagande tillsynsmyndigheten ska kunna fullgöra sitt uppdrag enligt den nya lagen. Det ska också vara möjligt för en tillsynsmyndighet att vidarebefordra en uppgift som omfattas av sekretess i det internationella samarbetet till Myndigheten för civilt försvar, om uppgiften behövs för att den myndigheten ska kunna fullgöra sitt uppdrag enligt den nya lagen.

I den nya lagen föreslås det införas en bestämmelse som upplyser om att den myndighet som regeringen bestämmer ska vara gemensam kontaktpunkt, cyberkrishanteringsmyndighet och enhet för hantering av it-säkerhets­incidenter enligt NIS 2-direktivet.

Ikraftträdande- och övergångsbestämmelser

Regeringen föreslår att den nya lagen och övriga lagändringar ska träda i kraft den 15 januari 2026. Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ska då upphöra att gälla. För överträdelser som regleras i den nya lagen, men som har skett före ikraftträdandet av den lagen, ska NIS-lagen respektive lagen om elektronisk kommunikation fortfarande gälla.

Konsekvenser

Konsekvenser för cybersäkerheten och samhällsekonomin

Regeringen bedömer att förslagen innebär att cybersäkerheten i samhället stärks och att de samhällsekonomiska effekterna av förslagen är godtagbara.

Ekonomiska konsekvenser för den offentliga sektorn

Regeringen redovisar att ett stort antal remissinstanser anser att det behövs kompletterande analyser av de ekonomiska konsekvenserna av förslagen för den offentliga sektorn och att tillräckliga resurser för genomförandet behöver säkerställas.

Regeringen bedömer att förslagen i propositionen innebär ökade kostnader för tillsynsmyndigheterna. De ökade kostnaderna för dessa myndigheter finansieras genom medel som tillfördes i budgetpropositionen för 2025. Samtliga myndigheter som föreslås ska pekas ut som tillsynsmyndigheter, förutom Finansinspektionen, fick nämligen ökade anslag med sammanlagt 28 000 000 kronor för detta ändamål. I den nya lagen föreslås vidare att det ska införas en bestämmelse som ger tillsynsmyndigheten för en viss del av sektorn digital infrastruktur rätt att ta ut avgifter för sin tillsyn.

Regeringen anför att förslagen även innebär skyldigheter och nya uppgifter för vissa andra statliga myndigheter än tillsynsmyndigheterna. Förslagen innebär förvisso att de statliga myndigheter som omfattas av lagen behöver vidta vissa åtgärder med koppling till deras cybersäkerhet som kan vara kostnadsdrivande. Samtidigt är åtgärderna i stor utsträckning förenliga med relevanta europeiska och internationella standarder på området. Många aktörer arbetar redan aktivt utifrån dessa åtgärder för att förhindra cyber­säkerhetsincidenter, medan andra behöver genomföra vissa förändringar för att nå upp till de krav som föreslås gälla. Åtgärderna kan förväntas leda till högre motståndskraft mot cybersäkerhetsincidenter och därmed färre incidenter och i förlängningen mindre kostnader. Effekterna kommer enligt regeringens bedömning sannolikt att uppväga eventuella kostnader. Regeringen konstaterar att förslagen leder till ökade kostnader för lärosäten. Det finansieras genom förslag i budgetpropositionen för 2026 på att berörda lärosäten tillförs medel för att vidta åtgärder som behövs för att uppfylla kraven. Regeringen bedömer att kostnaderna för övriga berörda myndigheter bör kunna hanteras inom befintliga budgetramar.

Regeringen anför att den kommunala finansieringsprincipen innebär att kommuner och regioner ska kompenseras för statligt beslutade åtgärder som direkt tar sikte på den kommunala verksamheten. Regeringen konstaterar att förslagen i propositionen innebär att kommuner och regioner, liksom andra verksamhetsutövare, bl.a. ska vidta säkerhetsåtgärder och i vissa fall rapportera incidenter. Även om effekten av kraven i den nya lagen i förlängningen kan innebära kostnads­besparingar för verksamhetsutövarna konstaterar regeringen att förslagen leder till ökade kostnader för kommuner och regioner som kräver finansiering enligt den kommunala finansierings­principen. Regeringen föreslår därför i budgetpropositionen för 2026 finansieringen av dessa kostnader.

