Nya regler om cybersäkerhet

Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven

Stockholm 2024

SOU 2024:18

3.2.3Behöriga myndigheter och gemensamma

3.2.7Samarbetsgrupp för strategiskt samarbete

3.2.9Det europeiska kontaktnätverket

3.2.13Cybersäkerhetscertifiering

8

5.1Direktivet ska i huvudsak genomföras genom

9

5.2.13Övriga särskilda kvalificeringsgrunder

5.4Undantag för sektorsspecifika unionsrättsakter

5.5.3Undantag för säkerhetsskyddsklassificerade

6.2 Register över väsentliga och viktiga verksamhetsutövare .. 177

6.2.1Särskilt register över gränsöverskridande

10

SOU 2024:18Innehåll

8.3.3Utredningens slutsatser gällande nuvarande

8.4.6Tillsynsmyndighetens

9.1.2Sammanfattning av utredningens förslag

9.2Administrativa sanktioner eller straffrättsliga påföljder?... 251

9.3Vilka överträdelser kan läggas till grund för sanktioner? ... 252

9.3.1 Tillsynsmyndigheten ska kunna avstå från

9.4.2Vad ska beaktas särskilt vid val av sanktion

11

9.5Vilka administrativa sanktioner och andra möjligheter

9.5.3Offentliggörande av överträdelser av

9.5.4Utse övervakningsansvarig hos

9.5.5Tillfälligt upphävande av auktorisation

9.6.1För vilka överträdelser ska sanktionsavgifter

12

SOU 2024:18Innehåll

11.2.4Ramen för vad riskhanteringsåtgärderna

12.6.2Uppgifter för Myndigheten för samhällsskydd

12.6.3Utgångspunkter och bedömning

12.6.4Ekonomiska konsekvenser för Bolagsverket

13

12.6.5Övriga tillsynsmyndigheter och Myndigheten

14

De sektorer som kommer att omfattas är:

•Energi

•Transporter

•Bankverksamhet

•Finansmarknadsinfrastruktur

•Hälso- och sjukvårdssektorn

•Dricksvatten

•Avloppsvatten

•Digital infrastruktur

•Förvaltning av IKT-tjänster (mellan företag)

•Offentlig förvaltning

•Rymden

•Post- och budtjänster

•Avfallshantering

•Tillverkning, produktion och distribution av kemikalier

•Produktion, bearbetning och distribution av livsmedel

•Tillverkning

•Digitala leverantörer

•Forskning

Innebörden är att den som bedriver verksamhet inom någon av sek- torerna som utgångspunkt omfattas av kraven i cybersäkerhetsregler- ingen. Det gäller för såväl offentliga som enskilda verksamhetsutövare.

Som framgår av uppräkningen av sektorer är offentlig förvaltning en egen sektor. Det får till följd att nästan hela den offentliga sektorn omfattas av lagens krav. Utredningen föreslår att cybersäkerhets- lagen ska gälla för de flesta statliga myndigheter i Sverige. De som är undantagna är regeringen, Regeringskansliet, myndigheter som lyder under Riksdagen, och domstolar. Detsamma gäller för sammanlagt

16

16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning.

Vidare omfattas samtliga regioner och kommuner av lagens krav. Undantag gäller enbart för region- eller kommunfullmäktige. Ut- redningen föreslår också att lärosäten med examenstillstånd ska om- fattas av regleringen.

För enskilda verksamhetsutövare gäller som huvudregel ett stor- lekskrav med innebörd att verksamheten måste sysselsätta minst

50personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagen. Det betyder att små företag som utgångs- punkt inte kommer att beröras. Vissa särskilt utpekade enskilda verk- samhetsutövare omfattas dock oavsett storlek. Myndigheten för sam- hällsskydd och beredskap (MSB) kommer också att ha möjlighet att peka ut vissa särskilt kritiska mindre verksamheter. Enskilda verk- samhetsutövare som enbart bedriver säkerhetskänslig verksamhet, brottsbekämpning eller erbjuder tjänster till myndigheter som gör det, är undantagna.

Därutöver kommer lagen att gälla i begränsad utsträckning för offentliga verksamhetsutövare som bedriver säkerhetskänslig verk- samhet eller brottsbekämpning, men där den delen inte utgör en väsentlig andel. Motsvarande kommer att gälla för enskilda verksam- hetsutövare som bedriver annan verksamhet tillsammans med säker- hetskänslig verksamhet eller brottsbekämpning. För den säkerhets- känsliga delen av verksamheten eller den delen av verksamheten som avser brottsbekämpning kommer det endast att gälla en anmälnings- och uppgiftsskyldighet. Detsamma gäller för verksamheter som redan omfattas av skyldigheter med motsvarande verkan som kraven i cybersäkerhetslagen. Så kommer vara fallet för exempelvis finansiella verksamhetsutövare som omfattas av Dora-förordningen.

Kraven i direktivet

Den nya regleringen ställer krav på verksamhetsutövarna. En verk- samhetsutövare som omfattas av lagen ska anmäla sig till sin tillsyns- myndighet och lämna uppgifter om bland annat identitet, kontakt- uppgift och verksamhet.

17

Därutöver ska verksamhetsutövare vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionella i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett syste- matiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.

Slutligen gäller en skyldighet för verksamhetsutövare att rappor- tera betydande incidenter till MSB i egenskap av CSIRT-enhet (se nedan) inom bestämda tidsgränser. Det betyder att en varning ska lämnas inom 24 timmar efter det att verksamhetsutövaren fått känne- dom om den betydande incidenten. Vidare ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.

De uppgifter verksamhetsutövarna lämnar till sin tillsynsmyndig- het ovan ska myndigheten använda för att klassificera verksamhets- utövarna som väsentliga eller viktiga och registrera dem.

Det ska också finnas ett särskilt register för gränsöverskridande verksamhetsutövare. Registret ska sedan vidarebefordras till MSB i egenskap av gemensam kontaktpunkt (se nedan) som i sin tur ska informera kommissionen.

Tillsyn

I kommittédirektivet anges att systemet för tillsyn bör utgå från den struktur som finns enligt dagens regelverk. Enligt den nu gällande NIS-lagen finns det för varje sektor och för de digitala tjänster som omfattas av lagen en utpekad tillsynsmyndighet som utövar tillsyn över att regelverket följs. Utredningen föreslår att det även fortsatt ska finnas en tillsynsmyndighet för varje sektor. I de sektorer som är oförändrade i förhållande till det första NIS-direktivet är utred- ningens förslag att befintliga tillsynsmyndigheter fortsätter att ansvara för dessa. Den kompetens som finns hos befintliga tillsynsmyndig- heter bör så långt möjligt även nyttjas för de nya sektorer som om- fattas av reglering. Flera tillsynsmyndigheter föreslås därför få utökade ansvarsområden. Utredningen föreslår också fem nya tillsynsmyndig- heter. Dessa är länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län samt Läkemedelsverket.

18

Tillsynsmyndigheten ska utöva tillsyn över att cybersäkerhets- lagen och föreskrifter som meddelats i anslutning till lagen följs. Till- synsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att regleringen inte följs.

Verksamhetsutövarna ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen. Tillsynsmyndigheten får om det finns särskilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevi- sion och att redovisa resultatet för tillsynsmyndigheten. Tillsynsmyn- digheten får också låta genomföra säkerhetsskanningar hos verksam- hetsutövare som omfattas av cybersäkerhetslagen.

MSB ska även fortsättningsvis leda ett samarbetsforum där till- synsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

Gemensam kontaktpunkt, CSIRT-enhet och cyberkrishanteringsmyndighet

För att säkerställa gränsöverskridande samarbete ska varje medlems- stat utse en gemensam kontaktpunkt. Den gemensamma kontakt- punkten ska utöva en sambandsfunktion och bland annat lämna sammanfattande rapporter om betydande incidenter, cyberhot och tillbud till Enisa samt underrätta kommissionen och samarbetsgruppen om antalet verksamhetsutövare i Sverige.

Mot bakgrund av att MSB i dag fullgör de uppgifter som följer av att vara gemensam kontaktpunkt samt myndighetens uppgift att stödja och samordna arbetet med samhällets informationssäkerhet anser utredningen att MSB även fortsatt ska vara gemensam kontakt- punkt i Sverige.

Varje medlemsstat ska också utse eller inrätta en eller flera CSIRT- enheter (Computer Security Incident Response Team). CSIRT-enhe- ten ska bland annat övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå och tillhandahålla varningar och information. Vidare ska varje medlemsstat utse eller inrätta en eller flera myndigheter med ansvar för hanteringen av storskaliga cyber- säkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter).

19

Mot bakgrund av de uppdrag MSB har i dag och den kompetens som finns inom myndigheten bedömer utredningen att MSB även fortsatt ska vara CSIRT-enhet samt vara cyberkrishanteringsmyn- dighet i Sverige.

Varje medlemsstat ska anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser. Planen ska bland annat innehålla cyberkrishanteringsmyndighetens uppgifter och ansvars- områden. Utformningen av den nationella planen ingår inte i utred- ningens uppdrag.

Ingripanden och sanktioner

Nuvarande ingripanden och sanktioner

Enligt NIS-lagen får en tillsynsmyndighet ingripa mot överträdelser av vissa skyldigheter i lagen. Tillsynsmyndighetens möjligheter att ingripa beror på vilken skyldighet som har överträtts, men består av förelägganden som kan förenas med vite, eller sanktionsavgifter. Sanktionsavgifterna ska bestämmas till lägst 5 000 kronor och högst

10000 000 kronor. Tillsynsmyndigheten ska ta särskild hänsyn till vissa omständigheter vid bestämmandet av sanktionsavgiftens storlek.

De nuvarande ingripandena och sanktionerna behålls och kompletteras

Tillsynsmyndighetens möjligheter att besluta om förelägganden (vid vite) och sanktionsavgifter behålls. Tillsynsmyndigheten ska även kunna förelägga en verksamhetsutövare att (1) offentliggöra informa- tion om överträdelser av lagens bestämmelser, och att (2) informera användare som kan påverkas av ett betydande cyberhot.

Vidare föreslås tillsynsmyndigheten få ansöka hos allmän förvalt- ningsdomstol om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner där. Det krävs särskilda omständigheter för att sådant förbud ska kunna meddelas.

Anmärkning införs som sanktion och ska alltid beslutas vid över- trädelser om ingen annan sanktion har använts av tillsynsmyndigheten.

20

Sanktionsavgifternas maximinivå ska höjas

Lägstanivåerna för sanktionsavgifter behålls på 5 000 kronor. Högsta- nivåerna höjs väsentligt i jämförelse med gällande nivåer och uppgår:

För väsentliga verksamhetsutövare till det högsta av:

1.Två procent av den väsentliga verksamhetsutövarens totala glo- bala årsomsättning närmast föregående räkenskapsår, eller

2.10 000 000 euro.

För viktiga verksamhetsutövare till det högsta av:

1.1,4 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller

2.7 000 000 euro.

För offentliga verksamhetsutövare till 10 000 000 kronor.

Tillsynsmyndigheten ska ingripa mot alla överträdelser och beakta fler omständigheter vid val och utformning av sanktioner

Utredningen föreslår att tillsynsmyndigheten ska ingripa mot alla överträdelser av lagen. Den ska i vissa särskilda fall ha möjlighet att avstå från att ingripa, till exempel för att inte bryta mot det s.k. dubbel- prövningsförbudet.

Om tillsynsmyndigheten inte avstår från att ingripa ska den åt- minstone meddela en anmärkning. Om den ingriper med någon annan sanktion behöver den inte meddela anmärkning.

När tillsynsmyndigheten ingriper ska den alltid beakta alla rele- vanta omständigheter, men fler omständigheter görs obligatoriska att beakta än vad som tidigare gällt.

Ekonomiska konsekvenser

Utredningens förslag medför ekonomiska konsekvenser för tillsyns- myndigheterna, MSB och verksamhetsutövarna. För tillsynsmyndig- heterna handlar det om att betydligt fler verksamhetsutövare kommer att omfattas av lagen. Tillsynsmyndigheterna är enligt utredningens

21

förslag elva. Sex av dem bedriver redan tillsyn enligt gällande lag- stiftning, men fem myndigheter är som framgår ovan nya. Utred- ningen har som underlag för konsekvensanalysen inhämtat en rapport från Sweco Aktiebolag, som intervjuat de föreslagna tillsynsmyn- digheterna och MSB. Av rapporten följer att det varit förenat med svårigheter för myndigheterna att uppskatta de framtida kostnaderna.

Utredningen föreslår att de tillsynsmyndigheter som redan bedri- ver tillsyn med undantag av Finansinspektionen får ett förstärkt anslag med två miljoner kronor vardera för 2025 avseende löpande kostnader. Skälet är att tillsynsmyndigheterna bör ha utökade resurser för att kunna identifiera vilka verksamhetsutövare som omfattas av den nya lagen, utfärda nya föreskrifter och nya vägledningar utan att samtidigt behöva minska ambitionen med tillsyn. Även MSB bör till- föras motsvarande belopp. De myndigheter som inte redan har till- synsuppdrag bör få ett förstärkt anslag med fem miljoner kronor vardera för 2025 för att bygga upp tillsynsverksamheten.

Samtidigt föreslår utredningen att regeringen ger Statskontoret i uppdrag att vidare utreda de ekonomiska konsekvenserna för till- synsmyndigheterna och MSB samt att det för de första åren införs ett återrapporteringskrav för myndigheterna.

För de offentliga verksamhetsutövarna föreslår utredningen att kostnaderna ska finansieras inom befintlig ram. Skälen är att det är rimligt att offentliga verksamhetsutövare vidtar grundläggande säker- hetsåtgärder. Genom förslagen erhåller verksamhetsutövarna också stöd. Vidare kan åtgärder för att förebygga incidenter medföra be- sparingar.

Förslagen medför även kostnader för enskilda verksamhetsutöv- are, men även dessa får stöd genom förslagen och det förebyggande arbetet kan medföra besparingar. Som framgått omfattas som huvud- regel inte små företag. Kraven kommer att gälla inom hela unionen. Utredningen bedömer därför att regleringen inte får effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt.

Ikraftträdande

Utredningen föreslår att förslagen ska träda i kraft den 1 januari 2025.

22

Who would be covered by the proposed regulation of cybersecurity?

There are two important differences between the current legislation and the proposed regulation of cybersecurity. Firstly, it is proposed that the cybersecurity act cover significantly more actors, as the number of sectors would be expanded from 7 to 18. Secondly, the requirements would apply to their entire operations rather than only essential and digital services.

The following sectors should be covered:

•energy

•transport

•banking

•financial market infrastructures

•health

•drinking water

•wastewater

•digital infrastructure

•Information and communication technology (ICT) service mana- gement (business to business)

•public administration

•space

•postal and courier services

•waste management

•chemicals

•food

•manufacturing

•digital services

•research

24

Under the proposed regulation of cybersecurity, operators carrying out activities in any of these sectors would be subject to the new requirements. This applies to both public and private operators.

As indicated by the list above, public administration would be considered its own sector. Consequently, almost the entire public sector would be subject to the act’s requirements. The Inquiry pro- poses that the cybersecurity act apply to most central government agencies in Sweden. The Government, the Government Offices, government agencies under the Riksdag and the courts would be exempted. The same would apply for the 16 government agencies that primarily carry out security-sensitive activities or law enforcement.

All regions and municipalities would also be subject to the act’s requirements. The only exceptions would be regional or municipal councils. The Inquiry further proposes that regulation of cybersecurity cover higher education institutions authorised to award degrees.

As regards private operators, the act’s requirements would, as a general rule, apply only to operations that employ at least 50 people or have a minimum annual turnover of EUR 10 million. This means that most small enterprises would not be affected. However, certain specifically identified individual operators would be covered by the act regardless of size. In addition, the Swedish Civil Contingencies Agency would be empowered to identify certain especially critical smaller activities. Individual operators that strictly carry out security- sensitive activities or law enforcement, or offer services to govern- ment agencies that do so, would be exempted.

The act would also apply to a limited extent to public sector opera- tors that carry out security-sensitive activities or law enforcement, but only if that part of their activities is not a substantial share of their overall operations. The same would apply to individual opera- tors that carry out other activities together with security-sensitive activities or law enforcement. For the security-sensitive part of the activities or the part concerning law enforcement, only an incident reporting and notification obligation would apply. The same would apply to activities already subject to obligations that have an effect equivalent to that of the requirements of the cybersecurity act. For example, this would be the case for financial operators covered by the Regulation on digital operational resilience for the financial sector.

25

Requirements in the Directive

The proposed regulation of cybersecurity would set out require- ments on operators. An operator covered by the act would have to register with their supervisory authority and provide information including their identity, contact details and activities.

The operator would also have to take risk management measures to protect network and information systems and their physical environments against incidents. These measures would be based on a risk analysis, be proportional to the risk and be subject to evalua- tion. The operator would also be required to carry out systematic, risk-based information security work, require its management to undergo training and offer training to employees.

Finally, operators would be obliged to report significant inci- dents to the Swedish Civil Contingencies Agency in its capacity as Computer Security Incident Response Team (CSIRT) (see below) within a specified timeframe. This means that an operator would have to report a warning to the CSIRT within 24 hours of having become aware of a significant incident. Moreover, an incident report would have to be submitted within 72 hours, and a final report within one month.

The information that the operators would be required to submit to their supervisory authority as specified above would be used by the authority to classify the operators as essential or important, and register them. There would also be a separate register for cross-border operators. This register would then be forwarded to the Swedish Civil Contingencies Agency in its capacity as the single point of con- tact (see below), which would in turn notify the European Commis- sion.

Supervision

The committee terms of reference stipulate that the system for super- vision should be based on the existing structure under the current regulatory framework. Under the currently applicable NIS Act, a specific supervisory authority responsible for each sector and for the digital services covered by the Act carries out supervision to ensure compliance with the regulatory framework. The Inquiry proposes that a supervisory authority continue to have responsibility for each

26

sector. In those sectors where the requirements would remain un- changed in relation to the first NIS Directive, the Inquiry proposes that the currently responsible supervisory authorities continue to have responsibility. The expertise in the current supervisory authorities should be utilised as far as possible for supervision of the additional sectors that would be covered by the proposed regulation. It is therefore proposed that several supervisory authorities gain expanded areas of responsibility. The Inquiry further proposes establishing five new supervisory authorities: the county administrative boards of Stockholm, Skåne, Västra Götaland and Norrbotten, and the Medical Products Agency.

Supervisory authorities should be tasked with carrying out super- vision to ensure compliance with the cybersecurity act and regula- tions announced in connection with it. Supervisory measures against important operators would only be taken if a supervisory authority had reason to believe that the regulation was being not followed.

The operators would have to provide supervisory authorities with the information needed for supervision. If there are special grounds for doing so, a supervisory authority would be empowered to require an operator to arrange and pay for an independent body to conduct a targeted security audit and present the results to the supervisory authority. The supervisory authority would also be empowered to carry out security scans on the premises of operators covered by the cybersecurity act.

The Swedish Civil Contingencies Agency would continue to lead a cooperation forum of supervisory authorities. The purpose of the forum is to facilitate coordination and achieve effective and equiv- alent supervision.

Single point of contact, CSIRT and cyber crisis management authority

To ensure cross-border cooperation, each Member State must ap- point a single point of contact. It is the task of the single point of contact to exercise a liaison function and submit summary reports on significant incidents, cyber threats and near misses to the European Network and Information Security Agency, and notify the Commis-

27

sion and the Cooperation Group of the number of operators in Sweden.

As it is currently the Swedish Civil Contingencies Agency’s man- date to carry out the tasks associated with serving as a single point of contact and to support and coordinate work on society’s infor- mation security, the Inquiry proposes that the Agency continue to serve as the single point of contact in Sweden.

Each Member State must also designate or establish one or mul- tiple CSIRTs. A CSIRT’s mandate includes monitoring and analys- ing cyber threats, vulnerabilities and incidents at national level, issu- ing warnings and providing information. Each Member State must also designate or establish one or more authorities with responsi- bility for the management of large-scale cybersecurity incidents and crises (cyber crisis management authorities).

In consideration of the Swedish Civil Contingencies Agency’s cur- rent mandate and expertise, the Inquiry proposes that the Agency remain the CSIRT and serve as the cyber crisis management author- ity in Sweden.

Each Member State must adopt a large-scale national cybersecurity incident and crisis response plan. The plan must outline the tasks and responsibilities of the cyber crisis management authority. The formulation of this national plan is not part of the Inquiry’s remit.

Enforcement measures and penalties

Current enforcement measures and penalties

According to the NIS Act, a supervisory authority may intervene against infringements of certain obligations under the Act. Depend- ing on which obligation has been violated, a supervisory authority’s enforcement measures consist of issuing orders – possibly in com- bination with a financial penalty – or administrative fines. The admin- istrative fines should be set at no less than SEK 5 000 and no more than SEK 10 000 000. A supervisory authority should give special consideration to certain circumstances when determining the amount of the administrative fine.

28

Current enforcement measures and penalties should be retained and supplemented

Supervisory authorities should retain the power to issue orders (as regards financial penalties) and administrative fines. They should also be able to order an operator to (1) announce information about infringements of the act’s provisions and (2) inform individuals who are potentially affected by a significant cyber threat.

The Inquiry also proposes empowering supervisory authorities to apply to a general administrative court to prohibit an individual at chief executive officer or legal representative level from exercising managerial functions at an essential operator. Special circumstances would be required to issue such a prohibition.

A reprimand should be introduced as a penalty and always be issued in connection with infringements unless another penalty has been issued by the supervisory authority.

The maximum amount of an administrative fine should be increased

The minimum level of administrative fines should remain at SEK 5 000. The maximum level should be increased substantially in comparison with current levels as follows:

for essential operators, a maximum of

1.2 per cent of the essential operator’s entire global turnover of the preceding fiscal year, or

2.EUR 10 000 000;

for important operators, a maximum of:

1.1.4 per cent of the operator’s entire global turnover of the pre- ceding fiscal year, or

2.EUR 7 000 000; and

for public sector operators, SEK 10 000 000.

29

A supervisory authority should intervene against all infringements and take account of additional circumstances when determining penalties

The Inquiry proposes that supervisory authorities intervene against all infringements of the act. In certain cases, they should have the option to refrain from intervening, e.g. to avoid double jeopardy situations.

If a supervisory authority does not refrain from intervening, it should, at a minimum, issue a reprimand. If it issues some other penalty, it need not issue a reprimand.

When a supervisory authority intervenes, it should always con- sider all relevant circumstances. However, it should be obliged to consider more circumstances than is currently the case.

Financial impact

If adopted, the Inquiry’s proposals would have a financial impact on the supervisory authorities, the Swedish Civil Contingencies Agency and the operators. This would be due to the new act covering signifi- cantly more operators. The Inquiry proposes designating 11 super- visory authorities. Six of these already carry out supervision under currently applicable legislation. The other five authorities mentioned above would be newly empowered. As a basis for its consequence analysis, the Inquiry has examined a report from Sweco Aktiebolag, which interviewed the proposed supervisory authorities and the Swedish Civil Contingencies Agency. The report indicates that it is difficult for those authorities to estimate the future costs.

The Inquiry proposes that the supervisory authorities that already carry out supervision, with the exception of the Swedish Financial Supervisory Authority, each receive an additional SEK 2 million in funding for 2025 to cover running costs. This would provide the super- visory authorities with additional resources, thus enabling them to identify which operators are covered by the new act and issue new regulations and new guidelines without simultaneously diminishing the efficacy of the supervision. The Swedish Civil Contingencies Agency should also be allocated an equivalent amount. The super- visory authorities that do not currently have a supervisory mandate

30

should each receive an additional SEK 5 million for 2025 to build their supervisory organisation.

At the same time, the Inquiry proposes that the Government instruct the Swedish Agency for Public Management to investigate the financial impact on the supervisory authorities and the Swedish Civil Contingencies Agency, and that the authorities be required to report the financial impact for the first few years.

For public sector operators, the Inquiry proposes financing the costs within existing frameworks. This is because it is reasonable to re- quire public sector operators to take basic security measures. Through these proposals, the operators also receive support. Measures to pre- vent incidents also result in savings.

The proposals would also entail additional costs for individual operators, but they would also receive support through the propos- als, and the preventive work could result in savings. As stated earlier, the act would not cover small enterprises in general. The new require- ments will apply throughout the Union. The Inquiry has therefore concluded that the proposed regulation would not have a significant impact on businesses’ working conditions, competitiveness or other conditions.

Entry into force

The Inquiry proposes that the proposals enter into force on 1 January 2025.

31

användarna av verksamhetsutövarens tjänster genom att vålla betyd- ande materiell eller immateriell skada,

5.cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i Cyber- säkerhetsakten,

6.cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i Cybersäkerhetsakten,

7.Cybersäkerhetsakten: Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informa- tions- och kommunikationsteknik och om upphävande av förord- ning (EU) nr 526/2013,

8.datacentraltjänst: en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankopp- ling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll,

9.domännamnsregistreringstjänster: registrar eller en annan verksam- hetsutövare som verkar som ombud eller återförsäljare av domännamn,

10.domännamnssystem (DNS): ett hierarkiskt distribuerat namn- system som möjliggör identifieringen av tjänster och resurser på internet,

11.domännamnssystemtjänster (DNS-tjänster): allmänna rekursiva tjänster för att lösa domännamnsfrågor till internetslutanvändare, eller auktoritativa tjänster för att lösa domännamnsfrågor för använd- ning av tredje part, med undantag för rotnamnsservrar,

12.Dora-förordning: Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ mot- ståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011,

13.EES: Europeiska ekonomiska samarbetsområdet,

14.enskilda verksamhetsutövare: fysiska och juridiska personer som inte är en myndighet, region eller en kommun och som bedriver verk- samhet,

15.forskningsorganisation: en verksamhetsutövare vars främsta mål är att bedriva tillämpad forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner,

34

16.hanterade säkerhetstjänster: en verksamhet som utför eller till- handahåller stöd för annan verksamhet gällande hantering av tjänster som hanterar cybersäkerhetsrisker,

17.hanterade tjänster: en verksamhet som erbjuder tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen

ikundernas lokaler eller på distans,

18.IKT-produkt, IKT-tjänst och IKT-process: enligt begreppens definitioner i artiklarna 2.12, 2.13 och 2.14 i Cybersäkerhetsakten,

19.incident: en händelse som undergräver tillgängligheten, auten- ticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom nätverks- och informationssystem,

20.kommissionens rekommendation 2003/361/EG: bilagan till kom- missionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag,

21.kvalificerade tillhandahållare av betrodda tjänster: begreppet har samma innebörd som i Europaparlamentets och rådets förord- ning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identi- fiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG,

22.marknadsplatser online: en marknadsplats online enligt defini- tionen i artikel 2 n i Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre mark- naden och om ändring av rådets direktiv 84/450/EEG och Europa- parlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder),

23.molntjänst: en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser,

24.NIS2-direktivet: Europaparlamentets och rådets direktiv av den 14 december 2022 om åtgärder för en hög gemensam cyber- säkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148,

35

25.nätverk för leverans av innehåll: ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internet- användare för innehålls- och tjänsteleverantörers räkning.

26.nätverks- och informationssystem:

1.ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2022:482) om elektronisk kommunikation,

2.en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller

3.digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av 1 och 2 för att de ska kunna driftas, användas, skyddas och underhållas,

27.partnerföretag och anknutna företag: begreppen har samma inne- börd som i artikel 3 i rekommendation 2003/361/EG,

28.plattformar för sociala nätverkstjänster: en plattform som gör det möjligt för slutanvändare att interagera, dela och upptäcka inne- håll, finna andra användare och kommunicera med andra via flera en- heter, särskilt genom chattar, inlägg, videor och rekommendationer.

