Regeringens proposition 2020/21:186

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 29 april 2021

Stefan Löfven

Peter Hultqvist (Försvarsdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt. I den föreslagna lagen finns kompletterande bestämmelser till EU:s cybersäkerhetsakt om bland annat nationell myndighet för cybersäkerhetscertifiering, tillsyn, sanktioner och förfarandet vid cybersäkerhetscertifiering.

Den nya lagen föreslås träda i kraft den 28 juni 2021.

1

Prop. 2020/21:186 Innehållsförteckning

2

4

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt.

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.

5

Regeringen har följande förslag till lagtext.

2.1Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäkerhetsakt.

Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.

Nationell myndighet för cybersäkerhetscertifiering

2 § Den myndighet som regeringen bestämmer

1.är nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och

2.utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

Ackreditering av organ för bedömning av överenstämmelse

3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.

I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den

9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.

Tillsynsbefogenheter

4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs har den nationella myndigheten för

6

Prop. 2020/21:186 6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller

7.använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.

9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.

10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till

1.den skada eller risk för skada som har uppkommit till följd av överträdelsen,

2.om den som har begått överträdelsen tidigare begått en överträdelse,

och

3.den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.

11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

14 § Sanktionsavgiften tillfaller staten.

15 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten lämna den obetalda avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

16 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Tystnadsplikt

17 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen

8(2009:400).

Härigenom föreskrivs att 3 § lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska ha följande lydelse.

Lydelse enligt förslaget i 2.1 Föreslagen lydelse

3 §

I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning

överensstämmelse.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.

Denna lag träder i kraft den 16 juli 2021.

10

Den 17 april 2019 beslutade Europaparlamentet och rådet att anta förordningen (EU) 2019/881 om Enisa (Europeiska unionens säkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). EU-förordningen, här kallad EU:s cybersäkerhetsakt, i dess svenska lydelse finns i bilaga 1. EU:s cybersäkerhetsakt trädde i kraft den 27 juni 2019. Vissa bestämmelser om cybersäkerhetscertifiering som kräver kompletterande nationella bestämmelser ska tillämpas från och med den 28 juni 2021.

Regeringen beslutade den 31 oktober 2019 att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande bestämmelser som EU:s cybersäkerhetsakt ger anledning till och överväga om det finns anledning att införa ytterligare krav för att skydda verksamhet som är av betydelse för Sveriges säkerhet (dir. 2019:73).

Utredningen, som tog namnet Cybersäkerhetsutredningen (Fö 2019:01), överlämnade den 30 september 2020 delbetänkandet EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58).

En sammanfattning av delbetänkandet finns i bilaga 2. Delbetänkandets lagförslag finns i bilaga 3.

Delbetänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissvaren finns tillgängliga på regeringens webbplats (www.regeringen.se) och i Försvarsdepartementet (Fö2020/00954).

Lagrådet

Regeringen beslutade den 24 mars 2021 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Regeringen följer delvis Lagrådets förslag. Lagrådets synpunkter och förslag behandlas i avsnitten 7.2, 8.3, 8.6, 8.7, 9.2.4 och i författningskommentaren.

I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts.

4EU:s cybersäkerhetsakt

4.1 Syfte och huvudsakligt innehåll

Prop. 2020/21:186 genom att bidra till inrättandet och underhållandet av ramverket för cybersäkerhetscertifiering på unionsnivå. Bestämmelserna i den delen trädde i kraft den 27 juni 2019.

Europeiska kommissionen ska utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Enisa ska med hjälp av expertråd och i nära samarbete med Europeiska gruppen för cybersäkerhetscertifiering (ECCG) lämna förslag på europeiska certifieringsordningar. Syftet är att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikationsteknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen. Skapandet av europeiska ordningar för cybersäkerhetscertifiering medför att certifikat som utfärdas enligt dessa certifieringsordningar blir giltiga och erkända i alla medlemsstater.

Genom ramverket möjliggörs en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering, vilket skapar en digital inre marknad för IKT-produkter, IKT-tjänster och IKT-processer.

4.2Det europeiska ramverket för cybersäkerhetscertifiering

4.2.1Allmänt om det europeiska ramverket för cybersäkerhetscertifiering

Det europeiska ramverket för cybersäkerhetscertifiering innebär en möjlighet för tillverkare och leverantörer att upprätta en s.k. EU-försäkran

om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat som intygar att en viss IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven enligt en europeisk ordning för cybersäkerhetscertifiering.

En EU-försäkran om överenstämmelse eller ett europeiskt cybersäkerhetscertifikat ska intyga att en produkt, tjänst eller process uppfyller angivna säkerhetskrav när det gäller att skydda tillgänglighet, autenticitet, integritet och konfidentialitet hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via produkten, tjänsten eller processen.

EU-försäkringar om överenstämmelse och europeiska cybersäkerhetscertifikat syftar även till att hjälpa slutanvändarna att göra informerade val och bidra till att harmonisera cybersäkerhetsrutinerna inom unionen.

I skäl 71 i EU:s cybersäkerhetsakt anges att de europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier.

Vidare anges att certifieringsordningar som drivs av industrin eller andra privata organisationer inte bör ingå i cybersäkerhetsaktens tillämpningsområde.

Cybersäkerhetsakten ska inte påverka tillämpningen av unionsrätt som

innehåller särskilda bestämmelser om certifiering av IKT-produkter, IKT-

12

ordning och ska anta ett yttrande om förslaget till certifieringsordning. Prop. 2020/21:186 Med utgångspunkt i förslaget till certifieringsordning som Enisa lagt fram,

får kommissionen anta genomförandeakter för europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT- processer. Enisa ska åtminstone vart femte år utvärdera varje antagen europeisk ordning för cybersäkerhetscertifiering och därvid beakta synpunkter från berörda intressenter.

Webbplats om europeiska ordningar för cybersäkerhetscertifiering

I artikel 50 anges att Enisa ska underhålla en särskild webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och EU-intyg om överensstämmelse, även information med avseende på europeiska ordningar för cybersäkerhetscertifiering som inte längre är giltiga, på indragna och utgångna europeiska cybersäkerhetscertifikat och EU- försäkringar om överensstämmelse, och på förteckningen över länkar till cybersäkerhetsinformation som tillhandahålls i enlighet med artikel 55. I tillämpliga fall ska det på webbplatsen också anges vilka nationella ordningar för cybercertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.

Säkerhetsmålsättningarna för europeiska ordningar för cybersäkerhetscertifiering

Enligt artikel 51 ska en europeisk ordning för cybersäkerhetscertifiering vara utformad för att, i tillämpliga fall, uppnå minst de säkerhetsmålsättningar som anges i artikeln.

Assuransnivåer för europeiska ordningar för cybersäkerhetscertifiering

I artikel 52 anges att en europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av assuransnivåerna ”grundläggande”, ”betydande” och ”hög” för IKT- produkter, IKT-tjänster och IKT- processer.

Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en IKT-produkt, IKT-tjänst eller IKT-process uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering. I syfte att säkerställa konsekvens i den europeiska ramen för cybersäkerhetscertifiering ska en europeisk ordning för cybersäkerhetscertifiering kunna specificera assuransnivån för EU-försäkringar om överensstämmelse och europeiska cybersäkerhetscertifikat som har utfärdats inom ramen för den ordningen. En EU-försäkran om överensstämmelse kan endast avse assuransnivån grundläggande medan ett europeiskt cybersäkerhetscertifikat kan avse någon av assuransnivåerna grundläggande, betydande eller hög.

Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT-tjänsten och IKT-processen och fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. Varje assuransnivå bör vara konsekvent inom de olika sektoriella områden där certifiering tillämpas.

15

Prop. 2020/21:186 En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer ska motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör IKT-produkten, IKT-tjänsten eller IKT-processen omfatta en rad säkra funktioner som fastställs i ordningen.

Självbedömning av överensstämmelse

I artikel 53 anges att en europeisk ordning för cybersäkerhetscertifiering kan ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer möjlighet att göra en självbedömning av överensstämmelse, dvs. en EU-försäkran om överensstämmelse. En självbedömning av överensstämmelse ska dock endast tillåtas i förhållande till IKT-produkter, IKT-tjänster och IKT-processer med låg risk som motsvarar assuransnivån grundläggande. Denna typ av bedömning av överensstämmelse bedöms lämplig för IKT-produkter och IKT-tjänster med lägre komplexitet som inte utgör en stor risk för det allmänna samhällsintresset (skäl 79). Genom att utfärda en EU-försäkran om överensstämmelse tar tillverkaren eller leverantören ansvar för att IKT- produkten, IKT-tjänsten eller IKT-processen överensstämmer med de krav som anges i certifieringsordningen. Det är frivilligt att utfärda en EU- försäkran om överensstämmelse om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt. En EU-försäkran om överensstämmelse ska erkännas i alla medlemsstater.

Komponenter i europeiska ordningar för cybersäkerhetscertifiering

I artikel 54 anges de komponenter som en europeisk ordning för cybersäkerhetscertifiering åtminstone ska innehålla. Av artikeln följer att föremålet och tillämpningsområdet för certifieringsordningen, inbegripet typen eller kategorierna av de IKT-produkter, IKT-tjänster och IKT- processer som omfattas av certifieringsordningen och en tydlig beskrivning av syftet med ordningen och hur de valda standarderna, utvärderingsmetoderna och assuransnivåerna överensstämmer med behoven hos ordningens avsedda användare ska anges. Om självbedömning av överensstämmelse är tillåtet inom ramen för ordningen ska också anges samt, i tillämpliga fall, särskilda eller ytterligare krav som gäller för organ för bedömning av överensstämmelse för att garantera deras tekniska kompetens att utvärdera cybersäkerhetskraven. Vidare ska, i tillämpliga fall, anges vilka uppgifter som är nödvändiga för certifieringen och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse och regler för övervakning av efterlevnaden av IKT-produkter, IKT-tjänster och IKT- processer vad gäller kraven i europeiska cybersäkerhetscertifikat eller EU- försäkran om överensstämmelse, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven. Härutöver anges i artikeln ytterligare komponenter som en europeisk ordning för cybersäkerhetscertifiering ska innehålla.

16

Iartikel 55 anges att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer för vilka en EU-försäkran om överensstämmelse har utfärdats eller som är certifierade ska lämna kompletterande cybersäkerhetsinformation enligt vad som anges i artikeln.

Cybersäkerhetscertifiering

Iartikel 56 anges att IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49, ska förutsättas överensstämma med kraven i en sådan ordning. Vidare anges att cybersäkerhetscertifieringen ska vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt.

I artikel 56.4 anges att de organ för bedömning av överensstämmelse som avses i artikel 60 ska utfärda europeiska cybersäkerhetscertifikat i enlighet med artikeln som avser assuransnivå grundläggande eller betydande på grundval av de kriterier som ingår i den europeiska ordningen för cybersäkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.

I artikel 56.5 anges att genom undantag från punkten 4, och i motiverade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen får utfärdas endast av ett offentligt organ. Ett sådant organ ska vara en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1.

Av artikel 56.6 framgår att om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivån hög, ska det europeiska cybersäkerhetscertifikatet enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:

– Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse.

– Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.

I artikel 56.9 anges att ett europeiskt cybersäkerhetscertifikat ska utfärdas för den period som fastställs i den europeiska ordningen för cybersäkerhetscertifiering och får förnyas under förutsättning att de relevanta kraven alltjämt uppfylls.

Av artikel 56.10 framgår att ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater.