Regeringen bedömer att förslagen innebär ökade kostnader även för allmänna förvaltningsdomstolar. Kostnaderna bedöms dock rymmas inom domstolarnas befintliga anslagsramar.

Konsekvenser för enskilda

Regeringen redovisar att flera remissinstanser efterfrågar bl.a. en mer gedigen konsekvensanalys vad gäller företagens merkostnader. En annan synpunkt är att konsekvens­utredningen inte uppfyller erforderliga krav eftersom det saknas information om vilka företag som berörs och hur de påverkas av regleringen.

Regeringen konstaterar att den föreslagna regleringen kommer att innehålla bestämmelser som innebär att enskilda aktörer behöver uppfylla vissa krav. Regeringen uppskattar, med stöd av beräkningar som har gjorts inom Regeringskansliet, att drygt 1 500 företag i Sverige med sammanlagt runt 500 000 sysselsatta skulle kunna beröras av den nya lagen och tillhörande föreskrifter. I beräkningen ingår företag som har minst 50 personer anställda. Lagen kommer dock i vissa fall att gälla även för verksamhetsutövare som inte behöver uppfylla ett storlekskrav. Vilka företag som träffas av den nya lagen och vilka åtgärder som de ska vidta är i allt väsentligt en följd av direktivets utformning.

Regeringen bedömer att förslagen kan innebära ökade kostnader och administrativa bördor för de företag som kommer att räknas som enskilda verksamhets­utövare. Detta gäller även med beaktande av den omständigheten att förslagen också, som EU-kommissionen bedömer, kan innebära minskade kostnader för hanteringen av cyber­säkerhetsincidenter.

I fråga om vilka ökade kostnader och administrativa bördor som regelverket kan innebära för enskilda verksamhetsutövare anför regeringen följande. Skyldigheten att göra en anmälan bör generellt sett ge upphov till mindre kostnader. Det analysarbete som krävs för att bedöma om aktören omfattas av lagen, och om en anmälan därmed ska göras, kommer att underlättas genom stöd och tydlig vägledning från berörda myndigheter. Regeringen bedömer att även kostnader som kan hänföras till skyldigheten att rapportera betydande incidenter bör bli begränsade. Även om incidenter på cybersäkerhetsområdet är vanligt förekommande bör det generellt sett röra sig om ett begränsat antal fall som ett enskilt företag behöver rapportera, särskilt eftersom det gäller endast betydande incidenter. Inte heller informations­skyldigheten bör innebära någon större kostnad eftersom den gäller enbart vid betydande incidenter och betydande cyberhot. När det gäller kostnader kopplade till tillsynsåtgärder konstaterar regeringen att för viktiga verksamhets­utövare får sådana åtgärder vidtas endast när en tillsynsmyndighet har anledning att anta att regleringen inte följs. Skyldigheten att medverka till tillsynsåtgärder, när sådana väl vidtas, bör inte innebära någon större kostnad för den enskilda verksamhetsutövaren.

Regeringen bedömer att den största kostnaden för enskilda hänför sig till de säkerhetsåtgärder som ska vidtas enligt den nya lagen. Det är tillsyns­­myndigheten, eller ytterst en domstol, som avgör vilka åtgärder som en enskild verksamhetsutövare är skyldig att vidta för att uppfylla kraven och det är inte möjligt att göra några uppskattningar som är relevanta för alla verksamhets­utövare. Säkerhetsåtgärderna som ska vidtas ska för varje verksamhetsutövare vara lämpliga och proportionerliga och ska säkerställa en nivå på säkerheten som är lämplig i förhållande till risken. De som föreslås räknas som enskilda verksamhetsutövare bedriver verksamhet inom vitt skilda sektorer och deras verksamheter kan se mycket olika ut. Vidare påverkar nivån av cybersäkerhet som verksamhetsutövaren i dagsläget når upp till behovet av ytterligare åtgärder. Det går enligt regeringen inte att presentera en mer exakt och för samtliga företag relevant uppskattning av kostnaderna kopplade till införandet av den nya lagen, men flera av förslagen bör inte heller innebära några beaktansvärda kostnader. Det kan konstateras att förslagen i allt väsentligt är nödvändiga för att genomföra NIS 2-direktivet i Sverige.  