29.registreringsenhet för toppdomäner: en verksamhet som har dele- gerats en specifik toppdomän och som ansvarar för att administrera, förvalta, sköta teknisk drift samt registrering av domännamn under en specifik toppdomän, dock inte om toppdomänen endast avses för eget bruk,

30.risk: risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att en sådan incident inträffar,

31.sökmotor: en sökmotor enligt definitionen i artikel 2.5 i Europa- parlamentets och rådets förordning (EU) 2019/1150 av den 20 juni 2019 om främjande av rättvisa villkor och transparens för företags- användare av online baserade förmedlingstjänster,

32.tillbud: en händelse som kunde ha undergrävt tillgänglig- heten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som inte upp- stod,

36

33.verksamhetsutövare: juridisk eller fysisk person som bedriver verksamhet. Samlingsterm i denna lag för bland annat leverantör, pro- ducent, vårdgivare, leverantör eller tillhandahållare.

Lagens tillämpningsområde

Offentliga verksamhetsutövare

3 § Denna lag gäller för

1.statliga myndigheter i Sverige med undantag för regeringen, Regeringskansliet, utlandsmyndigheter, kommittéväsendet, Riksrevi- sionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvalt- ningen och Sveriges domstolar,

2.regioner i Sverige med undantag för regionfullmäktige, och

3.kommuner i Sverige med undantag för kommunfullmäktige.

Enskilda verksamhetsutövare

4 § Denna lag gäller för enskilda verksamhetsutövare om

1.verksamheten omfattas av bilaga 1 eller 2 i NIS2-direktivet eller är ett lärosäte med examenstillstånd,

2.inte annat följer av 5 och 6 §§, verksamheten är etablerad i Sverige, och

3.inte annat följer av 7 och 8 §§, verksamheten uppfyller kraven för medelstort företag enligt artikel 2 och 3.1–3.3 i bilagan till kom- missionens rekommendation 2003/361/EG.

Regeringen eller den myndighet regeringen bestämmer får i före- skrifter meddela undantag för 3 avseende partnerföretag eller an- knutna företag som inte i sig uppfyller storlekskravet.

5 § Verksamhetsutövare som erbjuder allmänna elektroniska kommu- nikationsnät eller allmänt tillgängliga elektroniska kommunikations- tjänster behöver inte vara etablerade i Sverige för att omfattas av lagen utan det är tillräckligt att verksamhetsutövaren erbjuder tjänster i Sverige.

37

6 § Gränsöverskridande verksamhetsutövare är verksamhetsutövare som erbjuder:

1.DNS-tjänster,

2.registreringsenheter för toppdomäner,

3.domännamnsregistrering,

4.molntjänster,

5.datacentraltjänster,

6.nätverk för leverans av innehåll,

7.hanterade tjänster,

8.hanterade säkerhetstjänster, eller

9.marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster.

Gränsöverskridande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

För gränsöverskridande verksamhetsutövare krävs det i stället för etablering att Sverige är huvudsakligt etableringsställe eller att före- trädaren är etablerad i Sverige för att verksamhetsutövaren ska om- fattas av lagen.

För gränsöverskridande verksamhetsutövare som erbjuder tjänster

iSverige, men inte utser en företrädare gäller kap. 5.

Regeringen får meddela föreskrifter om vad som utgör huvudsak- ligt etableringsställe.

7 § Verksamhetsutövare som uppfyller kraven i 4 § med undantag för storlekskravet i 3 och som erbjuder allmänna elektroniska kom- munikationsnät, allmänt tillgängliga elektroniska kommunikations- tjänster, betrodda tjänster, registreringsenhet för toppdomäner, DNS- tjänster eller domännamnsregistrering omfattas av lagen.

8 § Verksamhetsutövare som uppfyller kraven i 4 § med undantag för storlekskravet i 3 omfattas också av lagen om,

1.verksamheten är väsentlig för att upprätthålla kritiska funk- tioner i samhället och ekonomiska funktioner,

2.en störning kan ha en betydande påverkan på skyddet för män- niskors liv och hälsa, allmän säkerhet, folkhälsa eller medföra bety- dande systemrisker särskilt om det får gränsöverskridande konsekven- ser, eller

38

3.verksamheten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer som är beroende av denna verksamhet.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter.

Undantag från lagens tillämpningsområde

Krav i andra författningar

9 § Om annan författning innehåller bestämmelser om krav på risk- hanteringsåtgärder eller incidentrapportering för en verksamhets- utövare med motsvarande verkan gäller inte kraven i 3 kap. för verk- samhetsutövaren.

Vid jämförelsen av verkan mellan författningarna ska hänsyn tas till bestämmelsernas omfattning samt vilken tillsyn och vilka sank- tioner som är kopplade till bestämmelserna.

Regeringen får i föreskrifter ange vilka andra bestämmelser om riskhanteringsåtgärder och incidentrapportering som har motsvar- ande verkan.

10 § Lagen ska inte tillämpas på verksamheter som undantagits enligt artikel 2.4 i Dora-förordningen.

Sveriges säkerhet eller brottsbekämpning

11 § Lagen gäller inte statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen (2018:585) eller brottsbekämpning.

Regeringen får i föreskrifter ange vilka statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brotts- bekämpning.

39

12 § För andra statliga myndigheter som utövar säkerhetskänslig verksamhet eller brottsbekämpning än de som avses i 11 § gäller inte kraven i 6 § andra och fjärde stycket samt kap. 3 för den del av verk- samheten som är säkerhetskänslig eller utgör brottsbekämpning. För den övriga delen av verksamheten gäller lagen i dess helhet.

Vad som anförs i första stycket gäller även regioner och kommuner.

13 § Lagen gäller inte för enskilda verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet, brottsbekämpning eller som enbart erbjuder tjänster till statliga myndigheter som avses i 11 §.

Om en enskild verksamhetsutövare bedriver även annan verksam- het gäller för den säkerhetskänsliga verksamheten, brottsbekämpningen och verksamheten som avser tjänster till statliga myndigheter enligt 11 § inte kraven i 6 § andra och fjärde stycket samt kap. 3. För den övriga delen av verksamheten gäller lagen i dess helhet.

Vad som anförs ovan i andra stycket gäller inte om verksamhets- utövaren är en tillhandahållare av betrodda tjänster. För dessa verk- samhetsutövare gäller lagen i dess helhet.

14 § Skyldighet att lämna uppgifter enligt denna lag gäller inte upp- gifter som är säkerhetsskyddsklassificerade enligt säkerhetsskydds- lagen (2018:585).

2 kap. Klassificering och registrering

1 § Följande verksamhetsutövare är väsentliga:

1.Statliga myndigheter,

2.verksamhetsutövare som bedriver verksamhet enligt bilaga 1 till NIS2-direktivet, är en kommun eller ett lärosäte med examens- tillstånd och vars verksamhet överstiger trösklarna för medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekom- mendation 2003/361/EG,

3.verksamhetsutövare som erbjuder allmänna elektroniska kom- munikationsnät eller allmänt tillgängliga elektroniska kommunika- tionstjänster och vars verksamhet är medelstora företag enligt arti- kel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,

4.kvalificerade tillhandahållare av betrodda tjänster,

40

5.registreringsenheter för toppdomäner,

6.verksamhetsutövare som erbjuder DNS-tjänster och

7.verksamhetsutövare som anges i 1 kap. 8 § och identifierats som väsentliga enligt 33 § förordning om cybersäkerhet.

Verksamhetsutövare som inte är väsentliga är viktiga verksam- hetsutövare.

2 § Verksamhetsutövare ska i en anmälan till tillsynsmyndigheten lämna uppgift om identitet, kontaktuppgift, IP-adressintervall, verk- samhet och uppgift om i vilka länder verksamheten bedrivs. Gräns- överskridande verksamhetsutövare ska även lämna uppgift om huvud- sakligt etableringsställe och i förekommande fall kontaktuppgift till företrädaren.

Ändras uppgifterna ska verksamhetsutövaren anmäla förändringen inom 14 dagar.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om uppgifterna.

3 kap. Riskhanteringsåtgärder och incidentrapportering

1 § Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:

1.Incidenthantering,

2.kontinuitetshantering,

3.säkerhet i leveranskedjan,

4.säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem inklusive hantering av sårbarheter och sårbarhets- information,

5.strategier och förfaranden för användning av kryptografi och kryptering,

6.personalsäkerhet,

7.strategier för åtkomstkontroll och tillgångsförvaltning,

8.säkrade lösningar för kommunikation, och

9.lösningar för autentisering.

41

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om riskhanteringsåtgärder.

2 § Verksamhetsutövare ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om systematiskt och riskbaserat informationssäker- hetsarbete.

3 § Ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om utbildning.

4 § Med betydande incident avses

1.En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller

2.en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller im- materiell skada.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om vad som utgör en betydande incident.

5 § Verksamhetsutövaren ska som en varning underrätta CSIRT- enheten om betydande incidenter inom 24 timmar efter det att verk- samhetsutövaren fått kännedom om den. Det ska anges om att det finns misstanke om incidenten orsakats uppsåtligen och om inci- denten kan ha gränsöverskridande effekter.

6 § Verksamhetsutövaren ska också inom 72 timmar från tidpunk- ten från kännedom göra en incidentanmälan till CSIRT-enheten om betydande incidenter. Den ska innehålla en inledande bedömning av hur allvarlig den betydande incidenten är, konsekvenserna av den och förekomsten av angreppsindikatorer. Vidare ska tidigare varning enligt 5 § uppdateras.

För verksamhetsutövare som erbjuder betrodda tjänster ska en incidentanmälan göras inom 24 timmar.

42

CSIRT-enheten får begära ytterligare information av verksam- hetsutövaren.

Verksamhetsutövaren ska samtidigt även informera kunder som kan antas påverkas av den betydande incidenten. Kunderna ska vid behov informeras om avhjälpande åtgärder. Detsamma gäller betyd- ande cyberhot.

7 § Verksamhetsutövaren ska inom en månad från incidentanmä- lan i 5 § lämna en slutrapport till CSIRT-enheten. Om incidenten fortfarande är pågående ska i stället en lägesrapport lämnas som ska kompletteras med en slutrapport en månad efter det att incidenten har hanterats. Slutrapporten eller lägesrapporten ska innehålla en be- skrivning av

1.Incidenten och dess konsekvenser,

2.hur allvarlig incidenten bedöms vara,

3.vad som sannolikt utlöst incidenten,

4.åtgärderna för att begränsa incidenten, och

5.incidentens möjliga gränsöverskridande effekter.

8 § Regeringen eller den myndigheten regeringen bestämmer får meddela föreskrifter om incidentrapporteringen enligt 5–7 §§.

4 kap. Tillsyn

Tillsynsmyndighet

1 § Den myndighet som regeringen bestämmer ska vara tillsyns- myndighet.

Tillsynsmyndighetens uppdrag

2 § Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

3 § Tillsynsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att denna lag eller föreskrifter som meddelats i anslutning till lagen inte följs.

43

Tillsynsmyndighetens undersökningsbefogenheter

4 § Den som står under tillsyn ska på begäran tillhandahålla till- synsmyndigheten den information som behövs för tillsyn.

5 § Tillsynsmyndigheten har i den omfattning det behövs för till- synen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamheten.

6 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 4 och 5 §§.

Ett sådant föreläggande får förenas med vite.

7 § Tillsynsmyndigheten får begära handräckning av Kronofogde- myndigheten för att genomföra de åtgärder som avses i 4 och 5 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Säkerhetsrevision

8 § Tillsynsmyndigheten får om det finns särskilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision och att redovisa resultatet för till- synsmyndigheten.

Tillsynsmyndigheten får även anlita ett oberoende organ för att utföra regelbundna säkerhetsrevisioner av väsentliga verksamhets- utövare.

Regeringen får meddela föreskrifter om säkerhetsrevisioner.

Säkerhetsskanning

9 § Tillsynsmyndigheten får låta genomföra säkerhetsskanningar hos verksamhetsutövare som omfattas av denna lag.

En säkerhetsskanning ska ske i samarbete med verksamhetsutövaren.

44

5 kap. Ingripanden och sanktioner

Inledande bestämmelser

1 § Tillsynsmyndigheten ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt denna lag, eller föreskrifter som har meddelats med stöd av bestämmelserna om

1.skyldighet att utse företrädare enligt 1 kap. 6 §,

2.anmälningsskyldighet enligt 2 kap. 2 §,

3.riskhanteringsåtgärder enligt 3 kap. 1 §,

4.utbildning enligt 3 kap. 3 §, eller

5.incidentrapportering enligt 3 kap. 5–7 §§.

2 § Ingripanden sker genom att tillsynsmyndigheten

1.meddelar föreläggande enligt 6 §,

2.ansöker om förbud att utöva ledningsfunktion enligt 7 §, eller

3.meddelar sanktionsavgift enligt 11 §.

Om tillsynsmyndigheten inte finner skäl att ingripa enligt första stycket ska den i stället meddela verksamhetsutövaren en anmärkning.

Tillsynsmyndigheten får avstå från att ingripa enligt första och andra stycket om någon annan tillsynsmyndighet har vidtagit åtgär- der mot verksamhetsutövaren eller den fysiska personen med anled- ning av överträdelsen, och tillsynsmyndigheten bedömer att dessa åtgärder är tillräckliga.

Omständigheter som ska beaktas vid ett ingripande

3 § Vid val och utformning av ingripandeåtgärder enligt 2 § ska hänsyn tas till hur allvarlig överträdelsen är, hur länge den har pågått, samt den skada eller risk för skada som uppstått till följd av över- trädelsen.

Vid bedömningen ska särskilt beaktas

1.de åtgärder verksamhetsutövaren vidtagit för att förhindra eller minska skadan,

2.verksamhetsutövarens samarbete med tillsynsmyndigheten,

3.om överträdelsen begåtts med uppsåt eller oaktsamhet, och

4.den ekonomiska fördel som verksamhetsutövaren fått till följd av överträdelsen.

45

4 § Utöver vad som anges i 3 § ska det beaktas som försvårande om verksamhetsutövaren tidigare har begått en överträdelse.

I förmildrande riktning ska beaktas om verksamhetsutövaren har följt godkända uppförandekoder eller godkända certifieringsmeka- nismer.

5 § En överträdelse ska betraktas som allvarlig om verksamhets- utövaren

1.har begått upprepade överträdelser,

2.inte har rapporterat eller avhjälpt en betydande incident,

3.inte har följt ett tidigare föreläggande från en tillsynsmyndighet,

4.har hindrat säkerhetsrevisioner eller tillsynsåtgärder som till- synsmyndigheten beslutat om, eller

5.har lämnat oriktiga uppgifter avseende riskhanteringsåtgärder eller rapporteringsskyldigheter enligt 3 kap. 1 eller 5–7 §§.

Förelägganden

6 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att verksamhetsutövare ska uppfylla skyldigheterna som följer av 1 §.

Förelägganden enligt denna paragraf får förenas med vite.

7 § Tillsynsmyndigheten får förelägga en verksamhetsutövare att offentliggöra information på det sätt som tillsynsmyndigheten be- slutar rörande överträdelser av denna lag och föreskrifter som har meddelats med stöd av lagen.

Tillsynsmyndigheten får förelägga en verksamhetsutövare att in- formera de användare som kan påverkas av ett betydande cyberhot om hotet och vilka skydds- eller motåtgärder de kan vidta.

Förelägganden enligt denna paragraf får förenas med vite.

Förbud att utöva ledningsfunktion

8 § Om ett föreläggande enligt 6 § inte följts får tillsynsmyndig- heten ingripa mot en person som ingår i verksamhetsutövarens led- ning. Ingripande sker genom att tillsynsmyndigheten ansöker hos

46

allmän förvaltningsdomstol om att en person inte ska få vara befatt- ningshavare hos en viss verksamhetsutövare (förbud).

Ett sådant ingripande får riktas mot den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud.

Ett ingripande får endast göras om överträdelsen som ligger till grund för föreläggandet är allvarlig och om personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

9 § Ett beslut om förbud enligt 8 § fattas av förvaltningsrätten på ansökan från tillsynsmyndigheten. En ansökan ska innehålla uppgif- ter om

1.den person som ansökan avser,

2.verksamhetsutövaren,

3.överträdelsen och de omständigheter som behövs för att känne- teckna den, och

4.de bestämmelser som är tillämpliga på överträdelsen.

Ett förbud ska tidsbegränsas till lägst ett år och högst tre år och ska upphävas omedelbart när föreläggandet har följts.

Förbud får inte riktas mot offentliga verksamhetsutövare. Ansökan ska prövas skyndsamt av domstolen.

10 § Ett beslut om förbud ska upphävas om det inte längre finns förutsättningar för förbudet.

11 § Förvaltningsrätten ska pröva om ett beslutat förbud ska upp- hävas om tillsynsmyndigheten eller den enskilde begär det, eller om det annars finns skäl för det. Den enskilde ska upplysas om sin rätt att begära att ett förbud ska upphävas.

Om tillsynsmyndigheten bedömer att det inte längre finns förut- sättningar för förbudet ska den omedelbart begära att förvaltnings- rätten ska upphäva förbudet.

Sanktionsavgift

12 § Tillsynsmyndigheten får besluta att en verksamhetsutövare ska betala en sanktionsavgift till följd av en överträdelse enligt 1 §.

47

Sanktionsavgiftens storlek

13 § Sanktionsavgiften ska för väsentliga verksamhetsutövare bestäm- mas till lägst 5 000 kr och högst till det högsta av:

1.Två procent av den väsentliga verksamhetsutövarens totala glo- bala årsomsättning närmast föregående räkenskapsår, eller

2.10 000 000 euro.

14 § Sanktionsavgiften ska för viktiga verksamhetsutövare bestäm- mas till lägst 5 000 kr och högst till det högsta av:

1.1,4 procent av verksamhetsutövarens totala globala årsomsätt- ning närmast föregående räkenskapsår, eller

2.7 000 000 euro.

15 § Sanktionsavgiften ska för offentliga verksamhetsutövare be- stämmas till lägst 5 000 kr och högst 10 000 000 kr.

Hur sanktionsavgiften ska bestämmas

16 § När sanktionsavgiftens storlek bestäms ska tillsynsmyndig- heten särskilt beakta de omständigheter som följer av 3–5 §§.

Hinder mot att ta ut sanktionsavgift

17 § En sanktionsavgift får inte beslutas om överträdelsen om- fattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

En sanktionsavgift får inte heller beslutas för samma överträdelse som lett till att verksamhetsutövaren har påförts en sanktionsavgift enligt Allmänna dataskyddsförordningen.

Betalning, verkställighet och preskription

18 § En sanktionsavgift får endast tas ut om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att över- trädelsen ägde rum.

Beslut om sanktionsavgift ska delges.

48

19 § Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas i rätt tid, ska tillsynsmyndig- heten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar

m.m.Vid indrivning ska verkställighet få ske enligt utsökningsbalken. Sanktionsavgift tillfaller staten.

20 § En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Förordnande om att beslut ska gälla omedelbart

21 § Tillsynsmyndigheten får bestämma att ett beslut om förelägg- ande enligt denna lag ska gälla omedelbart.

6 kap. Överklagande

1 § Tillsynsmyndighetens beslut enligt denna lag eller anslutande föreskrifter får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1.Denna lag träder i kraft den 1 januari 2025.

2.Genom lagen upphävs lagen (2018:1174) om informationssäker- het för samhällsviktiga och digitala tjänster. Lagen ska dock fort- farande gälla för överträdelser som har skett före ikraftträdandet.

49

1.2Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på internet

Härigenom föreskrivs att rubriken till lag (2006:24) om nationella toppdomäner för Sverige på internet samt 1, 2 och 6 §§ ska ha följ- ande lydelse.

1 §

Denna lag gäller teknisk drift av nationella toppdomäner för Sverige på Internet samt tilldel- ning och registrering av domän- namn under dessa toppdomäner.

2 §

I denna lag avses med

domännamnssystemet: det internationella hierarkiska system som för befordringsändamål på Internet används för att tilldela domän- namn,

domän: nivå i domännamnssystemet och del av domännamn,

domännamn: unikt namn sammansatt av domäner, där en i domän- namnssystemet lägre placerad domän står före en domän som är högre placerad i systemet,

toppdomän: den domän som återfinns sist i ett domännamn,

nationell toppdomän: toppdo- män som betecknar en nation eller en region,

administration: teknisk drift av en toppdomän samt tilldelning och registrering av domännamn under denna,

50

namnserver: dator i ett elektroniskt kommunikationsnät som pro- grammerats så att den lagrar och distribuerar information om domän- namn samt tar emot och svarar på frågor om domännamn.

6 §

1.domännamnet,

2.namnet på domännamnsinnehavaren och dennes postadress, telefonnummer och adress för elektronisk post,

3.namnet på den som tekniskt administrerar domännamnet och dennes postadress, telefonnummer och adress för elektronisk post,

Domänadministratören är personuppgiftsansvarig för behandling av personuppgifter i registret.

Denna lag träder i kraft den 1 januari 2025.

51

1.3Förslag till lag om ändring i lagen (2022:482) om elektronisk kommunikation

Härigenom föreskrivs i fråga om lagen (2022:482) om elektronisk kommunikation

dels att 8 kap. 1–4 §§ ska upphöra att gälla, dels att 12 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 8 kap. 1 § ska utgå.

12kap. 1 §1

Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift av den som

1.inte tillhandahåller en sammanfattning av avtalet i enlighet med 7 kap. 1 §, föreskrifter som har meddelats med stöd av den para- grafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 102.3 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

2.inte tillämpar villkor om bindningstid eller uppsägningstid i enlighet med 7 kap. 8, 13 eller 14 §,

3.inte uppfyller kraven på nummerportabilitet i enlighet med 7 kap. 19 och 20 §§ eller föreskrifter om nummerportabilitet som har meddelats med stöd av 7 kap. 21 § första stycket,

4.inte vidtar åtgärder för att

hantera risker som hotar säker- heten i nät och tjänster i enlighet med 8 kap. 1 §, föreskrifter som har meddelats med stöd av den paragrafen eller genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

5.inte rapporterar om säker- hetsincidenter i enlighet med 8 kap. 3 §, föreskrifter som har meddelats

1Senaste lydelse 2023:411.

52

53

FörfattningsförslagSOU 2024:18

En sanktionsavgift enligt första stycket 2 ska, när det är fråga om ett paket enligt 7 kap. 26 §, tas ut endast om överträdelsen avser en allmänt tillgänglig elektronisk kommunikationstjänst som inte är en nummer- oberoende interpersonell kommunikationstjänst eller en överförings- tjänst som används för tillhandahållande av maskin-till-maskin-tjänster.

54

1.Denna lag träder i kraft den 1 januari 2025.

2.Äldre bestämmelser gäller fortfarande för överträdelser som skett före ikraftträdandet.

55

1.4Förslag till förordning om cybersäkerhet

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § Denna förordning kompletterar lagen om cybersäkerhet.

Uttryck i förordningen

2 § Uttryck som används i förordningen har samma innebörd som i lagen om cybersäkerhet.

Huvudsakligt etableringsställe

3 § Vid bedömningen av vad som utgör huvudsakligt etablerings- ställe enligt 1 kap. 6 § tredje stycket lagen om cybersäkerhet ska följ- ande omständigheter beaktas i angiven rangordning:

1.Plats för beslut om riskhanteringsåtgärder för cybersäkerhet,

2.plats för cybersäkerhetsverksamhet, eller

3.plats där verksamhetsutövaren har flest anställda.

Enskilda verksamhetsutövare

4 § Enskilda verksamhetsutövare får ansöka hos tillsynsmyndighet om att undantas från 1 kap. 4 § första stycket 3 lagen om cybersäker- het. Myndigheten får meddela ett sådant undantag om verksamheten inte i sig uppfyller storlekskravet i paragrafen, men gör det som part- nerföretag eller anknutet företag om ett undantag är skäligt med hänsyn till den lagens syfte.

56

Verksamhetsutövare som omfattas av krav om cybersäkerhet i andra författningar

5 § I bilaga till denna förordning anges de lagar och andra författ- ningar som innehåller krav på riskhanteringsåtgärder och incident- rapportering med verkan som sammantaget motsvarar skyldigheterna enligt lagen om cybersäkerhet.

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del

6 § Fortifikationsverket, Försvarets materielverk, Försvarets radio- anstalt, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen, Totalförsvarets forskningsinstitut och Totalförsvarets plikt- och pröv- ningsverk bedriver säkerhetskänslig verksamhet till övervägande del.

7 § Brottsförebyggande rådet, Brottsoffermyndigheten, Ekobrotts- myndigheten, Kriminalvården, Polismyndigheten, Rättsmedicinal- verket, Säkerhetspolisen och Åklagarmyndigheten bedriver brotts- bekämpning till övervägande del.

Tillsynsmyndighet

8 § Följande myndigheter ska vara tillsynsmyndighet enligt lagen om cybersäkerhet och denna förordning för angivna tillsynsområden.

57

9 § Länsstyrelsen i Norrbottens län ska vara tillsynsmyndighet för kommuner och regioner som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Stockholms län.

10 § Länsstyrelsen i Skåne län ska vara tillsynsmyndighet för kom- muner och regioner som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Västra Götalands län.

1Vårdgivare enligt definitionen i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

58

11 § Länsstyrelsen i Stockholms län ska vara tillsynsmyndighet för kommuner och regioner som hör till Stockholms, Uppsala, Söder- manlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Norrbottens län.

12 § Länsstyrelsen i Västra Götalands län ska vara tillsynsmyndig- het för kommuner och regioner som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län och verksamhetsutövare som har sitt säte i något av dessa län samt Länsstyrelsen i Skåne län.

13 § Om tillsyn över en verksamhetsutövare utövas av fler än en tillsynsmyndighet ska respektive tillsynsmyndighet inte utöva tillsyn gällande den del av verksamheten som anges som en annan tillsyns- myndighets tillsynsområde i 8 §.

Tillsynsmyndighetens uppgifter

14 § Tillsmyndigheten ska upprätta ett register över väsentliga och viktiga verksamhetsutövare. Registret ska ges in till den gemensamma kontaktpunkten senast den 1 mars 2025. Därefter ska det ske en uppdatering och ny rapportering i vart fall vartannat år.

15 § Tillsynsmyndigheten ska samarbeta med Integritetsskydds- myndigheten vid hantering av incidenter som även utgör person- uppgiftsincidenter.

Om tillsynsmyndigheten, när den bedriver tillsyn enligt lagen om cybersäkerhet, får kännedom om en omständighet som kan innebära en personuppgiftsincident som ska anmälas enligt den allmänna data- skyddsförordningen ska tillsynsmyndigheten utan onödigt dröjsmål informera Integritetsskyddsmyndigheten.

16 § Om tillsynsmyndigheten bedriver tillsyn över en verksamhets- utövare som har identifierats som en kritisk tredjepartsleverantör av IKT-tjänster enligt artikel 31 i Dora-förordningen ska tillsynsmyn- digheten informera det tillsynsforum som inrättats enligt artikel 32 i samma förordning.

59

17 § Tillsynsmyndigheten ska samarbeta med och bistå tillsyns- myndigheter i andra medlemsstater inom EES avseende verksam- hetsutövare som erbjuder tjänster i mer än en medlemsstat eller erbjuder tjänster i en eller flera medlemsstater och dess nätverks- och informationssystem finns i en eller flera medlemsstater.

18 § Tillsynsmyndigheten får avslå en begäran om bistånd enligt 17 § om myndigheten inte är behörig att tillhandahålla biståndet, om biståndet inte är proportionerligt i förhållande till tillsynsmyndig- hetens uppgifter eller om begäran avser information eller omfattar verksamhet som om den skulle lämnas ut eller utförs, skulle inverka skadligt på Sveriges säkerhetsintressen, allmänna säkerhet eller försvar.