17

Av artikel 58.7 framgår att nationella myndigheter för Prop. 2020/21:186 cybersäkerhetscertifiering bl.a. ska

–övervaka och kontrollera efterlevnaden av bestämmelserna i europeiska ordningar för cybersäkerhetscertifiering,

–övervaka IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med kraven i de europeiska cybersäkerhetscertifikat som har utfärdats inom deras respektive territorier, i samarbete med andra berörda marknadsövervakningsmyndigheter,

–kontrollera att tillverkare eller leverantörer av IKT-produkter, IKT- tjänster eller IKT-processer som är etablerade inom deras respektive territorier fullgör sina skyldigheter när de genomför självbedömning av överensstämmelse enligt artiklarna 53.2 och 53.3 och motsvarande europeisk ordning för cybersäkerhetscertifiering,

–aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med denna förordning,

–övervaka och kontrollera den verksamhet som bedrivs av de offentliga organ som avses i artikel 56.5,

–i tillämpliga fall utfärda bemyndiganden för organ för bedömning av överensstämmelse i enlighet med artikel 60.3 och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organen för bedömning av överensstämmelse inte uppfyller kraven i cybersäkerhetsakten,

–behandla klagomål från fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscertifiering eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6, eller avseende en EU-försäkran av överensstämmelse som utfärdats enligt artikel 53,

–lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d i denna punkt eller enligt punkt 8 till Enisa och europeiska gruppen för cybersäkerhetscertifiering,

–samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bl.a. genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i cybersäkerhetsakten eller från kraven i särskilda europeiska ordningar för cybersäkerhetscertifiering, och

–övervaka relevant utveckling på området cybersäkerhetscertifiering.

I artikel 58.8 anges de minimibefogenheter som varje nationell myndighet för cybersäkerhetscertifiering ska ha för att kunna fullgöra tillsyn över efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering.

Av artikel 58.9 framgår att nationella myndigheter för cybersäkerhetscertifiering ska samarbeta med varandra och med kommissionen, bl.a. genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer.

19

Av artikel 61.4 följer att en nationell myndighet för cybersäkerhets- Prop. 2020/21:186 certifiering får lämna in en begäran till kommissionen om att stryka ett

organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från den förteckning som avses i punkten 2.

Europeiska gruppen för cybersäkerhetscertifiering

Av artikel 62 följer att en europeisk grupp för cybersäkerhetscertifiering ska bildas. Gruppen ska bestå av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra berörda nationella myndigheter. Gruppen ska ha i uppgift att bl.a. ge råd till och bistå kommissionen i dess arbete för att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av det europeiska ramverket för cybersäkerhetscertifiering, särskilt när det gäller frågor som rör unionens löpande arbetsprogram, cybersäkerhetscertifiering, strategisamordning och utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering.

Rätt att lämna in klagomål

I artikel 63.1 anges att fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse som handlar i enlighet med artikel 56.6, till den berörda nationella myndigheten för cybersäkerhetscertifiering.

Rätt till ett effektivt rättsmedel

I artikel 64.1 anges att fysiska och juridiska personer ska ha rätt till effektiva rättsmedel avseende beslut fattade av den myndighet eller det organ som avses i artikel 63.1, och avseende underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till den myndighet eller det organ som avses i artikel 63.1.

Sanktioner

I artikel 65 anges att medlemsstaterna ska fastställa regler om sanktioner vid överträdelser av det europeiska ramverket för cybersäkerhetscertifiering och europeiska certifieringsordningar, och ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

5En ny lag införs

Regeringens förslag: En ny lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt införs.

Ord och uttryck i den nya lagen ska ha samma betydelse som i EU:s cybersäkerhetsakt.

22

cybersäkerhetscertifiering

6.1Regeringen ska utse den nationella myndigheten för cybersäkerhetscertifiering

Regeringens förslag: Den myndighet som regeringen bestämmer ska vara nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Varje medlemsstat ska utse en eller

flera nationella myndigheter för cybersäkerhetscertifiering att utföra de uppgifter som anges i EU:s cybersäkerhetsakt. Det är därmed upp till varje medlemsstat att bestämma om en eller flera myndigheter ska utses. Som utredningen föreslår bör det i den nya lagen därför införas en bestämmelse som anger att den myndighet som regeringen bestämmer ska vara nationell myndighet för cybersäkerhetscertifiering.

Prop. 2020/21:186 Försvarets materielverk bedriver verksamhet som kräver bred och djup kunskap och teknisk kompetens inom ramen för verksamhet som Sveriges nationella certifieringsorgan för IT-säkerhet i produkter och system (CSEC). Erfarenhet från certifieringsverksamhet och den tekniska kunskapen som Försvarets materielverk har är också en fördel vid uppbyggnaden av ett system för en effektiv tillsyn över regelverket för cybersäkerhetscertifiering. Till detta kommer att Försvarets materielverk bedöms ha goda förutsättningar att hantera den i vissa fall känsliga information som kommer att behöva tillgängliggöras både vid cybersäkerhetscertifiering på högsta assuransnivån och inom ramen för tillsynsverksamheten.

Regeringen bedömer, i likhet med utredningen, att Försvarets materielverk är den myndighet som är bäst lämpad och bör utses att utföra de uppgifter som åligger den nationella myndigheten för cybersäkerhetscertifiering.

För att säkerställa de krav på oberoende som EU:s säkerhetsakt ställer behöver vissa frågor om bl.a. myndighetens organisation och beslutsförfarande regleras. Detta kan lämpligen göras genom förordning.

6.3Avgiftsfinansierad verksamhet

tillsynsverksamhet enligt den nya lagen och föreskrifter som har meddelats Prop. 2020/21:186 i anslutning till lagen.

Som utredningen föreslår bör det i den nya lagen också införas ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att få meddela föreskrifter om sådana avgifter.

Regeringen anser i likhet med utredningen att det inte bör införas någon författningsreglerad avgiftsfinansiering för verksamhet som bedrivs av privata organ för bedömning av överensstämmelse. Dessa organ bedriver verksamhet på en marknad och avgiften för utfärdande av ett cybersäkerhetscertifikat bör bestämmas i konkurrens mellan berörda aktörer.

7Tillsynsbefogenheter

7.1Rätt att få tillträde till lokaler och handräckning av Kronofogdemyndigheten

Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.

Vid handräckning ska bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande tillämpas. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.

Prop. 2020/21:186 bedrivas på ett effektivt sätt är det nödvändigt att den nationella myndigheten för cybersäkerhetscertifiering får vidta vissa undersökningar

följer redan av principen om att grundlag har företräde framför vanlig lag, Prop. 2020/21:186 behöver detta inte anges särskilt i den nya lagen.

7.2Befogenhet att besluta om förelägganden som får förenas med vite

Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas.

Ett beslut om föreläggande får förenas med vite.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Enligt artikel 58.8 c i EU:s

cybersäkerhetsakt ska varje nationell myndighet för cybersäkerhetscertifiering ha rätt att vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att den som utfärdar en EU-försäkran om överensstämmelse eller utfärdar eller innehar ett europeiskt cybersäkerhetscertifikat uppfyller kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering.

Regeringen anser i likhet med utredningen att detta bör säkerställas genom att det i den nya lagen införs en ordning som innebär att den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas. Vidare föreslås att sådana beslut om föreläggande ska få förenas med vite.

Enligt Lagrådet bör det klargöras om avsikten är att ett föreläggande ska kunna riktas mot någon som saluför en produkt som certifierad, trots att något certifikat inte finns. Regeringen konstaterar att artikel 58.8 c i EU:s cybersäkerhetsakt, som bestämmelsen i den nya lagen genomför, inte uttryckligen tar sikte på den situationen. Det bör lämpligen överlämnas till rättstillämpningen att avgöra om frågan faller inom tillämpningsområdet för den nu aktuella regleringen eller om det finns annan lagstiftning, t.ex. på konsumentskyddsområdet, som kan vara tillämplig.

7.3Omedelbar verkställighet och inhibition

Regeringens bedömning: Det behövs inte några särskilda bestämmelser om att beslut av den nationella myndigheten för cybersäkerhetcertifiering får verkställas omedelbart eller om inhibition av sådana beslut.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm anser att det av

effektivitetsskäl bör övervägas att i den nya lagen införa en särskild

27

Prop. 2020/21:186 bestämmelse om att tillsynsmyndigheten får bestämma att ett beslut om föreläggande ska gälla omedelbart. Övriga remissinstanser yttrar sig inte särskilt över utredningens bedömning.

Skälen för regeringens bedömning: Om den nationella myndigheten för cybersäkerhetscertifiering konstaterar att det finns skäl att ingripa genom beslut om föreläggande kan det finnas behov att beslutet ska kunna verkställas omedelbart. Så kan exempelvis vara fallet om myndigheten beslutar att ett förfarande eller en verksamhet inte får fortsätta. Omedelbar verkställighet av ett sådant beslut kan förhindra eller minska sårbarheter och risken för skador. Även andra beslut av myndigheten kan behöva verkställas omedelbart. Skälet för detta kan vara att det annars finns en risk för att syftet med beslutet inte uppnås. Det gäller till exempel beslut som rör tillträde till lokaler för att genomföra undersökningar.

I 35 § förvaltningslagen finns bestämmelser om när en myndighets beslut får verkställas. Utgångspunkten är att ett beslut som får överklagas inom en viss tid får verkställas när överklagandetiden har gått ut, om beslutet inte har överklagats. Ett beslut får dock i vissa fall verkställas omedelbart. Det gäller till exempel om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock först noga överväga om det finns skäl att avvakta med att verkställa beslutet på grund av att beslutet medför mycket ingripande verkningar för någon enskild, att verkställigheten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller någon annan omständighet.

Regeringen anser att detta är en lämplig och effektiv ordning även i fråga om den nationella myndigheten för cybersäkerhetscertifierings beslut. Någon särskild bestämmelse av det slag som Förvaltningsrätten i Stockholm efterfrågar bör därför inte införas.

En domstol som ska pröva ett överklagande av ett förvaltningsbeslut som gäller omedelbart kan förordna att det överklagade beslutet tills vidare inte ska gälla, s.k. inhibition. Möjligheten till inhibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av den nationella myndigheten för cybersäkerhetscertifiering minimeras. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291). Någon särskild bestämmelse om inhibition behöver därför inte tas in i den nya lagen.

av kontroller, av utfärdare av en EU-försäkran om överensstämmelse, Prop. 2020/21:186 innehavare av ett europeiskt cybersäkerhetscertifikat och organ för

bedömning av överensstämmelse för att kunna verifiera överensstämmelse med bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering (punkten b).

Regeringen instämmer i utredningens bedömning att det inte behöver införas några kompletterande bestämmelser i lag om den nationella myndigheten för cybersäkerhetscertifierings befogenheter enligt bestämmelserna i artikel 58.8 a och b.

7.5Samma tillsynsbefogenheter med stöd av den nya lagen som enligt EU:s cybersäkerhetsakt

Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering ska ha de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt även vid tillsynen över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Ett fungerande europeiskt system för

cybersäkerhetscertifiering förutsätter att nationella bestämmelser införs som kompletterar EU:s cybersäkerhetsakt. Tillsynen över regelverket bör lämpligen omfatta att såväl bestämmelserna i EU:s cybersäkerhetsakt som de kompletterande nationella bestämmelserna följs. För att tillsynsverksamheten ska kunna bedrivas på ett effektivt och ändamålsenligt sätt bör de befogenheter som den nationella myndigheten för cybersäkerhetscertifiering har enligt artikel 58.8 i EU:s cybersäkerhetsakt gälla även vid tillsyn enligt den nya lagen och föreskrifter som har meddelats i anslutning till lagen.