Regeringen bedömer att förslagen är förenliga med näringsfriheten och att förslaget om register för domännamnsregistreringsuppgifter innebär en godtagbar risk för ökat integritetsintrång.

Med anledning av svårigheterna att ge en exakt och för samtliga företag relevant uppskattning av kostnaderna kopplade till införandet av den nya lagen bedömer regeringen att konsekvenserna för företagen bör utvärderas. En sådan utvärdering bör göras tre år efter ikraftträdandet av den nya lagen. I samband med detta bör en översyn av författningarna kopplade till genom­förandet av NIS 2-direktivet göras.

 

 

 

 

 

Motionerna

I kommittémotion 2025/26:3834 anser Ulf Holm m.fl. (MP) att regeringen bör återkomma med en fördjupad analys av lagens ekonomiska konsekvenser för den offentliga sektorn och säkerställa att det finns tillräcklig finansiering för kommuner och regioner.

I kommittémotion 2025/26:3838 föreslår Mikael Larsson och Niels Paarup-Petersen (båda C) flera tillkännagivanden till regeringen med anledning av regeringens lagförslag. Sålunda föreslås att regeringen bör återkomma med förslag som innebär att 

–      ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav tydliggörs (yrkande 1)

–      utformningen av sanktionsavgifterna ses över för att säkerställa att de är rimliga, proportionerliga och förutsägbara (yrkande 2)

–      sanktionsnivåerna och tillämpningen mellan cybersäkerhetslagen och säkerhetsskyddslagen harmoniseras (yrkande 3)

–      det tydliggörs vilka myndigheter som ansvarar för tillsyn och tillämpning av cybersäkerhetslagen respektive säkerhetsskyddslagen samt att man säkerställer samordning för att undvika överlappande tillsyn (yrkande 4)

–      det klargörs vilka företag och aktiviteter som omfattas av lagen för att undvika orimliga krav på mindre företag och organisationer (yrkande 5)

–      det införs en nationell mekanism för tillsyn och kunskapsdelning (yrkande 6)

–      lagen införs stegvis (yrkande 7).

I kommittémotion 2025/26:3405 av Emma Berginger m.fl. (MP) yrkande 10 begärs ett tillkännagivande om att regeringen ska stärka cybersäkerheten i både offentlig och privat sektor. I yrkande 68 begärs ett tillkännagivande om att Sverige ska verka för att cybersäkerhetssamarbetet på EU-nivå ska utvecklas. 

Peter Hultqvist m.fl. (S) anför i kommittémotion 2025/26:3556 yrkande 97 att regeringen bör säkerställa utvecklingen för den svenska cyberpolitiken.

I kommittémotion 2025/26:3652 yrkande 18 begär Aylin Nouri m.fl. (S) ett tillkännagivande om en offensiv politik mot cyberattacker och dataintrång.

 

 

 

 

 

 

 

 

Utskottets ställningstagande

Ett starkt skydd för nätverks- och informationssystem som används i samhälls­viktig verksamhet, i såväl offentlig som privat regi, är centralt för ett motståndskraftigt samhälle. Eftersom den snabba och omfattande digitala utvecklingen är gränsöverskridande är det nödvändigt med internationellt samarbete, inte minst inom EU, för att åstadkomma en hög nivå av cybersäkerhet. Mot den bakgrunden välkomnar utskottet regeringens höjda ambitionsnivå inom området genom förslaget på genomförande av NIS 2-direktivet.

Utskottet tillstyrker därmed regeringens förslag till cybersäkerhetslag och övriga lagförslag av de skäl som anförs i propositionen.

Vidare bedömer utskottet att motionerna 2025/26:3405 (MP) yrkandena 10 och 68, 2025/26:3556 (S) yrkande 97 och 2025/26:3652 (S) yrkande 18 får anses vara tillgodosedda genom regeringens lagförslag, varför de bör avslås.

Utskottet övergår nu till att behandla motionsyrkanden som innehåller förslag om tillkännagivanden till regeringen i olika frågor som ansluter till lagförslagen.