Innan tillsynsmyndigheten avslår en begäran om bistånd ska till- synsmyndigheten samråda med övriga berörda behöriga myndigheter samt, på begäran av de berörda medlemsstaterna, med kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa).

19 § Tillsynsmyndigheten ska lämna stöd till Sveriges representant i den samarbetsgrupp som inrättats enligt artikel 14 i NIS2-direktivet.

Gemensam kontaktpunkt

20 § Myndigheten för samhällsskydd och beredskap ska vara gemen- sam kontaktpunkt.

Gemensamma kontaktpunktens uppgifter

21 § Den gemensamma kontaktpunkten ska utöva en sambands- funktion som säkerställer ett gränsöverskridande samarbete med myn- digheter i andra medlemsstater, kommissionen och Enisa samt ett sektorsövergripande samarbete med tillsynsmyndigheterna.

22 § Den gemensamma kontaktpunkten är Sveriges representant i den samarbetsgrupp som inrättats enligt artikel 14 i NIS2-direktivet.

23 § Den gemensamma kontaktpunkten ska på begäran av CSIRT- enheten vidarebefordra incidentrapporter till de gemensamma kon- taktpunkterna i andra medlemsstater.

60

24 § Den gemensamma kontaktpunkten ska var tredje månad lämna in en sammanfattande rapport till Enisa med anonymiserade och aggregerade uppgifter om betydande incidenter, incidenter, cyber- hot och tillbud.

25 § Den gemensamma kontaktpunkten ska senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och samarbets- gruppen om antalet väsentliga och viktiga verksamhetsutövare som förtecknats för varje sektor och delsektor.

Den gemensamma kontaktpunkten ska informera kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksam- hetsutövare samt deras verksamhet som identifierats enligt 1 kap. 8 § lagen om cybersäkerhet.

26 § Den gemensamma kontaktpunkten ska upprätta ett särskilt register över gränsöverskridande verksamhetsutövare och ge in det skyndsamt till Enisa. Vidare ska den gemensamma kontaktpunkten löpande underrätta Enisa om uppgifter avseende gränsöverskridande verksamhetsutövare.

CSIRT-enhet

27 § Myndigheten för samhällsskydd och beredskap ska vara CSIRT- enhet.

CSIRT-enhetens uppgifter

28 § När CSIRT-enheten utför sina uppgifter ska den,

1.säkerställa en hög nivå av tillgänglighet för sina kommunika- tionskanaler,

2.ha lokaler och informationssystem på säkra platser,

3.ha ett ändamålsenligt system för handläggning och dirigering av förfrågningar,

4.vara ständigt tillgänglig och säkerställa att personalen har fått lämplig utbildning,

5.ha redundanta system och reservlokaler för att säkerställa kon- tinuiteten i tjänsterna, och

61

6.ha en säker och motståndskraftig kommunikations- och infor- mationsstruktur för utbyte av information med verksamhetsutövare och andra relevanta intressenter.

29 § CSIRT-enheten ska,

1.övervaka och analysera cyberhot, sårbarheter och incidenter på nationell nivå och tillhandahålla varningar och information,

2.erbjuda stöd avseende realtidsövervakning av nätverks- och infor- mationssystem,

3.ta emot incidentrapporter, vidta åtgärder och erbjuda stöd,

4.om en incident kan antas ha sin grund i en brottslig gärning skyndsamt uppmana verksamhetsutövaren att anmäla incidenten till Polismyndigheten,

5.tillgängliggöra informationen i incidentrapporter utan dröjsmål för tillsynsmyndigheten,

6.samla in och analysera forensiska uppgifter,

7.tillhandahålla dynamiska risk- och incidentanalyser samt läges- uppfattning,

8.på begäran av en verksamhetsutövare utföra en proaktiv skanning av den berörda verksamhetsutövarens nätverks- och informations- system,

9.delta i det nätverk som inrättats enligt artikel 15 i NIS2-direk- tivet (CSIRT-nätverket),

10.vara samordnare för samordnad delgivning av information om sårbarheter, och

11.upprätta samarbetsförbindelser med relevanta intressenter inom privat och offentlig sektor samt bidra till samverkan rörande cyber- säkerhet.

30 § CSIRT-enheten får utföra proaktiva, icke-inkräktande skanningar av verksamhetsutövarnas allmänt tillgängliga nätverks- och informa- tionssystem i syfte att upptäcka sårbara eller osäkert konfigurerade system.

Cyberkrishanteringsmyndighet

31 § Myndigheten för samhällsskydd och beredskap ska vara cyber- krishanteringsmyndighet.

62

32 § Myndigheten för samhällsskydd och beredskap ska delta i det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe).

Rätt att meddela föreskrifter

33 § Myndigheten för samhällsskydd och beredskap får i föreskrifter ange vilka verksamhetsutövare som omfattas av 1 kap. 8 § lagen om cybersäkerhet och om verksamhetsutövaren är väsentlig. Tillsyns- myndigheten ska ges tillfälle att yttra sig.

34 § Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om anmälningsskyldigheten i 2 kap. 2 § lagen om cyber- säkerhet.

35 § Tillsynsmyndigheten får meddela föreskrifter om riskhanter- ingsåtgärder, systematiskt och riskbaserat informationssäkerhets- arbete samt utbildning enligt 3 kap. 1–3 §§ lagen om cybersäkerhet. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

För sektorn offentlig förvaltning och lärosäten med examens- tillstånd får Myndigheten för samhällsskydd och beredskap i stället för länsstyrelserna i 8 § meddela föreskrifter om riskhanterings- åtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning enligt 3 kap. 1–3 §§ lagen om cybersäkerhet.

36 § Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om vad som utgör en betydande incident enligt 3 kap. 4 § och om incidentrapportering enligt 3 kap. 5–7 §§ lagen om cyber- säkerhet. Tillsynsmyndigheten ska ges tillfälle att yttra sig.

Samarbetsforum för effektiv och likvärdig tillsyn

37 § Myndigheten för samhällsskydd och beredskap ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

63

Begäran om information

38 § När tillsynsmyndigheten begär information enligt 4 kap. 4 § lagen om cybersäkerhet ska myndigheten ange syftet med begäran och precisera vilken information som krävs.

Säkerhetsrevision

39 § Ett beslut om riktad säkerhetsrevision enligt 4 kap. 8 § lagen om cybersäkerhet ska baseras på riskbedömningar som utförts av tillsynsmyndigheten, verksamhetsutövaren eller på annan tillgänglig riskrelaterad information.

Beslut om förbud

40 § När ett beslut enligt 5 kap. 8 § lagen om cybersäkerhet har fått laga kraft ska domstolen underrätta Bolagsverket och verksamhets- utövaren om beslutet och dess innehåll. Om verksamhetsutövaren är en stiftelse ska den länsstyrelse som är registreringsmyndighet för stiftelsen underrättas i stället för Bolagsverket.

Domstolen ska skicka motsvarande underrättelser om ett sådant förbud upphävs.

41 § När Bolagsverket eller en länsstyrelse som är registrerings- myndighet har fått en underrättelse enligt 40 § ska de avregistrera personen som befattningshavare hos verksamhetsutövaren i det aktu- ella registret.

Bolagsverket eller en länsstyrelse som är registreringsmyndighet ska säkerställa att personen inte registreras på nytt som befattnings- havare hos verksamhetsutövaren under förbudstiden.

1.Denna förordning träder i kraft den 1 januari 2025.

2.Genom förordningen upphävs förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. För- ordningen ska dock fortfarande gälla för överträdelser som har skett före ikraftträdandet.

64

Bilaga

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finans- sektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

65

1.5Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs i fråga om förordningen (2007:951) med in- struktion för Post- och telestyrelsen att 4 § ska ha följande lydelse.

4 §1

Post- och telestyrelsen har till uppgift att

1.främja tillgången till säkra och effektiva elektroniska kommu- nikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elektro- niska kommunikationstjänster,

2.främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsätt- ningar för samverkan mellan myndigheter som kan bidra till utbygg- naden av bredband,

3.svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4.svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5.främja en effektiv konkurrens,

6.övervaka pris- och tjänsteutvecklingen,

7.bedriva informationsverksamhet riktad till konsumenter,

8.följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation och uppkomsten av eventuella miljö- och hälsorisker,

9.pröva frågor om tillstånd och skyldigheter, fastställa och analy- sera marknader samt utöva tillsyn och pröva tvister enligt lagen (2022:482) om elektronisk kommunikation,

10.meddela föreskrifter enligt förordningen (2022:511) om elek- tronisk kommunikation,

11.upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av all- mänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

1Senaste lydelse 2022:531.

66

12.tillhandahålla information om frekvensanvändning till Euro- peiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13.vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

14.vara tillsynsmyndighet enligt lagen (2016:561) med komplet- terande bestämmelser till EU:s förordning om elektronisk identi- fiering och ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,

15.följa utvecklingen när det gäller toppdomäner med geogra- fiska namn som har anknytning till Sverige,

16.vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17.verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgärder, och verka för ökad krishanteringsförmåga,

18.verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer,

19.lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nät- säkerhet,

20.vara tvistlösnings- och tillsynsmyndighet enligt lagen (2016:534) om åtgärder för utbyggnad av bredbandsnät och ansvara för infor- mationstjänsten för utbyggnad av bredbandsnät enligt samma lag, och

Denna förordning träder i kraft den 1 januari 2025.

67

1.6Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att bilagan till offentlighets- och sekretessför- ordningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

Bilaga1

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

digitala tjänster

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Föreslagen lydelse

Bilaga

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

153. tillsyn enligt lagen (2025:000) Gäller ej beslut i ärenden om cybersäkerhet

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Denna förordning träder i kraft den 1 januari 2025.

1Senaste lydelse 2023:742.

68

1.Denna förordning träder i kraft den 1 januari 2025.

2.Äldre bestämmelser gäller fortfarande för överträdelser som skett före ikraftträdandet.

70

utredningen även klarlägga om det behövs ett starkare sekretesskydd för uppgifter till följd av direktivens krav. Uppdraget skulle genom- föras under en tid om ett år. I tilläggsdirektiv beslutade regeringen att utredningens förslag avseende införlivning av NIS2-direktivet skulle redovisas i ett delbetänkande den 5 mars 2024 och övriga delar i ett slutbetänkande i september 2024.

2.1.2Utredningens övergripande utgångspunkt

Direktiven är s.k. minimidirektiv, varför medlemsstaterna får anta mer långtgående bestämmelser. Det betyder att utredningen skulle kunna lämna förslag om att exempelvis fler sektorer än vad som följer av direktivet skulle kunna omfattas av en reglering. Utgångspunkten enligt regeringen ska dock vara att förslagen utformas så att regel- bördan och administrationen minimeras för berörda verksamhets- utövare. Om utredningen lämnar mer långtgående förslag ska utred- ningen motivera varför det är nödvändigt och göra en analys om förslagen är samhällsekonomiskt effektiva och hur svenska företags konkurrenskraft skulle påverkas.

2.1.3Särskilt om NIS2-direktivet

Vem omfattas?

Det tidigare direktivet omfattade leverantörer av samhällsviktiga tjänster och gav medlemsländerna relativ stor frihet att bestämma vem som skulle innefattas i detta. NIS2-direktivet anger som huvud- regel att alla verksamhetsutövare som uppfyller vissa kriterier omfattas.

En särskild fråga är i vilken utsträckning kommuner ska omfattas. Kommunal verksamhet kan redan omfattas enligt det tidigare NIS- direktivet om kommuner bedriver verksamhet inom något av de sju utpekade områdena. Eftersom ett tillkommande område är offentlig förvaltning kommer dock offentliga verksamhetsutövare att omfattas i mycket större omfattning. Direktivet kan enligt regeringen tolkas så att statliga myndigheter och regioner omfattas, men överlåter åt medlemsstaterna att bestämma om kommuner ska omfattas. Ett annat nytt område i NIS2-direktivet är forskning. Utbildningsinstitutioner är undantagna från direktivets tillämpningsområde, men medlems-

72

staterna får föreskriva att direktivet även ska tillämpas på dem, vilket enligt regeringen kan vara särskilt relevant om de utför kritisk forsk- ningsverksamhet. Utredningen ska överväga om universitet och hög- skolor ska omfattas eller ett urval av dem och därvid beakta principer om akademisk frihet, institutionell autonomi och forskningsintegri- tet samt excellens och öppenhet. Det ankommer förstås på utred- ningen att ta ställning till det.

Klassificering och registrering

De som omfattas av direktivet ska klassificeras antingen som väsentliga eller viktiga utifrån betydelse och storlek. Medlemsstaterna ska upp- rätta en förteckning, som uppdateras regelbundet. Underlag för för- teckningen ska lämnas av verksamhetsutövarna till behöriga myndig- heter, som i sin tur ska underrätta kommissionen. Medlemsländerna får alternativt inrätta ett system för självregistrering.

Riskhantering och rapportering

NIS2-direktivet ställer krav om tekniska, operationella och organi- satoriska riskhanteringsåtgärder. Dessa ska vara proportionella utifrån bland annat storlek, sannolikhet för incidenter och möjlig påverkan. Direktivet uppställer minimikrav.

Direktivet innehåller också en rapporteringsskyldighet till CSIRT- enheten eller nationell myndighet. Enligt den nuvarande ordningen sker rapportering till CSIRT-enheten, dvs. MSB. Detta bör vara ut- gångspunkt även framöver.

Myndigheternas ansvarsfördelning

På samma sätt som enligt tidigare NIS-direktiv ska enligt det nya direktivet en eller flera behöriga myndigheter utöva tillsyn på natio- nell nivå. De nuvarande tillsynsmyndigheterna är Statens energimyn- dighet, Transportstyrelsen, Finansinspektionen, IVO, Livsmedels- verket och PTS. Därutöver ska det precis som tidigare finnas en nationell gemensam kontaktpunkt. Den ska utgöra en sambandsfunktion som säkerställer samarbete mellan de nationella myndigheterna och sam-

73

arbetet med myndigheter i andra medlemsländer. MSB är nationell gemensam kontaktpunkt. Oförändrat är även att det även fortsätt- ningsvis ska finnas en eller flera s.k. CSIRT-enheter som ska ansvara för it-säkerhetsincidenter. MSB är för närvarande CSIRT-enhet. Myndigheten leder också ett samarbetsforum mellan tillsynsmyn- digheter, där även Socialstyrelsen ingår.

Genom NIS2-direktivet införs några nyheter. En är att medlems- länderna ska utse en eller flera myndigheter som cyberkrishanter- ingsmyndighet med ansvar för storskaliga cybersäkerhetsincidenter och cyberkriser. Samarbetet mellan medlemsländerna förstärks såväl

isamarbetsgruppen som mellan CSIRT-enheter. Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) med företrädare för cyberkrishanteringsmyndigheter ska vara stödjande vid storska- liga incidenter och cyberkriser. Det finns redan ett frivilligt sam- arbete med MSB som svensk representant. En utgångspunkt är att den nya tillsynsstrukturen bör utgå från den tidigare.

Av det anförda följer att utredningen behöver utse tillsynsmyn- digheter för de tillkommande områdena. Vidare behöver utredningen utse en cyberkrishanteringsmyndighet. Enligt regeringens direktiv är det en utgångspunkt att MSB behåller ansvaret som gemensam kontaktpunkt och CSIRT-enhet samt även utses till cyberkrishan- teringsmyndighet. Det utredningen behöver klarlägga i denna del är om mandatet för MSB behöver förändras.

Det som därutöver anförs i regeringens direktiv i denna del är att det kan finnas skäl för en mer effektiv tillsyn, varför utredningen ska göra en utvärdering av den tillsyn som har bedrivits enligt tidigare reglering. En slutsats kan vara att detta i första hand bör ha bäring på myndigheternas arbete och samarbete, eftersom nuvarande struktur ska vara utgångspunkt.

Utredningen har vidare noterat att Försvarsberedningen i betänk- andet Kraftsamling (Ds 2023:34), som överlämnades i december 2023, framför att det kan övervägas att ansvaret för cyber- och informa- tionssäkerhet som i dag finns på MSB organiseras som ny myndig- het. Utredningen har dock att förhålla sig till det av regeringen beslutade kommittédirektivet, där det bland annat anges att MSB ska ha vissa av de uppgifter som följer av NIS2-direktivet. Det kan dock konstateras att en utbrytning av cyber- och informationssäkerhets- frågorna från MSB skulle behöva utredas närmare. Utredningen note- rar också att frågan om Nationellt cybersäkerhetscenters ledning,

74

organisering och styrning utreds inom Försvarsdepartementet med inriktning att ett huvudmannaskap ska ligga hos Försvarets radio- anstalt. Eftersom utredningen om cybersäkerhetscentret inte färdig- ställts när detta betänkande lämnas får eventuella förslag kring orga- nisatoriska förändringar för myndigheterna som ingår i Nationellt cybersäkerhetscenter beaktas i den fortsatta beredningen av denna utrednings förslag.

Myndigheternas befogenheter

NIS2-direktivet uppställer detaljerade krav på befogenheter för till- synsmyndigheterna och innehåller sanktioner. Flera åtgärder saknar direkt motsvarighet i svensk rätt. Det gäller kravet om att tillfälligt upphäva certifiering eller tillstånd för verksamhet och att tillfälligt förbjuda personer i ledningen att utöva ledningsfunktioner. I denna del ska utredningen analysera hur en sådan reglering förhåller sig till relevant reglering inom andra områden i svensk rätt, till exempel associationsrättsliga regler eller sektorsspecifika regler som innehåller krav om certifiering eller tillstånd.

Det är enligt direktivet upp till medlemsstaterna att avgöra om bestämmelser om straffansvar ska införas för den nationella regler- ingen. Vid genomförandet av det tidigare NIS-direktivet gjordes be- dömningen att överträdelser inte skulle vara straffsanktionerade. Skälen var att kriminalisering som metod bör användas med försik- tighet. Vidare skulle straff inte heller vara den effektivaste sanktionen, eftersom de som skulle kunna göra sig skyldiga till överträdelser skulle vara myndigheter, kommuner, landsting och företag. Straff kan enligt svensk rätt endast ådömas en fysisk person. Det saknas enligt regeringen nu skäl att frångå den bedömningen. Utredningens inriktning ska därför vara att sanktioner ska vara av administrativt slag. Det handlar då om sanktionsavgifter. En förändring i förhåll- ande till NIS-lagen är att dessa ska ligga på en högre nivå.

2.1.4Förhållandet till säkerhetsskyddsregleringen

Säkerhetsskyddsregleringens, dvs. säkerhetshetsskyddslagen (2018:585), och säkerhetsskyddsförordning (2021:955), huvudsyfte är att skydda verksamheter som har betydelse för Sveriges säkerhet ur ett natio-

75

nellt perspektiv. Det finns möjlighet att helt undanta offentliga och enskilda verksamhetsutövare som i hög grad bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, medan de verksamhetsutövare som bedriver så- dan verksamhet i mindre utsträckning inte i sin helhet kan undantas från direktivet.

I stället får medlemsstaterna för dessa på olika sätt för specifika verksamheter besluta om undantag från vissa krav. Detta rimmar dock inte med den nuvarande svenska lagsystematiken.

Säkerhetsskyddslagen omfattar enligt 1 § den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). NIS-lagens 8 § anger att lagen inte gäller för verksamhet som omfattas av säker- hetsskyddslagen. Av 2 kap. 1 § säkerhetsskyddslagen följer sedan att den som till någon del bedriver säkerhetskänslig verksamhet ska ut- reda behovet av säkerhetsskydd (säkerhetsskyddsanalys).

Innebörden är enligt regeringen att en verksamhetsutövare själv ska bedöma vilka delar av verksamheten som omfattas av säkerhets- skyddslagen respektive NIS-lagen. Problemet skulle nu vara att detta mer generella system inte skulle rimma med NIS2-direktivets krav om specifika undantag för vissa verksamheter.

I regeringens direktiv anförs att det skulle vara naturligt att utgå från gällande tillsynsstruktur i säkerhetsskyddslagen. Tillsynsansva- ret är fördelat bland annat mellan Försvarsmakten och Säkerhets- polisen. Dessa ska sedan genom systematisk kartläggning identifiera verksamhetsutövare inom myndigheternas respektive tillsynsområde. Dessa skulle då också kunna besluta om specifika undantag från kra- ven i direktiven. Regeringens utgångspunkt är alltså att de nya kraven i NIS2-direktivet i denna del skulle regleras genom en anpassning av säkerhetsskyddsregleringen. Det anges också uttryckligen att inrikt- ningen ska vara att säkerhetskänslig verksamhet undantas från den nya regleringen så långt det är möjligt. I regeringens direktiv anges dock också att utredningen kan föreslå andra lösningar.

Utredningen bedömer att skäl för andra lösningar kan vara att undantag i säkerhetsskyddslagen kan bli komplicerat att genomföra. En inledande åtgärd för utredningen kan vara att ingående analysera i vilken utsträckning direktiven ställer tvingande krav om beslut om specifika undantag för verksamhetsutövare. En annan komplikation

76

är att det inte kommer att vara tillräckligt att undanta verksamhets- utövare som bedriver säkerhetskänslig verksamhet helt eller delvis från rapporteringskravet om incidenter. Det behöver därutöver exem- pelvis införas undantag för uppgifter som rör säkerhetskänslig verk- samhet så att de inte registreras i den europeiska sårbarhetsdatabasen som enligt NIS2-direktivet ska upprättas.

2.1.5Förhållandet till annan unionsrättslig och nationell regering

Utredningen behöver beakta annan sektorsspecifik unionsrättslig re- glering. Det gäller särskilt för sektorerna bankverksamhet och finans- marknadsinfrastruktur. Även annan nationell reglering ska förstås be- aktas. När det gäller verksamhetsutövares säkerhetsarbete ska målet vara att samordningsvinster uppnås. Regelbördan och administratio- nen ska minimeras och kostnadseffektivitet eftersträvas.

2.1.6Utanför uppdraget

Vissa saker som regleras i direktivet faller utanför uppdraget, efter- som det ska behandlas i särskild ordning. Det handlar om införandet av ett system för sakkunnigbedömningar samt om nationell strategi för cybersäkerhet och nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter. Dessa ämnen ska därför inte behandlas av utredningen.

2.1.7Konsekvensanalys

En viktig uppgift för utredningen är att göra en konsekvensanalys för förslagen. Det handlar särskilt om ekonomiska konsekvenser för myndigheter och företag samt påverkan på den kommunala självstyr- elsen.

Kostnadsökningar för det allmänna ska utredningen föreslå en finansiering för.

77

Med hänsyn till att ett stort antal myndigheter kan förväntas få nya tillsynsuppgifter kan konsekvensanalysen behöva bli omfattande. En utgångspunkt med hänsyn till komplexiteten krävs konsultstöd för att upprätta i vart fall delar av analysen.

2.2Utredningens arbete

Utredningens arbete har bedrivits på sedvanligt sätt med regelbundna möten med sakkunniga och experter samt med deltagarna i en till utredningen knuten referensgrupp. Utredningen har haft sex proto- kollförda möten med expert- och sakkunniggruppen och två med referensgruppen. Utredningen har också haft enskilda möten med deltagarna i expert- och sakkunniggruppen samt referensgruppen.

Utredningen har också träffat Tele2 Sverige AB, Netnod Internet Exchange i Sverige AB, Svenska Bankföreningen, Säkerhets- och försvarsföretagen, Inspektionen för vård och omsorg samt Försva- rets radioanstalt. Utredningen har vidare träffat de myndigheter som föreslås som nya tillsynsmyndigheter, dvs. Läkemedelsverket, och länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norr- bottens län.

Utredningen har löpande hållit Regeringskansliet informerat om arbetet.

Utredningen har i enlighet med direktiven också hållit sig infor- merad om arbetet i Fastighetsregisterlagsutredningen (Ju 2022:09), Operativ krisledning vid allvarliga driftstörningar i den finansiella sektorns digitala infrastruktur (Fi2023/01842), Uppdrag att lämna för- slag på hur en ändamålsenlig och effektiv ledning, organisering och styrning av Nationellt cybersäkerhetscenter ska utformas (Fö 2023:A) och Utredningen om säker och tillgänglig digital identitet (I 2022:04).

2.3Betänkandets disposition

Betänkandet inleds med en övergripande beskrivning av NIS2-direk- tivet (kapitel 3). Därefter följer en beskrivning av de nya sektorer som följer av direktivet (kapitel 4). I kapitel 5 behandlas cybersäker- hetslagens tillämpningsområde. I kapitel 6 behandlas klassificering och registrering av verksamhetsutövare. Riskhantering och incident- rapportering behandlas i kapitel 7. Kapitlen därefter behandlar till-

78

syn (kapitel 8) och ingripanden och sanktioner (kapitel 9). I kapi- tel 10 behandlas funktionerna gemensam kontaktpunkt, CSIRT-enhet och cyberkrishanteringsmyndighet. Kapitel 11 analyserar hur NIS2- direktivet påverkar lagen (2022:482) om elektronisk kommunikation. Kapitel 12 innehåller utredningens konsekvensanalys. Ikraftträdandet behandlas i kapitel 13. Slutligen följer en författningskommentar till de lämnade författningsförslagen (kapitel 14). Kommittédirektivet finns i sin helhet i bilaga 1. Utredningens tilläggsdirektiv finns i bilaga 2. I bilaga 3 finns NIS2-direktivet. Bilaga 4 är en av utredningen beställd konsultrapport. Bilaga 5 innehåller en parallelluppställning över direk- tivets artiklar och de bestämmelser i gällande rätt eller i utredningens författningsförslag som genomför varje artikel.

79

3.1.1Gällande rätt

NIS-direktivet har i Sverige genomförts genom NIS-lagen och för- ordning (2018:1175) om informationssäkerhet för samhällsviktiga tjänster samt föreskrifter utfärdade av MSB, Statens energimyndig- het, Transportstyrelsen, Livsmedelsverket och Post- och telestyrelsen.

Lagen (2018:1174) om samhällsviktiga och digitala tjänster

NIS-lagen ställer krav på vissa leverantörer av samhällsviktiga och digitala tjänster. Kraven innebär bland annat skyldigheter att vidta säkerhetsåtgärder och att rapportera incidenter som påverkar konti- nuiteten i tjänsten.

I lagen finns bestämmelser om tillsyn. Tillsynsmyndigheten ska kunna besluta om vitesförelägganden och sanktionsavgift mot den som inte följer bestämmelserna i lagen eller i föreskrifter som med- delats med stöd av lagen. Vidare finns bestämmelser om nationell kontaktpunkt, CSIRT-enhet och ett samarbetsforum för en effektiv och likvärdig tillsyn.

I lagen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter bland annat om vilka tjänster som är samhällsviktiga, säkerhetsåtgärder och incidentrapportering.

Lagen trädde i kraft den 1 augusti 2018.

Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster

Förordningen kompletterar NIS-lagen och specificerar närmare de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheteten i deras nät- och informa- tionssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan.

Förordningen innehåller också bemyndigande för MSB att med- dela föreskrifter om vilka tjänster som är samhällsviktiga enligt NIS- lagen. Därutöver innehåller förordningen även faktorer som ska be- aktas vid bedömningen av vad som avses med en betydande störning och bemyndigar MSB att meddela ytterligare föreskrifter för att pre- cisera detta.

82

Vidare innehåller förordningen bestämmelser om säkerhetsåtgärder och bemyndiganden för MSB, Statens energimyndighet, Transport- styrelsen, Finansinspektionen, Livsmedelsverket, Post- och telestyr- elsen och Socialstyrelsen att meddela ytterligare föreskrifter om säkerhetsåtgärder.

Förordningen anger även vad som särskilt ska beaktas vid be- dömningen av om en incident har en betydande inverkan på konti- nuiteten i en samhällsviktig tjänst samt bemyndigande för MSB att meddela ytterligare föreskrifter om vad som avses med betydande inverkan.

