Regeringens proposition 2017/18:205

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 29 mars 2018

Stefan Löfven

Morgan Johansson

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Nätverk och informationssystem spelar en allt viktigare roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och den inre marknadens funktion. Europaparlamentet och rådet antog därför 2016 ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det s.k. NIS-direktivet.

I syfte att genomföra NIS-direktivet i svensk rätt föreslår regeringen en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Den nya lagen innebär bl.a. att

•vissa leverantörer av samhällsviktiga och digitala tjänster ska vidta säkerhetsåtgärder till skydd för säkerheten i nätverk och informationssystem

•leverantörerna ska rapportera incidenter som påverkar kontinuiteten i tjänsterna

•den myndighet som regeringen bestämmer ska utöva tillsyn över att lagen och föreskrifter som har meddelats i anslutning till den följs, och ska kunna besluta om vitesföreläggande och sanktionsavgift mot den som inte följer lagens bestämmelser.

Den nya lagen föreslås träda i kraft den 1 augusti 2018.

1

4

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om informationssäkerhet för samhällsviktiga och digitala tjänster,

2.lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster.

5

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om informationssäkerhet för samhällsviktiga och digitala tjänster

Härigenom föreskrivs1 följande.

Syftet med lagen

1 § Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för

1. samhällsviktiga tjänster inom sektorerna

–energi,

–transport,

–bankverksamhet,

–finansmarknadsinfrastruktur,

–hälso- och sjukvård,

–leverans och distribution av dricksvatten,

–digital infrastruktur, och

2. digitala tjänster.

Uttryck i lagen

2 § I lagen avses med

1. nätverk och informationssystem:

a)ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2003:389) om elektronisk kommunikation,

b)en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller

c)digitala uppgifter som lagras, behandlas, hämtas eller överförs med

sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas,

2. säkerhet i nätverk och informationssystem: nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem,

3. samhällsviktig tjänst: en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,

1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela

unionen, i den ursprungliga lydelsen.

6

Prop. 2017/18:205 4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster och vad som avses med en betydande störning enligt 3 § första stycket 1.

Undantag från lagens tillämpningsområde

Leverantörer av elektroniska kommunikationstjänster

5 § Lagen gäller inte för företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elektronisk kommunikation.

Leverantörer av betrodda tjänster

6 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Leverantörer av digitala tjänster som är mikroföretag eller små företag

7 § Lagen gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

Säkerhetskänslig verksamhet

8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627).

Leverantörer som omfattas av krav på informationssäkerhet i andra författningar

9 § Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna.

Utseende av företrädare

10 § En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och inte heller har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, ska, om inte något undantag från lagens tillämpnings-

område enligt 5–9 §§ är tillämpligt, utse en sådan företrädare.

8

Prop. 2017/18:205 Incidentrapportering

Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster

18 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till den myndighet som regeringen bestämmer.

Rapporteringsskyldighet för leverantörer av digitala tjänster

19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras till den myndighet som regeringen bestämmer.

Bemyndigande

20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt 18 och 19 §§.

Prop. 2017/18:205

27 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 24 och 25 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Ingripanden och sanktioner

Åtgärdsförelägganden

28 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering enligt 10, 12–16, 18 och 19 §§ och enligt föreskrifter som har meddelats i anslutning till de paragraferna.

Ett sådant föreläggande får förenas med vite.

Sanktionsavgift

29 § Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att

1.göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,

2.vidta säkerhetsåtgärder enligt någon av 12–16 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna, eller

3.rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna.

30 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

31 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare har begått en överträdelse och de kostnader som leverantören har undvikit till följd av överträdelsen.

32 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

33 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

34 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

11

Prop. 2017/18:205 35 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En sanktionsavgift tillfaller staten.

36 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Föreskrifter om verkställighet

37 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.

Förordnande om att beslut ska gälla omedelbart

38 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart.

Överklagande

39 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Denna lag träder i kraft den 1 augusti 2018.

12

4 Övergripande om NIS-direktivet

verksamhet inom någon av de enheter som särskilt pekas ut i direktivet. Prop. 2017/18:205 Enheterna utgör olika slags leverantörer inom sju olika sektorer. Sek-

torerna är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Dessutom krävs att den tjänst som tillhandahålls är samhällsviktig, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Medlemsstaterna är skyldiga att dels upprätta en förteckning över de tjänster som är samhällsviktiga, dels identifiera de leverantörer på deras territorium som tillhandahåller sådana tjänster.

De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.

Medlemsstaterna ska enligt direktivet utse myndigheter med särskilda uppgifter, t.ex. tillsynsmyndigheter, nationella kontaktpunkter och enheter för hantering av incidenter, s.k. CSIRT-enheter (Computer Security Incident Response Team). Medlemsstaterna ska också säkerställa att tillsynsmyndigheterna har befogenheter och medel för att kontrollera att leverantörerna uppfyller sina skyldigheter samt fastställa regler om sanktioner för överträdelse av de nationella bestämmelser som antagits enligt direktivet.

Direktivet innehåller vidare en skyldighet för varje medlemsstat att anta en nationell strategi för säkerhet i nätverk och informationssystem.

När det gäller leverantörer av samhällsviktiga tjänster får medlemsstaterna anta eller behålla bestämmelser som syftar till att uppnå en högre nivå på säkerheten i nätverk och informationssystem än vad som anges i direktivet. För leverantörer av digitala tjänster får medlemsstaterna emellertid inte införa ytterligare säkerhets- eller rapporteringskrav.

Närmare redogörelse för NIS-direktivets innehåll ges löpande genom propositionen.

5En ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster

5.1En ny lag ska införas

Regeringens förslag: NIS-direktivet ska i huvudsak genomföras genom en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster.

Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: En majoritet av remissinstanserna anser att det är

viktigt för samhällets informationssäkerhet att NIS-direktivet genomförs. Många remissinstanser anser emellertid att ett samlat regelverk för genomförandet av NIS-direktivet kommer medföra att de krav som ställs

15

Prop. 2017/18:205 på dem i olika regelverk på informationssäkerhetsområdet blir svåröverskådliga och svårtillämpade, bland andra Affärsverket Svenska kraftnät,

Statens energimyndighet, Finansinspektionen, Frobbit AB, Malmö kommun, Netnod, Stockholms läns landsting, Västra Götalands läns landsting, Stiftelsen för internetinfrastruktur, Sveriges Kommuner och Landsting, Sveriges advokatsamfund, Svenskt Näringsliv, Säkerhets- och försvarsföretagen och Säkerhetspolisen. Med hänsyn till bl.a. detta

Prop. 2017/18:205 relevanta incidenter och att lagstiftarens syfte med reglerna därmed undermineras. Mot denna bakgrund förespråkar bl.a. Affärsverket Svenska kraftnät, Stiftelsen för internetinfrastruktur och Säkerhets- och försvarsföretagen på olika sätt ett regelverk som omfattar hela eller större delar av informationssäkerhetsområdet. Ett flertal remissinstanser, bl.a. Statens energimyndighet, Finansinspektionen, Frobbit AB, Malmö kommun, Netnod, Svenska bankföreningen, Svenskt Näringsliv, Sveriges Kommuner och Landsting och Säkerhets- och försvarsföretagen, föreslår eller poängterar vikten av en harmonisering av reglerna om säkerhetsåtgärder och incidentrapportering i olika regelverk för att om möjligt undvika att samma incident behöver rapporteras till flera myndigheter.

Som remissinstanserna påpekar är en av nackdelarna med ett samlat regelverk för genomförandet att myndigheter och enskilda i vissa fall kommer att behöva tillämpa olika regelverk för samma nätverk och informationssystem men med olika syften. För myndigheter och enskilda inom sektorer som även omfattas av andra EU-rättsakter finns också en risk för att det kan bli otydligt vilken reglering som gäller. Ett regelverk som omfattar hela eller stora delar av informationssäkerhetsregleringen skulle också ligga i linje med de rekommendationer Riksrevisionen lämnat i sin rapport Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23). Informationssäkerhetsområdet är emellertid, som vissa remissinstanser också påpekar, fragmenterat och svåröverskådligt. De EU-rättsliga och nationella reglerna är mer utvecklade inom vissa sektorer än inom andra. Det finns också skillnader mellan olika typer av leverantörer inom samma sektor. Vissa bestämmelser i nationell rätt tar inte heller direkt sikte på informationssäkerhet utan syftar till att upprätthålla kontinuiteten i tjänsten utifrån andra aspekter eller till att analysera eller hantera risker mer allmänt. Beträffande de digitala tjänster som regleras av NIS-direktivet saknas i dag reglering helt. För att tillmötesgå remissinstansernas efterfrågan om ett regelverk för hela eller stora delar av informationssäkerhetsområdet och en harmonisering av kraven i de olika regelverken, skulle det därför krävas ett omfattande arbete som bl.a. inkluderar kartläggning av ett stort antal nationella och unionsrättsliga bestämmelser. Remissinstansernas förslag i dessa avseenden kan enligt regeringen inte genomföras inom ramen för detta lagstiftningsärende.

Enligt regeringens mening bör genomförandet av NIS-direktivet istället ske genom ett samlat regelverk. NIS-direktivet innebär skyldigheter för både enskilda och offentliga aktörer. Ett genomförande av direktivet behöver följaktligen ske huvudsakligen i lagform. Det bör därför införas en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. I vilken utsträckning genomförandet bör ske genom bestämmelser i förordning eller myndighetsföreskrifter kommer behandlas löpande genom propositionen.

En nationell it-strategi

Enligt artikel 7 i NIS-direktivet ska medlemsstaterna anta en nationell strategi för säkerhet i nätverk och informationssystem. Regeringen antog den 22 juni 2017 en nationell strategi för samhällets informations- och

cybersäkerhet (skr. 2016/17:213). Det pågår ett arbete i Regerings-

18

kansliet med att säkerställa att strategin motsvarar direktivets krav. Prop. 2017/18:205 Genomförandet av NIS-direktivet bör därför i denna del ske inom ramen

för det arbetet. Den nya lagen bör alltså inte reglera Sveriges skyldighet enligt NIS-direktivet att anta en nationell it-strategi.

5.2Syftet med lagen

Regeringens förslag: Syftet med den nya lagen ska vara att uppnå en hög nivå på säkerheten i nätverk och informationssystem för digitala tjänster samt för samhällsviktiga tjänster inom sektorerna

–energi

–transport

–bankverksamhet

–finansmarknadsinfrastruktur

–hälso- och sjukvård

–leverans och distribution av dricksvatten

–digital infrastruktur.

Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har föreslagit att det i den nya lagen ska anges att lagens syfte är att uppnå en hög gemensam nivå på säkerheten i nätverk och informationssystem inom EU, för att förbättra den inre marknadens funktion. Vidare har utredningen föreslagit att det ska anges att den nya lagen genomför NIS-direktivet.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: NIS-direktivets syfte är enligt artikel 1 att uppnå en hög gemensam nivå på säkerheten i nätverk och informationssystem inom EU, för att förbättra den inre marknadens funktion. För att den nya lagens bestämmelser ska bli mer lättillgängliga anser regeringen – liksom utredningen – att den nya lagen bör innehålla en bestämmelse som anger det övergripande syftet med lagen. Till skillnad från utredningen anser regeringen emellertid att syftet bör formuleras på så sätt att lagen har till syfte att höja nivån på säkerheten i nätverk och informationssystem. Vidare bör det tydliggöras att syftet endast avser informationssäkerhet för vissa tjänster och sektorer.

Regeringen delar Lagrådets uppfattning att det i lagtext inte behöver anges att den nya lagen genomför NIS-direktivet.

19

Regeringens förslag: Den nya lagen ska gälla för

–leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster).

–juridiska personer som tillhandahåller en tjänst som utgör en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst och som har sitt huvudsakliga etableringsställe i Sverige

eller som har utsett en företrädare som är etablerad här (leverantörer av digitala tjänster).

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som avses med en betydande störning vid tillhandahållandet av en samhällsviktig tjänst.

Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har föreslagit att de faktorer som enligt NIS-direktivet ska beaktas vid bedömningen av om en incident skulle medföra en betydande störning vid tillhandahållandet av en samhällsviktig tjänst ska regleras i den nya lagen.

Remissinstanserna: E-hälsomyndigheten och Affärsverket Svenska kraftnät anser att regelverket även bör omfatta leverantörer av samhällsviktiga tjänster som inte omfattas av NIS-direktivet. Flera remissinstanser anser att det är viktigt att det meddelas föreskrifter som tydliggör vad som krävs för att en leverantör som tillhandahåller samhällsviktiga tjänster ska omfattas av den nya lagen. Datainspektionen anser att det bör införas en upplysningsbestämmelse om att personuppgiftsbehandling ska ske i enlighet med dataskyddsdirektivet.

Skälen för regeringens förslag

Leverantörer av samhällsviktiga tjänster som omfattas av NIS-direktivet

För att en leverantör ska anses vara en sådan leverantör av samhällsviktiga tjänster som omfattas av NIS-direktivet krävs att leverantören är en sådan typ av enhet som anges i bilaga 2 till direktivet. Enheterna utgör olika slags leverantörer, såsom operatörer av oljeproduktion och vissa kreditinstitut och vårdgivare, och finns inom sju angivna sektorer. Sektorerna är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vidare krävs att leverantören tillhandahåller en samhällsviktig tjänst, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. En samhällsviktig tjänst definieras i direktivet som en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet (artiklarna 4.4 och

5.2).

20

Prop. 2017/18:205 heller fråga om tillhandahållande av en digital tjänst i form av en internetbaserad marknadsplats. Näringsidkaren tillhandahåller i sådana fall inte en digital tjänst i direktivets mening, utan använder webbplatsen i syfte att tillhandahålla andra varor och tjänster än digitala tjänster.

En internetbaserad sökmotor är enligt NIS-direktivet en digital tjänst som gör det möjligt för användaren att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk eller på grundval av en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet (artikel 4.18). Exempel på internetbaserade sökmotorer är google.com, yahoo.com och bing.com. Jämförelsesajter och sökfunktioner som begränsas till innehållet på en särskild webbplats anses inte utgöra internetbaserade sökmotorer (skäl 16).

Molntjänster definieras i NIS-direktivet som en digital tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser (artikel 4.19). I skäl 17 till direktivet anges följande. Sådana dataresurser som molntjänster kan möjliggöra tillgång till är exempelvis nätverk, servrar eller annan infrastruktur, lagring, applikationer och tjänster. Termen skalbar avser dataresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva dataresurser som avsätts och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva dataresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning.

GoogleApps, iCloud och Dropbox är exempel på molntjänster. En användare av privata moln tillhandahåller inte en molntjänst och är således inte en leverantör av digitala tjänster enligt direktivet.

För att en juridisk person som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster ska omfattas av NIS-direktivet krävs även att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. En leverantör av digitala tjänster ska omfattas av jurisdiktionen i den medlemsstat där leverantören har sitt huvudsakliga etableringsställe eller där den utsedde företrädaren är etablerad (artikel 18.1 och 18.2).

En leverantör av digitala tjänster som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här ska alltså omfattas av den svenska reglering som genomför NIS- direktivet. Det huvudsakliga etableringsstället är i princip där leverantören har sitt huvudkontor. Att nätverk och informationssystem är fysiskt belägna på en viss plats innebär inte att det är fråga om ett huvudsakligt etableringsställe (skäl 64). I avsnitt 5.5 behandlas närmare när leverantörer av digitala tjänster ska utse en företrädare.

Den nya lagen ska endast gälla de leverantörer som omfattas av NIS- direktivet

Det tillhandahålls samhällsviktiga tjänster av leverantörer som inte om-

fattas av NIS-direktivet. Ett exempel är leverantörer som tillhandahåller

22

Prop. 2017/18:205 på grundval av samlade tillgångar eller förhållandet mellan dessa tillgångar och BNP, och för hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år (skäl 28).

Artikel 6 ger tillämparen en begränsad vägledning vid bedömningen av vad som utgör en betydande störning och vänder sig snarare till de nationella lagstiftarna. Såsom flera remissinstanser påpekar, t.ex. Energiföretagen och Sveriges Hamnar, behövs därför föreskrifter som ger närmare vägledning. Till skillnad från utredningen anser regeringen att samtliga bestämmelser om vad som utgör en betydande störning vid tillhandahållandet av en samhällsviktig tjänst bör meddelas i förordning eller myndighetsföreskrifter. Enligt regeringens mening kan föreskrifterna behöva gå utöver vad regeringen eller den myndighet som regeringen bestämmer kan meddela med stöd av 8 kap. 7 § regeringsformen. Det bör därför införas ett bemyndigande i den nya lagen som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vad som utgör en betydande störning.

Personuppgiftsbehandling

Enligt artikel 2 i NIS-direktivet ska personuppgiftsbehandling enligt direktivet ske i enlighet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, kallat dataskyddsdirektivet. Dataskyddsdirektivet ersätts från och med den 25 maj 2018 av dataskyddsförordningen.

Datainspektionen anser att den nya lagen bör innehålla en upplysningsbestämmelse med samma innebörd som artikel 2 i NIS-direktivet. En upplysningsbestämmelse skulle enligt Datainspektionen understryka vikten av att dataskyddsbestämmelserna tillämpas när åtgärder enligt NIS-direktivet ger upphov till personuppgiftsbehandling.

Regeringen instämmer i att det är viktigt att personuppgiftsbehandling vid tillämpning av den nya lagen sker i enlighet med gällande dataskyddsreglering. Däremot ser regeringen inte behov av att i den nya lagen införa en bestämmelse som upplyser om gällande personuppgiftsreglering.

5.4Undantag från lagens tillämpningsområde

5.4.1Elektroniska kommunikationstjänster, betrodda tjänster och mikroföretag eller små företag

Regeringens förslag: Den nya lagen ska inte gälla för

–vissa leverantörer av elektroniska kommunikationsnät och kommunikationstjänster

–vissa leverantörer av betrodda tjänster

–leverantörer av digitala tjänster som är mikroföretag eller små företag.

24

Prop. 2017/18:205 troniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, kallad eIDAS-förordningen.

Med betrodda tjänster avses enligt eIDAS-förordningen bl.a. elektroniska underskrifter och stämplar, validering och bevarande av elektroniska underskrifter och stämplar, tjänster för rekommenderad elektronisk leverans och utfärdande av certifikat för autentisering av webbplatser. Bestämmelserna i artikel 19 i eIDAS-förordningen innebär att alla tillhandahållare av betrodda tjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som de tillhandahåller. Tillhandahållarna ska också underrätta tillsynsorganet om alla säkerhetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller de personuppgifter som ingår i denna.

Den nya lagen bör liksom direktivet inte vara tillämplig på leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i eIDAS-förord- ningen.

Hänvisningar till EU-rättsakter i författningar kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Utredningen har föreslagit en statisk hänvisning, närmare bestämt att undantaget i den nya lagen ska gälla för dem som omfattas av artikel 19 i eIDAS-förordningens ursprungliga lydelse. För att säkerställa att eventuella ändringar i eIDAS-förordningen kan få genomslag utan en ändring i den nya lagen anser regeringen dock att hänvisningen bör vara dynamisk, dvs. avse den vid var tid gällande lydelsen av artikeln.

Leverantörer av digitala tjänster som är mikroföretag eller små företag

Beträffande leverantörer av digitala tjänster ska NIS-direktivets bestämmelser inte tillämpas på små företag eller mikroföretag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (artikel 16.11). Enligt rekommendationen är ett mikroföretag ett företag med färre än 10 anställda och en årsomsättning eller balansomslutning som understiger 2 miljoner euro. Små företag definieras i rekommendationen som företag med färre än 50 anställda och en årsomsättning eller balansomslutning som inte överstiger 10 miljoner euro. Det bör införas ett undantag i den nya lagen som innebär att lagen inte ska tillämpas på leverantörer av digitala tjänster som utgör små företag eller mikroföretag.