När det gäller motionsyrkandet om ledningens ansvar för cybersäkerheten i en verksamhet vill utskottet anföra följande. Av NIS 2-direktivets artikel 20 framgår bl.a. att medlemsstaterna ska säkerställa att verksamhetsutövarens ledning godkänner och övervakar genomförandet av de säkerhetsåtgärder som verksamhetsutövaren är skyldig att vidta för att skydda sina nätverks- och informations­system enligt artikel 21. Syftet är att ledningen ska kunna ställas till svars för eventuella överträdelser. Utskottet har ingen annan uppfattning än regeringen om att det redan följer av annan författning att ledningen i såväl privata som offentliga verksamheter ansvarar för organisationen och förvaltningen av sina respektive verksamheters angelägenheter, inklusive på det sätt som följer av artikel 20. Utskottet instämmer således i regeringens bedömning att detta inte behöver regleras särskilt i cybersäkerhetslagen. Vidare konstaterar utskottet att det i den nya lagen införs möjlighet att vid vissa typer överträdelser av lagens bestämmelser meddela förbud för en befattningshavare att inneha lednings­funktion. Utskottet avstyrker således motion 2025/26:3838 (C) yrkande 1.

I fråga om sanktionsavgifternas storlek konstaterar utskottet det inte finns utrymme att fastställa lägre maximibelopp för enskilda verksamhetsutövare än de som regeringen föreslår eftersom nivåerna följer av direktivet. Spannet mellan det lägsta möjliga beloppet och det högsta är mycket stort för dessa utövare. Som regeringen anför kommer dock sanktionsavgiften i varje enskilt fall att avgöras av en tillsynsmyndighet eller, efter överklagande, av en domstol som vid sin bedömning ska ta hänsyn till en rad omständigheter, t.ex. hur allvarlig överträdelsen varit. Utskottet menar att detta ger goda förutsättningar för att i varje enskilt fall kunna bestämma avgiften så att den är effektiv, proportionerlig och förebyggande i enlighet med direktivet. Vidare delar utskottet regeringens bedömning att det finns skäl att göra skillnad på maximi­beloppet för en enskild verksamhetsutövare och en offentlig sådan, inte minst då risken för en otillbörlig konkurrensfördel när en privat verksamhetsutövare begår överträdelser inte aktualiseras när överträdelser sker i offentlig verksamhet. När det gäller diskrepansen mellan cybersäkerhetslagens nivåer och de som gäller enligt säkerhetsskyddslagen konstaterar utskottet att det inom Regerings­kansliet bereds ett förslag om höjning av maximibeloppet i den sistnämnda lagen. Utskottet ser sammanfattningsvis inte anledning att ta något initiativ i fråga om sanktionsavgifternas storlek och avstyrker således motion 2025/26:3838 (C) yrkandena 2 och 3.

När det gäller yrkande 4 i samma motion om förhållandet mellan cyber­säkerhets­lagen och säkerhetsskyddsregleringen vill utskottet anföra följande. För det första kan konstateras att cybersäkerhetslagen inte ska gälla för statliga myndigheter som till övervägande del bedriver säkerhets­känslig verksamhet enligt säkerhetsskyddslagen och inte heller för enskilda verksamhets­utövare som enbart bedriver sådan verksamhet eller enbart erbjuder tjänster till en sådan statlig myndighet. Dessa verksamhetsutövare är alltså helt undantagna från cybersäkerhetslagens tillämpningsområde. För andra utövare som till någon del bedriver säkerhetskänslig verksamhet eller erbjuder sådana tjänster kommer den delen av verksamheten att omfattas endast av vissa av kraven i cyber­säkerhetslagen. För övriga delar kommer lagen att gälla i dess helhet. Som regeringen konstaterar kommer de två regelverken att gälla parallellt och det kan uppstå en situation då t.ex. en incident både påverkar den säkerhets­­känsliga verksamheten och övrig verksamhet, vilket gör att incidenten kan behöva rapporteras enligt båda regelverken. Utskottet tar fasta på regeringens bedömning att det inte finns något utrymme, med tanke på direktivets innehåll och regelverkens olika syften och tillämpningsområden, att t.ex. låta ett av dem vara subsidiärt i förhållande till det andra. Utskottet konstaterar vidare att regeringen avser att i förordning peka ut relevanta myndigheter för cyber­säkerhets­­­lagens tillsyn och att motsvarande myndigheter för säkerhetsskydds­regelverket är utpekade sedan tidigare. I fråga om samordning konstaterar utskottet att myndigheter enligt författningar är skyldiga att samverka med varandra för att ta till vara de fördelar som kan vinnas för både enskilda och för staten som helhet. Utskottet ser sammanfattningsvis inget skäl att ta något initiativ med anledning av det aktuella motionsyrkandet, varför det avstyrks.