Regeringen föreslår i likhet med utredningen att en bestämmelse om detta förs in i den nya lagen.

7.6Återkallelse av europeiska cybersäkerhetscertifikat

Prop. 2020/21:186 hetscertifikat som har utfärdats av den myndigheten eller organ för bedömning av överensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering. IKT-produkter, IKT-tjänster och IKT- processer som har certifierats enligt en europeisk ordning för cybersäkerhetscertifiering, som antagits enligt artikel 49, ska förutsättas överensstämma med kraven i en sådan ordning (artikel 56.1).

Av artikel 56.4 framgår att de organ för bedömning av överensstämmelse som avses i artikel 60 får utfärda europeiska cybersäkerhetscertifikat i enlighet med vad som anges i artikeln och som avser assuransnivå ”grundläggande” eller ”betydande” Genom undantag från punkten 4, och när en europeisk ordning för cybersäkerhetscertifiering föreskriver det, får ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen utfärdas endast av ett offentligt organ. Ett sådant organ ska antingen vara en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1 (artikel 56.5).

Om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivå ”hög” ska det europeiska cybersäkerhetscertifikatet endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, efter bemyndigande av den myndigheten, av ett organ för bedömning av överensstämmelse. Detta får ske först efter antingen ett förhandsgodkännande av myndigheten för varje enskilt europeiskt cybersäkerhetscertifikat eller efter en allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till organet för bedömning av överensstämmelse (artikel 56.6).

Som utredningen föreslår bör det i den nya lagen införas en bestämmelse som ger den nationella myndigheten för cybersäkerhetscertifiering rätt att återkalla cybersäkerhetscertifikat som myndigheten eller ett organ för bedömning av överensstämmelse som ackrediterats enligt artikel 60.1 har utfärdat och som inte längre uppfyller kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering.

Regeringen anser att det bör överlämnas till rättstillämpningen att utveckla närmare praxis i fråga om sådan återkallelse.

cybersäkerhetscertifiering kan förväntas utgöra kritiska komponenter för Prop. 2020/21:186 landets försvars- och krishanteringsförmåga. Övriga remissinstanser yttrar

sig inte särskilt över utredningens bedömning.

Skälen för regeringens bedömning: I artikel 58.8 f i EU:s cybersäkerhetsakt anges att varje nationell myndighet för cybersäkerhetscertifiering ska utdöma sanktioner i enlighet med nationell rätt och kräva att överträdelser av skyldigheterna i förordningen omedelbart upphör. Vidare föreskrivs i artikel 65 att medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering och vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska anmäla reglerna och åtgärderna samt ändringar av dessa utan dröjsmål till kommissionen.

EU:s cybersäkerhetsakt reglerar inte frågan om vilka typer av sanktioner som bör finnas eller i vilka fall som en sanktionsavgift bör tas ut av den som inte följer bestämmelserna i ramverket för cybersäkerhetscertifiering.

Kriminalisering som metod att förhindra överträdelse av olika normer i samhället bör användas med försiktighet och bör inte komma i fråga om det finns någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet.

Regeringens förslag om den nationella myndigheten för cybersäkerhetscertifierings ansvar för tillsyn och befogenheter innebär att myndigheten får effektiva verktyg i arbetet med att motverka brister i fråga om cybersäkerhetscertifiering.

Mot den bakgrunden, och med hänsyn till möjligheten att införa administrativa sanktioner, anser regeringen – i likhet med utredningen – att det inte bör införas några bestämmelser som innebär straffrättsliga sanktioner vid överträdelser av det europeiska ramverket för cybersäkerhetscertifiering.

8.2Ett system med administrativa sanktionsavgifter

Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering ska kunna besluta om sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Ett system med administrativa

sanktionsavgifter används ofta för att enkelt och snabbt beivra regelöverträdelser. Sanktionsavgifter bör tas ut endast när det gäller lätt konstaterbara överträdelser för vilka utredningsinslaget är begränsat. Ansvaret är således vanligtvis strikt i dessa fall. Sanktionsavgifter bör drabba alla som överträder reglerna lika och avgiften bör vara anpassad till överträdelsen enligt schabloner.

Regeringen anser att införandet av en ordning med administrativa sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt är

såväl lämpligt som ändamålsenligt. Som utredningen framhåller kan en

31

Prop. 2020/21:186 sådan ordning antas medföra såväl ökad följsamhet till som färre överträdelser av regelverket. En annan konsekvens av införandet av ett sanktionssystem bör också bli att konsumenternas förtroende för branschen på sikt kan öka, vilket ligger i det allmännas intresse.

En sådan ordning utgör också ett lämpligt komplement till den möjlighet att få besluta förelägganden, som får förenas med vite, som behandlas i avsnitt 7.2.

Regeringen föreslår därför, i likhet med utredningen, att det i den nya lagen införs bestämmelser om att den nationella myndigheten för cybersäkerhetscertifiering ska kunna besluta om sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt.

8.3Överträdelser som ska leda till sanktionsavgift

Regeringens förslag: Sanktionsavgift ska tas ut av den som

1.har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,

2.har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,

3.innehar ett europeiskt cybersäkerhetscertifikat och inte informerar,

ienlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,

4.har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,

5.bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,

6.överträder ett beslut av den nationella myndigheten för cybersäkerhetscertifiering om föreläggande som innebär ett förbud, eller

7.använder ett europeiskt cybersäkerhetscertifikat som blivit återkallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Kammarrätten i Stockholm och Transportstyrelsen

anser att utredningens förslag i denna del är delvis oklart och bör förtydligas.

Prop. 2020/21:186 tillverkare eller leverantör som har utfärdat en EU-försäkran om överenstämmelse trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-produkten inte är uppfyllda.

Enligt lagrådsremissens förslag skulle sanktionsavgift även tas ut om kraven enligt EU:s cybersäkerhetsakt inte är uppfyllda. Som Lagrådet påpekar motsvarar detta dock inte innehållet i artikel 53.2 i EU:s cybersäkerhetsakt. Lagtexten bör därför förtydligas och även justeras i sak i enlighet med Lagrådets förslag.

Bristande fullgörelse av uppgiftsskyldigheten

Den fysiska eller juridiska person som ansöker om att få sin produkt, tjänst eller process certifierad av ett organ för bedömning av överensstämmelse är skyldig att göra all information som krävs för att genomföra certifieringen tillgänglig (artikel 56.7). De uppgifter som tillverkaren eller leverantören lämnar ligger till grund för bedömningen om ett cybersäkerhetscertifikat ska utfärdas eller inte. Det förutsätts att de uppgifter som lämnas är korrekta. Felaktiga uppgifter eller underlåtelse att lämna uppgifter kan medföra att certifikat utfärdas på felaktiga grunder. De konsekvenser och risker som felaktigt utfärdade certifikat medför är desamma som vid felaktigt utfärdande av en EU-försäkran om överensstämmelse. En överträdelse som innebär att någon har lämnat oriktiga eller ofullständiga uppgifter vid ansökan om certifiering bör därför medföra att en sanktionsavgift får tas ut. Som Kammarrätten i Stockholm anför bör det av bestämmelsen framgå att sanktionsavgift endast får beslutas om uppgifterna som har lämnats är av betydelse.

Förslaget i lagrådsremissen innehöll en hänvisning till artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering. Lagrådet, som uppmärksammar bl.a. att det i artikel 56.7 inte finns någon reglering av ansökan, anser att det saknas skäl att i aktuell bestämmelse föreskriva var ansökan om cybersäkerhetscertifiering regleras och lämnar ett förslag på justering av lagtexten. Regeringen följer Lagrådets förslag.

Innehavare av ett europeiskt cybersäkerhetscertifikat har vidare en skyldighet att informera den myndighet eller det organ som avses artikel

56.7om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen (artikel 56.8). Om uppgiftsskyldigheten inte fullgörs bör en sanktionsavgift kunna tas ut av innehavaren av certifikatet.

Även en tillverkare eller leverantör som har utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt bör betala en sanktionsavgift. I likhet med Kammarrätten i Stockholm anser regeringen att det av lagtexten bör framgå att sanktionsavgift endast bör kunna beslutas om denna brist medför en ökad risk för sårbarhet eller skada.

34

Prop. 2020/21:186 av en tillverkare eller leverantör som använder ett cybersäkerhetscertifikat som har återkallats.

Som Lagrådet anför bygger certifieringen inom unionen på att ett certifikat som har utfärdats av en behörig myndighet inom unionen gäller inom den inre marknaden. Därmed följer också att en återkallelse som en sådan myndighet beslutar innebär att certifikatet inte längre gäller inom denna marknad. Regeringen gör bedömningen att en sanktionsavgift enligt den nya lagen därför bör kunna tas ut av den som i Sverige använder ett certifikat som har återkallats av en nationell myndighet för cybersäkerhetscertifiering i en annan medlemsstat. Det bör överlämnas till rättstillämpningen att utveckla närmare praxis i fråga om återkallelse i en sådan situation.

Vem ska sanktionsavgiften tas ut av?

I EU:s cybersäkerhetsakt regleras inte närmare vilka som ska kunna drabbas av sanktioner. Sanktionsavgifter kan användas både mot juridiska och fysiska personer. Sanktionsavgift ska tas ut av den som gör sig skyldig till någon av de överträdelser som anges i lagen. En avgift kan därför tas ut av den som utfärdar en EU-försäkran eller den som utfärdar eller innehar ett europeiskt cybersäkerhetscertifikat och gör sig skyldig till en överträdelse på sätt som anges i bestämmelsen. En sanktionsavgift kan även tas ut av en statlig myndighet, vars verksamhet omfattas av regleringen.

8.4Beslut om sanktionsavgift i samtliga fall

Regeringens förslag: Det ska vara obligatoriskt att besluta om sanktionsavgift vid överträdelser av regelverket. Det ska gälla strikt ansvar vid sådana överträdelser.

Den nationella myndigheten för cybersäkerhetscertifiering ska besluta om sanktionsavgift.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Sveriges advokatsamfund anser att det inte finns

skäl att införa en ordning med strikt ansvar. Övriga remissinstanser instämmer i utredningens förslag eller yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Det ska gälla strikt ansvar för överträdelser

System med sanktionsavgifter bygger typiskt sett på principen om strikt ansvar. Strikt ansvar innebär att varken uppsåt eller oaktsamhet är ett krav för att ta ut sanktionsavgift. Det räcker att en bestämmelse har överträtts. Regeringen håller med utredningen om att det inte finns skäl att avvika från grundprincipen för sanktionsavgifter att ansvaret ska vara strikt. Det är framförallt den omständigheten att det inte behöver bevisas att ett visst handlande har varit avsiktligt eller avgöras hur oaktsamt handlandet varit som gör en sådan ordning effektiv. Det är också svårt att se att

överträdelser i normalfallet kan bero på annat än uppsåt eller oaktsamhet.

36

Regeringen anser alltså, i likhet med utredningen, men till skillnad från Prop. 2020/21:186 Sveriges advokatsamfund, att en ordning ska införas som innebär att

överträdelser av det europeiska ramverket för cybersäkerhetscertifiering bygger på strikt ansvar.