MSB är CSIRT-enhet och ska ta emot incidentrapporter och får enligt förordningen meddela ytterligare föreskrifter om vilken infor- mation en sådan rapport ska innehålla, inom vilken tid den ska göras och de närmare formerna för rapporteringen.

MSB får också meddela föreskrifter om anmälningsskyldighet för leverantörer av samhällsviktiga tjänster. Föreskrifterna får avse när i tiden en anmälan ska ske, vilken information en anmälan ska inne- hålla och de närmare formerna för fullgörandet av anmälningsskyl- digheten.

Vidare pekar förordningen ut vilka myndigheter som är tillsyns- myndigheter för vilka sektorer samt listar särskilda uppgifter för till- synsmyndigheterna.

Enligt förordningen ska MSB vara nationell kontaktpunkt och leda ett samarbetsforum där tillsynsmyndigheterna och Socialstyrel- sen ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn. MSB är också Sveriges representant i den samarbetsgrupp som inrättats enligt NIS-direk- tivet och ska tillhandahålla information om genomförandet av direk- tivet till kommissionen.

Myndighetsföreskrifter

MSB har meddelat följande föreskrifter och allmänna råd för leve- rantörer av samhällsviktiga och digitala tjänster:

•Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster. Föreskrifterna trädde i kraft den 1 mars 2022 när MSBFS 2018:7 upphörde att gälla.

83

•Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:8) om informationssäkerhet för leve- rantörer av samhällsviktiga tjänster.

•Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:9) om rapportering av incidenter för leverantörer av samhällsviktiga tjänster.

•Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:10) om rapportering av incidenter för leverantörer av digitala tjänster.

•Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:11) om frivillig rapportering av inci- denter i tjänster som är viktiga för samhällets funktionalitet.

Statens energimyndighet har meddelat följande föreskrifter och all- männa råd för leverantörer av samhällsviktiga tjänster inom energi- sektorn:

•Statens energimyndighets föreskrifter och allmänna råd (STEMFS 2021:3) om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn. Föreskrifterna trädde i kraft den 1 mars 2021.

Post- och telestyrelsen har meddelat följande föreskrifter och all- männa råd för leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur:

•Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2021:3) om säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn digital infrastruktur. Föreskrifterna trädde i kraft den 1 juni 2021.

Transportstyrelsen har meddelat följande föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom transportsektorn:

•Transportstyrelsens föreskrifter och allmänna råd (TFFS 2022:14) om säkerhetsåtgärder för leverantörer inom transportsektorn. Före- skrifterna trädde i kraft den 1 juli 2022.

84

Livsmedelsverket har meddelat följande föreskrifter om informations- säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leverans och distribution av dricksvatten:

•Livsmedelsverkets föreskrifter (LIVFS 2022:2) om informations- säkerhetsåtgärder för samhällsviktiga tjänster inom sektorn leve- rans och distribution av dricksvatten. Föreskrifterna trädde i kraft den 1 september 2022.

3.1.2Gällande myndighetsstruktur och samarbete

Det svenska genomförandet av NIS-direktivet innebär alltså att upp- gifter fördelats på ett flertal myndigheter. MSB är nationell kontakt- punkt och CSIRT-enhet. Myndigheten leder också ett nationellt sam- arbetsforum och tar emot incidentrapporter. Som framgått ovan har myndigheten även föreskriftsrätt på flera områden.

Tillsynsansvaret är fördelat enligt följande.

Tillsynsmyndigheterna får meddela föreskrifter om säkerhetsåtgärder enligt 12–14 §§ NIS-lagen för sina respektive tillsynsområden. Social- styrelsen får meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde. Innan föreskrifterna meddelas ska MSB ges tillfälle att yttra sig. MSB ska lämna råd och stöd till tillsyns- myndigheterna och Socialstyrelsen när de tar fram föreskrifterna.

85

3.2NIS2-direktivet

3.2.1Bakgrund och syfte

Syftet med NIS2-direktivet är att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemen- sam cybersäkerhetsnivå inom unionen.

Sedan NIS-direktivet trädde i kraft har betydande framsteg gjorts för att öka unionens nivå av cyberresiliens. Trots dessa framsteg har översynen av NIS-direktivet avslöjat brister som hindrar direktivet från att effektivt hantera befintliga och framväxande utmaningar på cybersäkerhetsområdet.

Nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet genom den snabba digitala omställningen och sammankopplingen av samhället. Denna utveckling har lett till en utvidgad hotbild och fört med sig nya utmaningar som kräver an- passade, samordnade och innovativa svarsåtgärder i alla medlemsstater. Incidenter, som blir allt fler och mer omfattande, sofistikerade och vanliga utgör ett allvarligt hot mot nätverks- och informations- systemens funktion. Därför kan sådana incidenter hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekono- misk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för unionens ekonomi och samhälle. Beredskap och ändamåls- enlighet på cybersäkerhetsområdet är därför nu viktigare än någon- sin för att den inre marknaden ska fungera väl. Cybersäkerhet är dessutom en viktig förutsättning för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar.

De cybersäkerhetskrav som åläggs verksamhetsutövare som till- handahåller tjänster eller utför verksamhet som är ekonomiskt bety- delsefull varierar avsevärt mellan medlemsstaterna avseende typen av krav och tillsynsmetod. Dessa skillnader medför extra kostnader och gör det svårt för verksamhetsutövarna att erbjuda varor och tjänster över gränserna. Krav som ställs av en medlemsstat och som skiljer sig från, eller till och med står i strid med, krav som ställs av en annan medlemsstat kan väsentligt påverka sådan gränsöverskridande verk- samhet. Det är dessutom sannolikt att otillräckligt utformade eller genomförda cybersäkerhetskrav i en medlemsstat kommer att påverka cybersäkerhetsnivån i andra medlemsstater. Översynen av NIS-direk-

86

tivet har också visat på stora skillnader i medlemsstaternas genom- förande när det gäller dess tillämpningsområde.

Alla dessa skillnader medför en fragmentering av den inre mark- naden vilket kan ha en skadlig inverkan på dess funktion och på- verkar tillhandahållandet av tjänster över gränserna samt nivån av cyberresiliens. Dessa skillnader kan också leda till att vissa medlems- stater har större sårbarhet för cyberhot, med potentiella spridnings- effekter i hela unionen. Direktivets mål är att undanröja dessa stora skillnader mellan medlemsstaterna, särskilt genom att föreskriva minimiregler för ett fungerande samordnat regelverk, genom att fast- ställa mekanismer för effektivt samarbete mellan de ansvariga myn- digheterna i varje medlemsstat, genom att uppdatera vilka sektorer och verksamheter som omfattas av skyldigheter och genom att föreskriva effektiva rättsmedel och efterlevnadskontrollåtgärder.

Ioch med upphävandet av NIS-direktivet bör tillämpningsområ- det utvidgas till en större del av ekonomin så att det ger en om- fattande täckning av sektorer och tjänster som är av avgörande bety- delse för viktiga samhälleliga och ekonomiska verksamheter på den inre marknaden. (artikel 1.1 och skäl 2–6).

3.2.2Tillämpningsområde och förteckning

Direktivet är tillämpligt på offentliga eller privata verksamhetsutövare av den typ som avses i direktivets bilaga 1 eller 2 och som betecknas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG eller överstiger de trösklar för medel- stora företag som avses i punkt 1 i den artikeln och som tillhanda- håller sina tjänster eller bedriver sin verksamhet i unionen. Verksam- hetsutövarna finns inom 18 sektorer som delas upp i högkritiska och andra kritiska sektorer. De högkritiska sektorerna är följande:

•Energi, med delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas

•Transporter, med delsektorerna lufttransport, järnvägstransport, sjöfart och vägtransport

•Bankverksamhet

•Finansmarknadsinfrastruktur

87

•Hälso- och sjukvårdssektorn

•Dricksvatten

•Avloppsvatten

•Digital infrastruktur

•Förvaltning av IKT-tjänster (mellan företag)

•Offentlig förvaltning

•Rymden

Till detta kommer de andra kritiska sektorerna som är:

•Post- och budtjänster

•Avfallshantering

•Tillverkning, produktion och distribution av kemikalier

•Produktion, bearbetning och distribution av livsmedel

•Tillverkning, med delsektorerna

–tillverkning av medicintekniska produkter och medicintek- niska produkter för in vitro-diagnostik

–tillverkning av datorer, elektronikvaror och optik

–tillverkning av elapparatur

–tillverkning av övriga maskiner

–tillverkning av motorfordon, släpfordon och påhängsvagnar

–tillverkning av andra transportmedel

•Digitala leverantörer

•Forskning

88

Oavsett verksamhetsutövarnas storlek är direktivet också tillämpligt på verksamhetsutövare av en typ som avses i bilaga 1 eller 2 i följande fall:

•Om tjänster tillhandahålls av

–tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster,

–tillhandahållare av betrodda tjänster,

–registreringsenheter för toppdomäner och leverantörer av domän- namnssystemtjänster.

•Om verksamhetsutövaren är den enda leverantören i en medlems- stat av en tjänst som är väsentlig för att upprätthålla kritisk eller samhällelig eller ekonomisk verksamhet.

•Om en störning av den tjänst som verksamhetsutövaren tillhanda- håller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa.

•Om en störning av den tjänst som verksamhetsutövaren till- handahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konse- kvenser.

•Verksamhetsutövaren är kritisk på grund av sin särskilda bety- delse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är be- roende av denna verksamhetsutövare.

•Om verksamhetsutövaren är en offentlig förvaltningsenhet

–på statlig nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, eller

–på regional nivå såsom de definieras av en medlemsstat i enlig- het med nationell rätt, som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha betydande effekt på kritisk samhällelig eller ekonomisk verksamhet.

Oavsett verksamhetsutövarnas storlek är direktivet också tillämpligt på verksamhetsutövare som identifierats som kritiska verksamhets- utövare enligt CER-direktivet och på verksamhetsutövare som till- handahåller domännamnsregistreringstjänster.

89

Medlemsstaterna får föreskriva att direktivet även ska tillämpas på offentliga förvaltningsenheter på lokal nivå och utbildningsinsti- tut, särskilt om de utför kritisk forskningsverksamhet.

Direktivet påverkar inte medlemsstaternas ansvar för att skydda nationell säkerhet och deras befogenhet att skydda andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integri- tet och upprätthålla lag och ordning.

Direktivet är inte tillämpligt på offentliga verksamhetsutövare som bedriver verksamhet på områdena nationell säkerhet, allmän säker- het, försvar eller brottsbekämpning, inbegripet förebyggande, utred- ning, upptäckt och lagföring av brott. Medlemsstaterna får undanta särskilda verksamhetsutövare som bedriver verksamhet på dessa om- råden, eller som uteslutande tillhandahåller tjänster till en offentlig verksamhetsutövare som bedriver verksamhet på dessa områden, från skyldigheterna rörande riskhantering och rapportering med avseende på sådan verksamhet eller sådana tjänster. I sådana fall ska inte heller tillsyns- och efterlevnadskontrollåtgärder tillämpas på denna speci- fika verksamhet eller dessa specifika tjänster. Om verksamhetsutövarna bedriver verksamhet uteslutande på områdena nationell säkerhet, all- män säkerhet, försvar eller brottsbekämpning får medlemsstaten be- sluta att befria dessa verksamhetsutövare också från skyldigheterna om registrering.

Om det i sektorsspecifika unionsrättsakter föreskrivs att verk- samhetsutövare ska anta riskhanteringsåtgärder för cybersäkerhet eller underrätta om betydande incidenter, och dessa krav har minst samma verkan, ska de relevanta bestämmelserna i NIS2-direktivet inte tillämpas på sådana verksamhetsutövare.

Verksamhetsutövare som omfattas av direktivet ska delas upp i väsentliga och viktiga verksamhetsutövare. Följande verksamhets- utövare är enligt direktivet väsentliga:

•Verksamhetsutövare av en typ som avses i bilaga 1 och som över- stiger trösklarna för medelstora företag.

•Kvalificerade tillhandahållare av betrodda tjänster och registrerings- enheter för toppdomäner samt leverantörer av DNS-tjänster, oav- sett storlek.

•Tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som be- traktas som medelstora företag.

90

•Offentliga verksamhetsutövare på statlig nivå.

•Alla andra verksamhetsutövare av en typ som avses i bilaga 1 eller 2 som av en medlemsstat identifierats som väsentliga.

•Verksamhetsutövare som identifierats som kritiska verksamhets- utövare enligt CER-direktivet.

•Verksamhetsutövare som medlemsstaterna före den 16 januari 2023 har identifierat som leverantörer av samhällsviktiga tjänster enligt NIS-direktivet, om så föreskrivs av medlemsstaten.

Alla verksamhetsutövare av en typ som avses i bilaga 1 eller 2 och som inte är väsentliga ska betraktas som viktiga verksamhetsutövare. Detta inkluderar verksamhetsutövare som en medlemsstat identi- fierat som viktiga i enlighet med artikel 2.2 b–e.

Senast den 17 april 2025 ska medlemsstaterna upprätta en för- teckning över väsentliga och viktiga verksamhetsutövare samt verk- samhetsutövare som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år se över för- teckningen och när det är lämpligt uppdatera den. Medlemsstaterna får inrätta nationella mekanismer som gör det möjligt för verksam- hetsutövarna att registrera sig själva.

Senast den 17 april 2025 och därefter vartannat år ska de behöriga myndigheterna underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga verksamhetsutövare för varje sektor och delsektor och lämna relevant information om väsentliga och viktiga verksamhetsutövare som identifierats oavsett storlek (artikel 2–4).

3.2.3Behöriga myndigheter och gemensamma kontaktpunkter

Varje medlemsstat ska utse en eller flera behöriga myndigheter med ansvar för cybersäkerhet och tillsyn. De behöriga myndigheterna ska övervaka genomförandet av direktivet på nationell nivå. Varje med- lemsstat ska också utse en gemensam kontaktpunkt. Den ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande sam- arbete mellan medlemsstatens myndigheter och myndigheter i andra medlemsstater och, när det är lämpligt, kommissionen och Euro- peiska unionens cybersäkerhetsbyrå (Enisa). Den behöriga myndig-

91

heten ska också säkerställa ett sektorsövergripande samarbete med andra behöriga myndigheter i medlemsstaten (artikel 8).

3.2.4Cyberkrishanteringsmyndighet

Varje medlemsstat ska utse en eller flera behöriga myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter). Om en medlemsstat utser mer än en cyberkrishanteringsmyndighet ska den ange vilken av dessa myndigheter som ska samordna hanteringen av storskaliga cyber- säkerhetsincidenter och kriser. Enligt direktivet ska medlemsstaten även anta en nationell plan för hanteringen av storskaliga cybersäker- hetsincidenter och kriser där mål och villkor för hanteringen av sådana incidenter och kriser fastställs. Utformningen av den natio- nella planen omfattas enligt kommittédirektivet inte av utredarens uppdrag (artikel 9).

3.2.5CSIRT-enheter

Medlemsstaterna bör ha både den tekniska och organisatoriska kapa- citeten som krävs för att förebygga, upptäcka, vidta åtgärder mot och begränsa incidenter och risker. Varje medlemsstat ska därför utse en eller flera CSIRT-enheter. I direktivet ställs uttryckliga krav som CSIRT-enheter ska uppfylla. Direktivet anger också ett antal upp- gifter för CSIRT-enheter. Medlemsstaterna ska säkerställa att deras CSIRT-enheter har nödvändig kapacitet att utföra dessa uppgifter och att tillräckliga resurser anslås för att säkerställa en tillräcklig per- sonalstyrka för att göra det möjligt för CSIRT-enheterna att ut- veckla sin tekniska kapacitet (artikel 10 och 11).

Varje medlemsstat ska utse en av sina CSIRT-enheter till samord- nare för den samordnade delgivningen av information om sårbar- heter. Den CSIRT-enhet som utsetts till samordnare ska fungera som betrodd mellanhand och vid behov underlätta interaktionen mellan den som rapporterar en sårbarhet och tillverkaren eller leverantören av de potentiellt sårbara produkterna eller tjänsterna (artikel 12).

92

3.2.6Samarbete på nationell nivå

Om den behöriga myndigheten, den gemensamma kontaktpunkten och CSIRT-enheten i en medlemsstat är separata ska de samarbeta när det gäller fullgörandet av skyldigheterna enligt direktivet. Med- lemsstaterna ska säkerställa att antingen CSIRT-enheten eller de be- höriga myndigheterna tar emot underrättelser om incidenter, cyberhot och tillbud som lämnas enligt direktivet. Den gemensamma kontakt- punkten ska informeras om de underrättelser som lämnas in. Med- lemsstaterna ska också säkerställa att de behöriga myndigheterna, CSIRT-enheterna och den gemensamma kontaktpunkten samarbetar med bland annat brottsbekämpande myndigheter, dataskyddsmyndig- heter och behöriga myndigheter enligt andra sektorsspecifika unions- rättsakter (artikel 13).

3.2.7Samarbetsgrupp för strategiskt samarbete och informationsutbyte

Genom NIS-direktivet inrättades en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna och skapa förtroende och tillit. Samarbetsgruppen utökas i NIS2-direktivet genom att fler aktörer har möjlighet att delta i samarbetsgruppen som dessutom får fler uppgifter som återges i artikel 14.

3.2.8CSIRT-nätverk

Genom NIS-direktivet inrättades ett nätverk för nationella CSIRT- enheter för att bidra till utvecklingen av förtroende och tillit och för att främja ett snabbt och ändamålsenligt operativt samarbete i unionen. Nätverket ska enligt NIS2-direktivet i princip fortsätta att fungera på samma sätt men får en del nya uppgifter, till exempel att sam- arbeta och utbyta information med säkerhetscentrum (SOC) på regi- onal och unionsnivå (artikel 15).

93

3.2.9Det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe)

EU-CyCLONe inrättas för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser och säkerställa ett regelbundet utbyte av relevant information mellan medlemsstaterna och unionens institutioner, organ och byråer. En storskalig cyber- säkerhetsincident definieras i direktivet som en incident som orsakar störningar som är så omfattande att den berörda medlemsstaten inte kan hantera den eller som har en betydande påverkan på minst två medlemsstater. EU-CyCLONe ska bestå av företrädare för medlems- staternas cyberkrishanteringsmyndigheter och i vissa fall kommis- sionen. EU-CyCLONe ska bland annat öka beredskapen för hanter- ing av storskaliga cybersäkerhetsincidenter och kriser samt samordna hanteringen och ge stöd till beslutsfattande på politisk nivå i sam- band med sådana incidenter och kriser (artikel 16).

3.2.10Styrning

Medlemsstaterna ska säkerställa att väsentliga och viktiga verksam- hetsutövares ledningsorgan godkänner de riskhanteringsåtgärder för cybersäkerhet som verksamhetsutövaren vidtar för att följa arti- kel 21, övervakar genomförandet av dem och kan ställas till svars för överträdelser av den artikeln. Medlemsstaterna ska också säkerställa att medlemmar i ledningsorganen är skyldiga att genomgå utbild- ning, och ska uppmuntra verksamhetsutövare att regelbundet erbjuda liknande utbildning till sina anställda för att de ska få tillräckligt med kunskap och kompetens för att kunna identifiera risker och bedöma riskhanteringspraxis för cybersäkerhet och deras inverkan på verk- samhetsutövarens tjänster (artikel 20).

3.2.11Riskhanteringsåtgärder för cybersäkerhet

Medlemsstaterna ska säkerställa att de väsentliga och viktiga verk- samhetsutövare som beskrivits i avsnitt 3.2.2 vidtar lämpliga och pro- portionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informations- system som de använder för sin verksamhet eller för att tillhanda-

94

hålla sina tjänster. Åtgärderna ska också vidtas för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Åtgärderna ska baseras på en allriskansats som syftar till att skydda verksamhetsutövarens nätverks- och infor- mationssystem och dessa systems fysiska miljö från incidenter och minst inbegripa

•strategier för riskanalys och informationssystemens säkerhet,

•incidenthantering,

•driftskontinuitet,

•säkerhet i leveranskedjan,

•säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem,

•strategier och förfaranden för att bedöma effektiviteten i risk- hanteringsåtgärderna för cybersäkerhet,

•grundläggande praxis för cyberhygien och utbildning i cyber- säkerhet,

•strategier och förfaranden för användning av kryptografi,

•personalsäkerhet, strategier för åtkomstkontroll och tillgångsför- valtning, och

•användning av, när så är lämpligt, lösningar för multifaktors- autentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

Medlemsstaterna ska säkerställa att verksamhetsutövare beaktar de sårbarheter som är specifika för varje direktleverantör och tjänste- leverantör och den övergripande kvaliteten på deras leverantörers och tjänsteleverantörers produkter och cybersäkerhetspraxis. Med- lemsstaterna ska också säkerställa att verksamhetsutövare är skyldiga att beakta resultatet av de samordnade säkerhetsbedömningar säker- hetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med direktivet.

95

Kommissionen ska senast den 17 oktober 2024 anta genomför- andeakter för att fastställa de tekniska och metodologiska specifika- tionerna för åtgärderna ovan när det gäller vissa verksamhets- utövare.1 Kommissionen får även anta genomförandeakter för att fastställa tekniska och metodologiska krav samt, vid behov, sektors- krav med avseende på andra verksamhetsutövare (artikel 21).

3.2.12Rapporteringsskyldigheter

Varje medlemsstat ska säkerställa att väsentliga och viktiga verksam- hetsutövare utan onödigt dröjsmål underrättar sin CSIRT-enhet eller behöriga myndighet om alla incidenter som har en betydande inverkan på tillhandahållandet av deras tjänster (betydande inci- dent). En incident ska anses vara betydande om den har orsakat eller kan orsaka allvarliga driftstörningar för tjänsterna, ekonomiska för- luster för den berörda verksamhetsutövaren eller har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla be- tydande materiell eller immateriell skada.

Enligt direktivet ska verksamhetsutövarna utan onödigt dröjs- mål, men senast inom 24 timmar efter att ha fått kännedom om den betydande incidenten, lämna en tidig varning som ska ange om inci- denten misstänks ha orsakats av olagliga eller avsiktligt skadliga hand- lingar eller kan ha gränsöverskridande verkningar. Utan onödigt dröjs- mål men senast inom 72 timmar ska verksamhetsutövaren sedan lämna en incidentanmälan som ska innehålla en inledande bedömning av incidenten, dess allvarlighetsgrad och konsekvenser samt, i före- kommande fall, angreppsindikatorer. Senast en månad efter inläm- ningen av incidentanmälan ska en slutrapport lämnas. Slutrapporten ska enligt direktivet innehålla en detaljerad beskrivning av incidenten, den typ av hot eller grundorsak som sannolikt har utlöst incidenten, tillämpade och pågående begränsande åtgärder samt incidentens gräns- överskridande verkningar.

1Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av moln- tjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och för plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster.

96

CSIRT-enheten eller den behöriga myndigheten ska utan onödigt dröjsmål och om möjligt inom 24 timmar från mottagandet av en tidig varning lämna ett svar till den rapporterande verksamhetsutöv- aren, inbegripet initial återkoppling om incidenten och, på verksam- hetsutövarens begäran, vägledning eller operativa råd om genomföran- det av möjliga begränsande åtgärder. CSIRT-enheten ska tillhandahålla ytterligare tekniskt stöd om den berörda verksamhetsutövaren begär det. Om incidenten misstänks vara av brottslig art ska CSIRT-enheten eller den behöriga myndigheten också tillhandahålla vägledning om rapportering av incidenten till de brottsbekämpande myndigheterna.

När så är lämpligt, och särskilt om incidenten berör två eller flera medlemsstater, ska CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten utan dröjsmål informera andra berörda medlemsstater och Enisa om incidenten. Vid en sådan under- rättelse ska verksamhetsutövarens säkerhets- och affärsintressen samt informationens konfidentialitet bevaras, i enlighet med unions- rätten eller nationell rätt.

På begäran av CSIRT-enheten eller den behöriga myndigheten ska den gemensamma kontaktpunkten vidarebefordra incidentrapporter till de gemensamma kontaktpunkterna i andra berörda medlemsstater.

Den gemensamma kontaktpunkten ska var tredje månad lämna en sammanfattande rapport till Enisa med anonymiserade och aggre- gerade uppgifter om betydande incidenter, incidenter, cyberhot och tillbud som rapporterats enligt direktivet.

CSIRT-enheterna eller, i tillämpliga fall, de behöriga myndig- heterna ska förse de behöriga myndigheterna enligt CER-direktivet med information om rapportering som gjorts av verksamhetsutövare som identifierats som kritiska i enlighet med CER-direktivet.

Kommissionen får anta genomförandeakter som närmare anger typen av information i och formatet och förfarandet för underrätt- elser som lämnas enligt direktivet.

Senast den 17 oktober 2024 ska kommissionen, med avseende på vissa verksamhetsutövare2 anta genomförandeakter som närmare an- ger i vilka fall en incident ska anses vara betydande enligt direktivet. Kommissionen får även anta sådana genomförandeakter med avse- ende på andra väsentliga och viktiga verksamhetsutövare (artikel 23).

2Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av moln- tjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leveran- törer av marknadsplatser online, sökmotorer eller av plattformar för sociala nätverkstjänster.

97

3.2.13Cybersäkerhetscertifiering och standardisering

Medlemsstaterna får ålägga väsentliga och viktiga verksamhetsutöv- are att använda särskilda IKT-produkter, IKT-tjänster och IKT-pro- cesser, som har utvecklats av den väsentliga eller viktiga verksam- hetsutövaren eller upphandlats från tredje parter, som är certifierade enligt europeiska ordningar för cybersäkerhetscertifiering som an- tagits i enlighet med cybersäkerhetsakten3. Medlemsstaterna ska dess- utom uppmuntra väsentliga och viktiga verksamhetsutövare att använda kvalificerade betrodda tjänster. Kommissionen får anta delegerade akter som anger vilka kategorier av väsentliga eller viktiga verksam- hetsutövare som ska vara skyldiga att använda vissa certifierade IKT- produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en ordning för cybersäkerhetscertifiering som antagits enligt cybersäkerhetsakten.

Medlemsstaterna ska, utan att föreskriva eller gynna användning av viss typ av teknik, uppmuntra användningen av europeiska och internationella standarder och tekniska specifikationer av relevans för säkerheten i nätverks- och informationssystem (artikel 24 och 25).

3.2.14Arrangemang för informationsutbyte om cybersäkerhet

Medlemsstaterna ska säkerställa att det är möjligt för verksamhets- utövare att på frivillig basis utbyta relevant information om cyber- säkerhet om sådant informationsutbyte syftar till att förebygga, upp- täcka, reagera på eller återhämta sig från incidenter, begränsa deras inverkan eller höja cybersäkerhetsnivån. Medlemsstaterna ska under- lätta inrättandet av sådana arrangemang för informationsutbyte. Med- lemsstaterna ska också säkerställa att väsentliga och viktiga verksam- hetsutövare underrättar de behöriga myndigheterna om sitt deltagande i sådana arrangemang (artikel 29).

3Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäker- hetsakten).

98

3.2.15Tillsyn och efterlevnadskontroll

Medlemsstaterna ska säkerställa att deras behöriga myndigheter på ett ändamålsenligt sätt övervakar och vidtar de åtgärder som krävs för att säkerställa att direktivet efterlevs. Medlemsstaterna får tillåta sina behöriga myndigheter att prioritera sin tillsyn utifrån en risk- baserad metod. De behöriga myndigheterna ska ha ett nära samarbete med tillsynsmyndigheterna för dataskyddsförordningen4 när de be- handlar incidenter som medför personuppgiftsincidenter.