Med anledning av yrkande 5 i samma motion om klargörande av lagens tillämpningsområde utifrån mindre företags perspektiv konstaterar utskottet för det första att storlekskravet innebär att ett företag omfattas av lagen om det har minst 50 anställda eller en balansomslutning och årsomsättning som överstiger 10 000 000 euro per år. De flesta mindre företag kommer alltså inte att omfattas av lagens bestämmelser. Lagen kommer dock att gälla för vissa verksamhets­utövare även om de inte uppfyller storlekskravet, om de i stället uppfyller vissa andra i lagen definierade kriterier. Vilka de kvalificerings­grunderna är framgår av lagen. Regeringen är i propositionen tydlig med att en verksamhetsutövare som uppfyller kriterierna för att omfattas av lagen ska omfattas av regelverket i sin helhet, dvs. lagen gäller hela verksamheten och inte endast den del som faller inom en utpekad sektor. Undantag finns dock enligt ovan för sådan verksamhet som bedriver säkerhetskänslig verksamhet till någon del. Utskottet som därmed inte ser något behov för klargöranden i denna fråga avstyrker motionsyrkandet.  

När det gäller yrkande 6 i samma motion om tillsyn och kunskapsdelning konstaterar utskottet att regeringen avser att i förordning peka ut relevanta tillsynsmyndigheter samt den myndighet som enligt NIS-direktivet ska vara gemensam kontaktpunkt, cyberkrishanteringsmyndighet och enhet för hantering av it-säkerhetsincidenter. Den gemensamma kontaktpunkten kommer bl.a. att ha en sambandsfunktion. Som utskottet konstaterat ovan är myndigheter enligt författningar skyldiga att samverka med varandra och utskottet, liksom regeringen, utgår från att samverkan mellan de berörda tillsyns­myndigheterna kommer att fungera väl. Utskottet avstyrker således det aktuella motionsyrkandet.

När det slutligen gäller frågan om konsekvenser av lagens införande vill utskottet först framhålla att medlemsstaterna enligt direktivet skulle ha antagit nationella bestämmelser för att genomföra direktivet senast den 17 oktober 2024. Det är således angeläget att cybersäkerhetslagen kommer på plats och att förslaget antas i sin helhet. Samtidigt konstaterar utskottet att det varit svårt att ange en exakt och för alla företag relevant uppskattning av kostnaderna för genomförandet av lagen. Utskottet välkomnar därför regeringens bedömning om att en utvärdering av konsekvenserna för enskilda företag bör göras tre år efter ikraftträdandet och i samband med det även en översyn av lagstiftningen. Utskottet avstyrker med anledning av detta motion 2025/26:3838 (C) yrkande 7. I fråga om de ekonomiska konsekvenserna för offentliga verksamhets­utövare konstaterar utskottet att regeringen har bedömt att lagförslagen kommer att innebära ökade kostnader för tillsynsmyndigheterna och att detta också har finansierats genom ökade anslag i förra årets budgetproposition. Regeringen har också konstaterat att förslaget innebär ökade kostnader för kommuner och regioner som kräver finansiering enligt den kommunala finansieringsprincipen. Regeringen har därför föreslagit finansiering av dessa kostnader i budgetpropositionen för 2026. Utskottet utgår från att regeringen följer upp att tillskottet är tillräckligt och avstyrker därmed även motion 2025/26:3834 (MP).