Det ska vara obligatoriskt att ta ut sanktionsavgift

En fråga är om det bör vara obligatoriskt att ta ut sanktionsavgift när en viss bestämmelse har överträtts. Sanktionsavgifter bör, som anförs ovan, tas ut endast till följd av lätt konstaterbara överträdelser för vilka utredningsinslaget är begränsat. Ansvaret är således vanligtvis strikt i dessa fall, men andra varianter förekommer. Som regeringen anför i propositionen Informationssäkerhet för samhällsviktiga och digitala tjänster bör tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt vara begränsade med hänsyn till behovet av likabehandling, objektivitet och proportionalitet (prop. 2017/18:205 s. 69 och 70). Regelverket om cybersäkerhetscertifiering kan dock vara komplext, och innebära en resurskrävande hantering för tillsynsmyndigheten. Regeringen anser i likhet med utredningen att övervägande skäl talar för att det på det nu aktuella området bör vara obligatoriskt att besluta om sanktionsavgift när förutsättningarna för detta är uppfyllda. Detta minskar utrymmet för skönsmässiga bedömningar av den nationella myndigheten för cybersäkerhetscertifiering och framstår även som mest ändamålsenligt vid mer allvarliga överträdelser av regelverket.

Den nationella myndigheten för cybersäkerhetscertifiering ska besluta om sanktionsavgift

Regeringen anser i likhet med utredningen att såväl ändamålsskäl som effektivitetsskäl talar för att det bör vara den nationella myndigheten för cybersäkerhetscertifiering som ska besluta om sanktionsavgift. Regeringen föreslår att bestämmelser om detta införs i den nya lagen.

Prop. 2020/21:186 leda till allvarlig skada för Sveriges säkerhet. Därför bör maximibeloppet sättas så högt att det får en tillräckligt avskräckande effekt.

Bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering kommer att omfatta såväl myndigheter som företag. Aktörerna kommer dock att skilja sig mycket från varandra vad gäller t.ex. storlek och ekonomiska förutsättningar. Detta innebär att vad som upplevs som en avhållande avgift av en aktör med måttliga ekonomiska resurser kan framstå som i det närmaste obetydlig för en aktör med stora resurser. Skillnaderna kommer att finnas mellan olika aktörer, när det gäller företag, i olika branscher och mellan företag inom samma bransch.

De aktörer som omfattas av bestämmelserna är både myndigheter, företag och enskilda. Regeringen anser därför inte att det är lämpligt att koppla sanktionsavgiften till aktörens förutsättningar såsom Skatteverket föreslår. Ett system med bestämda beloppsintervall är i stället att föredra (jfr bedömningen i prop. 2017/18:205 s. 70 och 71).

För att sanktionsavgifterna ska vara effektiva, proportionerliga och avskräckande bör intervallet för sanktionsavgiften vara förhållandevis stort. Den nationella myndigheten för cybersäkerhetscertifiering får då möjlighet att göra en nyanserad bedömning när avgiftens storlek ska bestämmas.

När det gäller bestämmandet av ett lämpligt beloppsintervall kan en jämförelse göras med de belopp som kan komma ifråga vid allvarliga överträdelser av bl.a. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, dvs. högst tio miljoner kronor. En sådan avgift har av regeringen bedömts utgöra en effektiv, proportionell och avskräckande sanktion mot allvarliga överträdelser (se prop. 2017/18:205 s. 71).

Mot denna bakgrund, och med beaktande av förekomsten av stora globala aktörer på IKT-marknaden, anser regeringen, i likhet med utredningen, att det högsta beloppet för en sanktionsavgift enligt den föreslagna lagen bör bestämmas till 15 000 000 kronor. Det lägsta beloppet bör lämpligen bestämmas till 10 000 kronor då bl.a. fysiska personer kan vara innehavare av europeiska cybersäkerhetscertifikat. Det breda intervallet motiveras också av det kan röra sig om vitt skilda typer av överträdelser. Om exempelvis en enskild lämnar bristfälliga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifiering bör detta i många fall kunna bedömas som mindre allvarligt, medan allvarliga brister i cybersäkerhetskrav i produkter, tjänster och processer som kan skada samhällsviktig verksamhet bör bedömas strängare.

38

Prop. 2020/21:186 samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet samt om aktören snabbt har vidtagit rättelse (prop. 2016/17:22 s. 220 och 221).

Att avgiftsskyldigheten bygger på strikt ansvar innebär att det bör finnas en möjlighet för den nationella myndigheten för cybersäkerhetscertifiering att kunna besluta om jämkning av sanktionsavgift. En bestämmelse som ger myndigheten utrymme att i vissa fall sätta ned eller helt avstå från att ta ut någon sanktionsavgift bör därför införas. Regeringen anser att jämkning bör kunna ske om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Det kan exempelvis vara oskäligt att över huvud taget ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra särskilda skäl för jämkning. Det kan också finnas grund för nedsättning när det rör sig om en bedömningsfråga, t.ex. vilka certifieringsåtgärder som är nödvändiga i ett visst sammanhang och berörd aktör trots en ingående granskning gjort en felaktig bedömning. Enligt regeringen kan det däremot inte anses oskäligt att ta ut en sanktionsavgift om överträdelsen exempelvis beror på att en aktör inte har känt till gällande rätt eller om överträdelsen har orsakats av försämrad ekonomi, tidsbrist eller bristande rutiner. Det bör överlämnas till rättstillämpningen att utveckla närmare praxis kring grunderna för jämkning.

Lagrådet anser att den föreslagna bestämmelsen om jämkning av sanktionsavgift i praktiken inte innebär något annat än ett integrerat moment i den bedömning som ligger till grund för ett beslut enligt bestämmelsen om sanktionsavgiftens storlek. Lagrådet lämnar därför ett förslag till justering av lagtexten i denna del, för att tydliggöra att det inte är fråga om ett särskilt beslut om nedsättning. Regeringen kan inte instämma i Lagrådets förslag, bl.a. eftersom det enligt regeringens mening skulle innebära en ändring i sak som inte är lämplig. Vidare finns det flera exempel på befintlig lagstiftning som har utformats på liknande sätt som enligt lagrådsremissens förslag utan att – såvitt känt – ha förorsakat tillämpningssvårigheter. Det framstår därför inte som ändamålsenligt att justera paragrafen med den förebild i fråga om utformningen som Lagrådet föreslår som alternativ.

Regeringen väljer därför att behålla lagrådsremissens förslag.

8.7Hinder mot sanktionsavgift

Regeringens förslag: En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag.

40

Skälen för regeringens förslag: I det sjunde tilläggsprotokollet till den Prop. 2020/21:186 europeiska konventionen angående skydd för de mänskliga rättigheterna

och de grundläggande friheterna (Europakonventionen) och Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga) finns bestämmelser om rätten att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Begreppet straff i den mening som avses i Europakonventionen och EU:s rättighetsstadga anses omfatta vite, se propositionen Administrativa sanktioner på yrkesfiskets område (prop. 2007/08:107 s. 24) och propositionen Effektivare sanktioner för arbetsmiljö- och arbetstidsreglerna (prop. 2012/13:143 s. 69).

Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion – administrativ eller straffrättslig – för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer har ansetts vara när det inleds en domstolsprocess angående frågan om utdömande av vite (se prop. 2016/17:22 s. 228).

Ett beslut om föreläggande som har förenats vite bör därför inte hindra ett senare beslut om ingripande med sanktionsavgift så länge som den nationella myndigheten för cybersäkerhetscertifiering inte har ansökt om utdömande av vitet. När den nationella myndigheten för cybersäkerhetscertifiering har ansökt om utdömande av vitet bör myndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i den nya lagen.

Lagrådet väcker den mer principiella frågan om regleringen inte borde täcka också den situationen att frågan om vitesföreläggande aktualiseras efter ett beslut om att ta ut sanktionsavgift. Enligt regeringens mening motiverar den eventuella risken för en sådan tillämpning av det nu aktuella regelverket inte att innebörden av dubbelbestraffningsförbudet enligt Europakonventionen i en sådan situation behöver komma till särskilt uttryck i lagtexten.

8.8Förfarandet vid beslut om sanktionsavgift

Regeringens förslag: En sanktionsavgift ska endast få beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

Sanktionsavgiften ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska myndigheten lämna den obetalda avgiften för indrivning. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Sanktionsavgiften tillfaller staten.

Utredningens förslag överensstämmer med regeringens.

41

Prop. 2020/21:186 Remissinstanserna: Skatteverket anser att preskriptionstiden bör räknas från identifikationstillfället med hänsyn till att det kan ta tid innan överträdelser upptäcks eller identifieras. Övriga remissinstanser yttrar sig inte särskilt över utredningens förslag.

Skälen för regeringens förslag: Beslut om administrativa sanktionsavgifter är en ingripande åtgärd. I likhet med vad som gäller enligt bl.a. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster bör sådana beslut därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). Som utredningen föreslår bör en bestämmelse om detta tas in i den nya lagen.

Enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster får sanktionsavgift inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år från överträdelsen. I förarbetena till lagen angav regeringen att en sådan gräns bör finnas på grund av sanktionsavgiftens ingripande natur (prop. 2017/18:205 s. 74). En motsvarande reglering finns i 5 kap. 14 § lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Samma skäl gör sig gällande i fråga om sanktionsavgift för överträdelser av det europeiska ramverket för cybersäkerhetscertifiering.

En bortre tidsgräns för när en sanktionsavgift får beslutas bör finnas och regeringen anser att två år är en rimlig sådan gräns. Som Skatteverket anför kan det ta viss tid innan överträdelser av det europeiska regelverket för cybersäkerhetscertifiering upptäcks. Regeringen anser dock inte att det finns skäl att i det här fallet göra en annan bedömning i fråga om från vilken tidpunkt preskriptionstiden ska börja löpa än den som lagstiftaren har gjort på andra liknande områden. En bestämmelse med motsvarande innebörd som i de nyss nämnda lagarna bör därför införas i den föreslagna lagen. Liksom i andra liknande fall bör bevisbördan för att kommunikation har genomförts ligga på tillsynsmyndigheten (se prop. 2017/18:205 s. 74).

För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv bör en sanktionsavgift som den nationella myndigheten för cybersäkerhetscertifiering har beslutat kunna drivas in utan att det krävs något domstolsavgörande (3 kap. 1 § första stycket 6 utsökningsbalken). Det bör i den nya lagen införas bestämmelser om att betalning av sanktionsavgift ska ske till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om sanktionsavgift vann laga kraft eller annars inom den längre tid som anges i beslutet. I lagen bör också regleras att myndigheten ska lämna den obetalda avgiften för indrivning om avgiften inte betalas inom denna tid.

Som utredningen föreslår bör en sanktionsavgift preskriberas i den utsträckning verkställighet inte har skett inom fem år.

Sanktionsavgiften bör tillfalla staten.

42

överensstämmelse

9.1Bestämmelser i EU:s cybersäkerhetsakt

Cybersäkerhetscertifikat enligt EU:s cybersäkerhetsakt kan utfärdas av privata och offentliga organ för bedömning av överensstämmelse samt av den nationella myndigheten för cybersäkerhetscertifiering. Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. En sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt. Av bilagan framgår bl.a. att ett organ för bedömning av överensstämmelse ska vara en juridisk person.

Utgångspunkten är att de organ för bedömning av överensstämmelse som avses i artikel 60 i EU:s cybersäkerhetsakt ska utfärda europeiska cybersäkerhetscertifikat som avser assuransnivå ”grundläggande” eller ”betydande” på grundval av de kriterier som ingår i en europeisk ordning för cybersäkerhetscertifiering (artikel 56.4). Genom undantag från den bestämmelsen, och i vederbörligen motiverade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen endast kan utfärdas av ett offentligt organ för bedömning av överensstämmelse. Ett sådant organ ska vara nationell myndighet för cybersäkerhetscertifiering eller ett offentligt organ som är ackrediterat som ett organ för bedömning av överensstämmelse enligt artikel 60.1.