Prop. 2017/18:205 Försvarsmakten på att Utredningen om säkerhetsskyddslagen i sitt betänkande, SOU 2015:25, föreslår en ny säkerhetsskyddslag som kommer omfatta sådana system.

Som ovan anförts anser regeringen att undantaget bör avse verksamhet som omfattas av säkerhetsskyddsregleringen. Som remissinstanserna påpekar är det viktigt att undantaget är tydligt för att undvika tillämpningsproblem. Med hänsyn till det bör undantagsbestämmelsen uttryckligen hänvisa till säkerhetsskyddsregleringen. Bestämmelsen bör formuleras på så sätt att den nya lagen inte ska gälla för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Det innebär bl.a. att kraven på säkerhetsåtgärder och incidentrapportering enligt den nya lagen inte ska gälla för offentlig och enskild verksamhet som omfattas av krav på säkerhetsskydd. Det innebär också att incidenter som i dag ska rapporteras enligt 10 a § säkerhetsskyddsförordningen även fortsättningsvis ska rapporteras enligt den förordningen.

Som ovan nämnts har regeringen i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet (prop. 2017/18:89) lämnat förslag på en ny säkerhetsskyddslag som ska träda i kraft den 1 april 2019. När den träder i kraft bör undantaget från den nya lagen anpassas till att avse verksamhet som omfattas av den nya säkerhetsskyddslagen.

Det bör poängteras att den omständigheten att en leverantör av samhällsviktiga eller digitala tjänster bedriver viss verksamhet som omfattas av säkerhetsskyddsregleringen inte nödvändigtvis innebär att hela leverantörens verksamhet är undantagen. Om en annan del av leverantörens verksamhet inte är säkerhetskänslig kan den nya lagen vara tillämplig i de delarna. En leverantör av samhällsviktiga eller digitala tjänster kan därför, såsom vissa remissinstanser också påpekar, behöva tillämpa säkerhetsskyddsregleringen i en del av sin verksamhet och den nya lagen i en annan del av verksamheten.

redan omfattas av adekvata krav på säkerhetsåtgärder och incident- Prop. 2017/18:205 rapportering uttryckligen bör undantas från den nya lagens tillämp-

ningsområde.

Skälen för regeringens förslag: Vissa sektorer, t.ex. sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur, regleras redan av sektorsspecifika EU-rättsakter som innehåller bestämmelser om säkerhetsåtgärder och incidentrapportering. Enligt artikel 1.7 i NIS-direktivet ska bestämmelser i sektorsspecifika EU-rättsakter, som innehåller krav på leverantörer av samhällsviktiga eller digitala tjänster att säkerställa säkerheten i sina nätverk och informationssystem eller att rapportera incidenter, tillämpas i stället för bestämmelserna i direktivet förutsatt att verkan av kraven i fråga minst motsvarar verkan av skyldigheterna enligt direktivet. I den nya lagen bör det införas en motsvarande bestämmelse om att den nya lagens bestämmelser inte ska tillämpas när det i annan författning finns bestämmelser om säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar skyldigheterna enligt den nya lagen. Undantaget bör gälla oavsett om bestämmelserna finns i EU- rättsakter eller i nationella författningar. Netnod, Svenska Stadsnätsföreningen och Föreningen Swedish Network Users Society anser att organisationer som redan i dag täcks av adekvata krav på säkerhetsåtgärder och incidentrapportering uttryckligen bör undantas från den nya lagens tillämpningsområde. Regeringen anser dock inte att det är lämpligt att införa fler uttryckliga undantag från lagens tillämpningsområde än de som finns i direktivet.

Vid bedömningen av om bestämmelser om säkerhetsåtgärder och incidentrapportering motsvarar verkan av skyldigheterna enligt den nya lagen, bör man bl.a. beakta bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Som Lagrådet anför bör detta framgå av lagtexten. Exempel på bestämmelser om säkerhetsåtgärder och incidentrapportering som inte kan anses ha motsvarande verkan är bestämmelserna i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt dataskyddsförordningen. Leverantörer kan således behöva tillämpa dessa regelverk parallellt.

Till skillnad från utredningen anser regeringen inte att enstaka bestämmelser som innehåller krav på säkerhetsåtgärder eller incidentrapportering ska gälla i stället för motsvarande bestämmelser i den nya lagen. En sådan ordning vore inte ändamålsenlig. Dessutom finns det endast i mycket begränsad omfattning nationella bestämmelser som innehåller krav som kan anses motsvara kraven enligt NIS-direktivet.

5.5Leverantörer av digitala tjänster ska i vissa fall utse en företrädare

Regeringens förslag: En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom EU ska utse en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds.

29

Prop. 2017/18:205 Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningens förslag innefattar inte krav på att företrädaren måste vara etablerad i en medlemsstat där tjänsterna erbjuds.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Den nya lagen ska enligt regeringens förslag i avsnitt 5.3 omfatta leverantörer av digitala tjänster som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här.

En leverantör av digitala tjänster som inte är etablerad inom EU men erbjuder tjänster inom unionen ska, enligt artikel 18.2 i NIS-direktivet, utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. En motsvarande bestämmelse bör införas i den nya lagen. Eftersom begreppet leverantör av digitala tjänster i den nya lagen, enligt regeringens förslag i avsnitt 5.3, avser leverantörer som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här, bör bestämmelsen utformas så att skyldigheten avser juridiska personer som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom EU. Skyldigheten att utse en företrädare bör i enlighet med direktivet endast gälla för dem som inte har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, och förutsatt att något undantag från lagens tillämpningsområde inte är tillämpligt.

En leverantör kan i enlighet med artikel 4.10 i direktivet utse en juridisk eller fysisk person som företrädare. Företrädaren ska utses uttryckligen och kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS-direktivet.

För att fastställa om en leverantör erbjuder digitala tjänster inom EU bör i enlighet med skälen till direktivet det avgörande vara om det är uppenbart att leverantören har för avsikt att erbjuda tjänster till personer i en eller flera medlemsstater (skäl 65). Enbart den omständigheten att en leverantör använder sig av en webbplats som är tillgänglig inom EU är inte tillräckligt för att fastställa en sådan avsikt. I enlighet med skälen till direktivet kan dock faktorer som att en leverantör använder sig av ett annat språk än det som används allmänt där leverantören är etablerad, men som används i en eller flera medlemsstater, och att det finns möjlighet att beställa tjänster på detta andra språk göra det uppenbart att leverantören planerar att erbjuda tjänster inom unionen.

Om en juridisk person erbjuder digitala tjänster i Sverige men inte har sitt huvudsakliga etableringsställe inom EU, ska denne alltså uttryckligen utse en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds. Om leverantören utser en företrädare som är etablerad i Sverige innebär det att leverantören är en sådan leverantör av digitala tjänster som omfattas av övriga bestämmelser i den nya lagen.

30

Regeringens förslag: Vissa uttryck som används i den nya lagen ska definieras. Definitionerna ska motsvara de som finns i NIS-direktivet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen har till skillnad från regeringen föreslagit att uttryck som inte används i den nya lagen ska definieras.

Remissinstanserna: Några remissinstanser anser att den nya lagen bör innehålla definitioner som är bättre anpassade till svenska förhållanden än motsvarande definitioner i NIS-direktivet.

Skälen för regeringens förslag: I artikel 4 i NIS-direktivet finns en lista med definitioner av uttryck som direkt eller indirekt används i direktivet. Motsvarande uttryck bör även definieras i den nya lagen under förutsättning att de ska användas i lagen. Till skillnad från vad utredningen har föreslagit anser regeringen alltså inte att uttryck som enbart ska finnas i förordning bör definieras i den nya lagen.

Ett antal remissinstanser, t.ex. Finansinspektionen, anser att den nya lagen bör innehålla definitioner som i någon mån avviker från motsvarande definitioner i direktivet för att harmonisera med befintliga begrepp på nationell nivå.

För att säkerställa att begreppen i den nya lagen vid tillämpningen får samma betydelse som i direktivet anser regeringen att definitionerna som utgångspunkt inte bör avvika från motsvarande definitioner i direktivet för att passa in i en nationell kontext. När det gäller direktivets definition av uttrycket ”säkerhet i nätverk och informationssystem” (”nätverks- och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter […]”) bör dock ordet integritet ersättas med ordet autenticitet för att stämma överens med etablerad svensk terminologi. Av den engelska versionen av NIS-direktivet (”ability of network and information systems to resist, at a given level of confidence, any action that compromises the availability, authenticity, integrity or confidentiality […]”) framgår också att det utöver grundbegreppen som definierar informationssäkerhet – tillgänglighet, riktighet och konfidentialitet – inte är integritet som avses utan autenticitet.

31

6.1Inledande om NIS-direktivets krav på identifiering av leverantörer av samhällsviktiga tjänster

Medlemsstaterna ska, för varje sektor som NIS-direktivet omfattar, identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium. I direktivet påtalas vikten av ett enhetligt tillvägagångssätt och en konsekvent tillämpning i alla medlemsstater.

Vid förfarandet för identifiering ska medlemsstaterna först upprätta en förteckning över de tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, dvs. vad som utgör samhällsviktiga tjänster. Därefter ska medlemsstaterna bedöma vilka leverantörer som uppfyller kraven i direktivet för att anses vara leverantörer av samhällsviktiga tjänster.

Förteckningen över samhällsviktiga tjänster ska senast den 9 november 2018 och därefter vartannat år tillhandahållas kommissionen som ett led i kommissionens arbete med att bedöma genomförandet av direktivet. Även information om antalet leverantörer som har identifierats i varje sektor och en uppgift om deras betydelse för sektorn ska inom samma tid lämnas till kommissionen.

Prop. 2017/18:205 ekonomi. Detta innebär bl.a. att uttrycket samhällsviktig tjänst kan omfatta fler funktioner än uttrycket samhällsviktig verksamhet.

Eftersom ett syfte med förteckningen är att säkerställa en övergripande enhetlighet mellan medlemsstaternas bedömning av samhällsviktiga tjänster, bör även beaktas hur andra medlemsstater gör sina bedömningar av vad som utgör samhällsviktiga tjänster. Medlemsstaternas bedömning av vad som utgör samhällsviktiga tjänster diskuteras som nämnts i den samarbetsgrupp som har inrättats genom direktivet och i vilken MSB företräder Sverige.

Som exempel på tjänster som kan anses som samhällsviktiga kan nämnas elöverföring, överföring och lagring av naturgas, infrastrukturförvaltning av järnväg, vattenförsörjning och tillhandahållande och förvaltning av internetdomännamn.

Utgångspunkten är att MSB ska upprätta en förteckning över samhällsviktiga tjänster

Sedan MSB grundades har myndigheten årligen fått uppdrag i regleringsbrev att redovisa en nationell bedömning av samhällets förmågor, risker, sårbarheter samt identifierade och genomförda åtgärder avseende krisberedskapen. I MSB:s uppdrag ingår också att stödja och samordna arbetet med samhällets informationssäkerhet samt att analysera och bedöma omvärldsutvecklingen inom området. Myndigheten har vidare en samordnande roll inom ramen för samhällets krisberedskap och en central funktion i de nätverk som finns inom krisberedskapsområdet. Dessutom har MSB genom sina uppdrag ett etablerat kontaktnät med merparten av de aktörer som kommer att beröras av bestämmelserna i NIS-direktivet.

Regeringen bedömer i likhet med utredningen att MSB, genom sitt uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet, är den myndighet som i nuläget är bäst lämpad att identifiera vilka samhällsviktiga tjänster som finns i Sverige inom de sektorer som omfattas av direktivet. Det kan poängteras att ingen remissinstans har uttryckt någon annan uppfattning. Stockholms läns landsting framför dock att det behövs mer precisa beskrivningar, särskilt när det gäller hälso- och sjukvården, för att MSB på ett bra sätt ska kunna identifiera vilka tjänster som kan anses vara samhällsviktiga. Regeringen bedömer emellertid att MSB genom sitt uppdrag har en sådan övergripande kännedom om de sektorer som direktivet omfattar, att MSB i vart fall med stöd av sektorsspecifika myndigheter kan upprätta förteckningen.

En förutsättning för att den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ska kunna tillämpas vid ikraftträdandet är att förteckningen över samhällsviktiga tjänster då är sammanställd. Mot denna bakgrund och på inrådan av utredningen gav regeringen i slutet av juni 2017 MSB i uppdrag att upprätta förteckningen med stöd av myndigheter med sektorsspecifik kunskap. MSB redovisade uppdraget den 15 januari 2018.

Förteckningen bör meddelas i form av föreskrifter. Enligt regeringens bedömning kommer föreskrifterna att behöva gå utöver vad regeringen eller den myndighet som regeringen bestämmer kan meddela med stöd

av 8 kap. 7 § regeringsformen. Det bör därför införas ett bemyndigande i

34

den nya lagen. Även om utgångspunkten är att MSB ska upprätta för- Prop. 2017/18:205 teckningen bör det inte slås fast i den nya lagen utan regleras i förord-

ning. Anledningen till det är att regeringen vid behov bör kunna ändra vilken myndighet som ska upprätta förteckningen. I den nya lagen bör det därför införas ett bemyndigande om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster enligt lagen.

6.3Bedömning av vilka leverantörer av samhällsviktiga tjänster som är etablerade i Sverige

Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater inom EU.

Det ska i den nya lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om verkställighet av den nya lagen.

Regeringens bedömning: Övriga bestämmelser om hur identifieringen av de leverantörer av samhällsviktiga tjänster som är etablerade i Sverige ska fullgöras bör meddelas i förordning eller myndighetsföreskrifter.

Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har föreslagit att det i den nya lagen ska införas en bestämmelse om att de som tillhandahåller samhällsviktiga tjänster är skyldiga att undersöka om de omfattas av den nya lagen. Vidare har utredningen föreslagit att Sveriges skyldighet att i vissa fall samråda med andra medlemsstater innan beslut om identifiering fattas till viss del ska regleras i den nya lagen. Utredningen har inte föreslagit att leverantörer av samhällsviktiga tjänster ska anmäla sig till tillsynsmyndigheten och därvid även ange om de tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater.

Remissinstanserna: Stiftelsen för internetinfrastruktur och Stockholms universitet instämmer i att det bör åläggas de som tillhandahåller samhällsviktiga tjänster att undersöka om de omfattas av lagen. Livsmedelsverket och MSB anser att det bör införas en skyldighet för leverantörerna att anmäla sig till tillsynsmyndigheten om de anser sig uppfylla kraven för att omfattas av den nya lagen.

Skälen för regeringens förslag och bedömning

NIS-direktivets krav på bedömningen av vilka som är leverantörer av samhällsviktiga tjänster

Som framgår ovan ska medlemsstaterna, i ett första steg för att identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium, upprätta en förteckning över samhällsviktiga tjänster.

35

Prop. 2017/18:205 Det andra steget i identifieringsförfarandet är att bedöma vilka och följaktligen identifiera de leverantörer som uppfyller kraven i direktivet för att anses vara leverantörer av samhällsviktiga tjänster. För Sveriges del kommer det i praktiken handla om att fastställa vilka leverantörer av samhällsviktiga tjänster som omfattas av den nya lagen. Kriterierna för bedömningen är således att det är fråga om en leverantör som tillhandahåller en samhällsviktig tjänst, att leverantören är etablerad i Sverige samt att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (artikel 5.2).

Tillhandahålls tjänsten i två eller flera medlemsstater ska berörda medlemsstater samråda med varandra. Detta samråd ska äga rum innan beslut om identifiering fattas (artikel 5.4).

Vid bedömningen av om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten ska medlemsstaterna beakta ett antal sektorsöverskridande faktorer och, i lämpliga fall, sektorsspecifika faktorer (artikel 6). Som framgår av avsnitt 5.3 kommer föreskrifter om vad som avses med en betydande störning att meddelas i förordning eller myndighetsföreskrifter. Föreskrifterna kommer i praktiken att utgöra tröskelvärden för vilka som är att anse som leverantörer av samhällsviktiga tjänster. Tröskelvärden för energileverantörer kan exempelvis avse mängden eller andelen av producerad nationell el, och för leverantörer inom hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år.

Hur ska bedömningen gå till?

Medlemsstaterna kan välja att genomföra detta steg av identifieringsförfarandet på olika sätt. Genomförandet kan exempelvis ske genom upprättandet av ytterligare en förteckning som innehåller alla leverantörer av samhällsviktiga tjänster, eller genom antagandet av nationella bestämmelser som gör det möjligt att fastställa vilka leverantörer som omfattas av skyldigheterna i direktivet (skäl 25).

Utredningen har föreslagit att leverantörer som tillhandahåller samhällsviktiga tjänster ska åläggas att undersöka om de omfattas av den nya lagen och följaktligen om de bör identifieras som en leverantör av samhällsviktiga tjänster. Utredningen framhåller särskilt att bedömningen av vilka som är att anse som leverantörer av samhällsviktiga tjänster kräver verksamhetskunskap och att de flesta offentliga leverantörer inom de sektorer och delsektorer som anges i NIS-direktivet redan gör analyser utifrån liknande krav. Regeringen konstaterar dock att en sådan skyldighet som utredningen har föreslagit indirekt redan kommer att finnas genom den nya lagen. Leverantörer som tillhandahåller samhällsviktiga tjänster måste undersöka om de omfattas av den nya lagen för att få klarhet i om de har en skyldighet att vidta säkerhetsåtgärder och rapportera incidenter. Vidare skulle en sådan undersökningsskyldighet som utredningen har föreslagit innebära att ett stort antal leverantörer som tillhandahåller samhällsviktiga tjänster men som uppenbarligen inte är leverantörer av samhällsviktiga tjänster, exempelvis för att det står klart att en incident inte skulle medföra en betydande störning enligt de

tröskelvärden som antagits, måste genomföra undersökningen.

36

NIS-direktivet ställer krav på leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster att vidta vissa säkerhetsåtgärder och att rapportera vissa incidenter.

I detta avsnitt behandlas kraven på leverantörer av samhällsviktiga tjänster. Kraven på leverantörer av digitala tjänster behandlas i avsnitt 8.

Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandhålla samhällsviktiga tjänster.

Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över för-

slaget.

Skälen för regeringens förslag: Regeringen anser att en förutsättning för en väl anpassad säkerhet i nätverk och informationssystem är att det bedrivs ett systematiskt och riskbaserat informationssäkerhetsarbete. Föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete finns i dag för statliga myndigheter i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Ett systematiskt informationssäkerhetsarbete innebär bl.a. att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar. På så vis kan verksamhetens ledning på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. En del i detta arbete är olika typer av analyser, t.ex. verksamhetsanalys, riskanalys och GAP-analys (analys som jämför nuvarande säkerhetsnivå med den önskade).

Mot denna bakgrund anser regeringen liksom utredningen att det bör införas krav på leverantörer av samhällsviktiga tjänster att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Till skillnad från utredningen anser regeringen dock att lagbestämmelsen bör utformas på så sätt att det tydligt framgår att kravet endast avser sådana nätverk och informationssystem som en leverantör använder för att tillhandahålla samhällsviktiga tjänster.