Reservationer

Ställningstagande

Vi välkomnar propositionen som ett steg för att stärka Sveriges motståndskraft mot cyberhot. I en tid av ökade säkerhetspolitiska spänningar, där hybridhot såsom cyberattacker, sabotage och påverkansoperationer är en del av vardagen, är ett starkt och systematiskt cybersäkerhetsarbete helt avgörande. Vi står därför bakom regeringens förslag till en ny cybersäkerhetslag med nya krav på verksamhetsutövare att vidta åtgärder för att säkra sina informations­system och rapportera incidenter. Samtidigt vill vi understryka vår oro för finansieringen av den nya lagen. Ett stort antal remissinstanser har påtalat att lagens genomförande riskerar att bli mycket kostsam – särskilt för kommuner och regioner som redan i dag befinner sig i ett ekonomiskt kärvt läge. Även om regeringen aviserat ökade generella statsbidrag inför 2026 för att finansiera genomförandet av lagen, är det osäkert om dessa medel kommer att vara tillräckliga för kommuner och regioner, särskilt med tanke på de många andra krav som åläggs sektorn i totalförsvarsuppbyggnaden. Kommuner och regioner är centrala aktörer i det civila försvaret. Det är därför orimligt att staten inte samtidigt säkerställer att de har ekonomiska förutsättningar att säkra välfärden och fullfölja de uppgifter som följer med totalförsvarsutbyggnaden.

Vi anser att regeringen bör återkomma med en fördjupad analys av de ekonomiska konsekvenserna för den offentliga sektorn och säkerställa tillräcklig finansiering för kommuner och regioner.

 

 

 

 

Ställningstagande

Jag välkomnar att regeringen har lämnat förslag om en ny cybersäkerhetslag. Även om lagen är efterlängtad vill jag framföra ett antal synpunkter. Jag efterlyser mer tydlighet vad gäller ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav. Enligt NIS 2-direktivet, som är en av orsakerna till lagen, skulle ledningen inom enskilda verksamheter få ett personligt ansvar för överträdelser av kraven på säkerhets­åtgärder. Detta saknas i cybersäkerhetslagen och har i praktiken ersatts av ett krav på att ledningen ska utbildas. Denna förändring medför kraftigt minskade krav på ledningen i utpekade och för samhället kritiska organisationer.

Riksdagen bör ställa sig bakom det som anförs i reservationen och tillkännage det för regeringen.

 

Ställningstagande

Flera remissinstanser har påpekat brister i den föreslagna lagen när det gäller vilka företag eller aktiviteter som verkligen kommer att påverkas. För många aktörer kan den nya lagen tydligt omfatta en del av verksamheten, medan andra delar inte är relevanta. Det bör förtydligas hur lagen ska tolkas och om det endast är de delar av verksamheten som påverkar säkerheten i relevanta tjänster som ska omfattas. Dagens otydlighet kan skapa stora problem för mindre företag och t.ex. inom gröna näringar. Regeringens förändringar på cyberområdet skapar inte optimala förutsättningar för att stärka motstånds­kraften hos svenska företag och mindre organisationer.

Vi anser att regeringen bör återkomma med klargöranden i dessa frågor för att undvika orimliga krav på mindre företag och organisationer.

 

Ställningstagande

I regeringens förslag till cybersäkerhetslag finns möjlighet att ta ut sanktions­avgifter vid överträdelser. Enligt förslaget kan sanktionsavgiften bestämmas till högst 10 miljoner euro för företag respektive 10 miljoner kronor för offentliga organisationer. Det är en kraftig differens i bötesbelopp som, tillsammans med otydligheten om när sanktioner kan bli aktuella, skapar risk för orimliga skillnader mellan olika organisationsformer. Vi anser att man bör se över sanktionsavgifternas utformning för att säkerställa att de är rimliga, proportionerliga och förutsägbara, särskilt för mindre verksamheter. Vi anser också att lagen missar att harmonisera sanktions­avgifternas storlek mellan cybersäkerhetslagen och säkerhetsskyddslagen, vilket kan skapa ojämlik behandling och osäkerhet. Regeringen bör återkomma till riksdagen med förslag i denna riktning.