Om en europeisk ordning för cybersäkerhetscertifiering kräver assuransnivå ”hög” ska europeiska cybersäkerhetscertifikat enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse (artikel 56.6):

–Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse (artikel 56.6 a).

–Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering (artikel 56.6 b).

Om ett europeiskt cybersäkerhetscertifikat utfärdas av den nationella myndigheten för cybersäkerhetscertifiering enligt artiklarna 56.5 a och

56.6ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse (artikel 60.2).

Om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av

43

Prop. 2020/21:186 den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar (artikel 58.7 e och 60.3).

9.2Ackreditering av organ för bedömning av överensstämmelse

9.2.1Bestämmelser i EU:s cybersäkerhetsakt

Enligt artikel 60.1 ska organen för bedömning av överensstämmelse ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. En sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt. Ackrediteringen ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven som anges i artikel 60.

I bilagan till EU:s cybersäkerhetsakt framgår de krav ska organen för bedömning av överensstämmelse ska uppfylla. Bland annat uppställs följande krav:

–Ett organ för bedömning av överensstämmelse ska inrättas i enlighet med nationell rätt och vara en juridisk person.

–Ett organ för bedömning av överensstämmelse ska vara ett tredjepartsorgan som är oberoende av den organisation eller de IKT- produkter, IKT-tjänster eller IKT-processer som det bedömer.

–Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för att utföra bedömningen av överensstämmelse får inte utgöras av den som konstruerar, tillverkar, levererar, installerar, köper, äger, använder eller underhåller den IKT- produkt, IKT-tjänst eller IKT-process som bedöms, eller de som företräder någon av dessa parter.

–Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får varken delta direkt i konstruktionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av dessa IKT-produkter, IKT-tjänster eller IKT-processer som bedöms, eller företräda de parter som bedriver denna verksamhet.

–Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får inte delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse. Det förbudet ska framför allt gälla konsulttjänster.

–Organen för bedömning av överensstämmelse ska också uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som utför certifiering av IKT-produkter, IKT- tjänster eller IKT-processer.

44

Det ställs också krav på bl.a. kompetens och teknisk expertis hos organen Prop. 2020/21:186 för bedömning av överensstämmelse (se bilagan till EU:s cybersäker-

hetsakt).

9.2.2Gällande regelverk om ackreditering

Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning nr 339/93 trädde i kraft den 1 januari 2010. EU-förordningen syftar till att underlätta den fria rörligheten för varor på EU:s inre marknad och samtidigt säkerställa en hög skyddsnivå för allmänna intressen som hälsa och säkerhet i allmänhet, hälsa och säkerhet på arbetsplatser, konsumentskydd och miljöskydd. Genom EU-förordningen har gemensamma bestämmelser och principer om ackreditering av organ för bedömning av överensstämmelse, t.ex. laboratorier, kontrollorgan och certifieringsorgan införts. EU- förordningen innehåller även regler om marknadskontroll, kontroll av produkter från tredje länder och CE-märkning. Genom lagen (2011:791) om ackreditering och teknisk kontroll har svensk rätt anpassats till EU- förordningen. Lagen och tillhörande förordning (2011:811) om ackreditering och teknisk kontroll uppställer krav för bl.a. ackreditering av organ för bedömning av överensstämmelse och hur bedömningar av överensstämmelse och rapportering av sådana ska göras. Den innehåller även bestämmelser om certifiering av anordningar, tillsyn och avgifter. Styrelsen för ackreditering och teknisk kontroll (Swedac) ansvarar, som nationellt ackrediteringsorgan, för ackreditering enligt EU-förordningen och ansvarar för övrig ackreditering av organ för bedömning av överensstämmelse. Swedac fattar beslut att utse anmälda organ för bedömning av överensstämmelse och fattar beslut att begränsa eller återkalla en sådan anmälan. Swedac utövar tillsyn över organ som avses i lagen samt har rätt att ta ut avgifter för att täcka kostnader för ackreditering, tillsyn och bedömning.

Bestämmelsen i artikel 60.1 i EU:s cybersäkerhetsakt om att organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008 innebär alltså att Swedac är den myndighet som ska ackreditera organ för bedömning av överenstämmelse enligt EU:s cybersäkerhetsakt.

9.2.3Kompletterande bestämmelser om ackreditering

Regeringens förslag: I den nya lagen ska det upplysningsvis anges att bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering finns i artikel

60.1i EU:s cybersäkerhetsakt och i bilagan till cybersäkerhetsakten samt att det i förordning (EG) nr 765/2008 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om krav för ackreditering av sådana organ.

45

samråda vid bedrivande av tillsyn. Detta framgår också delvis redan av Prop. 2020/21:186 EU:s cybersäkerhetsakt. I artikel 58.7 punkten e framgår nämligen att den

nationella myndigheten för cybersäkerhetscertifiering aktivt ska bistå och stödja det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse. Det europeiska regelverket är därmed utformat med beaktande av de båda organens till del överlappande uppgifter i det här avseendet. Det finns också bestämmelser om samverkan i förvaltningslagen (8 §) och i myndighetsförordningen (2007:515).

Regeringen ser därför, till skillnad från Swedac, inte något behov av att reglera detta särskilt. Genom nära och effektiv samverkan mellan den nationella myndigheten för cybersäkerhetscertifiering och det nationella ackrediteringsorganet bör eventuella oklarheter i fråga om t.ex. gränsdragning mellan myndigheternas tillsynsområden kunna undvikas.

9.2.4EU-förordningen (EG) nr 765/2008 byter titel

Regeringens förslag: Den nya lagen ändras så att upplysningsbestämmelsen i lagen om EU-förordningen (EG) nr 765/2008 anger den lydelse av förordningens titel som träder i kraft den 16 juli 2021.

Utredningen lämnar inte något förslag i denna del.

Skälen för regeringens förslag: Regeringens förslag som behandlas i avsnitt 9.2.3 innebär att det i den nya lagen upplysningsvis ska anges att bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering finns i EU- förordningen (EG) nr 765/2008.

I artikel 39.1 i förordningen (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter anges att titeln till förordningen (EG) nr 765/2008 ska ersättas. Ändringen gäller från och med den 16 juli 2021. Anledningen är att bestämmelser om marknadskontroll i förordningen (EG) nr 765/2008 upphävs den 16 juli 2021 i samband med att förordningen (EU) 2019/1020 om marknadskontroll och överensstämmelse blir fullt tillämplig.

I lagrådsremissen föreslås att det görs en ändring i den nya lagen, så att EU-förordningen (EG) nr 765/2008 anges med dess nya titel. Enligt Lagrådet skulle en mer ändamålsenlig ordning kunna vara att ändringen i stället genomförs i form av en övergångsbestämmelse till den nya lagen. Lagrådet lämnar också ett förslag på hur detta kan genomföras. Regeringen, som bl.a. noterar att Lagrådets förslag avviker från vad som är författningstekniskt brukligt för ändringar av nu aktuellt slag, anser dock att utformningen enligt lagrådsremissens förslag är såväl lämpligare som tydligare från bl.a. ett rättstillämpningsperspektiv och därför bör stå kvar.

47

Regeringens bedömning: I EU:s cybersäkerhetsakt finns bestämmelser som innebär att förvaltningsuppgifter, innefattande myndighetsutövning, överlämnas till privata organ för bedömning av överensstämmelse.

Det behövs inte några motsvarande bestämmelser i den nya lagen.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser yttrar sig inte särskilt

över utredningens bedömning i denna del. Tullverket anser dock att överlämnandet av förvaltningsuppgift till privata organ för bedömning av överensstämmelse uttryckligen bör regleras i den nya lagen.

Skälen för regeringens bedömning: Enligt 12 kap. 4 § andra stycket regeringsformen kan förvaltningsuppgifter överlämnas till juridiska personer och enskilda individer. Om förvaltningsuppgiften innefattar myndighetsutövning, får ett överlämnande göras endast med stöd av lag

I EU:s cybersäkerhetsakt finns bestämmelser om att de organ för bedömning av bestämmelse som avses i artikel 60 ska utfärda cybersäkerhetscertifikat på assuransnivå ”grundläggande” och ”betydande” (artikel 56.4). Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorganet under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till cybersäkerhetsakten (artikel. 60.1). Av bilagan framgår att ett organ för bedömning av överensstämmelse ska vara en juridisk person. Ett organ för bedömning av överensstämmelse kan alltså vara såväl en offentligrättslig som privaträttslig aktör.

Om det i en europeisk ordning för cybersäkerhetscertifiering ställs krav på assuransnivå ”hög”, ska den nationella myndigheten för cybersäkerhetscertifiering utfärda cybersäkerhetscertifikat enligt den ordningen (artikel 56.6). Den nationella myndigheten för cybersäkerhetscertifiering kan dock på förhand delegera uppgiften till ett organ för bedömning av överensstämmelse. Vidare kan en europeisk ordning för cybersäkerhetscertifiering innehålla särskilda eller ytterligare krav (artikel

54.1f). I de fallen ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar (artikel 60.3). Enligt artikel 58.7 e får en nationell myndighet för cybersäkerhetscertifiering i tillämpliga fall utfärda bemyndiganden enligt artikel 60.3 för organ för bedömning av överensstämmelse att utföra certifieringsuppgifter och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organet inte uppfyller kraven enligt EU:s cybersäkerhetsakt.

Som utredningen anför utgör ett cybersäkerhetscertifikat, särskilt när det är fråga om obligatorisk cybersäkerhetscertifiering, en förutsättning för att en tillverkare eller leverantör ska kunna tillhandahålla IKT-produkten, IKT-tjänsten eller IKT-processen på den inre marknaden. Uppgiften att utfärda cybersäkerhetscertifikat utgör en förvaltningsuppgift som innefattar myndighetsutövning.

48

Uppgiften för såväl privata som offentliga organ för bedömning av Prop. 2020/21:186 överensstämmelse att utfärda europeiska cybersäkerhetscertifikat regleras

i EU:s cybersäkerhetsakt. Regeringen anser i likhet med utredningen att artiklarna 56.4, 56.6, 58.7 e och 60.3 i EU:s cybersäkerhetsakt ger tillräckligt lagstöd för det överlämnande av förvaltningsuppgifter till privata organ för bedömning av överensstämmelse som regleringen i cybersäkerhetsakten innebär. Det finns därför inte något behov av motsvarande bestämmelser i den nya lagen.

10Handläggning och rättsmedel

10.1Myndigheternas handläggning av ärenden

Regeringens bedömning: I den mån det europeiska ramverket för cybersäkerhetscertifiering inte innehåller avvikande bestämmelser är förvaltningslagen tillämplig på berörda myndigheters handläggning av ärenden. Det behövs inga kompletterande nationella regler om ärendehandläggningen hos myndigheterna.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens

bedömning.

Skälen för regeringens bedömning: Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna (1 §). Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från förvaltningslagen, tillämpas den bestämmelsen (4 §). När det gäller det europeiska ramverket för cybersäkerhetscertifiering innebär detta att förvaltningslagen ska tillämpas om det inte finns avvikande bestämmelser i EU:s cybersäkerhetsakt och de genomförandeakter som beslutas med stöd av akten.

Regeringen anser i likhet med utredningen att det inte finns behov av kompletterande nationella bestämmelser om handläggningen av ärenden hos den nationella myndigheten för cybersäkerhetscertifiering eller ett offentligt organ för bedömning av överensstämmelse.