Prop. 2017/18:205 7.1.5. För att en leverantör ska kunna identifiera vilka åtgärder som är relevanta anser regeringen liksom utredningen att det är nödvändigt att leverantören genomför en riskanalys. Stockholms universitet anser att en leverantör ska få välja vilken sorts analys som är lämplig att göra i leverantörens verksamhet. Eftersom de säkerhetsåtgärder som NIS- direktivet ålägger leverantörer att vidta har till syfte att hantera risker är det emellertid en riskanalys som är relevant för att åstadkomma kvalitativa bedömningar av vilka säkerhetsåtgärder som är lämpliga. Leverantörer av samhällsviktiga tjänster bör därför åläggas att göra en sådan analys som ska ligga till grund för valet av säkerhetsåtgärder.

För att riskanalysen ska bli ett beslutsstöd för prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder bör den innehålla beskrivningar och bedömningar av relevanta hot och risker. Den bör även innehålla bedömningar av hur effektiva befintliga säkerhetsåtgärder är i förhållande till riskerna. Dessutom bör det av analysen framgå vilka negativa konsekvenser en incident skulle kunna medföra. Som Säkerhetspolisen påpekar finns det inget som hindrar att arbetet med riskanalysen samordnas och integreras med sådant riskanalysarbete som sker enligt annan lagstiftning.

Stockholms universitet anser att leverantören bör få välja om en åtgärdsplan ska ingå i riskanalysen. Jönköpings läns landsting anser inte att leverantörer ska åläggas att uppdatera riskanalysen årligen utan vid behov. För att riskanalysen ska bli ett reellt och levande verktyg i arbetet med att vidta lämpliga säkerhetsåtgärder anser regeringen dock att analysen bör dokumenteras, innehålla en åtgärdsplan och uppdateras årligen. Ett sådant åliggande bör därför också föras in i den nya lagen.

7.1.4Tekniska och organisatoriska åtgärder

Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

Utredningens förslag stämmer i sak överens med regeringens.

Remissinstanserna: E-hälsomyndigheten och Stockholms universitet tillstyrker förslaget. Göteborgs kommun vill att det tydliggörs vad syftet med säkerhetsåtgärder enligt NIS-direktivet är. Vissa remissinstanser pekar på att förslaget kan innebära omfattande åligganden för leverantörerna.

Skälen för regeringens förslag: Enligt artikel 14.1 i NIS-direktivet ska leverantörer av samhällsviktiga tjänster vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder i sin verksamhet. Åtgärderna ska, med beaktande av den senaste tekniska utvecklingen, säkerställa en nivå på säkerheten i nätverk och informa-

tionssystem som är lämplig i förhållande till den föreliggande risken.

40

Göteborgs kommun efterfrågar ett tydliggörande av vad syftet med Prop. 2017/18:205 säkerhetsåtgärderna enligt direktivet är. Syftet med åtgärderna är att

säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken. Med säkerhet i nätverk och informationssystem avses systemens förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem (artikel 4.2). Med risk avses en rimlig identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk och informationssystem (artikel 4.9). För säkerhetsåtgärden incidenthantering, se avsnitt 7.1.5, är syftet att säkerställa kontinuiteten i de tillhandahållna tjänsterna.

En bestämmelse som motsvarar artikel 14.1 i NIS-direktivet bör införas i den nya lagen. Att en sådan bestämmelse, såsom bl.a. Tågoperatörerna påpekar, kommer att innebära åligganden för leverantörerna kan inte föranleda någon annan bedömning.

I kravet på att vidta tekniska åtgärder kan ingå bl.a. skydd mot oönskad förändring, skydd mot obehörig insyn, skydd av personer, lokaler och utrustning av betydelse för informationssäkerhet samt skydd vid överföring av data. I organisatoriska åtgärder kan bl.a. ingå att upprätta styrdokument, utforma rutiner, och genomföra uppföljningar.

Att leverantörens skyldighet att vidta åtgärder avser nätverk och informationssystem som leverantören använder, innebär i enlighet med skälen till direktivet att säkerhetskraven gäller oavsett om leverantören sköter underhållet av sina nätverk och informationssystem internt eller lägger ut uppgifterna på entreprenad (skäl 52).

Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska enligt NIS-direktivet bl.a. den senaste tekniska utvecklingen beaktas. Det innebär att leverantören ska beakta samtliga tekniska lösningar som vid var tid finns tillgängliga på marknaden. Teknisk utveckling kan därför dels medföra att behovet av säkerhetsåtgärder förändras, dels innebära nya möjligheter att vidta effektiva säkerhetsåtgärder. Kravet på att beakta den tekniska utvecklingen behöver enligt regeringens mening inte uttryckas i den nya lagen, utan ingår i att säkerhetsåtgärderna ska uppnå en lämplig säkerhetsnivå.

Med hänsyn till att vad som utgör en lämplig nivå på säkerheten i nätverk och informationssystem kan ändras över tid, exempelvis genom förändringar i den föreliggande risken eller genom nya tekniska lösningar, behöver leverantörer av samhällsviktiga tjänster regelbundet och vid behov se över vilka säkerhetsåtgärder som är lämpliga att vidta.

7.1.6 Ytterligare föreskrifter om säkerhetsåtgärder

Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster för att de ska uppfylla kraven på säkerhetsåtgärder.

Regeringens bedömning: Bestämmelser som främjar användningen av europeiska eller internationellt accepterade standarder och specifikationer av relevans för säkerhetsåtgärder bör meddelas i förordning eller myndighetsföreskrifter.

Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har till skillnad från regeringen endast föreslagit ett bemyndigande för föreskrifter om ett systematiskt och riskbaserat informationssäkerhetsarbete.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag och bedömning: Det krävs relativt omfattande och detaljerade föreskrifter om vad leverantörer av samhällsviktiga tjänster ska göra för att fullgöra de ovan föreslagna kraven på säkerhetsåtgärder. Sådana föreskrifter bör meddelas i förordning eller myndighetsföreskrifter. Regeringen bedömer att det utöver möjligheten att meddela verkställighetsföreskrifter behövs ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer. Till skillnad från utredningen anser regeringen att ett bemyndigande behövs inte bara för föreskrifter om kravet på ett systematiskt och riskbaserat informationssäkerhetsarbete, utan även för övriga krav på säkerhetsåtgärder. Anledningen till det är att föreskrifter om exempelvis tekniska och organisatoriska säkerhetsåtgärder avses mer i detalj innehålla skyldigheter för dem som träffas av lagen. Den nya lagen bör därför innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om kraven på ett syste-

42

matiskt och riskbaserat informationssäkerhetsarbete, riskanalys, tekniska Prop. 2017/18:205 och organisatoriska åtgärder och incidenthantering.

Enligt artikel 19 i NIS-direktivet ska medlemsstaterna, med hänsyn till behovet av en enhetlig tillämpning av säkerhetsåtgärder inom EU, uppmuntra användningen av europeiska eller internationellt accepterade standarder och specifikationer av relevans för säkerheten i nätverk och informationssystem. Bestämmelser som främjar användningen av sådana standarder och specifikationer bör enligt regeringens bedömning meddelas i förordning eller myndighetsföreskrifter.

7.2Incidentrapportering

7.2.1Befintliga bestämmelser om incidentrapportering är inte tillräckliga

Regeringens bedömning: NIS-direktivet kräver nya bestämmelser om incidentrapportering.

Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över be-

dömningen.

Skälen för regeringens bedömning: Enligt NIS-direktivet ska leverantörer av samhällsviktiga tjänster, utan onödigt dröjsmål, till den behöriga myndigheten eller CSIRT-enheten rapportera incidenter som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller (artikel 14.3).

Leverantörer som omfattas av NIS-direktivet kan även omfattas av andra krav på rapportering av incidenter. Exempelvis är statliga myndigheter enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap skyldiga att till MSB skyndsamt rapportera incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. Vidare ska vissa incidenter enligt 10 a § säkerhetsskyddsförordningen (1996:633) anmälas till den myndighet som utövar tillsyn över säkerhetsskyddet. Det finns även sektorsspecifika krav på rapportering av incidenter i vissa av de sektorer som omfattas av NIS-direktivet. Exempelvis finns inom sektorn finansmarknadsinfrastruktur krav i lagen om värdepappersmarknaden om att rapportera händelser av väsentlig betydelse.

Från och med den 25 maj 2018 när dataskyddsförordningen ska börja tillämpas finns även en skyldighet enligt artikel 33 i den förordningen att anmäla s.k. personuppgiftsincidenter, dvs. säkerhetsincidenter som oavsiktligt påverkar behandlingen av personuppgifter.

Den befintliga regleringen om incidentrapportering är inte heltäckande och motsvarar i vissa fall inte de krav som NIS-direktivet ställer. Regeringens bedömning är därför att det i den nya lagen måste införas bestämmelser med krav på incidentrapportering enligt NIS-direktivet.

43

Prop. 2017/18:205 Flera remissinstanser, bl.a. Netnod, vill att det tydliggörs när rapportering ska ske enligt den nya lagen och enligt andra regelverk. Som framgår av avsnitt 5.4 ska vissa leverantörer av betrodda tjänster, vissa leverantörer av elektroniska kommunikationstjänster och leverantörer som omfattas av krav i annan författning som motsvarar skyldigheterna i den nya lagen inte tillämpa den nya lagen alls. Sådana leverantörer ska således inte rapportera incidenter enligt den nya lagen. Rapporteringskraven i den nya lagen ska inte heller gälla för säkerhetskänslig verksamhet. Incidenter i sådan verksamhet ska även fortsättningsvis rapporteras enligt säkerhetsskyddsregleringen. Vidare ska de nu föreslagna rapporteringskraven inte gälla för leverantörer av digitala tjänster som är mikroföretag eller små företag. I övrigt ersätter inte rapporteringskrav i andra regelverk de krav på incidentrapportering som nu föreslås. Vissa leverantörer kan därför, vilket flera remissinstanser såsom Stockholms läns landsting också påpekar, vara tvungna att rapportera samma incident enligt flera regelverk.

Om en leverantör av samhällsviktiga tjänster är osäker på vilket eller vilka regelverk som gäller för en inträffad incident bör berörda tillsynsmyndigheter kontaktas. Råder det tveksamhet om en incident ska rapporteras enligt säkerhetsskyddsregleringen bör leverantören i första hand kontakta Säkerhetspolisen eller Försvarsmakten för vägledning. Om en incident som rör Sveriges säkerhet felaktigt rapporteras enligt den nya lagen bör vidare leverantören uppmärksammas på detta. Regeringen förutsätter att berörda myndigheter kan samverka kring vart och enligt vilket regelverk incidentrapportering ska ske och ser därför inget behov av att, såsom Säkerhetspolisen föreslår, reglera att någon myndighet ska ha tolkningsföreträde i det avseendet.

Föreskrifter om vad som avses med en betydande inverkan på kontinuiteten

Vid bedömningen av om en incident har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten ska, enligt artikel 14.4 i NIS- direktivet, hänsyn framför allt tas till ett antal angivna faktorer. De faktorer som är av betydelse vid bedömningen är det antal användare som påverkas av störningen i den samhällsviktiga tjänsten, hur länge incidenten varar och hur stort geografiskt område som påverkas av incidenten.

Som Göteborgs kommun och Sveriges Kommuner och Landsting påpekar är det viktigt med tydlighet i fråga om vilka incidenter som ska rapporteras. Enligt regeringen kan det därför behövas ytterligare vägledning för att berörda leverantörer ska kunna avgöra om en incident kan anses ha en betydande inverkan på kontinuiteten. Förutom de redan angivna faktorerna bör även sektorsspecifika förhållanden kunna beaktas.

Utredningen har föreslagit att bestämmelser som motsvarar artikel 14.4 bör införas i den nya lagen och att andra bestämmelser om vilka faktorer som ska beaktas för att avgöra om en incident har betydande inverkan på kontinuiteten bör meddelas i förordning eller myndighetsföreskrifter. För att inte onödigt tynga den nya lagen med detaljerade bestämmelser anser regeringen dock att samtliga bestämmelser om vilka faktorer som ska be-

aktas bör meddelas i förordning eller myndighetsföreskrifter. Sådana

46

föreskrifter ska, i enlighet med förslaget i avsnitt 7.2.7, få meddelas av Prop. 2017/18:205 regeringen eller den myndighet som regeringen bestämmer.

7.2.3Till vilken myndighet ska incidentrapporteringen göras?

Regeringens förslag: I den nya lagen ska det anges att incidentrapporteringen ska göras till den myndighet som regeringen bestämmer.

Regeringens bedömning: Incidentrapporteringen bör göras till den s.k. CSIRT-enheten.

Prop. 2017/18:205 inte, som Livsmedelsverket förespråkar, ske även till tillsynsmyndigheten eftersom det skulle innebära att fler myndigheter behöver ta fram och bekosta sådan infrastruktur som behövs för att på ett lämpligt sätt kunna ta emot incidentrapporter. Uttrycket CSIRT-enheten bör inte användas i lagtext. I den nya lagen ska därför anges att rapporteringen ska ske till den myndighet som regeringen bestämmer.

Flera remissinstanser, såsom Stockholms läns landsting, Svenska bankföreningen och Sveriges Kommuner och Landsting, efterfrågar samordning av incidentrapportering enligt olika regelverk. Sveriges Kommuner och Landsting menar exempelvis att en myndighet borde ta emot incidentrapporter enligt flera regelverk och sedan skicka vidare till andra berörda myndigheter. Regeringen instämmer i att det – i den mån det är möjligt – kan finnas fördelar med att samordna rapportering enligt olika regelverk. Det finns dock inte beredningsunderlag för att genomföra en sådan samordning som remissinstanserna efterfrågar inom ramen för detta lagstiftningsärende.

7.2.4När i tiden ska leverantörer rapportera incidenter?

Regeringens förslag: Rapporteringen ska göras utan onödigt dröjsmål.

Utredningens förslag stämmer överens med regeringens.

Remissinstanserna: Energigas Sverige och Swedegas AB tillstyrker förslaget. Nasdaq Stockholm AB anser att det bör klargöras vad som menas med utan onödigt dröjsmål. Bodens kommun och Luleå kommun anser att det bör sättas en bestämd tidsgräns för när rapportering ska ske.

Skälen för regeringens förslag: Enligt artikel 14.3 i NIS-direktivet ska rapportering av incidenter ske utan onödigt dröjsmål. I den nya lagen bör det införas en motsvarande bestämmelse.

Nasdaq Stockholm AB anser att det bör klargöras vad som menas med utan onödigt dröjsmål. Någon närmare precisering anges inte i direktivet. Att CSIRT-enheten ska underrättas utan onödigt dröjsmål när en incident som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten har inträffat bör dock innebära att den berörda leverantören ska rapportera så snart de uppgifter som ska lämnas finns tillgängliga. Mot bakgrund av direktivets syfte att säkerställa kontinuiteten i de samhällsviktiga tjänsterna är det dock inte rimligt att leverantören, för att fullgöra sin rapporteringsskyldighet, tvingas att prioritera ned arbetet med att hantera den inträffade incidenten. Rapporteringen bör därför ske efter att de första kritiska åtgärderna för att avhjälpa incidenten har vidtagits. Om en incident påverkar fler leverantörer eller om en incident är gränsöverskridande bör dock rapporteringen ske snarast för att konsekvenserna ska kunna begränsas. Med hänsyn till att innebörden av utan onödigt dröjsmål kan variera kraftigt bör någon absolut tidsgräns – såsom Bodens kommun och Luleå kommun efterfrågar – inte införas i den nya lagen. Närmare bestämmelser om när i tiden rapportering ska ske kan meddelas av regeringen eller den myndighet som regeringen bestämmer.

48

Regeringens bedömning: Bestämmelser om vilken information en incidentrapport ska innehålla bör meddelas i förordning eller myndighetsföreskrifter.

Utredningens förslag stämmer delvis överens med regeringens bedömning. Utredningen har föreslagit att vissa bestämmelser om vilken information som en incidentrapport ska innehålla ska tas in i den nya lagen. Vidare har utredningen föreslagit att det i den nya lagen ska införas en bestämmelse om att incidentrapportering inte ska medföra ökat ansvar för den rapporterande parten.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens bedömning: Enligt artikel 14.3 i NIS- direktivet ska en incidentrapport innehålla uppgifter som gör det möjligt för CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar. Några andra uttryckliga krav på vad en incidentrapport ska innehålla ställs inte i NIS-direktivet. För att uppfylla syftet med incidentrapporteringen bör dock en rapport innehålla information som gör att tillsynsmyndigheterna och den nationella kontaktpunkten kan fullgöra sina uppgifter, se avsnitt 9.2 och 11.1. Det innebär att en incidentrapport behöver innehålla bl.a. en beskrivning av incidenten och de åtgärder som har vidtagits för att hantera den.

Utredningen har föreslagit att kravet på att incidentrapporter ska innehålla information som gör det möjligt för CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar bör meddelas i lag och att andra bestämmelser om t.ex. vad rapporterna ska innehålla och de närmare formerna för rapporteringen ska meddelas i förordning eller myndighetsföreskrifter. Regeringen anser emellertid att det är lämpligare att meddela samtliga sådana bestämmelser i förordning eller myndighetsföreskrifter. I avsnitt 7.2.7 föreslår regeringen ett bemyndigande om att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om incidentrapportering.

I artikel 14.3 anges vidare att incidentrapportering inte ska medföra ett utökat ansvar för den rapporterande parten, dvs. ett ansvar utöver det som följer av NIS-direktivet. Det innebär bl.a. att det inte går att ställa krav på leverantören att utreda händelsen åt CSIRT-enheten. Utredningen har föreslagit en uttrycklig bestämmelse om att incidentrapporteringen inte får medföra utökat ansvar för den rapporterande parten. Regeringen anser emellertid att en sådan bestämmelse är obehövlig eftersom de av regeringen ovan föreslagna bestämmelserna om incidentrapportering inte innebär att den rapporterande parten åläggs ett ansvar utöver det som följer av NIS-direktivet. Med andra ord uppfyller den nya lagen även utan en sådan bestämmelse som utredningen har föreslagit kraven i artikel 14.3.

49

Regeringens bedömning: Bestämmelser om frivillig rapportering av incidenter bör meddelas i förordning eller myndighetsföreskrifter.

Utredningens förslag stämmer i sak överens med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens bedömning: Enligt artikel 20 i NIS-direktivet ska leverantörer som inte har identifierats som leverantörer av samhällsviktiga tjänster och som inte är leverantörer av digitala tjänster ges möjlighet att på frivillig grund rapportera incidenter som har en betydande inverkan på kontinuiteten i de tjänster som de tillhandahåller. Vid behandlingen av sådana rapporter ska medlemsstaterna enligt samma artikel agera i enlighet med det förfarande som fastställs för incidentrapportering för leverantörer av samhällsviktiga tjänster. Medlemsstaterna får ge behandling av obligatoriska rapporter företräde framför behandling av frivilliga rapporter.

Bestämmelser om frivillig rapportering av incidenter bör enligt regeringens bedömning meddelas i förordning eller myndighetsföreskrifter.

7.2.7 Bemyndigande

Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster för att uppfylla kravet på incidentrapportering.

som leverantörer av samhällsviktiga tjänster ska rapportera incidenter Prop. 2017/18:205 (artikel 14.7). I den utsträckning samarbetsgruppen utarbetar och antar

sådana riktlinjer bör dessa beaktas i föreskriftsarbetet.

8Säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster

Enligt NIS-direktivet ska medlemsstaterna säkerställa att leverantörer av digitala tjänster vidtar vissa säkerhetsåtgärder och att de rapporterar incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten. Leverantörer av digitala tjänster omfattas i dag inte av någon nationell lagstiftning motsvarande bestämmelserna i direktivet. Det måste därför införas bestämmelser med krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster i den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

NIS-direktivets krav på säkerhetsåtgärder och incidentrapportering är i viss mån mer begränsade för leverantörer av digitala tjänster än för leverantörer av samhällsviktiga tjänster. Anledningen till skillnaden är enligt skälen till direktivet att risken för samhällspåverkan i praktiken är lägre för leverantörer av digitala tjänster än för leverantörer av samhällsviktiga tjänster (skäl 49). Medlemsstaterna får enligt artikel 16.10 i NIS-direktivet inte heller införa ytterligare säkerhets- eller rapporteringskrav för leverantörer av digitala tjänster utöver de som anges i direktivet.

Kraven på leverantörer av digitala tjänster att vidta säkerhetsåtgärder och att rapportera incidenter har i enlighet med artikel 16.8 specificerats i kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för NIS-direktivet, kallad genomförandeförordningen. Kommissionen får enligt artikel 16.9 också anta genomförandeakter för att reglera format och förfaranden för incidentrapporteringen.

51

Leverantörens skyldighet omfattar åtgärder för nätverk och informa- Prop. 2017/18:205 tionssystem som leverantören använder vid tillhandahållet av digitala

tjänster inom EU. Det innebär bl.a. att säkerhetskraven gäller oavsett om leverantören sköter underhållet av sina nätverk och informationssystem internt eller lägger ut uppgifterna på entreprenad (skäl 52).

Till skillnad från vad som gäller för leverantörer av samhällsviktiga tjänster anges i direktivet att leverantörer av digitala tjänster ska ”utarbeta” ändamålsenliga och proportionella tekniska och organisatoriska åtgärder. Det innebär bl.a. att medlemsstaterna inte får reglera närmare på vilket sätt säkerhetsarbetet ska bedrivas. Vidare innebär det att leverantören avgör vilka tekniska och organisatoriska åtgärder som är ändamålsenliga och proportionella, dvs. vilka konkreta åtgärder som ska vidtas, under förutsättning att åtgärderna hanterar säkerhetsrisker och, med beaktande av de särskilt angivna faktorerna, säkerställer en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken (skäl 49). Bestämmelsen i den nya lagen bör utformas på ett sätt som klargör detta.

Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska enligt NIS-direktivet hänsyn tas till den senaste tekniska utvecklingen. Det innebär att leverantören ska beakta samtliga tekniska lösningar som vid var tid finns tillgängliga på marknaden. I enlighet med bedömningen i avsnitt 7.1.4, avseende motsvarande krav på leverantörer av samhällsviktiga tjänster, behöver kravet på att beakta den tekniska utvecklingen enligt regeringens mening inte uttryckas i den nya lagen, utan ingår i att säkerhetsåtgärderna ska uppnå en lämplig säkerhetsnivå. När det gäller de övriga uttryckliga faktorerna som leverantörerna ska beakta, som anges i artikel 16.1 a–e, anser regeringen – till skillnad från utredningen – att de bör meddelas i förordning eller myndighetsföreskrifter. Anledningen till det är att den nya lagen inte bör tyngas med alltför många detaljföreskrifter.

Incidenthantering

Enligt artikel 16.2 i NIS-direktivet ska leverantörer av digitala tjänster vidta åtgärder för att förebygga och minimera den inverkan som incidenter som påverkar säkerheten i deras nätverk och informationssystem har på de digitala tjänster som erbjuds inom unionen, i syfte att säkerställa kontinuiteten i dessa tjänster.

En bestämmelse som motsvarar artikel 16.2 bör införas i den nya lagen. Det innebär att leverantörer av digitala tjänster ska vidta åtgärder för att förebygga den inverkan som potentiella incidenter har och för att begränsa en inträffad incidents inverkan, i syfte att säkerställa kontinuiteten i de tillhandahållna tjänsterna. Skyldigheten gäller endast åtgärder som motverkar incidenters verkningar på digitala tjänster som leverantören erbjuder inom EU. Om en leverantör av digitala tjänster t.ex. tillhandahåller molntjänster till användare över hela världen, gäller skyldigheten således endast åtgärder som motverkar sådan inverkan som en incident har eller kan ha på molntjänster som erbjuds inom EU.

53

Prop. 2017/18:205 Bemyndigande

Som framgår ovan bör de övriga uttryckliga faktorerna som leverantörer av digitala tjänster enligt artikel 16.1 a–e ska beakta vid utformningen av tekniska och organisatoriska åtgärder meddelas i förordning eller myndighetsföreskrifter. Det kan även behövas ytterligare föreskrifter om kravet på incidenthantering. I likhet med regeringens bedömning i avsnitt 7.1.6 beträffande motsvarande krav på samhällsviktiga tjänster, anser regeringen att det behövs ett bemyndigande i den nya lagen om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tekniska och organisatoriska åtgärder och incidenthantering.

8.2Incidentrapportering

Regeringens förslag: Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom EU. I den nya lagen ska det anges att incidentrapporteringen ska göras till den myndighet som regeringen bestämmer.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av digitala tjänster för att uppfylla kravet på incidentrapportering.

Regeringens bedömning: Incidentrapporteringen bör göras till den s.k. CSIRT-enheten.

Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har till skillnad från regeringen föreslagit att vissa faktorer som ska beaktas för att bedöma om en incident har en avsevärd inverkan på tillhandahållandet av en digital tjänst ska regleras i den nya lagen. Utredningen har även föreslagit att det i den nya lagen ska anges att incidentrapporteringen ska göras till CSIRT-enheten och att rapporteringen inte ska medföra ett ökat ansvar för den rapporterande parten. Vidare har utredningen föreslagit att vissa bestämmelser om vilken information som en incidentrapport ska innehålla ska tas in i den nya lagen. Utredningen har dessutom inte föreslagit något bemyndigande.

Remissinstanserna: Stockholms universitet tillstyrker förslaget. Försvarsmakten och Säkerhets- och försvarsföretagen anser att leverantörer av digitala tjänster bör åläggas att rapportera fler incidenter än vad som krävs enligt NIS-direktivet.

Skälen för regeringens förslag och bedömning

Vilka incidenter ska rapporteras?

I artikel 16.3 i NIS-direktivet stadgas att leverantörer av digitala tjänster ska rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom unionen.

Försvarsmakten anser att leverantörer av digitala tjänster även bör

rapportera incidenter som endast riskerar att påverka tillhandahållandet

54

Prop. 2017/18:205 och om de närmare formerna för rapporteringen ska meddelas i förordning eller myndighetsföreskrifter. Liksom beträffande leverantörer av samhällsviktiga tjänster, se avsnitt 7.2.5, anser regeringen att bestämmelser om vilken information som rapporterna ska innehålla och om de närmare formerna för fullgörandet av skyldigheten att rapportera incidenter, bör meddelas i förordning eller myndighetsföreskrifter.

I artikel 16.3 stadgas vidare att rapportering inte ska medföra ökat ansvar för den rapporterande parten, dvs. ett ansvar utöver vad som följer av NIS-direktivet. Utredningen har föreslagit en uttrycklig bestämmelse om att incidentrapporteringen inte får medföra ökat ansvar för den rapporterande parten. Regeringen anser emellertid inte att en sådan bestämmelse behövs eftersom de föreslagna bestämmelserna om incidentrapportering inte innebär att den rapporterande parten åläggs ett ansvar utöver det som följer av NIS-direktivet.

Ytterligare föreskrifter om incidentrapportering

Utöver de övergripande bestämmelser om skyldigheten att rapportera incidenter som regeringen föreslår, krävs det ytterligare bestämmelser om vad skyldigheten innebär. Föreskrifter med sådant innehåll kan till viss del meddelas av regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen. Det gäller t.ex. föreskrifter om de närmare formerna för rapporteringen. Till skillnad från utredningen anser regeringens dock även att det finns behov av föreskrifter som går utöver denna normgivningskompetens. Exempelvis behövs ett bemyndigande när det gäller bestämmelser motsvarande artikel 16.4 i NIS-direktivet om vilka faktorer som ska beaktas vid bedömningen av om en incident ska rapporteras och om begränsningar i skyldigheten att rapportera med hänsyn till den information som en leverantör har tillgång till. Bestämmelser om vilka faktorer som ska beaktas bör inte meddelas med stöd av 8 kap. 7 § regeringsformen eftersom de mer i detalj kommer att specificera skyldigheten för leverantörer att rapportera en incident som har en avsevärd inverkan. Den som inte fullgör skyldigheten att rapportera incidenter kan dessutom bli skyldig att betala en sanktionsavgift. Föreskrifter om begränsningar av skyldigheten att rapportera med hänsyn till den information som en leverantör har tillgång till bör inte meddelas med stöd av 8 kap. 7 § eftersom sådana föreskrifter kan innebära en begränsning av en lagstadgad skyldighet.

Mot denna bakgrund bör den nya lagen innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om skyldigheten för leverantörer av digitala tjänster att rapportera incidenter.

56

9.1Tillsynens övergripande utformning

Regeringens förslag: Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

Regeringens bedömning: Bestämmelser om vilken eller vilka myndigheter som ska vara tillsynsmyndighet bör meddelas i förordning.

Utredningens förslag stämmer i sak överens med regeringens förslag och bedömning.

Remissinstanserna: Ingen remissinstans uttalar sig om förslaget att regeringen ska utse vilken eller vilka myndigheter som ska vara tillsynsmyndighet. Flera remissinstanser har emellertid synpunkter på om regeringen bör utse en eller flera tillsynsmyndigheter. Svea hovrätt har synpunkter på lagbestämmelsens utformning.

Skälen för regeringens förslag och bedömning

Utgångspunkten är en tillsynsmyndighet för varje sektor

Varje medlemsstat ska enligt artikel 8.1 och 8.2 i NIS-direktivet utse en eller flera myndigheter som ska övervaka tillämpningen av direktivet på nationell nivå. I skälen till direktivet anges att medlemsstaterna vid behov bör kunna använda eller anpassa befintliga organisationsstrukturer vid tillämpningen av direktivet (skäl 37).

NIS-direktivet omfattar tre typer av leverantörer av digitala tjänster och leverantörer av samhällsviktiga tjänster inom sju olika sektorer. I detta avsnitt benämns för enkelhetens skull även de tre typerna av digitala tjänster som en sektor.

Det finns i dag flera olika system för tillsyn inom de sektorer som omfattas av NIS-direktivet. Verksamheterna inom sektorerna har i många fall flera olika tillsynsmyndigheter att förhålla sig till. I de flesta fall avser tillsynen inte säkerhet i nätverk och informationssystem.

Vid genomförandet av NIS-direktivets bestämmelser om tillsyn bör man utgå från de förutsättningar som gäller för det specifika tillsynsområdet. Det går inte att bortse ifrån att många tillsynsområden har väsentligen olika förutsättningar som påverkar hur tillsynsregelverket bör utformas för en ändamålsenlig och effektiv tillsyn.

NIS-direktivet omfattar verksamheter av vitt skilda slag, såsom vårdgivare, kreditinstitut och registreringsenheter för toppdomäner. Detta talar för att ha olika tillsynsmyndigheter för respektive sektor.

Ett system med en tillsynsmyndighet per sektor har vidare fördelen att sådana tillsynsmyndigheter har kunskap om verksamhet i sektorn. Verksamhetskunskap är av betydelse t.ex. för vilka säkerhetsåtgärder som är lämpliga att vidta. Vidare minskar verksamhetskunskap risken för att de krav på säkerhetsåtgärder som finns i olika regelverk kommer att motverka varandra.

Inom de olika sektorerna finns dessutom stora skillnader i omfattning

och utformning av det regelverk som tillsynen utövas utifrån. I dag

57

Prop. 2017/18:205 saknas reglering avseende informationssäkerhet i vissa fall och i andra fall finns tydliga EU-rättsakter på området. Även om den nu föreslagna lagstiftningen utformas på ett enhetligt sätt kommer kraven på säkerhetsåtgärder och incidentrapportering inom de olika sektorerna att se olika ut beroende på vilken verksamhet som regleras, vilket också kommer att påverka utformningen av tillsynen. Även detta talar för att utse en tillsynsmyndighet för varje sektor.

Det som främst talar för att utse en tillsynsmyndighet för samtliga sektorer är, såsom flera remissinstanser påpekar, att tillsyn när det gäller säkerhet i nätverk och informationssystem kräver särskild kunskap. Det finns i dag inte myndigheter inom alla sektorer med sådan kompetens som krävs. Flera remissinstanser, däribland Advenica, Inspektionen för vård och omsorg, Kiruna kommun och Sveriges advokatsamfund, föreslår också med hänsyn till detta att det endast utses en tillsynsmyndighet för samtliga sektorer. Regeringen anser emellertid att det inom de nu berörda sektorerna är viktigt att höja kompetensen när det gäller informationssäkerhet. Det är därför inte orimligt att kräva att tillsynsmyndigheterna skaffar den kompetens som krävs.

Med hänsyn särskilt till de skilda förhållanden som råder inom sektorerna och att förutsättningarna för en effektiv tillsyn förbättras om tillsynsmyndigheten har kunskap om den verksamhet som är föremål för tillsynen och om annan närliggande reglering, anser regeringen att utgångspunkten för tillsynens utformning bör vara att det ska finnas en tillsynsmyndighet för varje sektor. Ett sådant tillsynssystem bidrar enligt regeringen till en ändamålsenlig tillsyn som höjer nivån på säkerheten i nätverk och informationssystem. Flera remissinstanser, såsom Energigas Sverige, Förvaltningsrätten i Stockholm, Statskontoret, Stiftelsen för internetinfrastruktur, Svea hovrätt, Swedegas AB och Sveriges Kommuner och Landsting, delar denna uppfattning.

Bestämmelser om vilken eller vilka myndigheter som ska vara tillsynsmyndighet bör meddelas i förordning. Det möjliggör för regeringen att kunna ändra både antalet tillsynsmyndigheter och vilka myndigheter som ska utses. I den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster bör det därför endast införas en bestämmelse om att den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

Svea hovrätt anser att lagbestämmelsen bör utformas i plural, dvs. att de myndigheter som regeringen bestämmer ska vara nationell behörig myndighet, med hänsyn till att tanken är att flera tillsynsmyndigheter ska utses. Den föreslagna skrivningen i singular innebär emellertid att regeringen kan utse en eller flera tillsynsmyndigheter. Med hänsyn till det anser regeringen inte att det finns skäl att utforma bestämmelsen på något annat sätt än vad utredningen har föreslagit.

Samordning mellan tillsynsmyndigheterna

Mot bakgrund av att tanken är att utse flera tillsynsmyndigheter och att kunskapen om informationssäkerhet i nätverk och informationssystem ibland är låg, anser flera remissinstanser, såsom Kungliga tekniska högskolan, Malmö kommun, SJ AB, SME-D, Swedish Association of Civil Security, Sveriges Kommuner och Landsting och Trafikverket, att det

finns ett stort behov av samordning mellan tillsynsmyndigheterna.

58

Utredningen har föreslagit att Myndigheten för samhällsskydd och Prop. 2017/18:205 beredskap (MSB) inom ramen för sitt nuvarande uppdrag ska leda ett

samarbetsforum där samtliga tillsynsmyndigheter ingår. I uppdraget att leda samarbetsforumet bör enligt utredningen ingå att uppmärksamma frågor kring tillsynsmetoder och annat som forumet finner viktigt att samordna när det gäller säkerhet i nätverk och informationssystem. Forumet kan enligt utredningen också t.ex. identifiera behovet av vägledningar och diskutera gemensamma frågor om föreskrifter, säkerhetsåtgärder och incidentrapporter. Vidare anser utredningen att MSB inom ramen för forumet bör tillhandahålla metodstöd i syfte att tillsynsmyndigheterna så långt det är möjligt ska använda samma tillsynsmetoder. Utredningen har inte ansett att uppdraget ska författningsregleras.

Flera remissinstanser, t.ex. Advenica, E-hälsomyndigheten, MSB, Statskontoret, Stiftelsen för internetinfrastruktur och Säkerhets- och försvarsföretagen, anser att ett sådant samarbetsforum som utredningen har föreslagit är viktigt för en effektiv och enhetlig tillsyn. För att samarbetsforumet ska fungera anser MSB att det är väsentligt att myndigheten ges ett tydligt uppdrag att leda och inrikta arbetet samt att det i respektive tillsynsmyndighets instruktion införs krav på deltagande.

Som remissinstanserna anför kan samordning i någon form vara viktigt för en effektiv och enhetlig tillsyn. En brist på samordning kan i förlängningen leda till en ojämn nivå på informationssäkerheten i samhället. För att säkerställa att syftet med NIS-direktivet uppfylls, dvs. en hög gemensam nivå på säkerheten i nätverk och informationssystem, bör det i det fortsatta förordningsarbetet övervägas om och i så fall hur samordningen bör regleras.

9.2Tillsynsmyndighetens uppdrag

Regeringens förslag: Tillsynsmyndigheten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs.

Tillsynsåtgärder i förhållande till leverantörer av digitala tjänster ska få vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en sådan leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer.

Regeringens bedömning: Bestämmelser om att tillsynsmyndigheten i vissa fall ska samarbeta med tillsynsmyndigheter i andra medlemsstater och Datainspektionen samt lämna stöd till Sveriges representant i den samarbetsgrupp som inrättats genom NIS-direktivet bör meddelas i förordning.

Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har föreslagit att tillsynsåtgärder i förhållande till leverantörer av digitala tjänster ska få vidtas endast när tillsynsmyndigheten har fått kännedom om att leverantören inte uppfyller den nya lagens krav.

59

Prop. 2017/18:205 Remissinstanserna: Säkerhetspolisen anser inte att tillsynsuppdraget beträffande leverantörer av digitala tjänster bör vara mer begränsat än uppdraget för leverantörer av samhällsviktiga tjänster.

Skälen för regeringens förslag och bedömning

Tillsyn över att den nya lagen följs

Enligt artikel 8.2 i NIS-direktivet ska den eller de tillsynsmyndigheter som en medlemsstat har utsett övervaka tillämpningen av direktivet på nationell nivå. En bestämmelse om att tillsynsmyndigheteten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs bör därför införas. Det innebär bl.a. att tillsynsmyndigheten ska utöva tillsyn över att leverantörer uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

När det gäller tillsyn över leverantörer av digitala tjänster ska tillsynsmyndigheten enligt NIS-direktivet inte ha någon allmän skyldighet att utöva tillsyn. Medlemsstaterna ska i stället enligt artikel 17 säkerställa att tillsynsmyndigheterna vid behov vidtar åtgärder genom tillsynsåtgärder i efterhand, när de har mottagit bevis på att en leverantör av digitala tjänster inte uppfyller kraven i NIS-direktivet. Bakgrunden till skillnaderna i tillsynsuppdragen enligt NIS-direktivet är enligt skälen att leverantörer av digitala tjänster bör omfattas av mindre ingripande, reaktiv efterhandstillsyn som är anpassad till deras tjänsters och verksamheters art (skäl 60).