Tillsyns- och efterlevnadskontroller i fråga om väsentliga verksamhetsutövare

Medlemsstaterna ska säkerställa att de tillsyns- eller efterlevnads- kontroller som åläggs väsentliga verksamhetsutövare är effektiva, proportionella och avskräckande, med beaktande av omständighet- erna i varje enskilt fall. Medlemsstaterna ska säkerställa att behöriga myndigheter, när de utövar sina tillsynsuppgifter, har befogenhet att åtminstone underställa dessa verksamhetsutövare

•inspektioner på plats och distansbaserad tillsyn,

•regelbundna och riktade säkerhetsrevisioner,

•ad hoc-revisioner,

•säkerhetsskanningar,

•begäranden om sådan information som behövs för att bedöma de riskhanteringsåtgärder för cybersäkerhet som antagits av verksam- hetsutövaren,

•begäranden om tillgång till uppgifter, handlingar och information som behövs för att de ska kunna utföra sina tillsynsuppgifter, och

•begäranden om bevis på genomförandet av cybersäkerhetsstra- tegier.

4Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

99

Kostnaderna för riktade säkerhetsrevisioner som utförs av ett obe- roende organ ska betalas av verksamhetsutövaren, om inte den be- höriga myndigheten beslutar något annat.

Medlemsstaterna ska vidare säkerställa att behöriga myndigheter, när de utövar efterlevnadskontroll, åtminstone har befogenhet att

•utfärda varningar,

•anta bindande instruktioner,

•ålägga de berörda verksamhetsutövarna att upphöra med och att avstå från att upprepa beteenden som utgör en överträdelse av direktivet,

•ålägga de berörda verksamhetsutövarna att säkerställa riskhanter- ingsåtgärder och incidentrapportering överensstämmer med direk- tivet,

•ålägga de berörda verksamhetsutövarna att informera de fysiska eller juridiska personer till vilka de tillhandahåller tjänster eller utför verksamheter som potentiellt kan beröras av ett betydande cyberhot om hotets karaktär och om eventuella skyddsåtgärder eller avhjälpande åtgärder som dessa kan vidta som svar på hotet,

•ålägga de berörda verksamhetsutövarna att genomföra rekom- mendationer som lämnats till följd av en säkerhetsrevision,

•utse en övervakningsansvarig för att övervaka att verksamhets- utövaren efterlever skyldigheter om riskhanteringsåtgärder och incidentrapportering,

•ålägga de berörda verksamhetsutövarna att offentliggöra aspekter av överträdelser av direktivet, och

•påföra eller begära att relevanta organ eller domstolar i enlighet med nationell rätt påför administrativa sanktionsavgifter.

Om efterlevnadskontrollåtgärderna är ineffektiva ska medlemsstat- erna säkerställa att de behöriga myndigheterna har befogenhet att fast- ställa en tidsfrist inom vilken en väsentlig verksamhetsutövare ska vidta nödvändiga åtgärder för att avhjälpa bristerna. Om de begärda åtgärderna inte vidtas inom den fastställda tidsfristen ska medlems- staterna säkerställa att de behöriga myndigheterna har befogenhet att

100

•tillfälligt upphäva eller begära att ett certifierings- eller auktori- sationsorgan, eller en domstol, i enlighet med nationell rätt, till- fälligt upphäver en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls eller verksamheter som utövas av verksamhetsutövaren,

•begära att relevanta organ eller domstolar, i enlighet med natio- nell rätt, inför ett tillfälligt förbud för varje fysisk person som på nivån verkställande direktör eller juridiskt ombud har lednings- ansvar i verksamhetsutövaren att utöva ledningsfunktioner.

Tillfälliga upphävanden och förbud är inte tillämpliga på offentliga verksamhetsutövare som omfattas av direktivet.

Medlemsstaterna ska säkerställa att varje fysisk person som an- svarar för eller agerar som juridiskt ombud för en verksamhetsutövare har befogenhet att säkerställa att verksamhetsutövaren efterlever direktivet. Medlemsstaterna ska också säkerställa att dessa fysiska personer kan hållas ansvariga för överträdelser av sitt uppdrag att säkerställa att direktivet efterlevs. När det gäller offentliga verksam- hetsutövare påverkar detta inte nationell rätt avseende det ansvar som åligger statligt anställda och valda eller utnämnda tjänstepersoner.

Medlemsstaterna ska säkerställa att deras behöriga myndigheter informerar relevanta behöriga myndigheter enligt CER-direktivet när de utövar sina befogenheter med avseende på tillsyn och efterlev- nadskontroll mot en verksamhetsutövare som identifierats som en kritisk verksamhetsutövare enligt det direktivet (artikel 32).

Tillsyns och efterlevnadskontroller i fråga om viktiga verksamhetsutövare

När medlemsstaterna får bevis, indikationer på eller information om att en viktig verksamhetsutövare påstås underlåta att fullgöra direk- tivet ska de säkerställa att de behöriga myndigheterna vid behov vidtar åtgärder i form av tillsynsåtgärder i efterhand. Medlemsstat- erna ska säkerställa att dessa åtgärder är effektiva, proportionella och avskräckande, med beaktande av omständigheterna i varje enskilt fall.

Medlemsstaterna ska säkerställa att de behöriga myndigheterna, när de utövar sina tillsynsuppgifter avseende viktiga verksamhetsutöv- are, har i princip samma befogenheter som de har gällande väsentliga

101

verksamhetsutövare, med skillnaden att tillsyn ska ske i efterhand. Medlemsstaterna ska också säkerställa att de behöriga myndighet- erna har i stora delar samma befogenheter när det gäller efterlev- nadskontroll som de har gällande väsentliga verksamhetsutövare. Dock finns inte bestämmelser om möjlighet att utse en övervaknings- ansvarig när det gäller viktiga verksamhetsutövare. Det finns inte heller bestämmelser om att upphäva certifiering eller auktorisation eller införa förbud för personer att utöva ledningsansvar (artikel 33).

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella åtgärder som antagits enligt direktivet och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska anmäla dessa regler och åtgärder till kommissionen senast den 17 januari 2025.

Medlemsstaterna ska säkerställa att väsentliga verksamhetsutövare som överträder artikel 21 eller 23 påförs administrativa sanktions- avgifter på högst 10 000 000 euro eller högst 2 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

Medlemsstaterna ska säkerställa att viktiga verksamhetsutövare som överträder artikel 21 eller 23 påförs administrativa sanktions- avgifter på högst 7 000 000 euro eller högst 1,4 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

Medlemsstaterna får föreskriva befogenhet att förelägga viten för att tvinga en verksamhetsutövare att upphöra med en överträdelse av direktivet.

Medlemsstaterna får också fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga verksamhetsutövare. Kommissionen ska underrättas om lagar som medlemsstaten antar gällande administrativa sanktionsavgifter senast den 17 oktober 2024 (artikel 34 och 36).

102

4.2Energi

Elektricitet

•Producenter enligt definitionen i artikel 2.38 i direktiv (EU) 2019/9442.

Med producent avses en fysisk eller juridisk person som framställer el.

•Nominerade elmarknadsoperatörer enligt definitionen i artikel 2.8 i Europaparlamentets och rådets förordning (EU) 2019/9433.

Med nominerad elmarknadsoperatör avses en marknadsoperatör som av den behöriga myndigheten utsetts att utföra arbetsuppgifter i samband med gemensam dagen före- eller intradagskoppling.

•Marknadsaktörer enligt definitionen i artikel 2.25 i förordning (EU) 2019/943 och som tillhandahåller aggregering, efterfråge- flexibilitet eller energilagringstjänster enligt definitionen i arti- kel 2.18, 2.20 och 2.59 i direktiv (EU) 2019/944.

Med marknadsaktör avses en fysisk eller juridisk person som pro- ducerar, köper eller säljer el, efterfrågeflexibilitet eller lagringstjänster, inklusive lägger handelsorder, på en eller flera elmarknader, däribland energibalansmarknader.

Aggregering avser en funktion som fullgörs av en fysisk eller juri- disk person som kombinerar flera kundlaster eller producerad el för försäljning, inköp eller auktionering på alla slags organiserade el- marknader.

Med efterfrågeflexibilitet avses förändringar i belastningen i fråga om el från slutkunder, jämfört med deras normala eller nuvarande konsumtionsmönster, som svar på marknadssignaler, inbegripet som svar på tidsvarierande elpriser eller ekonomiska incitament, eller som svar på antagandet av slutkundens bud om att sälja efterfråge- minskning eller ökning till ett visst pris på organiserade marknader enligt definitionen i artikel 2.4 i kommissionens genomförande- förordning (EU) nr 1348/2014, enskilt eller genom aggregering.

2Europaparlamentets och rådets direktiv (EU) 2019/944 av den 5 juni 2019 om gemensamma regler för den inre marknaden för el och om ändring av direktiv 2012/27/EU.

3Europaparlamentets och rådets förordning (EU) 2019/943 av den 5 juni 2019 om den inre marknaden för el.

104

Energilagring innebär i elsystemet en uppskjutning av den slutliga användningen av el till en senare tidpunkt än produktionstillfället, eller omvandlingen av elenergi till en form av energi som kan lagras, lagringen av den energin, och den därpå följande återomvandlingen av den energin till elenergi eller användningen som en annan energi- bärare.

•Laddningsoperatörer som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobilitetstjänster och i dess namn.

Fjärrvärme eller fjärrkyla

•Operatörer av fjärrvärme eller fjärrkyla enligt definitionen i arti- kel 2.19 i Europaparlamentets och rådets direktiv (EU) 2018/20014.

Med fjärrvärme eller fjärrkyla avses distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentrali- serade produktionskällor, via ett nät, till flera byggnader eller anlägg- ningar i syfte att värma eller kyla ner utrymmen eller processer.

Olja

•Centrala lagringsenheter enligt definitionen i artikel 2 f i rådets direktiv 2009/119/EG5.

Med central lagringsenhet (CSE) avses organ eller tjänst som anför- trotts uppgiften att förvärva, vidmakthålla eller sälja oljelager, inbe- gripet beredskapslager och särskilda lager.

4Europaparlamentets och rådets direktiv (EU) 2018/2001 av den 11 december 2018 om främ- jande av användningen av energi från förnybara energikällor.

5Rådets direktiv 2009/119/EG av den 14 september 2009 om skyldighet för medlemsstaterna att inneha minimilager av råolja och/eller petroleumprodukter.

105

Vätgas

•Operatörer av anläggningar för produktion, lagring och överför- ing av vätgas.

4.3Hälso- och sjukvårdssektorn

•EU-referenslaboratorier som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2022/23716.

Med EU-referenslaboratorier avses de EU-referenslaboratorier som kommissionen enligt förordningen, genom genomförandeakter, får utse och som ska ge stöd till nationella referenslaboratorier för att främja god praxis och medlemsstaternas frivilliga harmonisering av diagnostik, testmetoder och användning av vissa tester för medlems- staternas enhetliga övervakning, anmälan och rapportering av sjuk- domar.

•Verksamhetsutövare som bedriver forskning och utveckling avse- ende läkemedel enligt definitionen i artikel 1.2 i Europaparlamen- tets och rådets direktiv 2001/83/EG7.

Med läkemedel avses varje substans eller kombination av substanser som tillhandahålls för att behandla eller förebygga sjukdom hos män- niskor och varje substans eller kombination av substanser som är av- sedd att tillföras människor i syfte att ställa diagnos eller att återställa, korrigera eller modifiera fysiologiska funktioner.

•Verksamhetsutövare som tillverkar farmaceutiska basprodukter och läkemedel som avses i avsnitt C huvudgrupp 21 i Nace Rev. 2.

Tillverkning av farmaceutiska basprodukter avser bland annat tillverk- ning av medicinskt aktiva substanser som används i tillverkningen av läkemedel, till exempel antibiotika.

Tillverkning av läkemedel avser bland annat tillverkning av im- munsera, preventivmedel och vacciner.

6Europaparlamentets och rådets förordning (EU) 2022/2371 av den 23 november 2022 om allvar- liga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 1082/2013/EU.

7Europaparlamentets och rådets direktiv 2001/83/EG av den 6 november 2001 om upprätt- ande av gemenskapsregler för humanläkemedel.

106

•Verksamhetsutövare som tillverkar medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan i den mening som avses i artikel 22 i Europaparlamentets och rådets förordning (EU) 2022/1238.

Efter det att ett hot mot folkhälsan erkänts enligt förordningen ska det upprättas en förteckning över kategorier av kritiska medicin- tekniska produkter som betraktas som kritiska under hotet mot folk- hälsan. Europeiska läkemedelsmyndigheten ska i samband med detta offentliggöra förteckningen på en särskild sida på sin webbportal.

4.4Avloppsvatten

•Företag som samlar ihop, släpper ut och renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten enligt definitionen i artikel 2.1–2.3 i rådets direktiv 91/271/EEG9, undan- taget företag som samlar ihop, släpper ut eller renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten som en icke väsentlig del av sin allmänna verksamhet.

Med avloppsvatten från tätbebyggelse avses spillvatten från hushåll eller en blandning av hushållsspillvatten och industrispillvatten eller dagvatten.

Hushållsspillvatten avser spillvatten från bostäder och service- inrättningar, vilket till övervägande del härrör från människans meta- bolism och hushållsaktiviteter. Med industrispillvatten avses allt spill- vatten som släpps ut från områden som används för kommersiell eller industriell verksamhet och som inte är hushållsspillvatten eller dag- vatten.

8Europaparlamentets och rådets förordning (EU) 2022/123 av den 25 januari 2022 om en förstärkt roll för Europeiska läkemedelsmyndigheten vid krisberedskap och krishantering avseende läkemedel och medicintekniska produkter.

9Rådets direktiv 91/271/EEG av den 21 maj 1991 om rening av avloppsvatten från tätbebyggelse.

107

4.5Digital infrastruktur

•Leverantörer av molntjänster.

Molntjänst avser en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser.

•Leverantörer av datacentraltjänster.

Datacentraltjänst avser en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll.

•Leverantörer av nätverk för leverans av innehåll.

Nätverk för leverans av innehåll avser ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för, till- gång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.

•Tillhandahållare av betrodda tjänster.

Betrodd tjänst avser enligt NIS2-direktivet en betrodd tjänst enligt definitionen i artikel 3.16 i förordning (EU) nr 910/201410. I den för- ordningen definieras betrodd tjänst som en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av

–skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elektro- niska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

–skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller

10Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre mark- naden och om upphävande av direktiv 1999/93/EG.

108

–bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.

•Tillhandahållare av allmänna elektroniska kommunikationsnät.

Allmänna elektroniska kommunikationsnät avser enligt NIS2-direk- tivet ett allmänt elektroniskt kommunikationsnät enligt definitionen i artikel 2.8 i direktiv (EU) 2018/197211. I det direktivet definieras allmänt elektroniskt kommunikationsnät som ett elektroniskt kom- munikationsnät som helt eller huvudsakligen används för att tillhanda- hålla allmänt tillgängliga elektroniska kommunikationstjänster och som stöder informationsöverföring mellan nätanslutningspunkter.

•Tillhandahållare av allmänt tillgängliga elektroniska kommunika- tionstjänster.

Allmänt tillgängliga elektroniska kommunikationstjänster avser en- ligt NIS2-direktivet en elektronisk kommunikationstjänst enligt definitionen i artikel 2.4 i direktiv (EU) 2018/1972. I det direktivet definieras en elektronisk kommunikationstjänst som en tjänst som vanligen tillhandahålls mot ersättning via elektroniska kommunika- tionsnät och som omfattar, med undantag av tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster eller utövande av redaktionellt ansvar över sådant innehåll, följande typer av tjänster:

–internetanslutningstjänst enligt definitionen i artikel 2.2 i förord- ning (EU) 2015/212012,

–interpersonell kommunikationstjänst, och

–tjänster som helt eller huvudsakligen utgörs av överföring av sig- naler, såsom överföringstjänster som används för tillhandahållande av maskin till maskin-tjänster och för utsändningstjänster.

11Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om in- rättande av en europeisk kodex för elektronisk kommunikation.

12Europaparlamentets och rådets förordning (EU) 2015/2120 av den 25 november 2015 om åtgärder rörande en öppen internetanslutning och om ändring av direktiv 2002/22/EG om sam- hällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster och förordning (EU) nr 531/2012 om roaming i allmänna mobil- nät i unionen.

109

4.6Förvaltning av IKT-tjänster (mellan företag)

IKT-tjänst avser enligt NIS2-direktivet en IKT-tjänst enligt defini- tionen i förordning (EU) 2019/88113. I den förordningen definieras IKT-tjänst som en tjänst som helt eller huvudsakligen består i över- föring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.

•Leverantörer av hanterade tjänster.

Leverantör av hanterade tjänster definieras i NI2-direktivet som en verksamhetsutövare som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT- infrastruktur, IKT-tillämpningar eller andra nätverks- och informa- tionssystem, via bistånd eller aktiv administration antingen i kunder- nas lokaler eller på distans.

•Leverantörer av hanterade säkerhetstjänster.

Leverantör av hanterade säkerhetstjänster definieras i NIS2-direk- tivet som en leverantör av hanterade tjänster som utför eller tillhanda- håller stöd för verksamhet som rör hantering av cybersäkerhetsrisker.

4.7Offentlig förvaltning

•Offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt.

•Offentliga förvaltningsentiteter på regional nivå såsom de defini- eras av en medlemsstat i enlighet med nationell rätt.

Offentlig förvaltningsentitet avser enligt NIS2-direktivet en entitet som erkänts som sådan i en medlemsstat i enlighet med nationell rätt, med undantag för rättsväsendet, parlamentet och centralbanker, som uppfyller följande kriterier:

13Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäker- hetsakten).

110

a)Den har inrättats för att tillgodose behov i det allmännas intresse och har inte industriell eller kommersiell karaktär.

b)Den har ställning som juridisk person eller har lagstadgad rätt att agera för en annan entitet som har ställning som juridisk person.

c)Den finansieras till största delen av staten, regionala myndigheter eller andra offentligrättsliga organ, står under administrativ till- syn av dessa myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, regionala myndigheter eller andra offentligrätts- liga organ.

d)Den har befogenhet att rikta administrativa eller reglerande be- slut till fysiska eller juridiska personer som påverkar deras rättig- heter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.

Medlemsstaterna får föreskriva att direktivet även ska tillämpas på offentliga förvaltningsentiteter på lokal nivå.

Se vidare om offentliga förvaltningsentiteter i avsnitt 5.2.

4.8Rymden

•Operatörer av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter och som stöder tillhanda- hållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät.

NIS2-direktivet innehåller ingen ytterligare definition av rymdbaserade tjänster. En tolkning av ordalydelsen innebär enligt utredningen att rymdbaserade tjänster avser bland annat satellitkommunikation, posi- tionerings- och tidstjänster samt jordobservation.

111

4.9Post- och budtjänster

•Tillhandahållare av posttjänster enligt definitionen i artikel 2.1a i direktiv 97/67/EG14, inbegripet tillhandahållare av budtjänster.

Med posttjänster avses tjänster som innefattar insamling, sortering, transport och utdelning av postförsändelser.

Med postförsändelser avses adresserad försändelse i den slutliga form i vilken den ska transporteras av en tillhandahållare av post- tjänster. Sådana försändelser omfattar, förutom brevförsändelser, till exempel böcker, kataloger, tidningar och tidskrifter samt postpaket som innehåller varor med eller utan kommersiellt värde.

4.10Avfallshantering

•Verksamhetsutövare som bedriver avfallshantering enligt defini- tionen i artikel 3.9 i Europaparlamentets och rådets direktiv 2008/98/EG15, dock undantaget verksamhetsutövare vars huvud- sakliga näringsverksamhet inte är avfallshantering.

Avfallshantering avser insamling, transport, återvinning och bortskaf- fande av avfall, inklusive kontroll av sådan verksamhet och efter- behandling av platser för bortskaffande av avfall, inklusive åtgärder som handlaren eller mäklaren vidtar.

4.11Tillverkning, produktion och distribution av kemikalier

•Företag som tillverkar ämnen och distribuerar ämnen eller bland- ningar som avses i artikel 3.9 och 3.14 i Europaparlamentets och rådets förordning (EG) nr 1907/200616 samt företag som produ-

14Europaparlamentets och rådets direktiv 97/67/EG av den 15 december 1997 om gemensamma regler för utvecklingen av gemenskapens inre marknad för posttjänster och för förbättring av kvaliteten på tjänsterna.

15Europaparlamentets och rådets direktiv 2008/98/EG av den 19 november 2008 om avfall och om upphävande av vissa direktiv.

16Europaparlamentets och rådets förordning (EG) nr 1907/2006 av den 18 december 2006 om registrering, utvärdering, godkännande och begränsning av kemikalier (Reach), inrättande av en europeisk kemikaliemyndighet, ändring av direktiv 1999/45/EG och upphävande av rådets

112

cerar varor enligt definitionen i artikel 3.3 i den förordningen genom att använda ämnen och blandningar.

Med ämne avses kemiskt grundämne och föreningar av detta grund- ämne i naturlig eller tillverkad form, inklusive de eventuella tillsatser som är nödvändiga för att bevara dess stabilitet och sådana föroren- ingar som härrör från tillverkningsprocessen, men exklusive even- tuella lösningsmedel som kan avskiljas utan att det påverkar ämnets stabilitet eller ändrar dess sammansättning. Med vara avses ett före- mål som under produktionen får en särskild form, yta eller design, vilken i större utsträckning än dess kemiska sammansättning bestäm- mer dess funktion.

4.12Produktion, bearbetning och distribution av livsmedel

•Livsmedelsföretag enligt definitionen i artikel 3.2 i Europaparla- mentets och rådets förordning (EG) nr 178/200217 som bedriver grossisthandel och industriell produktion och bearbetning.

Med livsmedelsföretag avses varje privat eller offentligt företag som med eller utan vinstsyfte bedriver någon av de verksamheter som hänger samman med alla stadier i produktions-, bearbetnings- och distributionskedjan av livsmedel.

förordning (EEG) nr 793/93 och kommissionens förordning (EG) nr 1488/94 samt rådets direktiv 76/769/EEG och kommissionens direktiv 91/155/EEG, 93/67/EEG, 93/105/EG och 2000/21/EG.

17Europaparlamentets och rådets förordning (EG) nr 178/2002 av den 28 januari 2002 om allmänna principer och krav för livsmedelslagstiftning, om inrättande av Europeiska myndigheten för livs- medelssäkerhet och om förfaranden i frågor som gäller livsmedelssäkerhet.

113

4.13Tillverkning

Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik

•Verksamhetsutövare som tillverkar medicintekniska produkter enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2017/74518, och verksamhetsutövare som tillver- kar medicintekniska produkter för in vitro-diagnostik enligt defi- nitionen i artikel 2.2 i Europaparlamentet och rådets förordning (EU) 2017/74619, med undantag av verksamhetsutövare som till- verkar sådana medicintekniska produkter som avses i punkt 5 femte strecksatsen i bilaga 1 i NIS2-direktivet.

Inom hälso- och sjukvården används ett mycket stort antal medicin- tekniska produkter av olika slag. Några exempel är kompresser, kon- taktlinsprodukter, sprutor, kanyler, infusionsaggregat och pumpar för läkemedelstillförsel.

När det gäller medicintekniska produkter för in vitro-diagnostik så syftar termen på att biologiskt material studeras utanför sin nor- mala biologiska kontext. In vitro-diagnostik innebär således diagnostik utanför kroppen och exempel på produkter är analysutrustning, prov- rör och olika tester avsedda att upptäcka medicinska tillstånd eller sjukdomar.

Tillverkning av datorer, elektronikvaror och optik

•Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 26 i Nace Rev. 2.

Huvudgrupp 26 omfattar tillverkning av datorer, kringutrustning för datorer, kommunikationsutrustning, och liknande elektroniska produkter, liksom tillverkning av komponenter för sådana produk- ter. Huvudgruppen innehåller också tillverkning av konsumentelek-

18Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.

19Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicin- tekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kom- missionens beslut 2010/227/EU.

114

tronik, mät-, test- och navigationsutrustning, strålnings-, elektromedi- cinsk och elektroterapeutisk utrustning, optiska instrument och ut- rustning, samt tillverkning av magnetiska och optiska media.

Tillverkning av elapparatur

•Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 27 i Nace Rev. 2.

Huvudgrupp 27 omfattar tillverkning av produkter som alstrar, distri- buerar och använder elkraft. Dessutom omfattar huvudgruppen till- verkning av elektrisk belysning, signalutrustning och elektriska hus- hållsapparater.

Tillverkning av övriga maskiner

•Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 28 i Nace Rev. 2.

Huvudgrupp 28 omfattar tillverkning av maskiner och utrustning som självständigt bearbetar material antingen mekaniskt eller med värme eller gör något med materialet (till exempel godshantering, sprutning, vägning eller förpackning) inklusive deras mekaniska kom- ponenter som genererar och använder kraft, och specialtillverkade delar. Denna kategori omfattar fasta eller rörliga eller handmanövrerade anordningar, oberoende om de är avsedda för industrin, bygg- eller anläggningssektorn, jordbruket eller för hemmabruk. Tillverkning av särskild utrustning för passagerar- eller godstransporter inom av- gränsade områden ingår även i denna huvudgrupp.

115

Tillverkning av motorfordon, släpfordon och påhängsvagnar

•Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 29 i Nace Rev. 2.

Huvudgrupp 29 omfattar tillverkning av motorfordon för transport av passagerare eller godsbefordran samt tillverkningen av olika delar och tillbehör, liksom tillverkning av släpfordon och påhängsvagnar.

Tillverkning av andra transportmedel

•Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C huvudgrupp 30 i Nace Rev. 2.

Huvudgrupp 30 omfattar tillverkning av transportmedel till exempel skepps- och båtbyggeri, tillverkning av rullande materiel för järnväg och lokomotiv, luftfartyg och rymdfarkoster samt tillverkning av delar till dessa.

4.14Digitala leverantörer

•Leverantörer av marknadsplatser online.

Marknadsplats online avser enligt NIS2-direktivet en marknadsplats online enligt definitionen i artikel 2 n i Europaparlamentets och rådets direktiv (EU) 2005/29/EG20. I det direktivet definieras mark- nadsplats online som en tjänst som använder programvara, inbegripet en webbplats, en del av en webbplats eller en applikation, som admi- nistreras av en näringsidkare eller för dennas räkning, som ger kon- sumenterna möjlighet att ingå distansavtal med andra näringsidkare eller konsumenter.

20Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder).

116

•Leverantörer av sökmotorer.

Sökmotor avser enligt NIS2-direktivet en sökmotor enligt defini- tionen i artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2019/115021. I den förordningen definieras sökmotor som en digital tjänst som gör det möjligt för användare att mata in sökfraser för att göra sökningar på i princip alla webbplatser eller alla webbplatser på ett visst språk på grundval av en fråga om vilket ämne som helst i form av ett nyckelord, en röstbegäran, en fras eller någon annan inmatning och som returnerar resultat i vilket format som helst som innehåller information om det begärda innehållet.

•Leverantörer av plattformar för sociala nätverkstjänster.

Plattform för sociala nätverkstjänster definieras i NIS2-direktivet som en plattform som gör det möjligt för slutanvändare att inter- agera, dela och upptäcka innehåll, finna andra användare och kom- municera med andra via flera enheter, särskilt genom chattar, inlägg, videor och rekommendationer.

4.15Forskning

•Forskningsorganisationer.

Forskningsorganisation definieras i NIS2-direktivet som en verksam- hetsutövare vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildnings- institutioner.

Av skäl 36 framgår att forskningsorganisationer bör anses inbe- gripa verksamhetsutövare som riktar in större delen av sin verksam- het på tillämpad forskning eller experimentell utveckling i den mening som avses i Frascatimanualen 201522 i syfte att utnyttja sina resultat i kommersiella syften, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållare av en tjänst, eller marknadsföring därav.

21Europaparlamentets och rådets förordning (EU) 2019/1150 av den 20 juni 2019 om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster.

22OECD (2015), Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Re- search and Experimental Development, The Measurement of Scientific, Technological and In- novation Activities, OECD Publishing, Paris.