Frågan om vilka regler för handläggning som bör gälla i samband med klagomål enligt artiklarna 58.7 f och 63 behandlas i avsnitt 10.3.1.

10.2Ärendehandläggning hos privata organ för bedömning av överensstämmelse

Regeringens förslag: Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut det har meddelat om organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, om det kan ske snabbt och enkelt och utan att det blir till

nackdel för någon enskild.

49

Prop. 2020/21:186 Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Organ för bedömning av

överensstämmelse ska vara juridiska personer, t.ex. aktiebolag. En förutsättning för att en privat aktör ska få vara organ för bedömning av överensstämmelse är att organet ackrediteras av det nationella ackrediteringsorganet. De aktörer som önskar bli ackrediterade ska uppfylla flera krav, bl.a. krav på opartiskhet, tillhandahållande av beskrivningar av de förfaranden enligt vilka organen utför sina bedömningar i syfte att säkerställa insyn samt uppfylla de krav som anges i relevanta standarder enligt förordning (EG) nr 765 (se bilagan till EU:s cybersäkerhetsakt). De europeiska ordningarna för cybersäkerhetscertifiering ska vidare innehålla en rad komponenter som bl.a. kan förväntas ha inverkan på handläggningen av ärenden om cybersäkerhetscertifiering (se artikel 54 i EU:s cybersäkerhetsakt). Det finns vidare en möjlighet för en tillverkare eller leverantör att lämna in klagomål till organet för bedömning av överensstämmelse (se nedan). Det europeiska ramverket för cybersäkerhetscertifiering innehåller således en viss ordning för ärendehandläggning.

I artikel 41 i Europeiska unionens stadga om de grundläggande rättigheterna av den 7 december 2000, anpassad den 12 december 2007 i Strasbourg, förkortad rättighetsstadgan, slås vidare fast att var och en har rätt till god förvaltning. Denna rättighet omfattar bl.a. rätten till kommunikation, aktinsyn och motivering av beslut. Rätten till god förvaltning gäller enligt rättighetsstadgan bara i förhållande till unionens institutioner, organ och byråer. Som regeringen anför i propositionen En modern och rättssäker förvaltning – ny förvaltningslag framstår det som naturligt att utgå från att de allmänna unionsrättsliga principer som gäller i ärenden som handläggs av unionens institutioner och organ också gäller för medlemsstaternas myndigheter, när de handlägger ärenden på unionsrättens område (prop. 2016/17:180 s. 44).

De privata organen för bedömning av överensstämmelse utgör inte myndigheter i förvaltningslagens mening. Förvaltningslagen är därför inte tillämplig på organens handläggning av ärenden.

De privata organen för bedömning av överensstämmelse ska i utövandet av den verksamheten beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet (jfr 1 kap. 9 § regeringsformen). Härutöver bör, som utredningen föreslår, organen för bedömning av överensstämmelse ha en skyldighet att i vissa fall ompröva ett tidigare beslut i ett ärende om certifiering. Det bör i den nya lagen införas en särskild bestämmelse om detta. En lämplig förebild för bestämmelsen kan vara 38 § förvaltningslagen om när en myndighet ska ändra ett beslut.

Regeringen föreslår därför att ett privat organ för bedömning av överensstämmelse ska ändra ett beslut det har meddelat, om organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.

50

10.3.1Rätten till klagomål

Regeringens bedömning: Det behövs inga särskilda bestämmelser om den enskildes rätt att ge in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller den nationella myndigheten för cybersäkerhetscertifiering. Det behövs inte heller några särskilda

bestämmelser om certifieringsorganens och myndighetens handläggning av sådana klagomål.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens

bedömning.

Skälen för regeringens bedömning: Klagomål som rör EU- försäkringar av överensstämmelse, europeiska cybersäkerhetscertifikat utfärdade av nationella myndigheter för cybersäkerhetscertifiering och sådana certifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6 (dvs. certifikat som avser högsta assuransnivån) ska ges in till den berörda nationella myndigheten för cybersäkerhetscertifiering. Klagomål ska i övriga fall lämnas till det organ för bedömning av överensstämmelse som har utfärdat det europeiska cybersäkerhetscertifikat som klagomålet avser (artikel 63.1).

Den nationella myndigheten för cybersäkerhetscertifiering eller det organ för bedömning av överensstämmelse som klagomålet lämnats till ska underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats, och ska informera den klagande om effektiva rättsmedel enligt artikel 64 (artikel 63.2). Den nationella myndighetens uppgift att behandla klagomål regleras även i artikel 58.7 f. Av bestämmelsen följer att myndigheten i lämplig utsträckning ska undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen.

När den nationella myndigheten för cybersäkerhetscertifiering handlägger klagomålsärenden är förvaltningslagen tillämplig, i den mån det europeiska ramverket inte innehåller avvikande bestämmelser. Som redogörs för ovan innehåller EU:s cybersäkerhetsakt vissa handläggningsregler som ska följas av såväl den nationella myndigheten för cybersäkerhetscertifiering som offentliga och privata organ för bedömning av överensstämmelse. Ytterligare förfaranderegler kan också tillkomma genom de europeiska ordningarna för cybersäkerhetscertifiering. Handläggningsförfarandet enligt cybersäkerhetsakten uppvisar likheter med bestämmelser i förvaltningslagen, t.ex. i fråga om utredningsansvar, skyndsamhetskrav och underrättelseskyldighet (jfr artiklarna 58.7 f och 63.2). Cybersäkerhetsakten ger också enskilda rätt till effektiva rättsmedel även avseende underlåtenhet att vidta åtgärder med anledning av ett klagomål (artikel 64.1 b). Frågan om överklagande behandlas närmare i nästa avsnitt.

Sammantaget gör regeringen i likhet med utredningen bedömningen att det inte finns behov av att införa kompletterande nationella bestämmelser om den nationella myndigheten för cybersäkerhetscertifierings eller ett

51

tillämpningsområdet för 7 a § förvaltningsprocesslagen (1971:291). Prop. 2020/21:186 Regeringen konstaterar att det inte finns beredningsunderlag för att

överväga en eventuell sådan reglering.

11Offentlighet och sekretess

11.1Utgångspunkter

Det europeiska ramverket för cybersäkerhetscertifiering ger möjlighet för tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT- processer att antingen utfärda en EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat. Såväl en EU-försäkran om överensstämmelse som ett europeiskt cybersäkerhetscertifikat grundas på information om den aktuella produktens, tjänstens eller processens konstruktion och funktionalitet. Vidare inbegriper IKT-produkter, IKT- tjänster och IKT-processer ofta en eller flera komponenter eller annan teknik från tredje part, som är nödvändiga för produkten, tjänsten, eller processen, t.ex. programmoduler, bibliotek eller programmeringsgränssnitt. Detta kan innebära cybersäkerhetsrisker eftersom sårbarheter i sådana tredjepartskomponenter även kan påverka IKT-produkternas, IKT- tjänsternas och IKT-processernas säkerhet. Det finns därför ett behov av att informationen och uppgifterna skyddas, bl.a. av konkurrens- och säkerhetsskäl. Bestämmelser som rör skydd för uppgifter finns i EU:s cybersäkerhetsakt och i offentlighets- och sekretesslagen (2009:400), förkortad OSL.

11.2Bestämmelser i EU:s cybersäkerhetsakt

Uppgiftsskyldighet

Av artikel 56.7 i EU:s cybersäkerhetsakt följer att den fysiska eller juridiska person som lämnar in sina IKT-produkter, IKT-tjänster eller IKT-processer för certifiering ska göra all information som krävs för att genomföra certifieringen tillgänglig för den nationella myndigheten för cybersäkerhetscertifiering, om myndigheten utfärdar certifikatet, eller för det aktuella organet för bedömning av överensstämmelse. Uppgifter som är nödvändiga och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse kommer att anges i de europeiska ordningarna för cybersäkerhetscertifiering (artikel 54.1 h).

Innehavare av europeiska cybersäkerhetscertifikat är vidare skyldiga att rapportera nyupptäckta sårbarheter eller oriktigheter vilka rör säkerheten för cybersäkerhetscertifierad IKT till en nationell myndighet för cybersäkerhetscertifiering eller ett organ för bedömning av överensstämmelse. Myndigheten eller organet ska i sin tur överlämna mottagen information till den berörda nationella myndigheten för cybersäkerhetscertifiering (artikel 56.8).

53

I denna punkt anges att ett organ som önskar bli ackrediterat ska bevara Prop. 2020/21:186 konfidentialitet och iaktta tystnadsplikt avseende all den information som

organen erhåller vid utförandet av bedömning av överensstämmelse i enlighet med det europeiska ramverket för cybersäkerhetscertifiering eller kompletterande nationella bestämmelser, utom i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt. Det ställs även krav på att organ för bedömning av överensstämmelse ska ha dokumenterade förfaranden som möter kraven på konfidentialitet och tystnadsplikt. Vidare anges att immateriella rättigheter ska skyddas.

I artikel 54.1 n i EU:s cybersäkerhetsakt anges också att en europeisk ordning för cybersäkerhetscertifiering ska innehålla bestämmelser om hur organ för bedömning av överensstämmelse i tillämpliga fall ska bevara sina uppgifter.

11.3Inget behov av ändringar i offentlighets- och sekretesslagen

Regeringens bedömning: Det finns inte något behov av ändringar i offentlighets- och sekretesslagen.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm anser att det kan

finnas behov av att införa en uttrycklig bestämmelse om uppgiftsskyldighet som möjliggör ett utlämnande enligt 10 kap. 28 § offentlighets- och sekretesslagen. Även Skatteverket är inne på en liknande linje. Övriga remissinstanser yttrar sig inte särskilt över utredningens bedömning.

Skälen för regeringens bedömning

Utgångspunkter

Till följd av bestämmelserna om uppgiftsskyldighet i EU:s cybersäkerhetsakt kommer organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering att få tillgång till skyddsvärda uppgifter om såväl tillverkare och leverantörer som IKT- produkter, IKT-tjänster och IKT-processer. Det kan t.ex. vara fråga om nyupptäckta cybersäkerhetssårbarheter i certifierad IKT som används i samhällsviktig verksamhet. Den nationella myndigheten för cybersäkerhetscertifiering kommer också att förfoga över ytterligare skyddsvärd information inom ramen för tillsynsverksamheten, t.ex. avseende tester och underlag för provning samt certifieringsorganets bedömning av dessa underlag.

Det finns ett behov av att säkerställa att dessa uppgifter åtnjuter ett fullgott skydd inom det europeiska systemet för cybersäkerhetscertifiering. Som redogörs för ovan finns bestämmelser om konfidentialitet och tystnadsplikt i EU:s cybersäkerhetsakt. I offentlighets- och sekretesslagen finns det ett flertal bestämmelser som kan vara tillämpliga på uppgifter hos ett offentligt organ för bedömning av överensstämmelse eller den nationella myndigheten för cybersäkerhets-

55

Enligt 15 kap. 2 § OSL gäller sekretess för uppgift som rör verksamhet Prop. 2020/21:186 för att försvara landet eller planläggning eller annan förberedelse av sådan

verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Så kallad försvarssekretess kan exempelvis aktualiseras hos de offentliga organen för bedömning av överensstämmelse och hos den nationella myndigheten för cybersäkerhetscertifiering i den mån det förekommer uppgifter vars röjande medför att kritiska samhällsfunktioner äventyras och att verksamheter av betydelse för Sveriges säkerhet hotas.