Säkerhetspolisen anser inte att tillsynsuppdraget avseende leverantörer av digitala tjänster ska begränsas i enlighet med direktivet, utan att tillsynsmyndigheten ska ha ett allmänt tillsynsuppdrag även när det gäller sådana leverantörer. Regeringen anser inte att det i nuläget finns skäl att frångå direktivet i detta avseende. En bestämmelse som motsvarar artikel 17 bör därför införas i den nya lagen. Utredningen har föreslagit att tillsynsmyndigheten måste ha fått kännedom om en överträdelse innan den får vidta tillsynsåtgärder. Enligt regeringens uppfattning bör det dock inte krävas full vetskap om en överträdelse för att tillsynsmyndigheten ska få vidta tillsynsåtgärder. Regeringen anser att bestämmelsen, för att motsvara artikel 17, bör utformas på så sätt att tillsynsåtgärder i förhållande till leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att leverantören inte uppfyller de krav som lagen ställer. Det innebär att tillsynsmyndigheten måste ha uppgifter som ger stöd för att en leverantör inte följer den nya lagen. Sådana uppgifter kan tillsynsmyndigheten få t.ex. av leverantören av digitala tjänster själv, från en annan tillsynsmyndighet eller från en tjänsteanvändare, särskilt efter en incident. Även incidentrapporteringen kan innehålla information som gör att tillsynsmyndigheten har befogad anledning att anta att den nya lagen inte följs.

Samarbete på nationell nivå

I NIS-direktivet finns vissa krav på att tillsynsmyndigheterna ska samarbeta med andra nationella aktörer.

Enligt artikel 8.6 i NIS-direktivet ska tillsynsmyndigheterna, när så är

lämpligt och i överensstämmelse med nationell rätt, samråda och sam-

60

arbeta med dataskyddsmyndigheterna. I artikel 15.4 finns dessutom ett Prop. 2017/18:205 krav på samarbete med dataskyddsmyndigheterna när tillsynsmyndig-

heterna åtgärdar incidenter som medför personuppgiftsincidenter. Bakgrunden till båda kraven om samarbete med dataskyddsmyndigheterna är att säkerheten för personuppgifter ofta undergrävs till följd av incidenter (skäl 63). För att genomföra direktivet i dessa delar anser regeringen att det i förordning bör införas bestämmelser om att tillsynsmyndigheten ska samarbeta med Datainspektionen när den handlägger incidenter som också utgör personuppgiftsincidenter. Vidare finns det anledning att införa krav på tillsynsmyndigheten att samverka med Datainspektionen innan den utfärdar förelägganden. Den frågan behandlas i avsnitt 10.2.

Enligt artikel 8.5 i NIS-direktivet ska medlemsstaterna se till att företrädarna i den samarbetsgrupp som inrättats genom direktivet, se avsnitt 11.3, samarbetar på ett effektivt och säkert sätt. Regeringen anser därför att det i förordning bör införas bestämmelser om att tillsynsmyndigheten ska ha i uppgift att lämna stöd till Sveriges representant i samarbetsgruppen, dvs. MSB.

I artikel 8.6 stadgas vidare att tillsynsmyndigheterna när så är lämpligt och i överensstämmelse med nationell rätt, ska samråda och samarbeta med de relevanta nationella rättsvårdande myndigheterna. Dessutom ska de, enligt artikel 10.1, samarbeta med CSIRT-enheterna när det gäller fullgörandet av NIS-direktivet. Skyldigheter motsvarande artiklarna 8.6 och 10.1 finns redan genom ett generellt krav på myndigheters samverkan i förvaltningslagen (2017:900). Enligt 8 § förvaltningslagen ska en myndighet inom sitt verksamhetsområde samverka med andra myndigheter. Regeringens uppfattning är mot den bakgrunden att det inte behöver införas bestämmelser i svensk rätt för att genomföra artiklarna 8.6 och 10.1 i NIS-direktivet.

Samarbete med tillsynsmyndigheter i andra medlemsstater när det gäller leverantörer av digitala tjänster

I artikel 17.3 i NIS-direktivet finns krav på att tillsynsmyndigheter i olika medlemsstater ska ha ett visst samarbete i fråga om leverantörer av digitala tjänster. Det gäller när en leverantör av digitala tjänster har sitt huvudsakliga etableringsställe eller en företrädare i en medlemsstat, men dess nätverk och informationssystem är belägna i en eller flera andra medlemsstater. Tillsynsmyndigheten i den medlemsstat där det huvudsakliga etableringsstället eller företrädaren finns och tillsynsmyndigheterna i dessa andra medlemsstater ska då samarbeta och vid behov bistå varandra. Detta bistånd och samarbete kan bl.a. omfatta informationsutbyte mellan tillsynsmyndigheterna och begäran om att leverantören av digitala tjänster ska tillhandahålla information eller åtgärda underlåtenhet att incidentrapportera. Tillsynsmyndighetens uppgift i detta avseende bör regleras i förordning.

61

I detta avsnitt behandlas befogenheter som tillsynsmyndigheten ska ha för att kunna utöva en effektiv tillsyn, närmare bestämt rätt att få information och tillträde till lokaler, samt åtgärder som tillsynsmyndigheten ska kunna vidta om leverantören inte samarbetar. Tillsynsmyndighetens befogenheter att besluta om åtgärdsförelägganden och sanktionsavgift vid överträdelse av den nya lagens bestämmelser behandlas i avsnitt 10.

emellertid att närmare bestämmelser om vilken information som leveran- Prop. 2017/18:205 törer ska vara skyldiga att tillhandahålla och krav på hur tillsyns-

myndigheten ska framställa sin begäran lämpligen bör meddelas i förordning. Syftet är att inte tynga den nya lagen med alltför mycket detaljföreskrifter.

För att en tillsynsmyndighet ska kunna utöva en effektiv tillsyn behöver den även ha tillgång till information från incidentrapporter för sin sektor. CSIRT-enheten bör därför ansvara för att överlämna sådan information till respektive tillsynsmyndighet, se avsnitt 11.2.

9.3.2Tillträdesrätt till lokaler

Regeringens förslag: Om det behövs för tillsynen ska tillsynsmyndigheten ha rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av den nya lagen. Tillträdesrätten ska dock inte omfatta bostäder.

Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över för-

slaget.

Skälen för regeringens förslag: Enligt artikel 15.1 i NIS-direktivet ska tillsynsmyndigheterna ha de befogenheter och medel som de behöver för att bedöma om leverantörer av samhällsviktiga tjänster uppfyller sina skyldigheter enligt direktivet. För att kunna utöva en effektiv tillsyn kan tillsynsmyndigheten behöva tillträde till lokaler och liknande. Exempelvis kan tillsynsmyndigheten behöva tillträde för att kontrollera att en leverantör har vidtagit erforderliga tekniska säkerhetsåtgärder.

Med hänsyn till behovet av en effektiv tillsyn anser regeringen att tillsynsmyndigheten, i den utsträckning det behövs för tillsynen, ska ha rätt att få tillträde till områden, lokaler och andra utrymmen där verksamhet som omfattas av lagen bedrivs. Tillträdesrätten bör dock av integritetsskäl inte omfatta bostäder.

I detta avseende finns det inte anledning att göra skillnad mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Behovet av tillträde vid tillsyn finns avseende båda typer av leverantörer. I avsnitt 9.2 ovan föreslås att tillsynsmyndigheten när det gäller leverantörer av digitala tjänster endast ska få vidta tillsynsåtgärder när den har befogad anledning att anta att en leverantör inte uppfyller den nya lagens krav. Det är alltså först då som tillträdesrätten uppkommer när det gäller sådana leverantörer.

Prop. 2017/18:205 Remissinstanserna: Svea hovrätt anser att det inte framgår klart av utredningens förslag till lagtext att tillsynsmyndigheten ska kunna förelägga en leverantör att ge tillträde till lokaler och liknande.

Skälen för regeringens förslag: I avsnitt 9.3.1 och 9.3.2 föreslår regeringen att tillsynsmyndigheten ska ha rätt att få tillgång till viss information och tillträdesrätt till lokaler och liknande. I linje med de förslagen bör tillsynsmyndigheten även kunna meddela de förelägganden som behövs för att förmå leverantörer som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen. Som Svea hovrätt anför bör det av lagtexten tydligt framgå vad tillsynsmyndigheten får meddela förelägganden om. Ett beslut om föreläggande bör kunna förenas med vite.

Om en leverantör ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Att vidta sådana åtgärder ligger inte inom tillsynsmyndighetens befogenheter. Det finns inte anledning att anta att det kommer finnas risk för hot eller handgripligheter i samband med tillsynen enligt de aktuella bestämmelserna. De eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten.

När det gäller överträdelser av bestämmelserna i den nya lagen om in- Prop. 2017/18:205 formationssäkerhet för leverantörer av samhällsviktiga och digitala

tjänster kan straff inte heller anses vara den mest effektiva sanktionen. De leverantörer som ska tillämpa den nya lagen utgörs av statliga myndigheter, kommuner, landsting och företag. Straffansvar kan enligt svensk rätt endast träffa fysiska personer. Om straff införs skulle det i många fall vara svårt att identifiera en fysisk person som ansvarig för överträdelsen och att leda i bevis att denne haft uppsåt eller varit oaktsam på det sätt som krävs för straffbarhet.

För att nå syftet med NIS-direktivets sanktionsbestämmelser, dvs. att säkerställa att leverantörer vidtar säkerhetsåtgärder och rapporterar incidenter enligt direktivet, är det enligt regeringens bedömning effektivare och även i övrigt lämpligare med administrativa sanktioner än med straff. De sanktioner som bör komma i fråga för överträdelser av den nya lagens bestämmelser bör därför vara av administrativt slag. Någon straffbestämmelse bör alltså inte tas in i den nya lagen.

10.2Vilka administrativa sanktioner och andra möjligheter till ingripande ska införas?

Regeringens förslag: Tillsynsmyndigheten ska få meddela de förelägganden som behövs för att leverantörerna ska uppfylla kraven på utseende av företrädare, vissa säkerhetsåtgärder och incidentrapportering enligt den nya lagen och enligt föreskrifter som har meddelats i anslutning till lagen. Ett sådant föreläggande ska få förenas med vite.

Tillsynsmyndigheten ska även kunna besluta om sanktionsavgift för vissa överträdelser.

Regeringens bedömning: Bestämmelser om att tillsynsmyndigheten ska samverka med Datainspektionen innan ett åtgärdsföreläggande beslutas bör meddelas i förordning.

Utredningens förslag stämmer delvis överens med regeringens förslag och bedömning. Utredningen har även föreslagit en bestämmelse om att tillsynsmyndigheten – om det finns skäl att misstänka att en leverantör av samhällsviktiga tjänster inte följer den nya lagen eller föreskrifter som har meddelats i anslutning till den – ska underrätta leverantören om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid. Vidare har utredningen föreslagit att tillsynsmyndigheten – vid sidan av möjligheten att besluta om åtgärdsföreläggande och sanktionsavgift – genom påpekanden och liknande ska försöka förmå leverantörer som inte följer den nya lagen eller föreskrifter som har meddelats i anslutning till den att vidta rättelse. Utredningen har till skillnad från regeringen inte föreslagit att tillsynsmyndigheten ska få meddela åtgärdsföreläggande avseende kravet på att utse en företrädare.

Remissinstanserna: E-hälsomyndigheten, Statskontoret, Stiftelsen för internetinfrastruktur och Stockholms universitet tillstyrker förslaget.

Skåne läns landsting tillstyrker att tillsynsmyndigheten ska kunna besluta

om sanktionsavgift.

65

Prop. 2017/18:205 helhet ska kunna anses effektivt och avskräckande på det sätt som NIS- direktivet kräver. Enligt regeringens bedömning skulle risken att som leverantör drabbas av sanktionsavgift verka avskräckande på ett annat sätt än åtgärdsföreläggande. Risken att drabbas av sanktionsavgift borde också öka incitamenten för ansvariga verksamhetsutövare att satsa på förebyggande åtgärder och att avsätta tillräckliga resurser för att säkerställa att säkerhetskraven och kraven på incidentrapportering tillgodoses. Sanktionsavgift bör därför införas som ett komplement till möjligheten att meddela åtgärdsföreläggande i förening med vite. Det bör påpekas att det finns både för- och nackdelar med en sådan reglering som ger tillsynsmyndigheten möjlighet att välja mellan att genomdriva en åtgärd med vite eller att i efterhand påföra sanktionsavgift. En nackdel är att sanktionssystemet inte blir så förutsägbart som man kan önska. Det är dock av stor vikt att tillsynsmyndigheten kan använda en ändamålsenlig och effektiv sanktion i varje enskilt fall för att uppnå de krav som ställs.

Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyndighet eller av en domstol efter ansökan från tillsynsmyndigheten. Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva rekvisit eller andra svårbedömda rekvisit. En fördel med att tillsynsmyndigheten fattar beslutet är att handläggningen blir snabbare eftersom inte flera myndigheter måste involveras i hanteringen. Det är vidare tillsynsmyndigheten som har bäst förutsättningar att bedöma om en leverantör har underlåtit att följa den nya lagen eller föreskrifter som har meddelats i anslutning till den. Det bör därför vara tillsynsmyndigheten som beslutar om sanktionsavgift.

Med hänsyn till att bestämmelser om sanktionsavgift reglerar förhållandet mellan enskilda och det allmänna och avser ingrepp i enskildas ekonomiska förhållanden, bör bestämmelserna som utgångspunkt tas in den nya lagen.

10.3Sanktionsavgift

10.3.1Ett sanktionsavgiftssystem med strikt ansvar

Regeringens förslag: En sanktionsavgift ska tas ut av den som underlåter att göra en anmälan till tillsynsmyndigheten, vidta vissa säkerhetsåtgärder eller incidentrapportera enligt den nya lagen eller föreskrifter som har meddelats i anslutning till den.

lagtexten är tillräckligt tydlig och förutsebar när det gäller vilka åtgärder Prop. 2017/18:205 som leverantörer ska vidta för att inte påföras sanktionsavgift.

Livsmedelsverket anser att regeringen bör överväga att införa sanktionsavgift även för leverantörer av samhällsviktiga tjänster som underlåter att anmäla sig till tillsynsmyndigheten.

Skälen för regeringens förslag

Överträdelser som ska kunna föranleda sanktionsavgift

Kraven på säkerhetsåtgärder och incidentrapportering i NIS-direktivet är centrala för att uppnå syftet med direktivet, vilket talar för att överträdelser av bestämmelserna i den nya lagen som genomför kraven bör kunna föranleda sanktionsavgift. Svea hovrätt och Sveriges Kommuner och Landsting anser dock att bestämmelserna i den nya lagen inte är tillräckligt tydliga för att kunna föranleda sanktionsavgift.

Sanktionsavgifter bör som regel endast införas för överträdelser som är relativt lätta att bedöma. Underlåtenhet att incidentrapportera är förhållandevis lätt att konstatera, även om det krävs en bedömning av om en incident har haft en betydande inverkan på kontinuiteten i den tillhandahållna tjänsten. Även en underlåtenhet att göra en riskanalys är i de flesta fall enkel att fastställa. När det gäller kraven på tekniska och organisatoriska åtgärder och incidenthantering kan det vara svårare att bedöma en eventuell underlåtenhet, bl.a. eftersom en aktörs skyldighet att vidta dessa säkerhetsåtgärder är kopplad till den risk som hotar säkerheten. Säkerhetskraven kommer dock att preciseras genom bestämmelser i förordning och föreskrifter. Utan en sanktion såsom sanktionsavgift för överträdelser av bestämmelser som genomför NIS-direktivets säkerhetskrav är det vidare tveksamt om syftet med NIS-direktivet och dess krav på ändamålsenliga och avskräckande sanktioner uppfylls.

Mot denna bakgrund anser regeringen att sanktionsavgift ska kunna beslutas för överträdelser av kraven på riskanalys, tekniska och organisatoriska åtgärder, incidenthantering och incidentrapportering. I likhet med utredningen anser regeringen inte att kravet på leverantörer av samhällsviktiga tjänster att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är av sådan karaktär att en överträdelse bör kunna föranleda sanktionsavgift.

Vidare anser regeringen, liksom Livsmedelsverket, att leverantörer av samhällsviktiga tjänster som underlåter att enligt förslaget i avsnitt 6.3 anmäla sig till tillsynsmyndigheten bör kunna påföras sanktionsavgift. Om leverantörer av samhällsviktiga tjänster inte riskerar sanktionsavgift vid sådan underlåtelse kan skyldigheten i praktiken bli verkningslös.

Ska sanktionsavgift alltid tas ut?

Bestämmelser om sanktionsavgift är oftast obligatoriska, dvs. utformade så att sanktionsavgift ska tas ut när förutsättningarna för det är uppfyllda. Med hänsyn till behovet av likabehandling, objektivitet och proportionalitet bör tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt vara begränsade. Behovet av att säkerställa likabehandling är särskilt starkt när det gäller sanktionsavgifter enligt den

nya lagen eftersom utgångspunkten är att flera tillsynsmyndigheter ska

69

Prop. 2017/18:205 tillämpa bestämmelserna. Bestämmelserna om sanktionsavgift bör därför formuleras på så sätt att sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Tillsynsmyndigheten bör dock ha möjlighet att i vissa fall helt eller delvis efterge sanktionsavgiften, se avsnitt 10.3.3.

Sanktionsavgiftssystemet ska bygga på strikt ansvar

Huvudregeln är att sanktionsavgift bygger på strikt ansvar, dvs. att avgiften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Beträffande de aktuella överträdelserna finns det ett starkt stöd för en presumtion om att överträdelser inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Regeringen anser därför att det inte finns anledning att frångå huvudregeln om strikt ansvar i den nya lagen.

Skrivningar om att avgiftsskyldigheten bygger på strikt ansvar bör inte tas med i lagtexten. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift. Det bör därför inte i lagtext upplysas om att sanktionsavgift får tas ut även om en överträdelse inte har skett uppsåtligen eller av oaktsamhet.

allvarliga och en högre nivå vid allvarligare överträdelser. För de olika nivåerna gäller maximibelopp på 10 miljoner euro respektive 20 miljoner euro. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att sanktionsavgifter även ska kunna tas ut av statliga och kommunala myndigheter. Avgifterna ska enligt förslaget uppgå till högst 5 miljoner kronor för mindre allvarliga överträdelser och till högst 10 miljoner kronor för allvarligare överträdelser.

Regeringen bedömer att det är rimligt att det lägsta belopp som ska kunna beslutas i sanktionsavgift är 5 000 kronor. För att sanktionsavgiften ska få en tillräckligt avskräckande effekt för alla aktörer som kommer att omfattas av den nya lagens bestämmelser krävs att maximibeloppet sätts relativt högt. Enligt regeringens bedömning skulle en avgift om 10 miljoner kronor utgöra en effektiv, proportionell och avskräckande sanktion också mot allvarliga överträdelser. Det högsta belopp som ska kunna beslutas i sanktionsavgift bör därför bestämmas till 10 miljoner kronor.

Prop. 2017/18:205 som inte behöver tas in i den nya lagen kan nämnas hur länge överträdelsen pågått. Om aktören tidigare har gjort sig skyldig till en överträdelse kan det bli aktuellt att beakta om överträdelserna är likartade och den tid som gått mellan överträdelserna. Det kan också vara relevant att beakta bestämmelsens betydelse för tillsynsområdet. Att en aktör samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet som ska påverka beloppets storlek i mildrande riktning.

Att avgiftsskyldigheten bygger på strikt ansvar gör att det behöver finnas utrymme för att jämka eller helt sätta ned sanktionsavgiften. Det bör därför införas en bestämmelse som ger tillsynsmyndigheten utrymme att jämka eller helt efterge avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Sanktionsavgiften bör kunna sättas ned helt eller delvis om exempelvis en aktör drabbas av sanktionsavgift enligt något annat regelverk för i princip samma brist. Bestämmelser om säkerhetsåtgärder och sanktionsavgifter för den som bryter mot dessa bestämmelser finns t.ex. i den tidigare nämnda dataskyddsförordningen. Den samlade reaktionen skulle, beroende på överträdelsens art, totalt sett kunna bli alltför betungande. En annan situation som kan innebära att det framstår som oskäligt att besluta om sanktionsavgift är om en leverantör, på grund av avtal med t.ex. en underleverantör, är skyldig att betala skadestånd för samma brist. Om regelverket överträtts på ett sådant sätt att det har varit närmast omöjligt för leverantören att upptäcka överträdelsen skulle överträdelsen kunna anses ursäktlig och det därför finnas grund för jämkning. Möjligheten att sätta ner avgiften bör tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften.