Det bör vidare klargöras vilka myndigheter som ansvarar för tillsyn och tillämpning av cybersäkerhetslagen respektive säkerhetsskyddslagen. Vidare bör man säkerställa samordning mellan de båda regelverken för att undvika att flera myndigheter har överlappande tillsyn och att samma typ av överträdelse leder till olika sanktioner beroende på vilket regelverk den hanteras under. Regeringen måste också tydliggöra myndigheters ansvar genom krav­ställningar i reglerings­brev och instruktioner.

En majoritet av Sveriges företag påpekar att de behöver ökat stöd och information från myndigheter för att skapa den höga nivå av cybersäkerhet vi alla vill se. Denna lag är inget undantag och riskerar att bidra till ökad osäkerhet. Det behövs en nationellt samordnad tillsynsmodell där roller och ansvar förtydligas. Vi anser därför att en nationell koordineringsmekanism för tillsyn och kunskapsdelning bör införas, så att om en myndighet utövat tillsyn över en verksamhet kan andra tillsynsmyndigheter ta del av det.

Finansiering och stöd till mindre aktörer som inte tidigare omfattats av liknande lagstiftning behövs om det ska vara möjligt att leva upp till lagen i tid. Alternativt anser vi att det finns behov av ett stegvis införande av lagen så att mer tid ges till de organisationer som inte har så stora resurser och kompetens. Det är särskilt relevant för mindre företag och organisationer.

Riksdagen bör ställa sig bakom det som anförs i reservationen och tillkännage detta för regeringen.

 

Ställningstagande

Det svenska cyberförsvaret och vår gemensamma beredskap mot cyber­angrepp måste stärkas. I en tid när digitaliseringen genomsyrar hela samhället är det viktigare än någonsin att myndigheter, kommuner och företag bedriver ett systematiskt och ansvarsfullt informationssäkerhetsarbete. Det handlar om att skydda människor, välfärd och samhällsservice. Därför är det av särskild vikt att både it- och cybersäkerheten utvecklas, liksom samhällets förmåga att möta allt mer avancerade och asymmetriska cyberhot.

Vi ser hur cyberangreppen från kriminella aktörer blir fler, samtidigt som angreppen från främmande stater ökar i omfattning och komplexitet. Dessa aktörer har resurser att skada samhällsviktiga funktioner som livsmedels­försörjning, betalningssystem, elförsörjning och sjukvård, vilket i förlängningen riskerar att slå hårt mot tryggheten i människors vardag. Effekterna av cyberattacker kan i värsta fall bli lika allvarliga som ett konventionellt väpnat angrepp. Därför måste statens ansvar och förmåga inom cybersäkerhet fortsätta att byggas ut och fördjupas.

Utvecklingen inom svensk cyberpolitik visar att viktiga steg redan har tagits. Under den S-ledda regeringen 2020 etablerades Nationellt cyber­säkerhets­centrum, Centrum för cyberförsvar och informationssäkerhet vid KTH samt en spetsutbildning inom Försvarsmakten där den första kullen cybersoldater ryckte in. Det är exempel på satsningar som stärker både kompetens och kapacitet, och som måste fortsätta att utvecklas. Cyber­angrepp behöver förebyggas, upptäckas och hanteras på ett samordnat och kraftfullt sätt. I dag är cyberförsvar en självklar och integrerad del av det militära försvaret och utgör en militärstrategisk resurs som kan genomföra både offensiva och defensiva operationer. Försvarsmakten har förmåga att upptäcka, identifiera och avvärja hot från de mest kvalificerade aktörerna.

En del av samhällets robusthet handlar också om något så grundläggande som våra betalnings- och kontanthanteringssystem. Här behöver Sverige fortsätta att stärka redundansen. Vi ligger långt fram internationellt när det gäller elektroniska betalningar, men vi har också betydligt färre kontant­transaktioner än många EU-länder. Medan kontanter fortfarande dominerar i flera andra länder blir de alltmer ovanliga här hemma. Det gör det än viktigare att våra betalningssystem är trygga, tillförlitliga och motståndskraftiga och det även i kris.

Riksdagen bör ställa sig bakom det som anförs i reservationen och tillkännage detta för regeringen.

Bilaga 1

Förteckning över behandlade förslag

 

Bilaga 2

Regeringens lagförslag