Enligt 17 kap. 1 § OSL gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjas. Bestämmelsen kan t.ex. aktualiseras i den nationella myndigheten för cybersäkerhetscertifierings tillsynsverksamhet.

Enligt utredningen kan det bli aktuellt för ett organ för bedömning av överensstämmelse att använda tester och prov för att bedöma kunskapsnivå och tilldela status som evaluerare eller certifierare. I en sådan situation bör 17 kap. 4 § OSL kunna bli tillämplig. Enligt den bestämmelsen gäller sekretess för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets överseende, om det kan antas att syftet med provet motverkas om uppgiften röjs.

Sekretessbrytande bestämmelser

Den nationella myndigheten för cybersäkerhetscertifiering, offentliga organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet behöver kunna lämna sekretessbelagda uppgifter som myndigheterna hanterar i certifierings-, tillsyns- eller ackrediteringsverksamhet till varandra. Ett organ för bedömning av överenstämmelse har t.ex. en skyldighet att till den nationella myndigheten för cybersäkerhetscertifiering vidarebefordra information om sårbarheter eller oriktigheter som rör säkerheten för en cybersäkerhetscertifierad IKT- produkt, IKT-tjänst eller IKT-process (artikel 56.8). Vidare har den nationella myndigheten för cybersäkerhetscertifiering en skyldighet att bistå det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs enligt EU:s cybersäkerhetsakt av organen för bedömning av överensstämmelse (artikel 58.7 b). I den verksamheten kan uppgifter som kan omfattas av sekretess behöva lämnas mellan myndigheterna. Den nationella myndigheten för cybersäkerhetscertifiering ska också samarbeta med andra berörda marknadsövervakningsmyndigheter (se artikel 58.7 a).

En uppgift som omfattas av sekretess enligt offentlighets- och sekretesslagen får som utgångspunkt inte röjas för enskilda eller andra myndigheter (8 kap. 1 § OSL). För att tillgodose myndigheters behov av information och informationsutbyte i sin verksamhet finns flera undantag från huvudregeln om sekretess mellan myndigheter. Sådana sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns huvudsakligen i 10 kap. OSL.

57

Prop. 2020/21:186 Enligt 10 kap 2 § OSL hindrar sekretess inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen kan vara tillämplig i fall där någon av de övriga sekretessbrytande reglerna inte gäller, men ska tillämpas restriktivt (se prop. 1979/80:2 Del A s. 465 och 494).

Enligt 10 kap. 17 § OSL hindrar sekretess inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revision hos den myndighet där uppgiften förekommer. Får en myndighet i verksamhet som avser tillsyn eller revision en sekretessreglerad uppgift överförs sekretessen till den mottagande myndigheten om uppgiften inte ingår i ett beslut hos den mottagande myndigheten (11 kap. 1 § OSL). Det är inte bara uppgifter hos den kontrollerade myndigheten som skyddas. Om tillsyns- eller kontrollmyndigheten inhämtar sekretessbelagda uppgifter från någon annan myndighet än den som är föremål för tillsyn eller revision blir också dessa uppgifter sekretesskyddade. Bestämmelsen i 10 kap. 17 § OSL kan bli tillämplig som ett led i tillsynsverksamheten hos den nationella myndigheten för cybersäkerhetscertifiering i fråga om tillsyn över ett offentligt organ för bedömning av överensstämmelse.

Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en uppgift som omfattas av sekretess lämnas till en annan myndighet om det är uppenbart att intresset av att lämna uppgiften har företräde framför det intresse som sekretessen har att skydda. Generalklausulen kan inte tillämpas om utlämnandet strider mot lag eller förordning. Bestämmelsen är subsidiär i förhållande till andra sekretessbrytande bestämmelser och ska alltså inte tillämpas om någon annan sekretessbrytande bestämmelse kan tillämpas.

Enligt 10 kap. 28 § OSL hindrar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Som redogörs för ovan innebär EU:s cybersäkerhetsakt, som ska jämställas med lag, en skyldighet för bl.a. offentliga organ för bedömning av överensstämmelse att lämna uppgifter till den nationella myndigheten för cybersäkerhetscertifiering. Regeringen anser därför, till skillnad från Förvaltningsrätten i Stockholm och Skatteverket, inte att det finns behov av att införa en bestämmelse om uppgiftsskyldighet för att möjliggöra utlämnande av uppgifter enligt 10 kap. 28 §.

Det finns således flera sekretessbrytande bestämmelser som kan tillämpas för att uppgifter som omfattas av sekretess ska kunna lämnas mellan myndigheter i samband med tillsyn och rapportering av sårbarheter. Bestämmelserna kan också vara tillämpliga i den nationella ackrediteringsorganets tillsynsverksamhet över offentliga organ för bedömning av överensstämmelse respektive när myndigheten får uppgifter i samband med ansökan om ackreditering.

De sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket OSL får inte tillämpas om sekretess gäller för uppgiften enligt 15 kap. 1 a §. I sammanhanget kan nämnas att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning (8 kap. 3 § OSL). Det innebär att sekretess inte hindrar det informationsutbyte som enligt artiklarna 58.7–9 och 59 i cybersäkerhetsakten ska ske mellan de nationella myndigheterna för cybersäkerhets-

58certifiering.

Regeringen gör sammantaget bedömningen att det inte finns något Prop. 2020/21:186 behov av att införa nya sekretessbrytande bestämmelser.

Det finns inte behov av några ändringar i offentlighets- och sekretesslagen

Sammanfattningsvis finns det flera sekretessbestämmelser i offentlighets- och sekretesslagen som kan aktualiseras i verksamheten hos offentliga organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering. Det har inte framkommit att det finns behov av att göra några ändringar i offentlighets- och sekretesslagen med anledning av EU:s cybersäkerhetsakt.

11.4En bestämmelse om tystnadsplikt ska införas

Regeringens förslag: Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att det även ska införas en upplysningsbestämmelse om att den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Bestämmelserna om konfidentialitet

och tystnadsplikt i bilagan till EU:s cybersäkerhetsakt gäller för privata organ för bedömning av överensstämmelse. Till skillnad mot offentliga organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering omfattas inte de privata organens hantering av uppgifter av offentlighets- och sekretesslagen, eftersom den lagen, med vissa undantag, endast är tillämplig vid myndigheters hantering av handlingar.

Bestämmelser om tystnadsplikt för privata aktörer finns dock i vissa specialförfattningar. Tystnadsplikten är då ofta reglerad som ett förbud mot att obehörigen röja vissa uppgifter. En sådan bestämmelse finns t.ex. i 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse.

Författningsreglerad tystnadsplikt, oavsett om den följer av bestämmelser i offentlighets- och sekretesslagen eller av annan lag, utgör en inskränkning av yttrandefriheten enligt regeringsformen. Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Som utredningen föreslår bör det i den nya lagen införas en bestämmelse om tystnadsplikt som innebär att den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt inte obehörigen får röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.

59

Prop. 2020/21:186 En möjlighet för de privata organen för bedömning av överensstämmelse att bryta sekretessen i förhållande till behöriga nationella myndigheter, och då författning kräver att uppgifter lämnas, har intagits i bilagan till EU:s cybersäkerhetsakt. Detta undantag möjliggör nödvändigt informationsutbyte mellan organet i fråga och den nationella myndigheten för cybersäkerhetscertifiering. Att den föreslagna tystnadsplikten avgränsas med ett obehörighetsrekvisit innebär bl.a. att uppgifter kan lämnas ut med samtycke, till den nationella myndigheten för cybersäkerhetscertifiering eller annars som en följd av en skyldighet i lag eller författning.

Det bör också framgå av lagtexten att offentlighets- och sekretesslagen är tillämplig i det allmännas verksamhet. Till skillnad mot utredningen anser regeringen inte att det av lagtexten behöver framgå att den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. Utformningen av paragrafen i den här delen överensstämmer med motsvarande bestämmelse i 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Prop. 2020/21:186 Regeringen bedömer att befintlig reglering i EU:s dataskyddsförordning, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning är tillräcklig för den personuppgiftsreglering som kan komma att utföras av den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet. Det behöver således inte införas några nya bestämmelser om behandling av personuppgifter med anledning av EU:s cybersäkerhetsakt.

13Ikraftträdande- och övergångsbestämmelser

13.1Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

Regeringens förslag: Den nya lagen ska träda i kraft den 28 juni 2021.

Regeringens bedömning: Det behövs inga övergångsbestämmelser.

Utredningens förslag och bedömning överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över utredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: Lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt bör träda i kraft samtidigt som bestämmelserna i EU:s cybersäkerhetsakt om cybersäkerhetscertifiering ska börja tillämpas, dvs. den 28 juni 2021.

Det finns inte behov av några övergångsbestämmelser.

13.2Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt

Regeringens förslag: Lagen om ändring i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska träda i kraft den 16 juli 2021.

Regeringens bedömning: Det behövs inga övergångsbestämmelser.

Utredningen lämnar inte något förslag i denna del.

Skälen för regeringens förslag och bedömning: Ändringen av titeln till EU-förordningen (EG) nr 765/2008 ska börja tillämpas den 16 juli 2021. Lagen om ändring i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt bör träda i kraft samtidigt.

Det finns inte behov av några övergångsbestämmelser.

62

hetsakt kan anses ha positiva konsekvenser för hela samhället, eftersom Prop. 2020/21:186 syftet med certifieringsverksamheten enligt cybersäkerhetsakten är att

höja cybersäkerhetsnivån inom unionen och harmonisera europeiska system för cybersäkerhetscertifiering på unionsnivån.

Övriga konsekvenser

Förslagen bedöms inte påverka

–den kommunala självstyrelsen,

–brottsligheten och det brottsförebyggande arbetet,

–sysselsättning och offentlig service i olika delar av landet,

–jämställdheten mellan kvinnor och män, eller

–möjligheterna att nå de integrationspolitiska målen.

Förslagen bedöms inte heller i övrigt medföra några konsekvenser av betydelse.

15Författningskommentar

15.1Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

Inledande bestämmelse

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäkerhetsakt. Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.

I paragrafen anges lagens innehåll. Övervägandena finns i avsnitt 5.

Av första stycket framgår att syftet med lagen är att komplettera EU:s förordning om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten). Lagen kompletterar EU:s cybersäkerhetsakt och kan därför inte tillämpas fristående från den. Hänvisningen till EU:s cybersäkerhetsakt är dynamisk. Det innebär att hänvisningen avser cybersäkerhetsakten i den vid varje tidpunkt gällande lydelsen.

Av andra stycket framgår att förordningen (EU) 2019/881 i lagen benämns EU:s cybersäkerhetsakt.

Tredje stycket innehåller en upplysning om att ord och uttryck i lagen har samma betydelse som i EU:s cybersäkerhetsakt. I artikel 2 i cybersäkerhetsakten finns definitioner.

Prop. 2020/21:186 2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

Paragrafen reglerar nationell myndighet för cybersäkerhetscertifiering. Övervägandena finns i avsnitt 6.1, 6.2 och 7.5.

Enligt punkten 1 är den myndighet som regeringen bestämmer nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt.

Av punkten 2 framgår att den nationella myndigheten även utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

Ackreditering av organ för bedömning av överensstämmelse

3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.

I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.

I paragrafen finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 9.2.

Första stycket innehåller en upplysning om att det i artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.

Andra stycket innehåller en upplysning om att ackreditering sker enligt förordning (EG) nr 765/2008 och lagen (2011:791) om ackreditering och teknisk kontroll, som kompletterar den förordningen.