10.3.4Hinder mot sanktionsavgift

Regeringens förslag: Tillsynsmyndigheten ska inte få besluta om sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Utredningens förslag stämmer överens med regeringens.

Remissinstanserna: Statskontoret och Stockholms universitet tillstyrker förslaget.

Skälen för regeringens förslag: Enligt Europakonventionen och EU:s stadga om de grundläggande rättigheterna finns en rätt att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelprövningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69). Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion – administrativ eller straffrättslig – för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer bör anses vara när det inleds en domstolsprocess angående frågan om

utdömande av vite (jfr prop. 2016/17:22 s. 228). Ett föreläggande om vite

72

bör därför inte hindra ett senare ingripande med sanktionsavgift så länge Prop. 2017/18:205 som tillsynsmyndigheten inte har ansökt om utdömande av vitet. När tillsynsmyndigheten har ansökt om utdömande av vitet bör tillsyns-

myndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i den nya lagen.

10.3.5Förfarandebestämmelser

Regeringens förslag: En sanktionsavgift ska endast få tas ut om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Beslut om sanktionsavgift ska delges.

Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten.

Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har inte föreslagit någon bestämmelse om att beslut om sanktionsavgift ska delges. Utredningen har till skillnad från regeringen föreslagit bestämmelser om att den som ett sanktionsbeslut kommer att riktas mot ska få tillfälle att yttra sig och att ett beslut ska vara skriftligt och innehålla skälen för beslutet.

Remissinstanserna: Stockholms universitet och Statskontoret tillstyrker förslaget. Förvaltningsrätten i Stockholm pekar på att utredningens förslag om att den som ett sanktionsbeslut kommer att riktas mot ska få tillfälle att yttra sig och att ett sanktionsbeslut ska vara skriftligt och innehålla skäl behöver motiveras med tanke på att förvaltningslagen (2017:900) innehåller bestämmelser om kommunicering och motiveringsskyldighet. Svea hovrätt anser att den föreslagna bestämmelsen om att sanktionsavgift endast ska få tas ut om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år är otydlig.

Skälen för regeringens förslag: Utredningen har föreslagit att det ska införas bestämmelser om att tillsynsmyndigheten ska bereda den som ett sanktionsbeslut kommer att riktas mot tillfälle att yttra sig och att ett beslut ska vara skriftlig och innehålla skälen för beslutet. Som Förvaltningsrätten i Stockholm påpekar framgår det dock av 25 § förvaltningslagen att en myndighet – innan den fattar ett beslut i ett ärende – ska underrätta den som är part om allt material av betydelse och ge parten tillfälle att yttra sig över materialet, om det inte är uppenbart obehövligt. Av 9 och 32 §§ i samma lag framgår vidare att handläggningen som utgångspunkt ska vara skriftlig och att ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Dessa bestämmelser fyller i allt väsentligt samma funktion som utredningens

73

Prop. 2017/18:205 förslag. Några bestämmelser med den innebörd som utredningen har föreslagit bör därför inte införas i den nya lagen.

Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). En bestämmelse om detta bör tas in i den nya lagen.

På grund av sanktionsavgiftens ingripande natur bör det finnas en bortre tidsgräns för när en sanktionsavgift får beslutas. Utredningen har föreslagit att sanktionsavgift inte ska få tas ut om den som anspråket riktas mot inte inom två år från det att överträdelsen ägde rum har getts tillfälle att yttra sig. Svea hovrätt anser att det inte står klart från vilken tidpunkt tvåårsfristen ska räknas. Hovrätten anser att ett alternativ skulle kunna vara en bestämmelse i linje med 5 kap. 14 § lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning, enligt vilken ingripande inte får ske med mindre än att den som ingripandet riktas mot har delgetts upplysning härom inom två år från det att överträdelsen ägt rum. Regeringen anser emellertid att bestämmelsen som utredningen har föreslagit är tillräckligt tydlig. Den innebär att om kommunikation enligt 25 § förvaltningslagen med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Tidsfristen ska räknas från när överträdelsen ägde rum, i likhet med vad som gäller enligt den av hovrätten nämnda lagen. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten. Någon anledning att frångå förvaltningslagens bestämmelser och kräva delgivning av underrättelse finns inte. Regeringen anser liksom utredningen att sanktionsavgift endast ska få tas ut om den som anspråket riktas mot har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Betalning av sanktionsavgift bör ske till tillsynsmyndigheten inom trettio dagar från det att beslutet om sanktionsavgift vunnit laga kraft eller annars inom den längre tid som anges i beslutet. Om avgiften inte betalas inom denna tid bör tillsynsmyndigheten vara skyldig att lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv bör den avgift som tillsynsmyndigheten beslutat kunna drivas in utan att det krävs något domstolsavgörande. Av 3 kap. 1 § första stycket 6 utsökningsbalken (1981:774) följer att en förvaltningsmyndighets beslut får verkställas om det finns en särskild föreskrift om detta. Det bör alltså införas en bestämmelse i den nya lagen om att en sanktionsavgift som inte betalats inom angiven tid får verkställas enligt utsökningsbalken.

Sanktionsavgifter bör som brukligt tillfalla staten, vilket bör framgå av den nya lagen.

I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Regeringen bedömer att det saknas anledning att införa någon annan preskriptionstid än den som i allmänhet används. En bestämmelse om att en beslutad sanktionsavgift faller bort om avgiften inte har verkställts inom fem år från det att beslutet fått laga kraft bör därför införas.

74

Regeringens förslag: Tillsynsmyndigheten ska få bestämma att ett beslut om föreläggande ska gälla omedelbart.

Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Statskontoret tillstyrker förslaget.

Skälen för regeringens förslag: Om tillsynsmyndigheten har konstaterat att det finns skäl för att ingripa genom beslut om åtgärdsföreläggande kan det i många fall finnas behov av att beslutet blir gällande genast. Vidare kan det ofta vara angeläget att tillsynsmyndighetens beslut om tillträde till lokaler eller om utlämnande av information som behövs för tillsynen inte förhalas genom ett överklagande. Mot denna bakgrund bör tillsynsmyndigheten ha möjlighet att bestämma att dess beslut om föreläggande ska gälla omedelbart.

En domstol som ska pröva ett överklagande av ett förvaltningsbeslut som gäller omedelbart kan förordna att det överklagade beslutet tills vidare inte ska gälla (s.k. inhibition). Möjligheten till inhibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av en tillsynsmyndighet minimeras. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291) och behöver inte tas in i den nya lagen.

10.5Överklagande

Regeringens förslag: Tillsynsmyndighetens beslut enligt den nya lagen ska kunna överklagas till allmän förvaltningsdomstol. I den nya lagen ska det anges att tillsynsmyndigheten vid ett sådant överklagande är motpart i domstolen. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen förslagit att kammarrättens avgörande i ett mål enligt den nya lagen inte ska få överklagas.

Remissinstanserna: Statskontoret tillstyrker förslaget. Förvaltnings-

Prop. 2017/18:205 Utredningen har föreslagit att kammarrättens avgörande inte ska få överklagas. Förutsatt att inga forumregler införs i den nya lagen skulle det – som Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm påpekar – innebära att de allmänna bestämmelserna i 14 § lagen (1971:289) om allmänna förvaltningsdomstolar blir tillämpliga. Enligt den paragrafen ska beslut överklagas till den förvaltningsrätt inom vars domkrets ärendet först har prövats. Om flera tillsynsmyndigheter utses, i enlighet med utgångspunkten i avsnitt 9.1, kommer det innebära att beslut enligt den nya lagen kommer att prövas i olika förvaltningsrätter runt om i landet med följd att flera kammarrätter blir slutinstanser för mål enligt lagen. Det är inte en lämplig ordning. För att avsteg ska göras från den normala instansordningen bör det vidare krävas att det finns särskilda skäl. Några sådana har enligt regeringens uppfattning inte framkommit. Mot denna bakgrund bör det inte göras avsteg från den normala instansordningen. Kammarrättens avgörande bör således kunna överklagas.

11Nationell kontaktpunkt, CSIRT-enhet och samarbetsgrupp

11.1Nationell kontaktpunkt

Regeringens bedömning: Bestämmelser om vilken myndighet som ska vara nationell kontaktpunkt och vilka uppgifter som den nationella kontaktpunkten ska ha bör meddelas i förordning.

Utredningens förslag stämmer i sak överens med regeringens bedömning. Utredningen har föreslagit att det i den nya lagen ska anges att den myndighet som regeringen bestämmer ska vara nationell kontaktpunkt.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens bedömning: Medlemsstaterna ska enligt artikel 8.3 i NIS-direktivet utse en gemensam nationell kontaktpunkt för säkerhet i nätverk och informationssystem.

Den nationella kontaktpunkten har flera uppgifter enligt direktivet. Enligt artikel 8.4 ska den nationella kontaktpunkten utgöra en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter samt med den samarbetsgrupp som inrättas genom NIS-direktivet och CSIRT-nätverket. Den nationella kontaktpunkten ska även på begäran av CSIRT-enheten vidarebefordra incidentrapporter till nationella kontaktpunkter i andra medlemsstater som påverkats av en incident hos en leverantör av samhällsviktiga tjänster (artikel 14.5). Vidare ska den nationella kontaktpunkten senast den 9 augusti 2018, och därefter en gång om året, lämna en sammanfattande rapport till samarbetsgruppen om de incidentrapporter som mottagits

(artikel 10.3).

76

Förutom nämnda uppgifter ska den nationella kontaktpunkten enligt Prop. 2017/18:205 artikel 8.6, när så är lämpligt och i överensstämmelse med nationell rätt,

samråda och samarbeta med de relevanta nationella rättsvårdande myndigheterna. I skälen till direktivet anges att medlemsstaterna bör uppmuntra leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster att rapportera incidenter som misstänks ha samband med brottslighet till de relevanta rättsvårdande myndigheterna (skäl 62). I 8 § förvaltningslagen (2017:900) finns redan en skyldighet för myndigheter att inom sitt verksamhetsområde samverka med andra myndigheter. Det bör dock övervägas om det ska införas en skyldighet för den myndighet som är nationell kontaktpunkt, CSIRT-enhet eller annan aktör att uppmana leverantörer att anmäla vissa incidenter till Polismyndigheten. Det bör dessutom övervägas om den nationella kontaktpunkten ska ha i uppgift att i vissa fall samråda med andra medlemsstater innan det fattas ett beslut om identifiering av en leverantör av samhällsviktiga tjänster (artikel 5.4).

När det gäller vilken myndighet som ska vara nationell kontaktpunkt kan det konstateras att Myndigheten för samhällsskydd och beredskap (MSB) har den struktur och kompetens som krävs både för att samordna frågor angående säkerhet i nätverk och informationssystem och för att ansvara för kommunikation och gränsöverskridande samarbete i anslutning till detta. Utgångspunkten bör därför vara att MSB ska ha rollen som nationell kontaktpunkt.

Regeringen anser liksom utredningen att bestämmelser om vilken myndighet som ska vara nationell kontaktpunkt och de uppgifter som myndigheten ska ha bör regleras i förordning. Det möjliggör för regeringen att vid behov ändra vilken myndighet som ska vara nationell kontaktpunkt och vilka uppgifter som myndigheten ska ha i den rollen. Till skillnad från utredningen anser regeringen emellertid inte att det i den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster bör införas en bestämmelse som anger att den myndighet som regeringen bestämmer ska vara nationell kontaktpunkt. Anledningen till det är att regeringen till skillnad från utredningen inte föreslår att någon av de uppgifter som den nationella kontaktpunkten bör ha ska regleras i den nya lagen.

11.2CSIRT-enhet i Sverige

Regeringens bedömning: Bestämmelser om vilken myndighet som ska vara CSIRT-enhet och om vilka befogenheter och uppgifter som CSIRT-enheten ska ha bör meddelas i förordning.

Utredningens förslag stämmer i huvudsak överens med regeringens bedömning. Utredningen har till skillnad från regeringen föreslagit att den nya lagen ska innehålla en bestämmelse om att CSIRT-enheten får begära att en leverantör av digitala tjänster informerar allmänheten om en incident. Utredningen har även föreslagit att det i den nya lagen ska anges att den myndighet som regeringen bestämmer ska vara CSIRT- enhet.

77

Prop. 2017/18:205 Remissinstanserna: Ingen remissinstans har synpunkter på vilka bestämmelser som bör meddelas i lag respektive i förordning. Däremot har ett flertal remissinstanser synpunkter på vilken myndighet som bör utses till CSIRT-enhet och vilka uppgifter som CSIRT-enheten ska ha.

Skälen för regeringens bedömning

CSIRT-enhetens uppgifter enligt NIS-direktivet

Varje medlemsstat ska enligt artikel 9.1 i NIS-direktivet utse en eller flera incidenthanteringsorgan, s.k. CSIRT-enheter (Computer Security Incident Response Team).

CSIRT-enhetens uppgifter anges bl.a. i punkt 2 i bilaga 1 till NIS- direktivet. Det är uppgifter som rör övervakning av incidenter på nationell nivå, tillhandahållande av varningar om risker och incidenter, åtgärder till följd av incidenter, samverkan med privat sektor och deltagande i CSIRT-nätverket. CSIRT-nätverket består av företrädare för medlemsstaternas CSIRT-enheter och CERT-EU. Nätverket ska bidra till förtroende och tillit mellan medlemsstaterna och främja ett snabbt och effektivt operativt samarbete (artikel 12).

I NIS-direktivet finns även bestämmelser om uppgifter som ska åligga antingen CSIRT-enheten eller annan aktör.

Enligt artiklarna 14.5 och 16.6 ska CSIRT-enheten eller tillsynsmyndigheten i vissa fall informera den eller de andra medlemsstater som har påverkats av en incident. CSIRT-enheten eller tillsynsmyndigheten ska också i vissa fall förse en leverantör av samhällsviktiga tjänster som har rapporterat en incident med relevant information om uppföljningen av rapporten, såsom information som skulle kunna bidra till effektiv hantering av incidenten (artikel 14.5). Vidare får tillsynsmyndigheten eller CSIRT-enheten informera allmänheten om enskilda incidenter om incidentens avslöjande omfattas av allmänintresset (artiklarna 14.6 och 16.7).

Livsmedelsverket anser att tillsynsmyndigheten och inte CSIRT- enheten bör vara den myndighet som informerar allmänheten om incidenter, eftersom det är tillsynsmyndigheten som har den löpande kontakten med tillsynsobjekten. Med hänsyn till CSIRT-enhetens roll i det operativa arbetet kring incidenthantering anser regeringen dock att CSIRT-enheten som utgångspunkt bör vara den myndighet som informerar allmänheten, andra medlemsstater och leverantörer om incidenter.

I avsnitt 7.2.3 och 8.2 bedömer regeringen att incidentrapportering ska ske till CSIRT-enheten. Även tillsynsmyndigheten behöver dock tillgång till information i incidentrapporter för att kunna utöva en effektiv tillsyn. I förordning bör därför införas bestämmelser om att CSIRT-enheten ska överlämna information om incidenter till respektive tillsynsmyndighet.

MSB bör som utgångspunkt vara CSIRT-enhet

Dataskydd.se, Föreningen Swedish Network Users Society, Netnod och

Svenska Stadsnätsföreningen anser att Post- och telestyrelsen (PTS) ska vara CSIRT-enhet, bl.a. med hänsyn till att PTS enligt utredningens förslag ska vara tillsynsmyndighet för sektorn digital infrastruktur och för leverantörer av digitala tjänster. Att en myndighet är tilltänkt tillsyns-

myndighet för vissa leverantörer är dock inget starkt skäl för att den

78

Prop. 2017/18:205 CSIRT-enhet. Vidare har utredningen föreslagit att en bestämmelse som motsvarar delar av artikel 16.7 i NIS-direktivet, om att CSIRT-enheten får begära att en leverantör av digitala tjänster informerar allmänheten om en incident, ska föras in i den nya lagen.

Regeringen anser inte att det finns skäl att i den nya lagen föra in en bestämmelse som upplyser om att regeringen får utse CSIRT-enhet. Vidare innebär artikel 16.7 enligt regeringens uppfattning inte någon skyldighet för enskilda. Det finns därför inte heller någon anledning att föra in en bestämmelse i den nya lagen som motsvarar artikel 16.7. Be- stämmelser om vilken myndighet som ska vara CSIRT-enhet och CSIRT-enhetens befogenheter och uppgifter bör således enligt regeringens bedömning meddelas i förordning. Flera remissinstanser har synpunkter på hur CSIRT-enhetens uppgifter närmare bör utformas. Dessa synpunkter kommer att beaktas i det fortsatta förordningsarbetet.

11.3NIS-direktivets samarbetsgrupp

Regeringens bedömning: Bestämmelser om vilken myndighet som ska företräda Sverige i den samarbetsgrupp som inrättats genom NIS- direktivet och de uppgifter som företrädaren ska ha bör meddelas i förordning.

Utredningens förslag stämmer överens med regeringens bedömning. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över för-

slaget.

Skälen för regeringens bedömning: Genom NIS-direktivet inrättades en samarbetsgrupp, bl.a. för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna (artikel 1.2 b).

Samarbetsgruppen består av företrädare för medlemsstaterna, kommissionen och Enisa (Europeiska unionens byrå för nät- och informationssäkerhet). När det är lämpligt får samarbetsgruppen bjuda in företrädare för de berörda parterna att delta i arbetet (artikel 11.2).

Samarbetsgruppen har de uppgifter som följer av artikel 11.3 i direktivet. Det rör sig om uppgifter såsom att utbyta information och bästa praxis om forskning och utveckling vad gäller säkerhet i nätverk och informationssystem, årligen diskutera de sammanfattande rapporter om incidenter som de nationella kontaktpunkterna ska ge till samarbetsgruppen och att hjälpa medlemsstaterna att tillämpa ett enhetligt tillvägagångssätt i förfarandet för identifiering av leverantörer av samhällsviktiga tjänster.

MSB företräder för närvarande Sverige i samarbetsgruppen. Med hänsyn till det och mot bakgrund av det uppdrag som MSB har i dag på informationssäkerhetsområdet, bör MSB som utgångspunkt företräda Sverige i samarbetsgruppen även fortsättningsvis. Utredningen har inte föreslagit någon författningsreglering avseende vilken myndighet som ska vara Sveriges företrädare och de uppgifter som företrädaren ska ha. I det fortsatta förordningsarbetet bör det dock övervägas om uppgiften bör regleras i myndighetsinstruktion eller i annan förordning.

80

12.1Behövs ett starkare skydd för uppgifter som leverantörer ska rapportera vid en incident och tillhandahålla vid tillsyn?

Regeringens bedömning: Befintliga bestämmelser om sekretess i offentlighets- och sekretesslagen utgör ett tillräckligt skydd för uppgifter som leverantörer ska rapportera med anledning av en incident och tillhandahålla vid tillsyn. Någon förändring av bestämmelserna behövs därför inte.

Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Några remissinstanser, såsom Dataskydd.net,

Journalistförbundet och Utgivarna, delar utredningens bedömning eller anser att befintligt sekretesskydd bör vara svagare. Ett flertal remissinstanser, bland dem Datainspektionen, Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd- och beredskap (MSB) och Sveriges advokatsamfund menar att befintligt sekretesskydd, särskilt sekretessen enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400), förkortad OSL, bör vara starkare.