117

verksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leve- rans och distribution av dricksvatten och digital infrastruktur samt för digitala tjänster. Tillämpningsområdet är definierat i tredje para- grafen. Av den följer att flera olika kriterier måste vara uppfyllda.

Inledningsvis är det bara leverantörer av samhällsviktiga tjänster inom de sju områden och digitala tjänster som omfattas av lagen. De sju områden definieras i bilaga 2 till NIS-direktivet, vilket 3 § hän- visar till. Exempelvis anges där att området energi innefattar delom- rådena elektricitet, olja och gas. Det definieras vidare att exempelvis inom delområdet elektricitet avses elföretag och systemansvariga för distributionssystemet och överföringssystemet enligt definitioner i Europaparlamentets och rådets direktiv 2009/72/EG.1 Därutöver krävs det att tillhandahållandet av tjänsten är beroende av nätverk och in- formationssystem samt att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Vid bedömningen om vad som utgör en betydande störning ska bland annat beaktas antalet användare som är beroende av den samhällsviktiga tjänsten, leveran- törens marknadsandel, storleken av det geografiska område som skulle kunna påverkas av en incident och hur beroende andra sektorer är av den samhällsviktiga tjänst som leverantören erbjuder. Leverantören behöver vara etablerad i Sverige. Såväl offentliga aktörer, dvs. statliga myndigheter, landsting som privata aktörer omfattas.2

5.1.2Ett vidare syfte

Utredningens förslag: Syftet med denna lag är att uppnå en hög cybersäkerhetsnivå.

Som framgått av föregående avsnitt är NIS-lagens syfte som är ut- tryckt i 1 § att uppnå en hög nivå på säkerheten i nätverk och in- formationssystem för samhällsviktiga tjänster inom sju utpekade sektorer och digitala tjänster. Detta speglar med en anpassning till att det är nationell rätt. Artikel 1.1 i det tidigare NIS-direktivet anger att det i direktivet fastställs åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem. Regleringen

1Europaparlamentets och rådets direktiv 2009/72/EG av den 13 juli 2009 om gemensamma regler för den inre marknaden för el och om upphävande av direktiv 2003/54/EG.

2Prop. 2017/18:205 s. 90 och 91.

120

innehåller bland annat krav på ett systematiskt informationssäker- hetsarbete.

Med nätverk och informationssystem avses enligt lagens 2 § punkt 1 följande:

a)ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2022:482) om elektronisk kommunikation,

b)en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller

c)digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas. Enligt samma paragraf punkt 2 avses med säkerhet i nätverks och informations- system: nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgänglig- heten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.

I NIS2-direktivet är syftet uttryckt på annat sätt. I artikel 1 är nivå på säkerhet i nätverks- och informationssystem utbytt till cyber- säkerhetsnivå. I artikel 6.3 hänvisas för begreppet cybersäkerhet till definitionen i artikel 2.1 i förordning (EU) 2019/8813. Där anges att cybersäkerhet betyder all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot. Att nätverks- och infor- mationssystem behåller sin tidigare betydelse framgår av samma arti- kel punkt 2, där det hänvisas till artikel 4.1 i NIS-direktivet.

Innebörden skulle vara att NIS2-direktivet delvis har samma syfte som det första NIS-direktivet. Formuleringen ”verksamhet som är nödvändig för att skydda nätverks- och informationssystem” i NIS2 betyder rimligen samma sak som att ”uppnå en hög nivå på säkerheten i nätverk och informationssystem”. Det som dock skiljer

3Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Euro- peiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhets- akten).

121

sig är att NIS2 genom definitionen av cybersäkerhet särskilt även pekar ut skyddet av användare av systemen och andra berörda per- soner.

En fråga är då vad detta betyder. Om nätverken och informa- tionssystemen skyddas bör det innebära att även användare och andra berörda personer skyddas. Regeringens direktiv lyfter inte frågan och inte heller de inledande skälen 1–6 anger att en ändring är avsedd i denna del. I stället anges i skälen att det övergripande syftet med att ersätta det tidigare NIS-direktivet med ett nytt beror på att medlemsstaternas skydd skiljer sig åt, vilket ger en fragmentering av den inre marknaden. Skillnaderna medför att vissa medlemsstater har en större sårbarhet, vilket medför spridningseffekter. Direktivets mål är att undanröja skillnaderna, särskilt genom att föreskriva minimi- regler och att fastställa mekanismer för ett effektivt samarbete mellan myndigheterna i medlemsländerna. Vidare bör sektorerna utökas och skillnaderna mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster utjämnas.4

Sammantaget drar utredningen den slutsatsen att syftet är något vidare uttryckt i NIS2-direktivet jämfört med NIS-direktivet, se även kapitel 11. Utredningen föreslår att det övergripande syftet i 1 § NIS-lagen följer EU-direktivet semantiskt.

En annan viktig skillnad är att NIS-lagen omfattar samhällsviktiga tjänster inom sju sektorer och digitala tjänster. NIS2-direktivet saknar begränsningen till samhällsviktiga och digitala tjänster. I stället omfattas som huvudregel alla verksamhetsutövare inom 18 sektorer, som också har undersektorer. Som kommer att framgå nedan finns det ett stort antal undantag och även möjligheter till att utsträcka tillämpningsområdet. Utredningen föreslår därmed att tillämpnings- området definieras särskilt och att det inledningsvis är tillräckligt att ange att syftet med lagen är att uppnå en hög cybersäkerhetsnivå.

4Se särskilt skäl 5 och 6.

122

5.2Direktivets tillämpningsområde

5.2.1Utgångspunkter

Utredningens övergripande slutsats är att direktivet inte ska inför- livas direktivnära utan att förslagen ska utformas utifrån den syste- matik och terminologi som används i svensk rätt. Ett normalt språk- bruk ska eftersträvas.5 Så är även det tidigare NIS-direktivet genomfört och det följer även uttryckligen att regeringens direktiv att den ter- minologi som används i direktiven ska anpassas till vedertagna be- grepp i nationell reglering.

5.2.2Verksamhetsutövare

Utredningens förslag: Begreppet entitet ersätts av verksamhets- utövare som definieras som juridisk eller fysisk person som bedriver verksamhet.

Den juridiska eller fysiska personens verksamhet omfattas i dess helhet av lagens krav.

NIS2-direktivets tillämpningsområde följer av artikel 2. I punkter- na 1–5 definieras området för att följas av undantag under punkt- erna 6–12. Punkterna 13 och 14 avser sekretess och personuppgifter och kommer att behandlas i ett senare kapitel.

Av artikel 2.1 följer att direktivet är tillämpligt på offentliga eller privata entiteter av den typ som följer av bilaga 1 eller 2. Som fram- gått är det utredningens uppfattning att en ny NIS-lag på samma sätt som den tidigare ska präglas av ett tillgängligt språkbruk. Det bety- der att utredningen behöver ersätta begreppet entitet. I artikel 6 punkt 38 definieras entitet som fysisk eller juridisk person som bil- dats och erkänts som sådan och som i eget namn får utöva rättigheter och ha skyldigheter. En entitet kan därmed inte vara en plats eller ett område. Av definitionen följer i stället att en entitet är en fysisk eller juridisk person, eftersom dessa enligt svensk rätt får utöva rättig- heter och bära skyldigheter. Innebörden blir att det är fysiska eller

5Jämför Lagrådets yttrande 2023-04-11, Ett granskningssystem för utländska direktinvesteringar till skydd för svenska säkerhetsintressen, www.lagradet.se/wp-content/uploads/2023/04/Ett- granskningssystem-for-utlandska-direktinvesteringar-till-skydd-for-svenska- sakerhetsintressen.pdf, inhämtat 2023-05-02.

123

juridiska personer som bedriver en verksamhet som omfattas av lagen och bör lämpligen definieras så. Det framgår vidare av bilaga 1 eller 2 att det är fysiska eller juridiska personer, som bedriver verk- samhet inom vissa områden, dvs. verksamhetsutövare. I direktivet används också en mängd olika begrepp för verksamhetsutövare, som exempelvis, producenter, vårdgivare, leverantörer eller tillhanda- hållare. För att möjliggöra en sammanhållen och stringent lag kom- mer utredningen genomgående att använda samlingstermen verk- samhetsutövare. Detta kan dock inte ske undantagslöst. Exempelvis kommer utredningen att behöva använda begreppet kvalificerade tillhandahållare av betrodda tjänster, eftersom det begreppet behöver ha samma innebörd som i förordningen EU) nr 910/2014.6

Begreppet verksamhetsutövare används även i 2 kap. 1 § säker- hetsskyddslagen (2018:585), som där betyder den som till någon del bedriver säkerhetskänslig verksamhet.

Systematiken i artikel 2 punkt 1–5 är vidare att vissa högkritiska och kritiska verksamhetsutövare uttryckligen pekas ut i bilaga 1 respektive i bilaga 2 till direktivet. Dessa omfattas som huvudregel enligt artikel 1.1 av direktivets krav, dvs. de omfattas om de inte sedan faller under något undantag enligt punkt 6–12 under enda förut- sättning att verksamheterna är av viss storlek. Därutöver är direktivet som huvudregel tillämpligt på utpekade verksamhetsutövare i bilaga 1 och 2 oavsett storlek om de uppfyller vissa kriterier som redovisas under punkterna 2–4. Slutligen får medlemsstaterna enligt punkten 5 även föreskriva att direktivet ska tillämpas på kommuner och utbild- ningsinstitut.

Innebörden av detta är att endast verksamhetsutövare inom om- råden som pekas ut i bilaga 1 och 2 omfattas av direktivet. Om verk- samheterna är av viss storlek är det tillräckligt för att direktivets krav gäller. Är de inte tillräckligt stora behöver vissa kriterier vara upp- fyllda och i de fallen krävs oftast en bedömning. Slutligen får med- lemsstaterna utsträcka kraven.

En särskild fråga är om verksamhetsutövarens verksamhet i dess helhet omfattas eller om bara delar av verksamheten behöver upp- fylla direktivets krav. Det är till exempel möjligt att ett elföretag som omfattas av bilaga 1 även bedriver annan verksamhet inom en annan

6Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektro- nisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

124

sektor som inte finns upptagen i bilaga 1 eller 2. Omfattas då även denna andra verksamhet av direktivet? Som framgått är det den fysiska eller juridiska personen som exempelvis ett elföretag enligt angiven definition i bilaga 1 inom sektorn energi och delsektorn elektricitet som omfattas av direktivets krav. Det saknas en uttryck- lig begränsning om att endast delar av den fysiska eller juridiska personens verksamhet skulle omfattas av direktivet.

Utredningens slutsats är med hänsyn härtill att hela verksamheten omfattas. Det betyder den fysiska eller juridisk personens verksam- het som helhet. För staten kommer dock särskilda regler att gälla i denna del, se nedan.

Det har ifrågasatts om detta skulle få allt för långtgående verk- ningar i praktiken, om exempelvis riskhanteringsåtgärderna enligt artikel 21 och tillsynen skulle behöva bli alltför omfattande.

Utredningen menar att det är svårt att tolka direktivet på annat sätt än att den fysiska eller juridiska personens verksamhet i sin hel- het omfattas. Det framstår också med hänsyn till att nätverks- och informationssystem många gånger är sammankopplade inom hela verksamhet samt att incidenter inom en del kan påverka annan del att det skulle leda till gränsdragningsproblem att försöka dela upp verksamheten.

Slutsatsen förstärks av skäl 16. Här framgår att det förhållandet att en verksamhet har ett nära samband med en annan verksamhet kan leda till att tröskelvärden överstigs. Medlemsstaterna får under vissa förutsättningar undanta dessa från tillämpningsområdet. I skäl 16 anges att s.k. partnerföretag eller s.k. anknutna företag inte behöver om- fattas när det skulle vara icke- proportionellt om de inte skulle om- fattas om de varit självständiga. Det anges vissa kriterier när så får ske. Begreppen partnerföretag och anknutna företag definieras i arti- kel 3.1–3.3 i 2003/361/EG7, se även avsnitt 5.2.8 avseende storleks- kravet. Med anknutna företag avses företag som det finns förbin- delse mellan. Fyra olika kriterier skapar en sådan förbindelse. Ett första är att ett företag ska ha ett stort inflytande över det andra genom majoritet av röster eller andelar. Detsamma gäller om före- taget på grund av överenskommelser med andra förfogar ensamt över en majoritet av rösterna för aktierna eller andelarna. Andra kriterier är att företaget har rätt att utse eller entlediga en majoritet av leda-

7Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

125

möter i styrelse, ledning eller tillsynsorgan eller rätt att utöva ett bestämmande inflytande över annat företag enligt avtal eller enligt bolagets stadgar. Utredningens bedömning är att kriterierna för an- slutna företag överensstämmer med kriterierna för dotterbolag i bland annat 1 kap. 11 § aktiebolagslagen (2005:551) som kriterier för ett dotterbolag.

Därmed är bestämmelsen om anknutna företag i svensk rätt rele- vant för en koncern. En koncern består enligt 1 kap. 11 § aktie- bolagslagen (2005:551) av ett moderbolag och ett eller flera dotter- bolag. De är skilda juridiska personer. Innebörden är alltså att skäl 16 är mer långtgående.

Med partnerföretag avses företag som inte betecknas som anknutna, men som har en kapital- eller röstandel på minst 25 procent i ett annat företag eller om annat företag har samma kapital- eller röst- andel i det företaget.8 Innebörden av det anförda blir att även företag som inte når upp till storlekskravet som egen juridisk person kan göra det på grund av sambandet med exempelvis ett moderbolag. Detta behöver inte anges särskilt i lagen utan följer av artikel 3.1–3.3 i 2003/361/EG, alltså genom definitionen av storlekskravet. Det ut- redningen däremot behöver göra är att i enlighet med skäl 16 över- väga om partnerföretag eller anknutna företag inte behöver omfattas när det inte skulle vara proportionellt om de inte skulle omfattas om de varit självständiga. Utredningen föreslår att detta ska vara möjligt. De närmare förutsättningarna ska följa av förordning, se vidare av- snitt 5.2.12.

5.2.3Högkritiska sektorer

I bilaga 1 pekas de högkritiska sektorerna ut, vilka är 11. Dessa är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, dricksvatten, avloppsvatten, digital infra- struktur, förvaltning av IKT-tjänster mellan företag, offentlig för- valtning och rymden. Jämfört med NIS-lagen, se ovan, motsvarar dessa högkritiska sektorer i hög grad de som i dag omfattas av NIS- lagen. Det finns sektorer som tillkommit samt andra förändringar som är redovisat i kapitel 4.

8Se även https://www.energimyndigheten.se/4a9cb5/globalassets/energieffektivisering_/lag ar-och-krav/ekl/smf_guide.pdf, inhämtat 2023-05-16.

126

Sektorerna eller delsektorerna är också definierade i bilagorna. Exempelvis definieras fjärrvärme eller fjärrkyla som operatörer av fjärrvärme eller fjärrkyla enligt definitionen i artikel 2.19 i Europa- parlamentets och rådets direktiv (EU) 2018/20019 och bankverk- samhet definieras som kreditinstitut enligt definitionen i artikel 4.1 i Europaparlamentets och rådets förordning (EU) nr 575/201310.

5.2.4Offentlig förvaltning enligt direktivet

I bilaga 1 är offentlig förvaltning en egen utpekad sektor. Begreppet betyder i bilaga 1 två saker. Det betyder i första hand offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt. Vidare innefattas offent- liga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt. Det ska också noteras att det finns en särskild definition av offentlig förvaltningsentitet i arti- kel 6 punkt 35. Här anges att en offentlig förvaltningsentitet är en entitet som erkänts som sådan i nationell rätt med undantag av rätts- väsendet, parlament, och centralbanker. Det anges vidare som krav att fyra kriterier är uppfyllda, som innebär att 1. verksamheten har inrättats för att tillgodose behov i det allmännas intresse och inte har industriell eller kommersiell karaktär, 2. verksamheten har ställning som en juridisk person eller har lagstadgad rätt att företräda en annan entitet som har ställning som juridisk person, 3. verksamheten finan- sieras till största delen offentligt och 4. verksamheten har befogenhet att rikta administrativa eller reglerade beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöver- skridande rörlighet för personer, varor, tjänster eller kapital.

5.2.5Sveriges organisation – offentlig förvaltning

Sveriges statsskick följer av regeringsformen. Sammantaget gäller att med begreppet myndighet avses samtliga statliga och kommunala organ med undantag för beslutande politiska församlingar. Med

9Europaparlamentets och rådets direktiv (EU) 2018/2001 av den 11 december 2018 om främ- jande av användningen av energi från förnybara energikällor.

10Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsyns- krav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012.

127

kommunala organ avses regioner och kommuner enligt 14 kap. 2 § regeringsformen.

Det betyder för staten att regeringen och Regeringskansliet är myndigheter. Riksdagen är inte en myndighet, eftersom det är en beslutande församling, men riksdagsförvaltningen, som biträder riks- dagen är att betrakta som en myndighet.

Inom regioner och kommuner finns beslutande församlingar som benämns regionfullmäktige respektive kommunfullmäktige som mot- svarar riksdagen och därför inte heller är myndigheter. Motsvarig- heten till regeringen är regionstyrelsen respektive kommunstyrelsen, som då alltså är myndigheter.

I regeringsformen skiljer man sedan på rättskipning och offentlig förvaltning. För rättsskipning finns domstolar och för den offentliga förvaltningen statliga och kommunala förvaltningsmyndigheter. Be- greppet förvaltningsmyndighet omfattar alla myndigheter utom reger- ingen och domstolarna. Även domstolarna är dock myndigheter, men alltså inte förvaltningsmyndigheter. Innebörden är att myndig- het och förvaltningsmyndighet oftast betyder samma sak, enda skill- naden är att regeringen och domstolar faller utanför begreppet för- valtningsmyndighet, men ingår i begreppet myndighet. Även statliga affärsverk är en myndighet.

Det anförda betyder att organisationen utgår från organisations- formen, inte från vilken funktion organet har. Ett aktiebolag som till exempel AB Svensk Bilprovning, som alltså inte är en myndighet trots att bolaget utför förvaltningsuppgifter.

I Sverige finns det 346 statliga myndigheter, varav 342 lyder under regeringen. De är organisatoriskt fristående, men styrs av regeringen som ansvarar för myndigheternas verksamhet inför riksdagen. Dom- stolarna har en särställning som innebär att de är mer oberoende. Därutöver finns det fyra statliga myndigheter som i stället lyder under riksdagen. Dessa är Riksrevisionen, Riksdagens ombudsmän (JO), Sveriges Riksbank och Riksdagsförvaltningen.

Inom regionerna och kommunerna finns det nämnder som är regionala respektive kommunala förvaltningsmyndigheter.11

11https://www.statskontoret.se/fokusomraden/fakta-om- statsforvaltningen/myndigheterna-under-regeringen/, inhämtat 2023-07-07.

128

5.2.6Utredningens analys

Enligt NIS2-direktivet är alltså offentlig förvaltning en egen sektor. Med offentlig förvaltning avses offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i natio- nell rätt. Offentliga förvaltningsentiteter hos nationella regeringar bör enligt utredningens bedömning i huvudsak avse statliga myn- digheter inklusive statliga affärsverk. Eftersom det står ”hos” reger- ingen bör rimligen regeringen falla utanför, trots att även regeringen är en myndighet. Ordet ”hos” bör också exkludera myndigheter som lyder under riksdagen, dvs. Riksrevisionen, JO, Sveriges Riksbank och Riksdagsförvaltningen. Som framgått tidigare är Sveriges Riks- bank även undantagen i sin egenskap av centralbank. Vidare inne- fattas länsstyrelserna som är statliga regionala myndigheter. Eftersom domstolar är statliga myndigheter ingår även de som utgångspunkt, men som framgår vidare ovan är rättsväsendet undantaget. Det bör betyda att domstolarna faller utanför, men att Domstolsverket som är en administrativ myndighet omfattas.

En särskild svårighet för analysen av tillämpningsområdet för be- greppet offentlig förvaltning är kraven i artikel 6 punkt 35. Som framgått behöver fyra kriterier vara uppfyllda. Två av dem, att verk- samheten har inrättats för att tillgodose behov i det allmännas in- tresse och inte har industriell eller kommersiell karaktär samt att verksamheten finansieras till största delen offentligt är självklara för offentlig verksamhet och behöver inte närmare beröras.

Det anges dock vidare som krav att verksamhetsutövaren har ställning som juridisk person eller lagstadgad rätt att agera för en annan entitet. Definitionen är motsägelsefull. Som tidigare berörts anges i samma artikel, punkt 38 att entitet betyder fysisk eller juri- disk person. I punkt 35 anges nu att offentlig entitet betyder entitet som bland annat uppfyller kravet om att den har ställning som juri- disk person eller lagstadgad rätt att agera för annan.

Utredningen tolkar artikel 6 punkt 35 på det sättet att kravet är att en verksamhetsutövare är en fysisk eller juridisk person, men att det för viss offentlig verksamhet är tillräckligt med företrädesrätt. När det gäller statliga myndigheter är det också så att de inte är egna juridiska personer utan den juridiska personen är staten, som sedan myndigheter kan företräda. Rimligen är det också detta som avses i kriteriet om att det är tillräckligt med företrädesrätt. En slutsats av

129

det anförda är att staten inte till skillnad från andra verksamhets- utövare som exempelvis bolag är en enhet som juridisk person utan att varje myndighet som omfattas är en egen enhet.

Vidare innefattas offentliga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt. En region är en juridisk person och har som sådan också ett orga- nisationsnummer enligt 1 § lag (1974:174) om identitetsbeteckning för juridiska personer med flera Här ingår då regionstyrelsen och nämnder. Med hänsyn till att begreppet är offentliga förvaltnings- entiteter bör rimligen regionfullmäktige falla utanför. Eftersom varje region är en juridisk person framstår det som rimligt att varje region på samma sätt som exempelvis varje bolag utgör en enhet, som verk- samhetsutövaren ansvarar för.

En ytterligare svårighet utgör det fjärde kriteriet i artikel 6 punkt 35 för offentlig förvaltning om att verksamheten ska ha befogenhet att rikta administrativa eller reglerade beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöver- skridande rörlighet för personer, varor, tjänster eller kapital. Kravet har betydelse för all offentlig verksamhet, myndigheter, regioner och kommuner. Har alla dessa verksamhetsutövare möjlighet att rikta så- dana beslut till fysiska eller juridiska personer?

Enligt utredningens bedömning är kriteriet oklart och svårt att förstå. Det är självklart att många myndigheter har befogenhet att rikta ingripande beslut mot fysiska och juridiska personer som på- verkar i första hand dem, men som i förlängningen även påverkar deras gränsöverskridande förmåga. Klara exempel kan vara Polismyndig- heten som kan frihetsberöva personer eller tullmyndigheten som kan omhänderta gods.

Som framgått har Sverige 346 myndigheter. En analys av varje myndighets och regions befogenheter i förhållande till gränsöver- skridande effekter framstår varken som möjligt eller ändamålsmässigt. I stället behöver en övergripande tolkning göras. Tolkningen bör ha sin grund i direktivets syfte. Av skäl 48 följer att effekten av det tidigare NIS-direktivet inte var tillräckligt, eftersom cybersäkerhets- kraven för verksamheter varierade mellan medlemsländerna inom unionen. Skillnaderna ledde till en fragmentering av den inre mark- naden. Vissa medlemsländer kunde ha större sårbarhet för cyberhot med potentiella spridningsrisker i hela unionen. Syftet med NIS2- direktivet var därför enhetliga kriterier för vilka verksamheter som

130

omfattas i huvudsak efter storlekskravet. Undantag för offentliga verksamheter bör avse verksamheter vars övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brotts- bekämpning.

Utredningens slutsats är med hänsyn till det anförda är att direk- tivet inte syftar till att göra en skiljelinje mellan offentlig verksamhet utifrån i vilken utsträckning deras beslut har gränsöverskridande påverkan utan syftet är att ett så stort antal verksamhetsutövare som möjligt ska omfattas, men med beaktande av storlekskravet och nationell säkerhet med mera. Vidare beaktar utredningen vid denna tolkning också att direktivet enligt artikel 5 är ett minimidirektiv med innebörd att medlemsstaterna får anta bestämmelser som säkerställer en högre cybersäkerhetsnivå.

5.2.7Andra kritiska sektorer

De andra kritiska sektorerna finns i bilaga 2 och är sju. Det handlar om post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distri- bution av livsmedel, digitala leverantörer och forskning. Vidare finns det ett område som heter tillverkning. I det området ingår delsektor- erna tillverkning av medicintekniska produkter, datorer, elektronik- varor och optik, elapparater, övriga maskiner, motorfordon, släp- fordon och påhängsvagnar och andra transportmedel. I jämförelse med det tidigare NIS-direktivet och NIS-lagen är det i sin helhet nya områden.12

5.2.8Storlekskravet

Som huvudregel omfattas alltså alla verksamhetsutövare som faller inom de högkritiska och kritiska områdena om verksamheterna är tillräckligt stora. Det saknar i det sammanhanget betydelse om det är offentliga eller privata verksamheter.

Storlekskravet finns i artikel 2.1. Det anges att en verksamhet är av tillräcklig storlek om den minst kan betecknas som ett medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation

12Undantag gäller för marknadsplatser online och sökmotorer som tidigare ingick i området var digitala tjänster.

131

2003/361/EG.13 Ett vidare krav är att verksamheten tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen. Artikel 2 i bi- lagan till kommissionens rekommendation definierar mikroföretag samt små och medelstora företag (SMF-kategorin). Av artikeln föl- jer att ett medelstort företag är ett företag som sysselsätter minst 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år.

Av artikel 1 i samma rekommendation anges att med företag av- ses varje enhet, oberoende av juridisk form, som bedriver en ekono- misk verksamhet ska anses som ett företag. När det gäller till exem- pel statsstöd tolkas begreppet ekonomisk verksamhet mycket brett och omfattar varje organisation som med eller utan vinstsyfte köper eller säljer varor eller tjänster på en eller flera marknader. Det bety- der att även offentliga aktörer – staten eller kommunala organ – kan bedriva ekonomisk verksamhet. Det gäller även områden som vård, skola och omsorg, vilka i sin kärna är icke-ekonomiska, men där det också förekommer områden med marknadselement som kan utgöra ekonomisk verksamhet. Detsamma gäller stiftelse, en ideell verksam- het eller en idrottsförening.14 Däremot gäller särskilda skatterättsliga regler för stat och kommun som bedriver ekonomisk verksamhet.15

Stat och kommun omfattas dock inte av kommissionens rekom- mendation om företag, eftersom det i artikel 3.4 finns ett undantag. Det anges som huvudregel där att ett företag inte anses tillhöra SMF- kategorin, om 25 procent eller mer av dess kapital eller dess röst- andel direkt eller indirekt kontrolleras av ett eller flera offentliga organ, individuellt eller gemensamt. I NIS2-direktivet är dock i artikel 2.1 den artikeln undantagen. En slutsats är därför att även statlig och kommunal verksamhet omfattas av artikel 2.1. som huvudregel av NIS2-direktivet. Kommuner är i Sverige enligt regeringsformens16 1 kap. 7 § uppdelade i regioner och kommuner. Som framgått har dock kommuner, men inte regioner undantagits från definitionen av offentlig förvaltning i bilaga 1 till direktivet.

Därutöver finns det dock också andra kvalificeringsgrunder an- givna i artiklarna 2.2–2.5.

13Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

14https://www.regeringen.se/regeringens-politik/naringspolitik/statsstod/, inhämtat 2023-04-06.

15https://www4.skatteverket.se/rattsligvagledning/321543.html, inhämtat 2023-04-06.

16Kungörelse (1974:152) om beslutad ny regeringsform.

