Motion till riksdagen
2025/26:3838
av Mikael Larsson och Niels Paarup-Petersen (båda C)

med anledning av prop. 2025/26:28 Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag

Förslag till riksdagsbeslut

  1. Riksdagen ställer sig bakom det som anförs i motionen om att öka tydligheten i ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om att se över utformningen av sanktionsavgifterna för att säkerställa att de är rimliga, proportionerliga och förutsägbara och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör återkomma med förslag som harmoniserar sanktionsnivåerna och tillämpningen mellan cybersäkerhetslagen och säkerhetsskyddslagen och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om att tydliggöra vilka myndigheter som ansvarar för tillsyn och tillämpning av cybersäkerhetslagen respektive säkerhetsskyddslagen samt säkerställa samordning för att undvika överlappande tillsyn och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om klargöranden för att undvika orimliga krav på mindre företag och organisationer och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om en nationell mekanism för tillsyn och kunskapsdelning och tillkännager detta för regeringen.
  1. Riksdagen ställer sig bakom det som anförs i motionen om behoven av ett stegvis införande av lagen och tillkännager detta för regeringen.

Motivering

Centerpartiet välkomnar att regeringen har lämnat förslag om en ny cybersäkerhetslag. Tyvärr har det tagit alltför lång tid att få lagen på plats. Likväl är det positivt att vi nu kan fatta beslut om lagstiftningen.

Även om lagen är efterlängtad vill vi framföra ett antal synpunkter. Centerpartiet efter­lyser mer tydlighet vad gäller ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav. Enligt NIS 2, som är en av orsakerna till lagen, skulle ledningen inom enskilda verksamheter få ett personligt ansvar för överträdelser av kraven på risk­hanteringsåtgärder. Detta saknas i cybersäkerhetslagen och har i praktiken ersatts av ett krav på att ledningen ska utbildas. Denna förändring medför kraftigt minskade krav på ledningen i utpekade och för samhället kritiska organisationer.

Regeringens proposition behandlar också frågan om sanktionsavgifter. Dessa kan som högst vara 10 miljoner euro för företag och som högst 10 miljoner kronor för offentliga organisationer. Det är en kraftig differens i bötesbelopp som, tillsammans med otydlig­heten om när sanktioner kan bli aktuella, skapar risk för orimliga skillnader mellan olika organisationsformer. Denna oro delas av MSB.

Centerpartiet vill ha balans mellan att sanktionsavgifterna ska vara avskräckande och att de ska vara rimliga och proportionerliga samt förutsägbara – särskilt för mindre verksamheter.

Centerpartiet delar även kritiken från flera remissinstanser inklusive PTS om att lagen missar att harmonisera sanktionsavgifter mellan cybersäkerhetslagen och säkerhetsskydds­lagen, vilket kan skapa ojämlik behandling och osäkerhet. Här menar vi att regeringen bör återkomma till riksdagen med förslag i den riktningen.

Det bör vidare klargöras vilka myndigheter som ansvarar för vilket regelverk för att undvika att flera myndigheter har överlappande tillsyn utan samordning samt säker­ställas att samma typ av överträdelse inte leder till mycket olika sanktioner beroende på under vilket regelverk den hanteras. Regeringen måste också tydliggöra kravställningar på myndigheter i regleringsbrev och instruktioner för att tydliggöra myndigheters ansvar. Att säkra att insatserna får faktisk effekt och inte enbart blir processplaner som finns på papperet förutsätter tydligt ansvarsutkrävande.

Både Regelrådet och Företagarna samt andra remissinstanser påpekar brister i lag­stiftningen kring vilka företag eller aktiviteter som verkligen påverkas. För många aktörer kan lagstiftningen tydligt omfatta en del av verksamheten, medan andra delar inte är relevanta. Det bör förtydligas hur lagstiftningen ska tolkas och om det endast är de delar av verksamheten som påverkar säkerheten i relevanta tjänster som ska omfattas. Dagens otydlighet kan skapa stora problem för mindre företag och t.ex. inom gröna näringar.

Centerpartiet har återkommande påpekat att regeringens förändringar på cyberområdet inte skapar optimala förutsättningar för att stärka motståndskraften hos Sveriges företag och mindre organisationer.

En majoritet av Sveriges företag påpekar att de behöver ökat stöd och information från myndigheter för att skapa den höga nivå av cybersäkerhet vi alla vill se. Denna lag är inget undantag och riskerar att bidra till ökad osäkerhet. Det behövs en nationellt sam­ordnad tillsynsmodell där roller och ansvar förtydligas. En nationell koordinerings­mekanism för tillsyn och kunskapsdelning bör införas, så att om en myndighet utövat tillsyn över en verksamhet kan andra tillsynsmyndigheter ta del av det.

Finansiering och stöd till mindre aktörer som inte tidigare omfattats av liknande lagstiftning behövs om det ska vara möjligt att leva upp till lagen i tid. Alternativt bör en stegvis trappa införas så att det ges mer tid till de organisationer som inte har så stora resurser och kompetens. Det är särskilt relevant för mindre företag och organisationer.

 

 

Mikael Larsson (C)

Niels Paarup-Petersen (C)