Skälen för regeringens bedömning

Uppgifter som leverantörer ska överlämna till myndigheter vid en incident och vid tillsyn

Leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster kommer enligt den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster vara skyldiga att rapportera incidenter till den myndighet som regeringen bestämmer. Utgångspunkten är att rapporteringen ska ske till CSIRT-enheten vid MSB och att CSIRT- enheten sedan ska överlämna information om incidenter till aktuell tillsynsmyndighet. Det kan röra sig om uppgifter om namn och kontaktuppgifter på den som rapporterat, beskrivning av incidenten, uppgift om incidenten är pågående eller avslutad och en bedömning av incidentens konsekvenser.

Som framgår av avsnitt 9.3.1 kommer leverantörer även att till tillsynsmyndigheten behöva tillhandahålla information som är nödvändig för tillsynen, såsom uppgifter om säkerhets- och bevakningsåtgärder, styrande dokument och resultat av genomförda säkerhetsrevisioner.

Med anledning av att den information som leverantörer kommer vara skyldiga att överlämna till olika myndigheter kan vara skyddsvärd, finns det anledning att överväga om de sekretessbestämmelser som kan bli tillämpliga ger ett väl avvägt skydd eller om någon av dem bör ändras.

Befintligt sekretesskydd

Den i sammanhanget kanske mest relevanta sekretessbestämmelsen finns

i 18 kap. 8 § 3 OSL. Enligt den bestämmelsen gäller sekretess för uppgift

81

Prop. 2017/18:205 som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd som avser system för automatiserad behandling av

Prop. 2017/18:205 att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppkommer om uppgiften röjs. Ett rakt skaderekvisit

melserna i OSL behövs därför inte. Det bör dock framhållas att det är Prop. 2017/18:205 viktigt att det görs en noggrann prövning enligt relevanta sekretess-

bestämmelser innan uppgifter lämnas ut.

12.2Behövs ytterligare reglering för att tillgodose NIS-direktivets krav på informationsutbyte med andra medlemsstater och kommissionen?

Regeringens bedömning: Befintliga bestämmelser i offentlighets- och sekretesslagen tillgodoser NIS-direktivets krav på utlämnande av uppgifter till andra medlemsstater och till kommissionen. Detsamma gäller för kraven på skydd av uppgifter som mottagits från andra medlemsstater.

Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans motsätter sig utredningens

bedömning.

Skälen för regeringens bedömning

Utlämnande av information till andra medlemsstater och kommissionen

I NIS-direktivet finns bestämmelser om samarbete som innebär att information som helt eller delvis omfattas av sekretess kan behöva lämnas ut till andra medlemsstater. Som framgår av avsnitt 11.1 och 11.2 kommer den svenska regleringen som genomför direktivet bl.a. innebära att den nationella kontaktpunkten ska lämna uppgifter om incidenter till den samarbetsgrupp som inrättats genom direktivet och att CSIRT- enheten ska informera andra medlemsstater om vissa incidenter. Vidare ska Sverige enligt direktivet lämna uppgifter till kommissionen om genomförandet av direktivet.

Av 8 kap. 3 § OSL framgår att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om den utlämnas i enlighet med en särskild föreskrift i lag eller förordning. EU-direktiv jämställs med lag vid tillämpningen av OSL. Sekretess utgör således inget hinder för informationsutbyte med andra medlemsstater och kommissionen enligt NIS-direktivet, den nya lagen eller föreskrifter i förordning som meddelats i anslutning till lagen. Något behov av ytterligare reglering i detta avseende finns alltså inte.

Innan ett informationsutbyte sker måste dock beaktas att ett utlämnande av uppgifter inte får riskera Sveriges säkerhet. En incident som skulle ha rapporterats enligt säkerhetsskyddsregleringen men som felaktigt rapporterats enligt den nya lagen ska exempelvis inte rapporteras till andra medlemsstater eller kommissionen, eftersom de inte omfattas av NIS-direktivets rapporteringsskyldighet. Detsamma gäller för uppgifter i incidentrapporter som var för sig inte rör Sveriges säkerhet, men som tillsammans utgör en ny uppgift som är av betydelse för Sveriges säkerhet (aggregerad information).

85

Prop. 2017/18:205 Skydd för information från andra medlemsstater

Kommissionen, CSIRT-enheter och andra relevanta myndigheter har enligt NIS-direktivet en skyldighet att vid mellanstatligt informationsutbyte enligt direktivet bevara informationens konfidentialitet och att skydda leverantörers säkerhetsintressen och kommersiella intressen (artiklarna 1.5, 14.5 och 16.6). När exempelvis den svenska CSIRT- enheten eller den nationella kontaktpunkten får sekretesskyddad information om en incident från en annan medlemsstat finns alltså krav på att det ska finnas skydd för informationen även i Sverige.

Sekretess gäller enligt 15 kap. 1 a § OSL för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs. Med bindande EU-rättsakt avses förordning, direktiv eller beslut. Information som tas emot från en annan medlemsstat till följd av bestämmelserna i NIS- direktivet kan således omfattas av sekretess enligt 15 kap. 1 a § OSL. Med hänsyn till det anser regeringen att befintliga regler tillgodoser kraven på att skydda leverantörers säkerhetsintressen och kommersiella intressen samt att bevara konfidentialiteten hos tillhandahållen information. Något behov av ytterligare reglering finns därför inte.

bör följaktligen träda i kraft samtidigt som den nya säkerhetsskydds- Prop. 2017/18:205 lagen.

14 Konsekvenser

Regeringens bedömning: Säkerheten i nätverk och informationssystem stärks genom förslagen vilket medför samhällsekonomiska vinster på kort och lång sikt.

Förslagen innebär vissa ökade förvaltningskostnader för de myndigheter som får en särskild roll, t.ex. som CSIRT-enhet, nationell kontaktpunkt eller tillsynsmyndighet.

För myndigheter, kommuner, landsting och enskilda som kommer att omfattas av den nya lagens krav på säkerhetsåtgärder och incidentrapportering kan förslagen innebära något ökade kostnader och administrativa bördor. Eventuella kostnader för statliga myndigheter som kommer att omfattas av den nya lagens krav bör rymmas inom befintliga ekonomiska ramar.

Förslagen innebär även att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Kostnaderna för de allmänna förvaltningsdomstolarna bör rymmas inom befintliga ekonomiska ramar.

Utredningens bedömning stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen bedömt att förslagen inte får några ekonomiska konsekvenser för de kommuner, landsting och företag som kommer att omfattas av krav på säkerhetsåtgärder och incidentrapportering.

Remissinstanserna: Flera remissinstanser instämmer i att förslagen kommer att innebära en stärkt informationssäkerhet med samhällsekonomiska vinster som följd. De flesta remissinstanser som yttrar sig poängterar vikten av att tillräckliga resurser avsätts för genomförandet av NIS-direktivet. Finansinspektionen, Myndigheten för samhällsskydd och beredskap (MSB), Livsmedelsverket och andra myndigheter som av utredningen har pekats ut att ha en särskild roll, poängterar vikten av att de tillförs medel som står i proportion till ökade arbetsuppgifter. Flera remissinstanser, såsom Energiföretagen Sverige, Svenskt Näringsliv, Svenskt vatten, Trafikverket, Tågoperatörerna, Sveriges Kommuner och Landsting och ett antal kommuner och landsting, anser till skillnad från utredningen att förslagen om krav på säkerhetsåtgärder och incidentrapportering kommer att innebära kostnader för statliga myndigheter, kommuner, landsting och företag. Kammarrätten i Stockholm anser att det kan ifrågasättas om de ökade kostnaderna för de allmänna förvaltningsdomstolarna kan finansieras inom befintliga ekonomiska ramar.

Skälen för regeringens bedömning

Stärkt säkerhet i nätverk och informationssystem

Prop. 2017/18:205 marknadens funktion. Regeringens förslag om krav på bl.a. säkerhetsåtgärder och incidentrapportering bidrar till att öka säkerheten i nätverk och informationssystem. Eftersom åtgärderna har till syfte att säkerställa kontinuiteten i samhällsviktiga och digitala tjänster, kommer de särskilt att öka försörjningstryggheten i tjänsterna. En ökad försörjningstrygghet är till fördel för såväl myndigheter, kommuner och landsting som enskilda. Förslagen har därför samhällsekonomiska vinster på både kort och lång sikt.

Ekonomiska konsekvenser för myndigheter som får en särskild roll

Som framgår av det föregående kommer ett antal myndigheter att få en särskild roll i genomförandet av NIS-direktivet, såsom CSIRT-enhet, nationell kontaktpunkt eller tillsynsmyndighet. Medlemsstaterna ska enligt NIS-direktivet säkerställa att CSIRT-enheterna, de nationella kontaktpunkterna och tillsynsmyndigheterna har tillräckliga resurser för att på ett effektivt sätt kunna utföra de uppgifter som de tilldelas (artiklarna 8.5, 9.2, 15.2 och 17.2).

CSIRT-enheten ska bl.a. ta emot incidentrapporter från leverantörer, övervaka incidenter på nationell nivå och vara en del i hanteringen av inträffade incidenter. Den nationella kontaktpunkten ska vara en sambandsfunktion för gränsöverskridande samarbete. Utgångspunkten är att MSB ska utses till CSIRT-enhet och nationell kontaktpunkt. MSB har redan i dag i uppdrag att ta emot och hantera statliga myndigheters incidentrapportering. I det uppdraget har också ingått att ta fram en säker kommunikations- och informationsstruktur samt att analysera inrapporterade incidenter och vid behov varna andra aktörer. Även om MSB till viss del redan har liknande uppgifter innebär uppdraget som CSIRT- enhet och nationell kontaktpunkt att MSB kommer att få utökade arbetsuppgifter. Vidare kommer regeringen i det fortsatta förordningsarbetet att överväga om MSB även ska ha andra roller, såsom att leda ett samarbetsforum för tillsynsmyndigheter som t.ex. ska bistå med metodstöd i tillsynsfrågor. Som bl.a. MSB påpekar är det viktigt att de medel som tillförs står i proportion till de ökade arbetsuppgifter som myndigheten får genom den nya regleringen. Det är dock förenat med svårigheter att i nuläget bedöma hur stora kostnaderna för MSB kommer att bli.

Förslagen kan även komma att innebära ökade kostnader för de tillsynsmyndigheter som ska övervaka att leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster uppfyller sina skyldigheter. Att fastställa de initiala och löpande kostnaderna för tillsyn är förenat med svårigheter. Hur stora kostnaderna blir för respektive tillsynsmyndighet beror t.ex. på om den aktuella tillsynsmyndigheten redan i dag utövar en likartad tillsyn. Vidare beror det på hur många leverantörer som respektive tillsynsmyndighet kommer att ha tillsyn över. Som flera remissinstanser påpekar, bland dem Finansinspektionen och Livsmedelsverket, är det viktigt att tillsynsmyndigheterna ges förutsättningar att fullgöra sina skyldigheter på ett fullgott sätt.

Med anledningen av svårigheterna att bedöma de ekonomiska konsekvenserna för tillsynen föreslog utredningen att regeringen skulle ge Statskontoret i uppdrag att utreda frågan. Regeringen gav därför den 19

oktober 2017 Statskontoret i uppdrag att utreda de ekonomiska konse-

88

Prop. 2017/18:205 inskränkning i självstyrelsen. Med hänsyn till det stora intresset av att öka säkerheten i nätverk och informationssystem bedömer regeringen att inskränkningen måste anses nödvändig.

Kraven på säkerhetsåtgärder och incidentrapportering förebygger både avsiktliga angrepp och s.k. handhavandefel. Förslagen bör enligt regeringens mening därför leda till att it-relaterade brott förebyggs och förhindras.

Regeringen anser inte att förslagen bör medföra konsekvenser för jämställdheten mellan män och kvinnor.

störning vid tillhandahållandet av tjänsten. Vid bedömningen av om en Prop. 2017/18:205 incident skulle innebära en betydande störning ska bl.a. beaktas det antal

användare som är beroende av den samhällsviktiga tjänsten, leverantörens marknadsandel, hur stort geografiskt område som skulle kunna påverkas av en incident och hur beroende andra sektorer är av den samhällsviktiga tjänst som leverantören tillhandahåller.

Slutligen krävs att leverantören är etablerad i Sverige. För att en leverantör av samhällsviktiga tjänster ska anses vara etablerad i Sverige krävs att leverantören bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur här. Den rättsliga formen för en sådan struktur är inte en avgörande faktor.

Både offentliga aktörer, som statliga myndigheter, landsting och kommuner, och privata aktörer kan utgöra leverantörer av samhällsviktiga tjänster.

Enligt första stycket 2 omfattas även leverantörer av digitala tjänster av lagen. Med en leverantör av digitala tjänster avses en juridisk person som tillhandahåller en digital tjänst. Uttrycket digital tjänst definieras i 2 § 4. Näringsidkare som tillhandahåller egna varor och tjänster på en webbplats (e-butik) eller jämförelsesajter är inte leverantörer av digitala tjänster enligt lagen.

För att en leverantör av digitala tjänster ska omfattas av lagen krävs att leverantören har sitt huvudsakliga etableringsställe i Sverige, eller har utsett en företrädare som är etablerad här i landet. I vilka fall en leverantör ska utse en företrädare regleras i 10 §. Det huvudsakliga etableringsstället ska anses vara där leverantören har sitt faktiska huvudkontor. Att nätverk och informationssystem är fysiskt belägna på en viss plats innebär inte att det är fråga om ett huvudsakligt etableringsställe.

I andra stycket finns en upplysning om att lagen innehåller en bestämmelse som gäller för andra leverantörer än de som uppfyller kriterierna för att vara leverantörer av samhällsviktiga eller digitala tjänster enligt första stycket.

Paragrafen behandlas i avsnitt 5.3.

4 §

Paragrafen behandlas i avsnitt 5.3 och 6.2.

Undantag från lagens tillämpningsområde

Leverantörer av elektroniska kommunikationstjänster

5 §

Paragrafen genomför första ledet i artikel 1.3 i NIS-direktivet.

Genom paragrafen undantas företag som omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elektronisk kommunikation från lagens tillämpningsområde.

Paragrafen behandlas i avsnitt 5.4.1.

91

Paragrafen innebär att lagen inte ska tillämpas om det i lag eller annan Prop. 2017/18:205 författning finns bestämmelser om krav på säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar verkan av skyldig-

heterna enligt lagen. Med lag eller annan författning avses bl.a. EU- förordningar och myndighetsföreskrifter.

Vid bedömningen av om bestämmelser i en annan författning motsvarar verkan av skyldigheterna i lagen, ska bl.a. bestämmelsernas omfattning beaktas samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Motsvarande bestämmelser om säkerhetsåtgärder och incidentrapportering kan finnas t.ex. inom sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur. Däremot motsvarar inte kraven enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap eller kraven i Europaparlamentets och rådets förordning (EU) 2016/679, kallad dataskyddsförordningen, skyldigheterna i lagen.

Paragrafen behandlas i avsnitt 5.4.3. Den har utformats i enlighet med

Lagrådets förslag.

Utseende av företrädare

10 §

Paragrafen genomför artikel 18.2 i NIS-direktivet.

Paragrafen reglerar skyldigheten för juridiska personer att i vissa fall utse en företrädare som är etablerad inom EU. Skyldigheten gäller för de juridiska personer som erbjuder digitala tjänster i Sverige men som inte har huvudkontor inom EU. En företrädare kan enligt definitionen i 2 § 9 vara såväl en fysisk som en juridisk person. Företrädaren ska utses uttryckligen, t.ex. genom en skriftlig fullmakt från leverantören att agera på dess vägnar när det gäller leverantörens skyldigheter enligt lagen eller NIS-direktivet. Om en juridisk person utser en företrädare som är etablerad i Sverige innebär det att den juridiska personen är en sådan leverantör av digitala tjänster som omfattas av lagen.

Paragrafen behandlas i avsnitt 5.5. Den har utformats i enlighet med

Lagrådets förslag.

Säkerhetsåtgärder

ställa kontinuiteten i den samhällsviktiga tjänst som leverantören Prop. 2017/18:205 tillhandahåller. Om en incident inträffar finns det som regel anledning att

se över säkerhetsåtgärderna.

Prop. 2017/18:205 Paragrafen behandlas i avsnitt 7.1.6 och 8.1.

Incidentrapportering

Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster

18 §

Paragrafen genomför artiklarna 14.3 och 16.5 i NIS-direktivet.

Enligt paragrafen är leverantörer av samhällsviktiga tjänster skyldiga att rapportera vissa incidenter. Endast incidenter med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem och som har orsakat en betydande inverkan på den samhällsviktiga tjänstens kontinuitet ska rapporteras. Incidenter som endast påverkar den samhällsviktiga tjänsten på andra sätt behöver inte rapporteras enligt denna bestämmelse. När det gäller sådana incidenter kan det dock finnas rapporteringskrav i andra regelverk. Rapporteringskravet gäller oavsett var incidenten har skett. Leverantörer av samhällsviktiga tjänster har därför en skyldighet att rapportera incidenter hos exempelvis en tredjepartsleverantör och följdincidenter på grund av en sådan incident, under förutsättning att incidenten har en betydande inverkan på den samhällsviktiga tjänst som leverantören tillhandahåller.

I paragrafen anges också att rapporteringen ska ske utan onödigt dröjsmål. Det innebär att rapporteringen som regel ska ske så snart de första kritiska åtgärderna har vidtagits för att avhjälpa incidenten och de uppgifter som ska lämnas finns tillgängliga. I de fall incidenten påverkar flera leverantörer eller är gränsöverskridande kan det krävas att rapporteringen sker snarast möjligt med följd att rapporten kan behöva kompletteras när incidenten har avhjälpts och de fullständiga uppgifter som ska lämnas finns tillgängliga.

För att incidentrapporteringen ska vara ändamålsenlig bör en rapport innehålla en beskrivning av incidenten, de åtgärder som har vidtagits för att hantera incidenten och incidentens gränsöverskridande verkningar.

Paragrafen behandlas i avsnitt 7.2.

Rapporteringsskyldighet för leverantörer av digitala tjänster

19 §

Paragrafen genomför artikel 16.3 i NIS-direktivet.

Enligt paragrafen är leverantörer av digitala tjänster skyldiga att rapportera vissa incidenter. Skyldigheten gäller endast incidenter med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem och som orsakat en avsevärd inverkan på tillhandahållandet av en digital tjänst som leverantören erbjuder inom EU. Vad som ska anses vara en avsevärd inverkan på tillhandahållandet av en digital tjänst specificeras i artiklarna 3 och 4 i kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för NIS- direktivet.

96

Angående vad det innebär att incidentrapporteringen ska ske utan Prop. 2017/18:205 onödigt dröjsmål och vilken information en rapport bör innehålla, se

kommentaren till 18 §.

Paragrafen behandlas i avsnitt 8.2.

Bemyndigande

20 §

I paragrafen finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster för att uppfylla kraven på incidentrapportering i lagen. Föreskrifter som kan meddelas med stöd av detta bemyndigande är t.ex. sådana som anger vilka faktorer som ska beaktas vid bedömningen av om en incident har en sådan inverkan på kontinuiteten i en samhällsviktig tjänst att den medför krav på rapportering enligt 18 §.

Paragrafen behandlas i avsnitt 7.2.7 och 8.2.

Tillsyn

Tillsynsmyndighetens uppdrag

21 §

Paragrafen genomför artikel 8.1 och 8.2 i NIS-direktivet.