132

I artikel 2.2–2.4 anges att verksamhetsutövare som är utpekade i bilaga 1 och 2, men som inte uppnår storlekskravet som redovisats ovan och därför inte omfattas av direktivet enligt huvudregeln ändå omfattas under tolv olika separata förutsättningar. För att omfattas enligt dessa krävs därför fortfarande att verksamhetsutövare utpekas i bilaga 1 eller 2, men det avser alltså mindre verksamheter som inte uppfyller storlekskravet, men som i stället uppfyller en annan grund.

Vidare finns det i artikel 2.5 en annan typ av särskild kvalificer- ingsgrund för kommuner och utbildningsinstitut. Det anges att med- lemsstaterna får föreskriva att direktivet ska tillämpas på offentliga verksamhetsutövare på lokal nivå och utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet. Nedan kommer dessa särskilda kvalificeringsgrunder att analyseras.

5.2.9Myndigheter och regioner

Utredningens bedömning: Samtliga statliga myndigheter i Sverige med undantag av regeringen, Riksrevisionen, Riksdagens ombuds- män, Sveriges Riksbank, Riksdagsförvaltningen och domstolarna samt samtliga regioner, med undantag av regionfullmäktige i varje region ska omfattas av cybersäkerhetslagen krav som utgångspunkt.

Av artikel 2.2 f följer att alla offentliga verksamhetsutövare på statlig nivå oavsett storlek ska omfattas om de är utpekade i bilaga 1 eller 2. Det här får långtgående konsekvenser för statliga myndigheter. Som framgått är offentlig verksamhet ett särskilt område som pekas ut i bilaga 1 och 2. Det är dock definierat som statlig eller regional verk- samhet, dvs. kommuner faller utanför. Med statlig verksamhet avses som framgått myndigheter med undantag av regeringen, myndig- heter som lyder under riksdagen och domstolarna. Huvudregeln är för alla verksamhetsutövare som utpekas i bilagorna att storlekskra- vet är avgörande, det behöver vara uppfyllt för att NIS2-direktivets krav ska vara uppfyllt. Genom artikel 2.2 f sätts dock storlekskravet ur spel för myndigheter. Innebörden av detta blir sammantaget att alla myndigheter utom regeringen, myndigheter under riksdagen och domstolarna omfattas av NIS2-direktivets krav som utgångspunkt.

133

I artikel 2.2 f anges också att offentliga förvaltningsverksamheter på regional nivå omfattas oavsett storlekskravet, men bara under sär- skilda förutsättningar. De som omfattas oavsett storlekskravet är regio- nal verksamhet som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk sam- hällelig eller ekonomisk verksamhet. Kriteriet förutsätter alltså en bedömning. Utredningen menar dock att en sådan bedömning är över- flödig för Sverige, eftersom samtliga 21 regioner bör uppfylla stor- lekskravet. Som framgått är kravet minst 50 anställda eller en balans- omslutning på 10 miljoner euro. Regionernas intäkter för 2021 uppgick till sammanlagt 458 miljarder kronor.17 Som framgått ska dock region- fullmäktige i varje region undantas.

5.2.10Kommuner

Utredningens bedömning: Majoriteten av alla kommuner, om- fattas av NIS2-direktivets krav redan genom att en stor andel av samtliga kommuner bedriver hemsjukvård och att samtliga upp- fyller storlekskravet. Det är kommunen som juridisk person som omfattas som vårdgivare. Det saknas därmed i huvudsak skäl att överväga om kommuner ska omfattas som offentliga förvaltnings- verksamheter på lokal nivå enligt artikel 2.5 a. Utredningen före- slår dock i fullständighetens namn att alla kommuner omfattas, men att kommunfullmäktige undantas.

Som framgått ingår kommuner inte i offentlig förvaltning enligt direktivets definitioner. Det betyder att kommuner inte som helhet är utpekade i bilaga 1 som statliga myndigheter och regioner är. Där- emot bedriver kommuner verksamhet inom områden som exempelvis fjärrvärme och avfallshantering, som utgör utpekade områden i bilaga 1 och 2, men denna verksamhet sker enligt SKR många gånger i bolagsform, vilken betyder att det inte skulle vara kommunen som är verksamhetsutövare. Som framgått definieras offentlig förvalt- ningsentitet i artikel 6, punkt 35, genom att fyra kriterier behöver vara uppfyllda. Det fjärde kriteriet är att verksamheten har befogen- het att rikta administrativa eller reglerade beslut till fysiska eller

17skr.se/skr/ekonomijuridik/ekonomi/sektornisiffror/diagramforregionerna.1883.html/, inhämtat 2023-04-18.

134

juridiska personer som påverkar deras rättigheter när det gäller gräns- överskridande rörlighet för personer, varor, tjänster eller kapital. Kommunala bolag kan enligt kommunallagens 10 kap. 2 § vara hel- ägda eller delägda. Med ett helägt kommunalt bolag avses ett aktie- bolag där kommunen eller regionen direkt eller indirekt innehar samtliga aktier och med ett delägt kommunalt bolag avses ett aktie- bolag eller handelsbolag där kommunen eller regionen bestämmer tillsammans med någon annan. Aktie- eller handelsbolag kan inte rikta administrativa eller andra beslut mot fysiska eller juridiska per- soner som påverkar deras gränsöverskridande rörlighet. Bedrivs verk- samheten genom kommunala bolag är det inte kommunen som är verk- samhetsutövare enligt utredningens bedömning.

Vidare gäller att en stor andel av samtliga kommuner enligt uppgift från SKR bedriver hemsjukvård. Det betyder att majoriteten av alla kommuner är vårdgivare enligt definitionen inom området hälso- och sjukvårdssektorn enligt bilaga 1. I bilagan hänvisas beträf- fande definitionen av vårdgivare till en definition i artikel 3 g i Europa- parlamentets och rådets direktiv 2011/24/EU.18 Här definieras vård- givare som ”varje fysisk eller juridisk person eller varje annan entitet som lagligen bedriver hälso- och sjukvård på en medlemsstats terri- torium”.

Utredningen har tidigare dragit den slutsatsen att en verksam- hetsutövare enligt NIS2-direktivet är en fysisk eller juridisk person som bedriver verksamhet. Samtidigt är det dock som angetts tidigare tillräckligt för offentliga förvaltningsverksamhetsutövare att den har ställning som juridisk person eller lagstadgad rätt att agera för en annan verksamhet.

Det har från SKR invänts att det inte är nödvändigt att det är kommunen som juridisk person som är verksamhetsutövare och att kommunen därmed utgör en enhet. SKR har pekat på att staten som juridisk person behöver vara uppdelad i många enheter. Det har tillagts att det då skulle vara möjligt att se en nämnd inom kommunen, som inte är en egen juridisk person, som en särskild enhet.

Utredningen delar inte denna uppfattning utan anser att det föreligger en skillnad mellan statliga myndigheter och nämnder som har betydelse för införlivandet av direktivet. Statliga myndigheter är i och för sig inte självständiga rättssubjekt utan är en del av rätts-

18Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

135

subjektet staten, vilket betyder att myndigheter inte kan föra talan mot varandra. Det saknar dock i sammanhanget betydelse. Däremot får myndigheter till skillnad från nämnder enligt 27 § myndighets- förordningen (2007:515) som huvudregel, företräda staten vid dom- stol inom sitt verksamhetsområde. Detta gäller även när talan förs exempelvis om olika sanktionsavgifter, vilket är relevant för cyber- säkerhetslagen, eftersom den kommer att innehålla sanktioner.19 Mot- svarande gäller inte för nämnder. Enligt kommunallagen (2017:725) 6 kap. 15 § får styrelsen själv eller genom ombud företräda kom- munen eller regionen i alla mål och ärenden, om inte någon annan ska göra det på grund av lag eller annan författning eller beslut av fullmäktige.

För kommuner gäller då huvudregeln om att storlekskravet måste vara uppfyllt. En förutsättning är därför att kommunen uppfyller storlekskravet på minst 50 anställda eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år, dvs. det är tillräckligt att ett av kraven är uppfyllda. Enligt uppgift från SKR uppfyller alla kravet på antalet anställda20 och möjligen även balans- omslutningen. Slutsatsen blir därmed att de flesta kommuner om- fattas i sin helhet av NIS2-direktivets krav redan genom att de bedri- ver hemsjukvård. På samma sätt som har utvecklats för regioner, bör fullmäktige, dvs. här kommunfullmäktige undantas och även här gäller att lagen ska omfatta svenska kommuner. Med denna slutsats saknas det i huvudsak skäl att ta ställning till artikel 2.5 a om att medlems- staterna får föreskriva att direktivet även ska tillämpas på offentliga verksamhetsutövare på lokal nivå. Utredningen föreslår dock i full- ständighetens namn att alla kommuner omfattas, dvs. även de som möjligtvis inte bedriver hemsjukvård.

5.2.11Alternativt förslag

Till utredningen har från MSB föreslagits att hela den offentliga sektorn, dvs. samtliga statliga myndigheter, regioner och kommuner som utgångspunkt borde omfattas av cybersäkerhetslagen för att säkerställa ett allriskperspektiv. Det skulle betyda att även myndig- heterna under riksdagen inklusive Sveriges Riksbank och därutöver

19https://www.jk.se/beslut-och-yttranden/2017/03/7951-16-80, inhämtat 2023-08-30.

20De två minsta kommunerna i Sverige är Dorotea och Bjurholm. År 2022 hade Dorotea 247 tills- vidareanställda och Bjurholm 219.

136

även domstolarna borde omfattas. Vidare saknas enligt Säkerhets- polisen skäl att undanta myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning. I stället utgör NIS-direktivets krav en lämplig ”bottenplatta", som i förekommande fall kan kom- pletteras av säkerhetsskyddsregleringens bestämmelser. Eftersom direktivet är ett minimidirektiv menar myndigheterna att det finns möjligheter för Sverige att utöka tillämpningsområdet.

Utredningen har dock redan i avsnitt 2.1.2 slagit fast att utred- ningens tidsram omöjliggör att tillämpningsområdet utökas och att utredningen i stället bör fokusera på analyser och förslag med syfte att införliva direktivet. Utredningens uppdrag är också att införliva direktivet inte att utarbeta ett nytt system från grunden. Skälet är, att om avvägningen som kommissionen och EU:s lagstiftare,21 förhand- lat fram i åsidosätts, behöver konsekvenserna för tillkommande områ- den övervägas ingående, eftersom det arbetet inte utförts tidigare.

För exempelvis Sveriges Riksbank och domstolarna skulle särskilt konsekvenserna för dessa myndigheters särskilda ställning och obe- roende behöva analyseras. Från Säkerhetspolisen har då anförts att en möjlig lösning är att hela den offentliga verksamheten omfattas som utgångspunkt, men att kraven differentieras för de olika myn- digheterna samt regionerna och kommunerna beroende på behov. Arbetet med differentieringen skulle enligt Säkerhetspolisen regeringen kunna göra i efterhand med stöd av ett bemyndigande. Sektorsmyn- digheterna skulle kunna ge regeringen ett underlag för en bedömning i vilken utsträckning enskilda respektive offentliga verksamhetsutöv- are skulle omfattas av cybersäkerhetslagen. På samma sätt skulle det då vara möjligt att även låta myndigheter som i hög omfattning be- driver säkerhetskänslig verksamhet omfattas som utgångspunkt, men kraven differentieras, vidare om säkerhetskänslig verksamhet i av- snitt 5.5.4.

Utredningen anser att förslaget i sig har fördelar och har därför övervägt det. Det framstår som ett enkelt och attraktivt synsätt att NIS2-direktivets krav utgör en bottenplatta som byggs på exempel- vis av säkerhetsskyddslagens krav. Inledningsvis ska dock konsta- teras att enligt utredningens slutsats omfattas redan hela den offent- liga sektorn som utgångspunkt med undantag av endast fyra statliga myndigheter under riksdagen, domstolarna samt region- och kom- munfullmäktige. Samtliga dessa omfattas också som utgångspunkt

21Ministerrådet och Europaparlamentet.

137

av samtliga krav i direktivet. Den differentiering som är möjlig kan därför som utgångspunkt enbart avse de fyra statliga myndigheterna under Riksdagen och domstolarna, eftersom dessa inte ingår i direk- tivets tillämpningsområde. Därutöver skulle sedan tillkomma undan- tag för säkerhetskänslig verksamhet och brottsbekämpning, se vidare avsnitt 5.5.4.

Utredningen menar därför inledningsvis att det är tveksamt om en ramlag med differentierade krav i en förordning framstår som ändamålsmässig, eftersom endast ett fåtal myndigheter faller helt utanför tillämpningsområdet och att det därutöver enbart behöver skapas undantag för säkerhetskänslig verksamhet. Till stöd för sitt arbete har utredningen också experter från de olika sektorsmyndig- heterna. Om utredningen endast föreslår en ramlag som för alla krav överlämnar åt regeringen att i ett senare skede bedöma i vilken ut- sträckning verksamhetsutövare ska omfattas blir det svårt för remiss- instanserna att kunna ha synpunkter på förslagen, eftersom konse- kvenserna inte går att bedöma. Det ingår också i utredningens uppdrag att även lämna författningsförslag för en förordning. Från Försvars- departementet har anförts att det med hänsyn till den snäva tid som finns för införlivning av direktivet att det är angeläget att utred- ningen i denna del fullgör sitt uppdrag.

Sammantaget anser utredningen därför att en mer långtgående utredning och utvidgning av direktivets krav skulle behöva ske i sär- skild ordning. Domstolarna och de fyra statliga myndigheterna under riksdagen ska inte ska omfattas av cybersäkerhetslagen. Utredningen kommer att behandla förslaget vidare i förhållande till säkerhets- känslig verksamhet och brottsbekämpning i avsnitt 5.5.4.

5.2.12Enskilda verksamhetsutövare

Utredningens förslag: Enskilda verksamhetsutövare som bedriver verksamhet inom EES, innefattas i bilaga 1 eller 2 till direktivet samt uppfyller storlekskravet för medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG ska omfattas av lagen.

Regeringen eller den myndighet regeringen bestämmer får i föreskrifter besluta om undantag för partnerföretag eller anknutna företag som inte i sig uppfyller storlekskravet.

138

Utredningens bedömning: Regeringen bör ge respektive tillsyns- myndighet i uppdrag att med stöd av Myndigheten för samhälls- skydd och beredskap skyndsamt utforma en vägledning för den enskilde verksamhetsutövaren om vem som omfattas av sektors- beskrivningarna.

Ovan har redovisats för vad som gäller för offentliga verksamhets- utövare och i vilken utsträckning de omfattas av direktivet. Direk- tivet gäller dock också för alla andra verksamhetsutövare, dvs. alla fysiska och juridiska personer som inte är en myndighet, region eller en kommun. Utredningen kommer för dem att använda begreppet enskilda verksamhetsutövare. För alla dem är det tillräckligt att de bedriver verksamhet inom EES, omfattas av bilaga 1 eller 2 till direk- tivet och att de uppfyller storlekskravet för medelstort företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG. Som kommer att framgå av kapitel 6 kommer det finnas en skyldig- het för den enskilde verksamhetsutövaren som omfattas att anmäla sig till tillsynsmyndigheten och att lämna uppgifter om bland annat verksamheten.

Syftet med NIS2-direktivet är att det ska vara enklare än tidigare för den enskilde verksamhetsutövaren att veta om verksamheten omfattas av lagens krav, det är tillräckligt att verksamhet bedrivs inom sektorn och att storlekskravet är uppfyllt. När det gäller stor- lekskravet är det förstås oftast enkelt, det som möjligen kan innebära svårigheter är bedömningen i särskilda fall för exempelvis partner- företag, se avsnitt 5.2.2. När det vidare gäller om verksamhetsutöv- aren omfattas av sektorn föreslår utredningen på samma sätt som tidi- gare lag en direkt hänvisning till bilagorna I NIS2-direktivet. Skälet är att NIS2-direktivet i denna del innehåller en omfattande klassi- ficering i såväl sektorer som undersektorer. Det innebär att avgör- ande för om verksamhetsutövaren omfattas eller inte är en tolkning av NIS2-diektivet i denna del. Utredningen bedömer att detta i de flesta fall inte innebär några svårigheter. Som dock framgår av kapi- tel 4 finns det dock några oklarheter, det kan exempelvis krävas en tolkning inte bara av NIS2-direktivet utan även av andra direktiv. Så är till exempelvis fallet för sektorn energi och undersektorn elektri- citet i bilaga 1 till NIS2-direktivet. Med hänsyn till det föreslår ut- redningen att regeringen ger tillsynsmyndigheterna i uppdrag att med stöd av MSB utformar en vägledning om de oklarheter som kan

139

föreligga i sektorsbeskrivningarna till stöd för den enskilde verksam- hetsutövaren. Detta arbete behöver med hänsyn till frågornas vikt slutföras skyndsamt.

Därutöver kommer det förstås att ankomma på tillsynsmyndig- heten att vidta åtgärder mot verksamhetsutövare som omfattas av bilagorna, men inte uppfyller sin anmälningsskyldighet.

Sammantaget betyder det anförda enligt utredningens bedöm- ning att det inledningsvis till dess vägledning är på plats från tillsyns- myndighet i enstaka fall kan framstå som oklart för verksamhets- utövaren om NIS2-direktivets skyldigheter gäller.

Med juridiska personer avses förstås till exempel aktiebolag, handelsbolag eller en förening. En enskild firma är inte en juridisk person utan en fysisk, den drivs i stället av den enskilde närings- idkaren. Som redovisats ovan i avsnitt 5.2.1 ger NIS2-direktiveten möjlighet att meddela undantag för de juridiska personer som inte i sig uppfyller storlekskravet, men gör det genom sin anknytning exempelvis till ett moderbolag. Enligt direktivet får så ske när det är proportionellt. Utredningen föreslår att det av förordningen följer att sådana undantag får meddelas efter ansökan till tillsynsmyndig- heten när skäl finns. Skäl kan föreligga när den juridiska personen inte i sig uppfyller storlekskravet och därutöver vid en sammantagen bedömning med utgångspunkt från lagens syfte inte behöver omfattas.

5.2.13Övriga särskilda kvalificeringsgrunder för enskilda verksamhetsutövare

Utredningens förslag: Verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät, allmänt tillgängliga elektroniska kommunikationstjänster, betrodda tjänster, registreringsenhet för toppdomäner, DNS-tjänster eller domännamnsregistrering behöver inte uppfylla storlekskravet för medelstort företag. Detsamma gäller om verksamheten

1.är väsentlig för att upprätthålla kritiska funktioner i samhället och ekonomiska funktioner,

2.en störning kan ha en betydande påverkan på skyddet för män- niskors liv och hälsa, allmän säkerhet, folkhälsa eller medföra

140

betydande systemrisker särskilt om det får gränsöverskrid- ande konsekvenser, eller

3.är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer som är beroende av denna verksamhet omfattas också av lagen.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter.

Artikel 2.2 a–e innehåller sammantaget åtta särskilda kvalificerings- grunder för verksamhetsutövare som inte uppfyller storlekskravet. Det behöver vara enskilda verksamhetsutövare, eftersom storleks- kravet inte gäller för myndigheter och samtliga regioner bedöms uppfylla det. För kommuner är bedömningen att alla eller i vart fall en stor majoritet av kommunerna bör uppfylla det och som framgått föreslår utredningen i fullständighetens namn att samtliga kommuner omfattas.

Det anges att verksamheter som pekas ut i bilaga 1 eller 2 och som inte uppfyller storlekskravet ändå omfattas om någon av de åtta kvali- ficeringsgrunderna är uppfylld. De två första återfinns i artikel 2.2 a och avser vissa elektroniska tjänster. De som avses är följande:

1.Tjänster tillhandahålls av tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kom- munikationstjänster, och

2.tjänster tillhandahålls av tillhandahållare av betrodda tjänster.

Elektronisk kommunikation regleras i lagen (2022:482) om elektro- nisk kommunikation (LEK). Allmänt elektroniskt kommunikations- nät är i lagens 1 kap. 7 § definierat som ett elektroniskt kommuni- kationsnät som helt eller huvudsakligen används för att tillhandahålla allmänt tillgängliga elektroniska kommunikationstjänster och som stöder informationsöverföring mellan nätanslutningspunkter. Till- handahållare behöver som huvudregel enligt lagens 2 kap. 1 § anmäla tillhandahållandet av allmänna elektroniska kommunikationsnät som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elek- troniska kommunikationstjänster till PTS.

141

Med betrodd tjänst avses en elektronisk tjänst som vanligen till- handahålls mot ekonomisk ersättning och som består av

a)skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elek- troniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

b)skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller

c)bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.

Innebörden av det anförda är det av LEK framgår vad som avses med tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Enligt defi- nitionerna i artikel 6 punkt 24 och 25 i NIS2-direktivet hänvisas beträffande betrodd tjänst och tillhandahållare av betrodd tjänst till förordning (EU) nr 910/2014.22 Med tillhandahållare av betrodda tjäns- ter avses enligt EU-förordningen nr 910/2014 en fysisk eller juridisk person som tillhandahåller en eller flera betrodda tjänster, antingen i egenskap av kvalificerade eller icke kvalificerade tillhandahållare av betrodda tjänster.

Det ska noteras att i den nu gällande NIS-lagen är enligt 5 § leve- rantörer av elektroniska kommunikationsnät med hänsyn till regler- ingen i LEK undantagna från NIS-lagen. Detsamma gäller enligt 6 § för leverantörer av betrodda tjänster med hänvisning till ovan nämnda EU-förordning.

Undantaget med hänsyn till LEK trädde i kraft under 2022 sam- tidigt som LEK trädde i kraft. Det innebar dock ingen sakändring, utan en ändring med hänsyn till att LEK ersatte den tidigare lagen (2003:389) om elektronisk kommunikation23. Undantagen var i stället en följd av undantag i NIS-direktivet.24

I NIS2-direktivet saknas motsvarande undantag. Det finns alltså inget undantag varken för elektronisk kommunikation eller betrodda tjänster i stort som i artikel 1.3 i NIS-direktivet. I stället är det t.o.m.

22Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre markna- den och om upphävande av direktiv 1999/93/EG.

23Prop. 2021/22:136 s. 100.

24SOU 2017:36, s. 284 och 285.

142

så att detta omfattas av NIS2-direktivet inte bara om storlekskravet är uppfyllt utan även för mindre sådana verksamhetsutövare.

I artikel 2.2 a anges också att även registreringsenheter för topp- domäner och leverantörer av domännamnssystemtjänster omfattas av NIS2-direktivet, även om storlekskravet inte är uppfyllt.

Registreringsenheter för toppdomäner är definierade i artikel 6 punkt 21. Utredningen kommer att i förslag till den nya lagen, cyber- säkerhetslagen, definiera de olika begreppen i det inledande kapitlet.

Vidare följer av 2.2 b–e ytterligare fyra särskilda kvalificerings- grunder, varav följer att vissa verksamheter ändå ska omfattas av direk- tivets krav trots att de inte uppfyller storlekskravet. Dessa är följande:

1.Om verksamheten är den enda leverantören av en tjänst i med- lemsstaten som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,

2.om en störning av den tjänst som verksamheten tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa,

3.om en störning av den tjänst verksamheten tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där så- dana störningar kan få gränsöverskridande konsekvenser, och

4.verksamheten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna verksamhet.

Som framgår krävs det en bedömning av dessa särskilda krav för att mindre verksamheter ändå ska omfattas Begreppen är inte defini- erade i artikel 6 i direktivet och saknar också direkt motsvarighet i NIS-lagen. Som en jämförelse kan nämnas att det av 4 § NIS-lagen följer att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga och innebörden av en betydande störning. I NIS-förordningen anges sedan i 3 § att MSB får, efter att ha gett tillsynsmyndigheterna och Social- styrelsen tillfälle att yttra sig, meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster samt att föreskrifterna ska uppdate- ras minst vartannat år. Av 4 § följer vilka sektoröverskridande faktorer som ska beaktas vid bedömningen av betydande störning samt att

143

MSB får, efter att ha gett tillsynsmyndigheterna och Socialstyrelsen tillfälle att yttra sig, meddela ytterligare föreskrifter om vad som avses med en betydande störning.

Detta har MSB sedan gjort i Anmälan och identifiering av leve- rantörer av samhällstjänster, (MSBFS 2021:9).

Utredningen föreslår nu en liknande systematik med innebörd att det av lagen följer övergripande kriterier för vilka mindre verksam- heter som ska omfattas trots att de inte uppfyller storlekskravet och att det i föreskrifter anges vilka verksamheter som uppfyller något kriterium. Det är självklart att föreskrifterna vid behov bör uppdateras.

Av artikel 2.3 följer att även verksamheter som av Sverige som bedöms som kritiska enligt artikel 6 i CER-direktivet ska omfattas av NIS2-direktivets krav. Utredningen kommer att i sitt slutbetänk- ande återkomma till denna fråga.

Slutligen följer av artikel 2.4 att även verksamhetsutövare som tillhandahåller dommännamnsregistrering ska omfattas av NIS2-direk- tivet även om storlekskravet inte är uppfyllt. Sådana verksamhetsutöv- are definieras i artikel 6 punkt 22.

5.2.14Utbildningsinstitut

Utredningens bedömning: Lärosäten med examenstillstånd bör omfattas av cybersäkerhetslagen.

Som framgått ovan får medlemsstaterna, enligt artikel 2.5 b, före- skriva att direktivet ska tillämpas på utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet. NIS2-direktivet innehåller ingen definition av begreppet utbildningsinstitut. Enligt kommitté- direktivet ska utredningen överväga om universitet och högskolor, eller ett urval av dessa, bör omfattas av den nya regleringen. Utred- ningen ska ta hänsyn till principer som säkerställer akademisk frihet, institutionell autonomi och forskningsintegritet samt excellens och öppenhet inom högre utbildning och forskning.

Högre utbildning och forskning i Sverige bedrivs till största delen vid statliga universitet och högskolor. Det finns också några en- skilda, icke statliga utbildningsanordnare. Gemensamt kan dessa be- nämnas lärosäten och utredningen tolkar att det är dessa som avses med begreppet utbildningsinstitut i NIS2-direktivet. Universitets-

144

och högskolesektorns utgifter för forskning och utveckling (FoU) under 2021 uppgick till cirka 43 miljarder, vilket motsvarar 23 pro- cent av Sveriges totala FoU-utgifter.25 Jämfört med många andra länder bedrivs endast en liten del av forskningen i Sverige av forsknings- institut.26

Det finns 49 lärosäten i Sverige som har examenstillstånd. Ett flertal av dessa är statliga lärosäten som är egna myndigheter. En stor del av lärosätena kommer därmed att omfattas av regleringen i egen- skap av statlig myndighet, i sektorn offentlig förvaltning, under förut- sättning att utredningen inte föreslår ett undantag för dem.

Forskning är en egen sektor i NIS2-direktivet som inte innefattar utbildningsinstitutioner. Att relativt liten andel av forskningen i Sverige bedrivs i forskningsinstitut talar enligt utredningen för att inkludera lärosäten i regleringen. Resultatet skulle annars bli att en större del av den forskning som bedrivs i Sverige inte skulle omfattas av NIS2- direktivet. Detta skulle gå emot direktivets syfte.

Riksrevisionen har granskat informationssäkerheten vid 24 läro- säten som bedriver naturvetenskaplig och teknisk forskning.27 Riks- revisionens övergripande slutsats är att universitet och högskolor inte bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Detta trots att föreskriftskrav funnits sedan 2008 och bristerna varit kända sedan länge.

Utredningen anser med hänsyn till att omfattande forskning be- drivs vid lärosäten som har examenstillstånd och de brister som fram- kommit i Riksrevisionens rapport att dessa bör omfattas av cybersäker- hetslagens tillämpningsområde.

Nästa steg blir då att bedöma om det finns skäl som talar emot att inkludera lärosäten i regleringen.