Ackrediteringen ska enligt artikel 60.4 i EU:s cybersäkerhetsakt utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i artikel 60 och i bilagan till EU:s cybersäkerhetsakt.

I 33 § lagen (2011:791) om ackreditering och teknisk kontroll finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om själva ackrediteringen.

Enligt tredje stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt. Bestämmelsen ger stöd för att meddela de kompletterande föreskrifter som kan behövas för ackreditering av organ för bedömning av överensstämmelse enligt cybersäkerhetsaktens bestämmelser respektive kompletterande krav för att organen ska ackrediteras.

66

I paragrafen regleras vissa tillsynsbefogenheter enligt lagen. Övervägandena finns i avsnitt 7.2.

I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.

Den nationella myndigheten för cybersäkerhetscertifierings möjlighet att besluta om föreläggande med vite utgör en sådan lämplig nationell åtgärd för att säkerställa efterlevnad av regelverket som avses i artikel

58.8c i EU:s cybersäkerhetsakt. Utfärdare av EU-försäkringar om överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och organ för bedömning av överensstämmelse kan således åläggas att åtgärda brister och uppfylla kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering. Motsvarande gäller för de krav som följer av den nya lagen och föreskrifter som meddelas i anslutning till lagen. Den nationella myndigheten för cybersäkerhetscertifiering bör dock i första hand försöka få den det gäller att frivilligt lämna information eller rätta till bristerna och således efterkomma myndighetens påpekanden. Befogenheten att besluta förelägganden innefattar även förelägganden som innebär förbud.

I andra stycket anges att ett beslut om föreläggande får förenas med vite. Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Det är den nationella myndigheten för cybersäkerhetscertifiering som i varje enskilt fall ska bedöma om det är lämpligt att förena ett beslut om föreläggande med vite.

6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än

67

Prop. 2020/21:186 bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.

Vid handräckning tillämpas bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.

I paragrafen finns bestämmelser om handräckning. Övervägandena finns i avsnitt 7.1.

I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillgång till andra lokaler än bostäder och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.

Av artikel 58.8 d i EU:s cybersäkerhetsakt följer att rätten för den nationella myndigheten för cybersäkerhetscertifiering att få tillgång till lokaler omfattar lokaler hos ett organ för bedömning av överensstämmelse och innehavare av ett europeiskt cybersäkerhetscertifikat. För det fall den nationella myndigheten för cybersäkerhetscertifiering vägras tillträde till en lokal för att genomföra utredningar i enlighet med EU:s cybersäkerhetsakt får myndigheten begära handräckning av Kronofogdemyndigheten. Begäran om handräckning får inte avse en lokal som utgör bostad. Rätten till tillträde till lokaler enligt artikel 58.8 d i EU:s cybersäkerhetsakt omfattar inte lokaler hos en utfärdare av en EU- försäkran om överensstämmelse. Begäran om handräckning av Kronofogdemyndigheten får inte avse sådana lokaler.

I andra stycket anges att bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande tillämpas vid handräckning. Vidare anges att Kronofogdemyndigheten inte i förväg ska underrätta den som utredningen ska genomföras hos, om den nationella myndigheten för cybersäkerhetscertifiering begär det.

7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering.

Som Lagrådet uppmärksammar kan tänkbara grunder för ett beslut om Prop. 2020/21:186 återkallelse av ett europeiskt cybersäkerhetscertifikat med stöd av

paragrafen vara att det har tillkommit nya normer på EU-nivå som innebär nya krav vilka certifikatet inte uppfyller, eller att certifikatet på något sätt har varit felaktigt redan när det utfärdades. Närmare praxis kring detta får utvecklas i rättstillämpningen.

Administrativa sanktionsavgifter

8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som

1.har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT- processen inte är uppfyllda,

2.har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,

3.innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,

4.har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,

5.bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,

6.överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller

7.använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.

I paragrafen, som utformas enligt Lagrådets förslag, regleras sanktionsavgifter. Övervägandena finns i avsnitt 8.3.

I paragrafen anges de överträdelser av regelverket som kan föranleda att en sanktionsavgift ska tas ut av den som har gjort sig skyldig till överträdelsen. Strikt ansvar för överträdelser gäller. Det innebär att det inte krävs att det föreligger någon form av uppsåt eller vårdslöshet hos den som gjort sig skyldig till överträdelsen. Av 10 § framgår att den nationella myndigheten för cybersäkerhetscertifiering ska beakta olika försvårande och förmildrande omständigheter vid prövningen av avgiftens storlek.

Enligt punkten 1 ska den nationella myndigheten för cybersäkerhetscertifiering besluta att ta ut en sanktionsavgift av den som har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 trots att kraven i den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT- produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda.

Av punkten 2 följer att en sanktionsavgift ska tas ut av den som har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering. En förutsättning för att sanktionsavgift ska beslutas är att de uppgifter som har lämnats är av betydelse för prövningen och bedömningen av överensstämmelse.

69

Prop. 2020/21:186 Av punkten 3 följer att en sanktionsavgift ska tas ut av den som innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen. Sådan information ska delges skyndsamt i de fall en sårbarhet kan drabba tredje part.

Av punkten 4 följer att en sanktionsavgift ska tas ut av den som har utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada. Cybersäkerhetscertifiering syftar bl.a. till att höja säkerheten i IKT-produkter, IKT-tjänster och IKT- processer och på så sätt minska risken för sårbarheter och skador i system och i produkter. En sanktionsavgift ska därför endast kunna beslutas med stöd av punkten 4 om underlåtenheten att lämna information har medfört en sådan ökad risk för sårbarhet eller skada.

Av punkten 5 följer att en sanktionsavgift ska tas ut av den som bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering.

Av punkten 6 följer att en sanktionsavgift ska tas ut av den som överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud.

Av punkten 7 följer att en sanktionsavgift ska tas ut av den som använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e.

9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.

I paragrafen regleras sanktionsavgifternas storlek. Övervägandena finns i avsnitt 8.5.

Enligt paragrafen ska en sanktionsavgift bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor. Hur avgiften ska bestämmas i det enskilda fallet regleras i 10 §. Det är den nationella myndigheten för cybersäkerhetscertifiering som beslutar om sanktionsavgiftens storlek.

10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till

1.den skada eller risk för skada som har uppkommit till följd av överträdelsen,

2.om den som har begått överträdelsen tidigare begått en överträdelse, och

3.den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.

I paragrafen regleras vilka omständigheter som särskilt ska beaktas när den nationella myndigheten för cybersäkerhetscertifiering bestämmer sanktionsavgiftens storlek. Övervägandena finns i avsnitt 8.6.

Av paragrafen framgår att särskild hänsyn ska tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den som har begått överträdelsen tidigare begått en överträdelse och den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.

70

Vid bestämmande av storleken på sanktionsavgiften i det enskilda fallet Prop. 2020/21:186 bör hänsyn tas till alla relevanta omständigheter. I paragrafen anges sådana

omständigheter som särskilt bör beaktas.

11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

I paragrafen regleras jämkning av sanktionsavgift. Övervägandena finns i avsnitt 8.6.

Av paragrafen följer att den nationella myndigheten för cybersäkerhetscertifiering kan sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning. Det kan också finnas grund för jämkning när det rör sig om en bedömningsfråga, t.ex. vilka certifieringsåtgärder som är nödvändiga i ett visst sammanhang – och berörd aktör trots en gedigen granskning gjort en felaktig bedömning. Andra omständigheter att beakta i mildrande riktning kan vara att den avgiftsskyldige har samarbetat med den nationella myndigheten för cybersäkerhetscertifiering för att komma till rätta med överträdelsen eller skyndsamt har vidtagit rättelse för att minska skadan eller risken för skada.

Regleringen i 9 § om sanktionsavgifternas storlek hindrar inte ett beslut om jämkning som innebär att sanktionsavgift tas ut med ett belopp som är lägre än 10 000 kronor.

12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

I paragrafen regleras ett förbud mot beslut om sanktionsavgifter i vissa fall. Övervägandena finns i avsnitt 8.7.

Enligt paragrafen får en sanktionsavgift inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. Paragrafen syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner.

Om ett beslut om vitesföreläggande har meddelats och en domstolsprocess inletts om utdömande av vitet är den nationella myndigheten för cybersäkerhetscertifiering enligt bestämmelsen förhindrad att besluta om sanktionsavgift för samma överträdelse. Bestämmelsen hindrar inte att en överträdelse först kan bli föremål för ett vitesföreläggande och i ett senare skede beslut om sanktionsavgift, under förutsättning att någon ansökan om utdömande av vitet inte har gjorts.

71

cybersäkerhetsakt inte obehörigen röja eller utnyttja det som han eller hon Prop. 2020/21:186 fått kännedom om under det att uppgifterna utfördes. Organ för bedömning

av överensstämmelse kan vara privaträttsliga aktörer, t.ex. ett aktiebolag. Tystnadsplikten innebär att personer som deltar i organet för bedömning av överensstämmelses verksamhet inte får avslöja eller utnyttja det han eller hon fått kännedom om under det att uppgifterna utfördes. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestämmelsens tillämpningsområde. Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

I andra stycket finns en upplysning om att offentlighets- och sekretesslagen tillämpas i det allmännas verksamhet. Det allmännas verksamhet innefattar t.ex. den verksamhet som den nationella myndigheten för cybersäkerhetscertifiering och offentliga organ för bedömning av överensstämmelse bedriver.

Avgifter

18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana avgifter.

I paragrafen finns bestämmelser om avgifter. Övervägandena finns i avsnitt 6.3.

I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och den kompletterande lagen. Paragrafen innebär att tillsyns- och certifieringsverksamheterna vid den nationella myndigheten för cybersäkerhetscertifiering kan finansieras genom att avgifter tas ut av de aktörer som orsakar kostnaderna. Den nationella myndigheten för cybersäkerhetscertifiering bör kunna ta ut avgifter av utfärdare av EU- försäkran om överensstämmelse, organ för bedömning av överensstämmelse samt innehavare av europeiska cybersäkerhetscertifikat.

Enligt andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om sådana avgifter.

Ändring av beslut av privata organ för bedömning av överensstämmelse

19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut som det har meddelat, om

1.organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och

2.beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild.

Paragrafen reglerar ändring av beslut av privata organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 10.2.

Av paragrafen följer att privata organ för bedömning av överens-

stämmelse har en skyldighet att ändra ett beslut när beslutet är uppenbart

73

Prop. 2020/21:186 felaktigt på grund av nya omständigheter eller av någon annan anledning och beslutet kan ändras snabbt och enkelt utan att det blir till nackdel för någon enskild. Paragrafen har sin redaktionella förebild i 38 § förvaltningslagen.

Överklagande

20 § Beslut enligt EU:s cybersäkerhetsakt och denna lag av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

I paragrafen, som utformas enligt Lagrådets förslag, regleras överklagande av beslut. Övervägandena finns i avsnitt 10.3.

I första stycket anges att beslut av den nationella myndigheten för cybersäkerhetscertifiering och organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt och denna lag får överklagas till allmän förvaltningsdomstol.

I fråga om förfarandet vid överklagande av beslut av organ för bedömning av överensstämmelse finns bestämmelser i lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvaltningsuppgifter.

Enligt andra stycket krävs det prövningstillstånd vid överklagande till kammarrätten.

15.2Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt

3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.

I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.

I paragrafen finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 9.2.4.

Andra stycket ändras på så sätt att Europaparlamentets och rådets förordning (EG) nr 765/2008 anges med dess nya titel.

74