Av paragrafen framgår att regeringen i förordning utser vilken eller vilka myndigheter som ska vara tillsynsmyndighet. Vidare regleras att tillsynsmyndighetens uppgift är att utöva tillsyn över lagen och de föreskrifter som har meddelats i anslutning till den. Det innebär att huvudsyftet med tillsynen är att bedöma hur leverantörerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

Paragrafen behandlas i avsnitt 9.1 och 9.2.

22 §

Paragrafen genomför artikel 17.1 i NIS-direktivet.

Paragrafen begränsar tillsynsmyndighetens uppdrag i fråga om leverantörer av digitala tjänster. Till skillnad mot vad som gäller för leverantörer av samhällsviktiga tjänster ska tillsynsåtgärder beträffande leverantörer av digitala tjänster vidtas bara när tillsynsmyndigheten har befogad anledning att anta att leverantören inte uppfyller lagens krav. Det innebär att tillsynsmyndigheten måste ha uppgifter som ger objektivt stöd för en överträdelse. Sådana uppgifter kan tillsynsmyndigheten få t.ex. av leverantören av digitala tjänster själv, en annan tillsynsmyndighet eller en tjänsteanvändare. Även incidentrapporteringen kan innehålla information som gör att tillsynsmyndigheten har befogad anledning att anta att lagen inte följs.

Paragrafen behandlas i avsnitt 9.2.

97

Paragrafen behandlas i avsnitt 9.3.3. Den har utformats i enlighet med Prop. 2017/18:205

Lagrådets förslag.

27 §

Paragrafen genomför artiklarna 15.1, 15.2 och 17.2 i NIS-direktivet. Paragrafen reglerar tillsynsmyndighetens möjlighet att begära hand-

räckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Paragrafen behandlas i avsnitt 9.3.3.

Ingripanden och sanktioner

Paragraferna genomför artikel 21 i NIS-direktivet och reglerar betalning och indrivning av sanktionsavgifter.

Paragraferna behandlas i avsnitt 10.3.5.

Föreskrifter om verkställighet

37 §

Paragrafen upplyser om att det finns en möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela verkställighetsföreskrifter. Exempelvis kan närmare föreskrifter meddelas om formerna för anmälningsskyldigheten enligt 23 § och när i tiden en sådan anmälan ska ske, formerna för incidentrapportering enligt 18 och 19 §§ och vilken information som en leverantör är skyldig att tillhandahålla tillsynsmyndigheten enligt 24 §.

Paragrafen behandlas i avsnitt 6.3.

Förordnande om att beslut ska gälla omedelbart

38 §

Paragrafen innebär en möjlighet för tillsynsmyndigheten att i enskilda fall bestämma att ett beslut om föreläggande ska gälla omedelbart. Den som beslutet gäller har vid ett överklagande av ett sådant beslut möjlighet att begära att beslutet tills vidare inte ska gälla, s.k. inhibition. Be- stämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291).

Paragrafen behandlas i avsnitt 10.4.

Överklagande

39 §

Paragrafen reglerar rätten att överklaga beslut enligt lagen och behandlas i avsnitt 10.5.

15.2Förslaget till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster

8 §

Paragrafen innehåller undantag från lagens tillämpningsområde. Hänvisningen i paragrafen ändras till följd av att säkerhetsskyddslagen (1996:627) ersätts av en ny säkerhetsskyddslag.

Ändringen behandlas i avsnitt 5.4.2.

101

I

(Lagstiftningsakter)

DIREKTIV

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/1148

av den 6 juli 2016

om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)Nätverks- och informationssystem och nätverks- och informationstjänster spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion.

(2)Säkerhetsincidenter, som blir allt mer omfattande och vanliga och får allt större inverkan, utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Dessa system kan också bli mål för avsiktligt sabotage i syfte att skada dem eller förorsaka driftsavbrott. Sådana incidenter kan hindra genomförandet av ekonomisk verksamhet, generera omfattande ekonomiska förluster, undergräva användarnas förtroende och medföra allvarliga konsekvenser för unionens ekonomi.

(3)Nätverks- och informationssystem, i synnerhet internet, spelar en viktig roll genom att underlätta den gränsöver­ skridande rörligheten för varor, tjänster och personer. På grund av denna transnationella natur kan allvarliga störningar av dessa system, vare sig de är avsiktliga eller oavsiktliga och oberoende av var de förekommer, påverka enskilda medlemsstater och unionen som helhet. Säkerheten i nätverks- och informationssystem är därför avgörande för att den inre marknaden ska fungera väl.

(4)På grundval av de betydande framstegen inom det europeiska forumet för medlemsstaterna vad gäller att främja diskussioner och utbyten av bästa praxis, inbegripet utarbetandet av principer för ett europeiskt samarbete vid itrelaterade kriser, bör en samarbetsgrupp inrättas, bestående av företrädare för medlemsstaterna, kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som ska stödja och underlätta strategiskt

(1) EUT C 271, 19.9.2013, s. 133.

(2) Europaparlamentets ståndpunkt av den 13 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av den 17 maj 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 6 juli 2016 (ännu ej offentliggjord i EUT).

samarbete mellan medlemsstaterna vad gäller säkerhet i nätverks- och informationssystem. För att denna grupp ska vara effektiv och inkluderande är det viktigt att alla medlemsstater har en minimikapacitet och en strategi som säkerställer en hög nivå på säkerheten i nätverks- och informationssystem på det egna territoriet. Dessutom bör säkerhets- och rapporteringskrav gälla för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, för att främja en riskhanteringskultur och säkerställa att de allvarligaste incidenterna rapporteras.

(5)Den befintliga kapaciteten räcker inte för att säkerställa en hög nivå på säkerheten i nätverks- och informationssystem i unionen. Medlemsstaterna har mycket olika beredskapsnivåer, vilket har lett till skilda tillvägagångssätt i unionen. Resultatet blir olika skyddsnivåer för konsumenter och företag, vilket undergräver den allmänna nivån på säkerheten i nätverks- och informationssystem i unionen. Avsaknaden av gemensamma krav för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster gör det i sin tur omöjligt att inrätta en övergripande och effektiv mekanism för samarbete på unionsnivå. Universitet och forskningscentrum har en avgörande roll att spela när det gäller att främja forskning, utveckling och innovation på dessa områden.

(6)Effektiva åtgärder för att lösa problemen vad gäller säkerhet i nätverks- och informationssystem förutsätter därför ett övergripande angreppssätt på unionsnivå, som omfattar en gemensam miniminivå för kapacitetsuppbyggnad och planering, utbyte av information, samarbete och gemensamma säkerhetskrav för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster är emellertid inte förhindrade att genomföra striktare säkerhetsåtgärder än de som föreskrivs i detta direktiv.

(7)Detta direktiv bör tillämpas på både leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster,

så att alla relevanta incidenter och risker täcks. De skyldigheter som införs för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster bör dock inte tillämpas på företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster i den mening som avses i Europaparlamentets och rådets direktiv 2002/21/EG (1), vilka omfattas av de specifika krav på säkerhet och integritet som föreskrivs i det direktivet, och inte heller på leverantörer av betrodda tjänster i den mening som avses i Europaparlamentets och rådets förordning (EU) nr 910/2014 (2), vilka omfattas av de säkerhetskrav som föreskrivs i den förordningen.

(8)Detta direktiv bör inte påverka varje enskild medlemsstats möjlighet att vidta de åtgärder som är nödvändiga för att skydda dess väsentliga säkerhetsintressen, för att upprätthålla allmän ordning och säkerhet och för att möjliggöra utredning, upptäckt och lagföring av brott. Enligt artikel 346 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) ska ingen medlemsstat vara förpliktad att lämna information vars avslöjande den

anser strida mot sina väsentliga säkerhetsintressen. Rådets beslut 2013/488/EU (3) och sekretessavtal, eller informella sekretessavtal såsom Traffic Light Protocol är relevanta i detta sammanhang. ,

(9)Vissa ekonomiska sektorer regleras redan eller kan komma att regleras av sektorsspecifika unionsrättsakter som inbegriper regler med anknytning till säkerheten i nätverks- och informationssystem. När dessa unionsrättsakter innehåller bestämmelser med krav på säkerhet i nätverks- och informationssystem eller rapportering av incidenter, bör de bestämmelserna tillämpas, om de innehåller krav vilkas verkan minst motsvarar verkan av skyldigheterna i detta direktiv. Medlemsstaterna bör då tillämpa bestämmelserna i sådana sektorsspecifika

unionsrättsakter, inklusive sådana som rör jurisdiktion, och bör inte genomföra identifieringsförfarandet för leverantörer av samhällsviktiga tjänster enligt definitionen i detta direktiv. Medlemsstaterna bör i detta sammanhang informera kommissionen om tillämpningen av sådana lex specialis- . Vid fastställandet av huruvida kraven på säkerhet i nätverks- och informationssystem och rapportering av incidenter som ingår i sektorsspecifika unionsrättsakter motsvarar kraven i detta direktiv, bör endast bestämmelserna i relevanta unionsrättsakter och deras tillämpning i medlemsstaterna beaktas.

(10)I sjöfartssektorn omfattar säkerhetskraven för rederier, fartyg, hamnanläggningar, hamnar och sjötrafikinforma­ tionstjänster enligt unionsrättsakter all verksamhet, inbegripet radio- och telekommunikationssystem, datorsystem och nätverk. De obligatoriska förfarandena inbegriper rapportering av alla incidenter och bör därför anses utgöra lex specialis i den mån dessa krav är åtminstone likvärdiga med motsvarande, bestämmelser i detta direktiv.

(1) Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunika­ tionsnät och kommunikationstjänster (ramdirektiv) (EGT L 108, 24.4.2002, s. 33).

(2) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).

(3) Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva dataresurser som tillhandahålls f lera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning.

(18)En internetknutpunkts (IXP) uppgift är att koppla samman nätverk. En IXP tillhandahåller inte tillträde till nätverk och fungerar inte som transitleverantör eller transitförmedlare. En IXP tillhandahåller inte heller andra tjänster utan samband med sammankoppling, även om detta inte hindrar en IXP-leverantör från att tillhandahålla andra tjänster. En IXP är till för att sammankoppla nätverk som är tekniskt och organisatoriskt separata. Termen autonomt system används för att beskriva ett tekniskt fristående nätverk.

(19)Medlemsstaterna bör ansvara för att fastställa vilka enheter som uppfyller kriterierna för definitionen av leverantör av samhällsviktiga tjänster. I syfte att säkerställa ett enhetligt tillvägagångssätt bör definitionen av leverantör av samhällsviktiga tjänster tillämpas konsekvent i alla medlemsstater. I detta syfte föreskriver detta direktiv en bedömning av de enheter som är verksamma i specifika sektorer och delsektorer, upprättandet av en förteckning över samhällsviktiga tjänster, beaktandet av en gemensam förteckning över sektorsöverskridande faktorer för fastställande av om en eventuell incident skulle medföra en betydande störning, en samrådsprocess med de berörda medlemsstaterna i de fall där enheter tillhandahåller tjänster i mer än en medlemsstat, och samarbetsgruppens stöd vid identifieringsförfarandet. I syfte att säkerställa att eventuella förändringar på marknaden återspeglas på ett korrekt sätt bör förteckningen över identifierade leverantörer regelbundet ses över av medlemsstaterna och vid behov uppdateras. Medlemsstaterna bör slutligen till kommissionen överlämna den information som är nödvändig för att bedöma i vilken utsträckning denna gemensamma metod har gjort det möjligt för medlemsstaterna att tillämpa definitionen konsekvent.

(20)Vid förfarandet för identifiering av leverantörer av samhällsviktiga tjänster bör medlemsstaterna, åtminstone för varje delsektor som avses i detta direktiv, bedöma vilka tjänster som måste betraktas som viktiga för att upprätthålla kritisk samhällelig och ekonomisk verksamhet samt huruvida de enheter som är förtecknade i de sektorer och delsektorer som avses i detta direktiv och tillhandahåller dessa tjänster uppfyller kriterierna för identifiering av leverantörer. Vid bedömning av huruvida en enhet tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, är det tillräckligt att undersöka om enheten tillhandahåller en tjänst som finns upptagen i förteckningen över samhällsviktiga tjänster. Det bör dessutom påvisas att tillhandahållandet av den samhällsviktiga tjänsten är beroende av nätverks- och informationssystem. Slutligen bör medlemsstaterna, vid bedömning av huruvida en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten, beakta ett antal sektorsöverskridande faktorer samt, i lämpliga fall, sektorsspecifika faktorer.

(21)Vid identifiering av leverantörer av samhällsviktiga tjänster krävs det att leverantören utför en faktisk och reell verksamhet med hjälp av en stabil struktur för att den ska anses vara etablerad i en medlemsstat. Den rättsliga formen för en sådan struktur bör här, oavsett om det är en filial eller ett dotterbolag med juridisk personlighet, inte vara den avgörande faktorn.

(22)Det är möjligt att enheter verksamma inom de sektorer och delsektorer som avses i detta direktiv tillhandahåller både samhällsviktiga och icke samhällsviktiga tjänster. Inom luftfartssektorn tillhandahåller t.ex. f lygplatser tjänster som en medlemsstat kan anse vara samhällsviktiga, såsom skötseln av start- och landningsbanorna, men också ett antal tjänster som kan betraktas som icke samhällsviktiga, såsom tillhandahållande av butiksområden. Leverantörer av samhällsviktiga tjänster bör omfattas av de specifika säkerhetskraven endast när det gäller tjänster som anses vara samhällsviktiga. I syfte att identifiera leverantörer bör medlemsstaterna därför upprätta en förteckning över de tjänster som betraktas som samhällsviktiga.

(23)Förteckningen över tjänster bör omfatta alla de tjänster som tillhandahålls på en viss medlemsstats territorium och som uppfyller kraven enligt detta direktiv. Medlemsstaterna bör kunna lägga till nya tjänster i den befintliga förteckningen. Förteckningen över tjänster bör fungera som referenspunkt för medlemsstaterna och möjliggöra identifiering av leverantörer av samhällsviktiga tjänster. Syftet med förteckningen är att identifiera de typer av samhällsviktiga tjänster inom en viss sektor som det hänvisas till i detta direktiv och därmed skilja dem från de icke samhällsviktiga tjänster som en enhet med verksamhet inom en viss sektor kan ansvara för. Den förteckning över tjänster som varje medlemsstat upprättar skulle utgöra ett ytterligare bidrag till bedömningen av lagstift­ ningspraxis inom varje medlemsstat med syftet att säkerställa en övergripande enhetlighet mellan medlemsstaternas identifieringsförfaranden.

(24)Om en enhet tillhandahåller en samhällsviktig tjänst i två eller f lera medlemsstater, bör dessa medlemsstater vid identifieringsförfarandet föra bilaterala eller multilaterala diskussioner med varandra. Denna samrådsprocess är avsedd att hjälpa dem att bedöma om leverantören i fråga är av kritisk betydelse när det gäller gränsöverskridande inverkan, varigenom varje berörd medlemsstat ges möjlighet att lägga fram sina synpunkter avseende riskerna med de tjänster som tillhandahålls. I denna process bör de berörda medlemsstaterna beakta varandras synpunkter, och bör i detta avseende kunna begära bistånd från samarbetsgruppen.

(25)Till följd av identifieringsförfarandet bör medlemsstaterna vidta nationella åtgärder för att fastställa vilka enheter som omfattas av skyldigheter när det gäller säkerhet i nätverks- och informationssystem. Detta skulle kunna uppnås genom upprättande av en förteckning över alla leverantörer av samhällsviktiga tjänster eller genom antagande av nationella bestämmelser, inbegripet objektivt mätbara kriterier, såsom leverantörens produktion eller antalet användare, som gör det möjligt att fastställa vilka enheter som omfattas av skyldigheter när det gäller säkerhet i nätverks- och informationssystem. De nationella åtgärderna, oavsett om de redan har vidtagits eller om de vidtas mot bakgrund av detta direktiv, bör omfatta alla rättsliga åtgärder, administrativa åtgärder och strategier som möjliggör identifiering av leverantörer av samhällsviktiga tjänster enligt detta direktiv.

(26)För att ge en indikation om betydelsen i förhållande till den berörda sektorn av de identifierade leverantörerna av samhällsviktiga tjänster, bör medlemsstaterna beakta dessa leverantörers antal och storlek, till exempel i form av marknadsandelar eller den mängd som produceras eller levereras, utan att vara förpliktade att lämna ut uppgifter som skulle avslöja vilka leverantörer som har identifierats.

(27)För att fastställa om en incident skulle medföra en betydande störning vid tillhandahållandet av en samhällsviktig tjänst, bör medlemsstaterna beakta ett antal olika faktorer, såsom antalet användare som är beroende av tjänsten för privata eller yrkesmässiga ändamål. Användningen av tjänsten kan vara direkt, indirekt eller ske genom förmedling. Vid bedömningen av en incidents eventuella inverkan på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet, bör medlemsstaterna också bedöma hur länge det sannolikt skulle ta tills avbrottet skulle börja ha en negativ inverkan.

(28)Utöver de sektorsöverskridande faktorerna bör också sektorsspecifika faktorer beaktas vid fastställelsen av huruvida en incident skulle medföra en betydande störning vid tillhandahållandet av en samhällsviktig tjänst. När det gäller energileverantörer kan sådana faktorer omfatta mängden eller andelen producerad nationell el, för oljeleverantörer mängden olja per dag, för lufttransport, inbegripet f lygplatser och lufttrafikföretag, järnvägstransport och kusthamnar andelen nationell trafikmängd och antalet passagerare eller lastningar per år, för bankverksamhet eller finansmarknadsinfrastrukturer deras betydelse för systemet på grundval av samlade tillgångar eller förhållandet mellan dessa tillgångar och BNP, för hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år, för produktion, bearbetning och leverans av vatten, volym, antal och typer av användare, inbegripet t.ex. sjukhus, offentlig sektor, organisationer och personer) samt förekomsten av alternativa vattenkällor för samma geografiska område.

(29)För att uppnå och bibehålla en hög nivå på säkerheten i nätverks- och informationssystem bör alla medlemsstater ha en nationell strategi för säkerhet i nätverks- och informationssystem genom vilken fastställs de strategiska mål och konkreta politiska åtgärder som ska genomföras.

(30)Mot bakgrund av skillnaderna i nationella förvaltningsstrukturer och för att skydda befintliga sektorsspecifika arrangemang eller unionens tillsyns- och regleringsmyndigheter och undvika överlappning, bör medlemsstaterna kunna utse mer än en nationell behörig myndighet med ansvar för att utföra uppgifter som rör säkerheten i de nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster enligt detta direktiv.

(31)För att underlätta gränsöverskridande samarbete och kommunikation och för att göra det möjligt att genomföra detta direktiv på ett effektivt sätt måste varje medlemsstat, utan att det påverkar sektorsspecifika regleringsar­ rangemang, utse en nationell gemensam kontaktpunkt med ansvar för samordningen av frågor angående säkerhet i nätverks- och informationssystem och gränsöverskridande samarbete på unionsnivå. Behöriga myndigheter och gemensamma kontaktpunkter bör förses med de tekniska och finansiella resurser och personalresurser som de behöver för att på ett effektivt sätt kunna utföra de uppgifter som de tilldelas och därmed uppnå målen med detta direktiv. Eftersom syftet med detta direktiv är att förbättra den inre marknadens funktion genom att skapa tillit och förtroende, måste medlemsstaternas organ kunna samarbeta effektivt med ekonomiska aktörer och ha en struktur som är förenlig med detta.