Forskningens frihet är skyddad i 2 kap. 18 § regeringsformen och vidare reglerad i 1 kap. 6 § högskolelagen (1992:1434). Det innebär att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas och forskningsresultat fritt får publiceras. 2021 skrevs även akademisk frihet in i 1 kap. 6 § högskolelagen. Här framgår att som allmän princip i högskolornas verksamhet ska gälla att den akade- miska friheten ska främjas och värnas. Att en allmän princip om aka- demisk frihet infördes i högskolelagen innebär dock inte att hög-

25SCB, Forskning och utveckling vid universitet och högskolor 2021.

26https://www.uka.se/sa-fungerar-hogskolan/forskning-vid-universitet-och-hogskolor.

27Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata (RiR 2023:20).

145

skolan eller de verksamma vid högskolan står fria från styrning eller reglering. Det fria kunskapssökandet och den fria kunskapssprid- ningen ska alltid utövas inom de rättsliga ramar som finns.28 Utred- ningen bedömer inte att cybersäkerhetslagen innebär sådana inskränk- ningar i dessa principer vilket skulle motivera att inte inkludera lärosäten i regleringen.

Utredningen har övervägt att endast inkludera ett urval av uni- versitet och högskolor i regleringen. Ett sådant urval skulle till exem- pel kunna göras utifrån storlek eller typ av forskning som bedrivs vid lärosätet. Som framgått ovan i avsnitt 5.2.8 innehåller NIS2-direk- tivet ett storlekskrav för enskilda verksamhetsutövare. En förutsätt- ning är därför att icke-statliga lärosäten uppfyller storlekskravet på minst 50 anställda eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år. Utredningen har inte funnit an- ledning att införa ett annat storlekskrav för lärosäten eller att be- gränsa tillämpningen till någon viss typ av forskning.

Utredningen föreslår därför att samtliga lärosäten med examens- tillstånd som uppfyller storlekskravet ska omfattas av cybersäker- hetslagen.

5.3Jurisdiktion

Ovan har tillämpningsområdet för NIS2-direktivet analyserats och utredningen har dragit slutsatser om vem som omfattas av direktivet. För att klarlägga vem som omfattas inte bara av direktivet utan av utredningens förslag till en ny lag behöver dock även Sveriges juris- diktion analyseras. Den är reglerad i artikel 26. Bestämmelserna är olika för offentliga verksamhetsutövare jämfört med enskilda verk- samhetsutövare och det finns därutöver särskilda jurisdiktionsbestäm- melser för vissa enskilda verksamhetsutövare.

28Prop. 2020/21:60 s. 131.

146

5.3.1Jurisdiktion för offentliga verksamhetsutövare

Utredningens förslag: Lagen ska som utgångspunkt omfatta svenska statliga myndigheter med undantag av regeringen, Riks- revisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdags- förvaltningen och domstolarna samt svenska regioner och kommu- ner med undantag av kommunfullmäktige och regionfullmäktige.

Av artikel 26.1 följer att huvudregeln är att verksamhetsutövare som omfattas av direktivets tillämpningsområde ska anses omfattas av jurisdiktionen i den medlemsstat där de etablerade. För offentliga verksamhetsutövare gäller i stället att de ska omfattas av jurisdik- tionen i den medlemsstat som inrättade dem. För Sveriges del bety- der det svenska myndigheter samt svenska regioner och kommuner.

5.3.2Jurisdiktion för enskilda verksamhetsutövare

Utredningens förslag: Enskilda fysiska eller juridiska personer som omfattas av direktivet ska som huvudregel omfattas av cyber- säkerhetsregleringen om de är etablerade i Sverige.

För tillhandahållare av allmänna elektroniska kommunikations- nät eller av allmänt tillgängliga elektroniska kommunikations- tjänster gäller i stället att de omfattas av lagen om de erbjuder tjänster i Sverige.

Gränsöverskridande verksamhetsutövare är verksamhetsutövare som erbjuder DNS-tjänster, registreringsenheter för toppdomäner, domännamnsregistreringstjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, hanterade tjänster, hanterade säker- hetstjänster eller marknadsplatser online, sökmotorer eller platt- formar för sociala nätverkstjänster.

Gränsöverskridande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

För gränsöverskridande verksamhetsutövare krävs det i stället för etablering att Sverige är huvudsakligt etableringsställe eller att företrädaren är etablerad i Sverige för att verksamhetsutövaren ska omfattas av lagen. Därutöver gäller kapitel 5 för gränsöver-

147

skridande verksamhetsutövare som erbjuder tjänster i Sverige, men inte utser en företrädare.

Regeringen får meddela föreskrifter om vad som utgör huvud- sakligt etableringsställe. Vid bedömningen ska i första hand plats för beslut om riskhanteringsåtgärder för cybersäkerhet vara av- görande, därefter platsen för cybersäkerhetsverksamhet och i sista hand plats där verksamhetsutövaren har flest anställda.

Huvudregeln för enskilda verksamhetsutövare är enligt artikel 26.1 att det medlemsland där verksamheten är etablerad har jurisdiktion. Den som bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur anses vara etablerad. Den rättsliga formen för en sådan struktur, dvs. om det är fråga om exempelvis en filial eller ett dotter- bolag, är inte en avgörande faktor.29 Det betyder att de som omfattas av direktivet utifrån vad utredningen anfört ovan ska som huvud- regel innefattas av lagen om de är etablerade i Sverige.

För tillhandahållare av allmänna elektroniska kommunikations- nät eller av allmänt tillgängliga elektroniska kommunikationstjänster gäller i stället att de enligt artikel 26.1 a omfattas av jurisdiktionen i det land de tillhandahåller sina tjänster. Det betyder alltså att en så- dan verksamhetsutövare ska omfattas av lagen om tjänster tillhanda- hålls i Sverige.

Huvudregeln för regeln om etablering respektive tillhandahåll- andet av tjänster är att om verksamhetsutövaren är etablerad i flera medlemsländer respektive tillhandahåller tjänster i flera medlems- länder har samtliga dessa länder jurisdiktion. Det följer av skäl 113. Där anges också att medlemsländerna i dessa fall bör samarbeta samt att efterlevnadskontrollåtgärder och sanktioner inte bör påföras mer än en gång för samma handling enligt principen om ne bis in idem, dvs. förbud mot dubbelprövning och dubbelbestraffning.

För gränsöverskridande verksamhetsutövare finns det dock en särregel. De som här kommer i fråga är enligt artikel 26.1 b verksam- hetsutövare som tillhandahåller DNS-tjänster, registreringsenheter för toppdomäner, verksamhetsutövare som tillhandahåller domän- namnsregistreringstjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, hanterade tjänster, hanterade säkerhetstjänster, marknadsplatser online, sökmotorer eller plattformar för sociala

29Skäl 21 i det tidigare NIS-direktivet och prop. 2017/18:205 s. 21.

148

nätverkstjänster. För dem gäller att ett medlemsland har jurisdiktion endast om det huvudsakliga etableringsstället ligger i landet. Det följer av skäl 114 att anledningen till denna särregel är att endast ett med- lemsland bör ha jurisdiktion över dessa verksamheter.

Vid bedömningen om vad som utgör ett huvudsakligt etablerings- ställe är i första hand platsen för beslut om riskhanteringsåtgärder för cybersäkerhet vara styrande, i andra hand platsen för cybersäker- hetsoperationer och i sista hand ska det etableringsställe som har flest anställda vara styrande. Detta föreslås framgå av förordningen.

För dessa verksamhetsutövare gäller också enligt artikel 26.3 att om det saknas etablering inom unionen, men tjänster erbjuds där ska en företrädare utses. Företrädaren ska vara etablerad i ett av med- lemsländerna där tjänster erbjuds och det medlemslandet har juris- diktion. Om en företrädare inte utses får varje medlemsland där verksamhet bedrivs vidta rättsliga åtgärder mot verksamhetsutövaren.

För den svenska lagens del innebär det att det i lagen bör införas en bestämmelse om att gränsöverträdande verksamhetsutövare som erbjuder tjänster inom EES, men saknar etablering där ska utse en företrädare med etablering i något av de länder där tjänster erbjuds.

I artikel 26.4 anges det att det faktum att en gränsöverskridande verksamhetsutövare utsett en företrädare inte ska påverka eventuella rättsliga åtgärder mot verksamhetsutövaren. Det menar utredningen behöver inte anges specifikt, eftersom det är självklart så länge det inte särskilt anges att sanktioner ska riktas mot företrädaren om så- dan utsetts. Av artikel 26.5 följer att de medlemsstater som mottagit en begäran om ömsesidigt bistånd avseende gränsöverskridande verk- samhetsutövare får vidta lämpliga tillsyns- och efterlevnadskontroll- åtgärder för verksamhetsutövaren som erbjuder tjänster eller som har ett nätverks-och informationssystem inom landets territorium. Enligt utredningens bedömning krävs det inte heller en särskild reglering om detta, eftersom avgörande för åtgärder är den nationella lagregleringen.

149

5.4Undantag för sektorsspecifika unionsrättsakter och andra författningar

Utredningens förslag: Om annan författning innehåller bestäm- melser om krav på riskhanteringsåtgärder eller incidentrappor- tering för en verksamhetsutövare med motsvarande verkan gäller inte kraven i cybersäkerhetslagen om riskhanteringsåtgärder inci- dentrapportering för verksamhetsutövaren. Vid jämförelsen av verkan mellan författningarna ska hänsyn tas till bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopp- lade till bestämmelserna.

Regeringen får i föreskrifter ange vilka andra bestämmelser om riskhanteringsåtgärder och incidentrapportering som har mot- svarande verkan.

Redan nu bör det av förordningen följa att finansiella verksam- hetsutövare som omfattas av Dora-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt cybersäker- hetslagen. Som följd kommer då inte heller tillsyns- och efter- levnadskontroll i denna del enligt lagen gälla för dem.

Lagen ska inte tillämpas på verksamheter som undantagits enligt artikel 2.4 i Dora-förordningen.

I artikel 4 i direktivet finns ett särskilt undantag för riskhanterings- åtgärder och rapportering om betydande incidenter. Innebörden är att om det i sektorsspecifika unionsrättsakter redan finns krav om sådana åtgärder med minst samma verkan ska NIS2-direktivets krav inte gälla.

Om de sektorsspecifika unionsrättsakterna inte omfattar alla verk- samhetsutövare inom sektorn ska NIS2-direktivets bestämmelse gälla för dem som inte omfattas.

Vid bedömningen av vad som är samma verkan ska för risk- hanteringsåtgärder kraven i artikel 21.1 och 21.2 i NIS2-direktivet beaktas, se vidare kapitel 7.

Alternativt kan bestämmelserna i den sektorsspecifika unions- rättsakten enligt artikel 4.2.b anses ha samma verkan om det i den föreskrivs att tillgång på ett visst sätt till incidentunderrättelser från CSIRT-enheter, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt NIS2-direktivet. En ytterligare förutsätt-

150

ning är att kraven på underrättelse av betydande incidenter har minst samma verkan som kraven i artikel 23.1–23.6 i NIS2-direktivet. I dessa bestämmelser finns långtgående och detaljerade krav om rappor- teringsskyldigheten, se vidare kapitel 7.

Slutligen anges i artikel 4 också att kommissionen senast i juli 2023 ska tillhandahålla riktlinjer för bedömningen minst samma verkan. Riktlinjerna ska regelbundet ses över. Sådana riktlinjer har presen- terats.30

Dora-förordningen trädde i kraft i januari 2023 och ska börja tillämpas från och med den 17 januari 2025.31 I direktivets skäl 28 anges särskilt att Dora-förordningen är en sådan sektorsspecifik unionsrättsakt och att medlemsstaterna inte bör tillämpa NIS2-direk- tivets bestämmelser om riskhanterings- och rapporteringsskyldigheter på finansiella verksamhetsutövare som omfattas av Dora-förordningen.

Av regeringens direktiv följer också att utredningen behöver be- akta relevanta sektorsspecifika unionsrättsakter när det gäller vilka krav som ska ställas på verksamheterna, hur rollfördelningen mellan svenska myndigheter ska se ut och vilka befogenheter tillsynsmyn- digheterna ska ha.

Enligt utredningens bedömning skulle en ingående analys av Dora- förordningens bestämmelser och andra unionsrättsakter som skulle kunna avses vara ett omfattande och tidskrävande arbete, som inte ryms inom utredningens tidsplan. Det ska också beaktas att det fram- över kan tillkomma unionsrättsakter som utredningens förslag till lagstiftning också behöver ta höjd för. Detta talar enligt utredning- ens bedömning i stället för ett generellt utformat undantag.

I NIS-lagen finns också redan ett liknande sådant generellt undan- tag i 9 §, där det anges att om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incident- rapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sank- tioner som är kopplade till kraven i bestämmelserna. Paragrafen är inte preciserad i förordning eller föreskrifter.

30https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article- 4-1-and-2-directive-eu-20222555-nis-2-directive, inhämtat 2024-01-19.

31Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

151

Paragrafen innebär att lagen inte ska tillämpas om det i lag eller annan författning finns bestämmelser om krav på säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar verkan av skyl- digheterna enligt lagen. Med lag eller annan författning avses även EU-förordningar och myndighetsföreskrifter.32

Bakgrunden till bestämmelsen var att det i artikel 1.7 i NIS-direk- tivet anges att bestämmelser i sektorsspecifika EU-rättsakter, som innehåller krav på leverantörer av samhällsviktiga eller digitala tjänster att säkerställa säkerheten i sina nätverk och informationssystem eller att rapportera incidenter, tillämpas i stället för bestämmelserna i direk- tivet förutsatt att verkan av kraven i fråga minst motsvarar verkan av skyldigheterna enligt direktivet.

Regeringen menade efter förslag från Utredningen om genom- förande av NIS-direktivet att det i den nya lagen borde införas en motsvarande bestämmelse, som skulle gälla oavsett om bestämmel- serna finns i EU:s rättsakter eller i nationella författningar. Vidare framhöll regeringen att vid bedömningen av om bestämmelser om säkerhetsåtgärder och incidentrapportering motsvarar verkan av skyl- digheterna enligt den nya lagen, bör man bland annat beakta bestäm- melsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. På Lagrådets inrådan före- slogs detta framgå av lagtexten. Regeringen angav också att exempel på bestämmelser om säkerhetsåtgärder och incidentrapportering som inte kunde anses ha motsvarande verkan är bestämmelserna i förord- ningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt dataskyddsförordningen. En följd skulle då bli att leverantörer behövde tillämpa dessa regelverk paral- lellt. Slutligen ansåg regeringen också att enstaka bestämmelser som innehåller krav på säkerhetsåtgärder eller incidentrapportering inte ska gälla i stället för motsvarande bestämmelser i den nya lagen, eftersom det inte vore ändamålsenligt. Det skulle också i mycket begränsad omfattning finnas nationella bestämmelser som innehåller krav som kan anses motsvara kraven enligt NIS-direktivet.33

Sammantaget drar utredningen den slutsatsen att det i lagen ska föras in ett generellt undantag som motsvarar artikel 4. Det kommer att ha likheter med nuvarande 9 §. Inledningsvis menar utredningen att det precis som i 9 § i lagen bör hänvisas till annan författning av

32Prop. 2017/18:205 s. 93.

33Prop. 2017/18:205 s. 29.

152

skäl som anfördes i propositionen till NIS-lagen. Det framstår också som ändamålsmässigt att hänvisning görs såväl till verkan av skyldig- heterna enligt denna lag, med beaktande av bestämmelsernas om- fattning som till tillsyn och sanktioner.

Till utredningen har dock framförts att tillämpningen av 9 § är svår. En skillnad föreligger också i att kommissionen ska meddela riktlinjer, som ska uppdateras enligt artikel 4. Från Svenska Bank- föreningen har uppgetts att banker inte tillämpar paragrafen, efter- som osäkerhet föreligger om bedömningen.

Med hänsyn till det anförda och frågans komplexitet föreslår utred- ningen att regeringen i en bilaga till förordningen pekar ut de författ- ningar som innehåller bestämmelser med krav om riskhanteringsåtgär- der och rapportering om betydande incidenter som motsvarar verkan av skyldigheterna enligt denna lag. Bestämmelserna i bilagan bör be- redas av den eller de myndigheter som regeringen finner lämpligt.

Redan nu bör det av förordningen följa att Dora-förordningen bör betraktas som en sådan sektorsspecifik unionsrättsakt som lever upp till kraven om att verkan sammantaget motsvarar skyldigheterna enligt utredningens förslag till lag. Det innebär att finansiella verk- samhetsutövare som omfattas av Dora-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt lagen. Som följd kommer då inte heller tillsyns- och efterlevnadskontroll enligt lagen gälla för dem. Innebörden blir att dessa verksamhetsutövare endast kommer att omfattas av kraven i artikel 3 och artikel 27, som avser anmälan och registrering samt de ingripanden och sanktioner som kan gälla för dessa krav.

Grunden för detta är skäl 28 som uttryckligen anger att medlems- staterna inte bör tillämpa detta direktivs bestämmelser om risk- och rapporteringsskyldigheter, tillsyn och efterlevnadskontroll beträff- ande cybersäkerhet på finansiella verksamhetsutövare som omfattas av denna förordning.

I artikel 2.2.10 anges att NIS2-direktivet inte ska tillämpas på verk- samheter som medlemsstaterna har undantagit från Dora-förord- ningen enligt den förordningens artikel 2.4. För Sveriges del rör det sig om Svenska Skeppshypotekskassan. Medlemsstaten behöver under- rätta kommissionen om sådana undantag. Sverige har ännu inte genom- fört sådana undantag, men kan förstås komma att göra det i fram- tiden. Av lagen bör därför följa att den inte är tillämplig för sådana meddelade undantag.

153

5.5Undantag för Sveriges säkerhet och brottsbekämpning

I detta avsnitt ska avgränsningen till säkerhetskänsligt och brotts- förebyggande arbete analyseras.

5.5.1Bestämmelserna i direktivet

Av artikel 2.6 följer att direktivet inte påverkar medlemsstaternas ansvar för att skydda nationell säkerhet och andra väsentliga statliga funktioner inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning.

I artikel 2.7 anges vad som gäller för offentliga verksamhetsutöv- are i den delen och av artikel 2.8 följer hur detta ska påverka andra verksamhetsutövare. Slutligen framgår av artikel 2.9 att undantagen i artikel 2.7 och 2.8 inte ska gälla för en verksamhetsutövare som agerar som en tillhandahållare av betrodda tjänster.

Tillhandahållare av betrodda tjänster definieras som framgått av avsnitt 5.2.13 enligt artikel 6 punkt 25 i artikel 3.19 i förordning (EU) nr 910/2014.34 Definitionen där är en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av

a)skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elektro- niska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller

b)skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller

c)bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.

34Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre markna- den och om upphävande av direktiv 1999/93/EG.

154

5.5.2Säkerhetsskyddslagen

Säkerhetsskyddslagen (2018:585) reglerar skyddsåtgärder för de mest skyddsvärda verksamheterna i samhället. Den gäller för alla som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtag- ande om säkerhetsskydd (säkerhetskänslig verksamhet). Med säker- hetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Systematiken i lagen bygger på att det är verksamhetsutövaren själv som till någon del bedriver säkerhetskänslig verksamhet som ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säker- hetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten. Vidare ska verksamhetsutövaren i analysen specifi- cera vilka delar av verksamheten som är säkerhetskänslig.35Analysen ska dokumenteras och med utgångspunkt i den ska verksamhets- utövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.36 Säkerhetsskyddsåtgärder avser informationssäkerhet, fysisk säkerhet och personalsäkerhet.37 Med informationssäkerhet avses bland annat att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Säkerhetsskyddsklassi- ficerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekre- tesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.38 Verksamhetsutövare ska också utan dröjsmål anmäla att den bedriver säkerhetskänslig verk- samhet till tillsynsmyndigheten.39

352 kap. 2 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).

362 kap. 1 §.

372 kap. 2–4 §§.

381 kap. 2§ andra stycket.

392 kap. 6 §.

155

5.5.3Undantag för säkerhetsskyddsklassificerade uppgifter

Utredningens förslag: Skyldighet att lämna uppgifter enligt denna lag gäller inte uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen (2018:585).

Ovan redovisade artikel 2.6 ger möjlighet till undantag med hänsyn till nationell säkerhet och andra väsentliga statliga funktioner, inbe- gripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning. Av skäl 9 i andra delen framgår också att ingen medlemsstat bör vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säker- het, allmän säkerhet eller försvar. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter, sekretessavtal samt informella sekretessavtal såsom Traffic Light Protocol bör beaktas i detta sammanhang.

Direktivets skyldigheter för verksamhetsutövare handlar till stor del om rapportering och information. Av regeringens direktiv följer att för att säkerställa att säkerhetsskyddsklassificerade uppgifter inte lämnas ut är det inte tillräckligt att särskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet helt eller delvis kan undan- tas från direktivens krav på bland annat incidentrapportering. Det behöver enligt regeringen också säkerställas att uppgifter som rör säkerhetskänslig verksamhet inte registreras i den europeiska sårbar- hetsdatabas som enligt NIS2-direktivet ska upprättas av Enisa (The European Union Agency for Cybersecurity). Det behöver därför införas regler som direkt undantar säkerhetsskyddsklassificerade uppgifter från såväl rapporteringskraven som från annan uppgifts- lämning som regleras i direktiven.

Utredningen delar regeringens uppfattning och föreslår därför att det i lagen förs in ett undantag som anger att lagens skyldigheter att lämna uppgifter inte avser säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen.

156

5.5.4Undantag för offentliga verksamhetsutövare

Utredningens förslag: Statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas inte av lagen.

Regeringen får i föreskrifter ange vilka statliga myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämp- ning till övervägande del.

För andra statliga myndigheter, regioner och kommuner som bedriver säkerhetskänslig verksamhet eller brottsbekämpning gäller för den säkerhetskänsliga verksamheten och brottsbekämpningen inte kraven om att utse en företrädare, riskhanteringsåtgärder och incidentrapportering och inte heller bestämmelserna om tillsyn och sanktioner som avser detta. Innebörden är att för denna del av verksamheten kommer enbart anmälningsskyldigheten i arti- kel 3 som är genomförd i 2 kap. 2 § cybersäkerhetslagen att gälla. Som en följd kommer tillsyns- och sanktionsbestämmelser som hänför sig till dem att gälla. För den del av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning gäller cyber- säkerhetslagen i dess helhet.

Av artikel 2.7 följer att direktivet inte är tillämpligt på offentliga verksamhetsutövare som bedriver verksamhet inom områdena natio- nell säkerhet, allmän säkerhet, försvar eller brottsbekämpning. I brotts- bekämpning ingår förebyggande, utredning, upptäckt och lagföring av brott. Utformningen i artikel 2.7 är alltså obligatorisk. Samtidigt är hela direktivet enligt artikel 5 ett minimidirektiv med innebörd att medlemsstaten får anta bestämmelser som säkerställer en högre cyber- säkerhetsnivå. Det skulle för denna artikel kunna innebära att utred- ningen inte får undanta offentliga verksamhetsutövare i större utsträck- ning från cybersäkerhetslagen än vad som anges i artikel 2.7, däremot i mindre utsträckning.

Av skäl åtta följer vidare att undantaget i 2.7 bör omfatta offent- liga verksamhetsutövare vars verksamhet till övervägande del bedrivs inom det angivna området, men att offentliga verksamhetsutövare vars verksamhet endast marginellt berör områdena inte bör vara undantagna. Vid tillämpningen anses verksamhetsutövare med till- synsbefogenheter inte bedriva verksamhet på brottsbekämpnings- området och är därför inte undantagna.

157

I skälet anges vidare att offentliga verksamheter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal samt medlemsländernas diplomatiska och konsulära beskickningar i tredje länder eller nätverks- och informationssystem som drivs för användare i ett tredje land inte omfattas av direktivet.

Inom unionsrätten är nationell säkerhet ett vedertaget begrepp, men saknar en tydlig definition.40 Med allmän säkerhet avses inom unionsrätten skydd av en medlemsstats institutioner, dess väsentliga offentliga tjänster och dess invånares överlevnad, och kan innefatta både en medlemsstats yttre och inre säkerhet.41 I Sverige används be- greppet Sveriges säkerhet, som innefattar såväl yttre som inre säker- het. Med yttre säkerhet avses territoriell suveränitet och politisk självständighet. För den nationella försvarsförmågan av Sveriges terri- torium bär Försvarsmakten huvudansvaret. Inre säkerhet avser för- mågan att upprätthålla och säkerställa Sveriges statsidé avseende funktion, handlingsfrihet och oberoende. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska an- läggningar, funktioner och informationssystem för Sveriges demo- kratiska statsskick, rättsväsende eller brottsbekämpande förmåga. Ett annat begrepp är samhällsviktig verksamhet som exempelvis energi- försörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster. Samhällsviktig verksamhet kan, men behöver inte beröra Sveriges säkerhet. Avgör- ande är om en antagonistisk handling som exempelvis spioneri, sabo- tage eller terroristbrott skulle kunna medföra skadekonsekvenser på nationell nivå.42

En slutsats av det anförda är att enligt artikel 2.7 får Sverige undanta offentliga verksamhetsutövare som till övervägande del be- driver säkerhetskänslig verksamhet eller brottsbekämpning och får inte undanta utövare som bara marginellt utövar sådan verksamhet. Det finns ett stort spann mellan övervägande del och marginellt och här framstår det som om det finns en valmöjlighet för medlems- länderna. Offentliga verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet omfattas alltså av säkerhetsskyddslagen (2018:585).

40Prop. 2017/18:89 s. 41.

41Prop. 2022/23:116 s. 22.

42Prop. 2017/18:89 s. 44.

158

Med offentliga verksamhetsutövare avses som redovisats under avsnitt 5.2.6 statliga myndigheter inklusive statliga affärsverk samt regioner med undantag av regionfullmäktige. Kommuner ingår inte som framgått tidigare i definitionen av offentliga verksamhetsutöv- are i bilaga 1 till direktivet. Att de omfattas av direktivet beror i stället på att i vart fall majoriteten av dem uppfyller storlekskravet och be- driver hemsjukvård, vilket betyder att de ingår i området hälso-och sjukvård. Samtidigt har dock utredningen i fullständighetens namn föreslagit att alla kommuner omfattas, dvs. även de som möjligtvis inte uppnår storlekskravet i dessa delar, se avsnitt 5.2.10. Det betyder att även kommunerna behöver inkluderas som utgångspunkt.

Ett stort antal myndigheter bedriver delvis säkerhetskänslig verk- samhet. I 8 kap. 1 § säkerhetsskyddsförordningen (2021:955) listas ett stort antal myndigheter som Försvarsmakten eller Säkerhetspolisen är tillsynsmyndigheter för enligt säkerhetsskyddslagen. I bilagan till säkerhetsskyddsförordningen listas vilka statliga myndigheter som beslutar om placeringen i säkerhetsklass. Innebörden av listningen bör dock förstås på det sättet att dessa myndigheter kan bedriva säkerhetskänslig verksamhet. Regeringskansliet ingår inte i uppräk- ningen, men bedriver självklart också säkerhetskänslig verksamhet. Enligt 1 kap. 3 § säkerhetsskyddslagen gäller att regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om vissa undantag.

Det har tidigare inte varit självklart att en kommun eller en region som verksamhetsutövare bedriver säkerhetskänslig verksamhet. Reger- ingen anförde i propositionen till säkerhetsskyddslagen att uttrycket Sveriges säkerhet inte ska tolkas kategoriskt och att skyddsvärda verksamheter kan trots kravet på nationell betydelse finnas på regio- nal eller till och med på lokal nivå. Exempelvis skulle en lokal eller regional störning av dricksvattenförsörjningen påverka ett stort antal människor i en region, vilket i förlängningen kan få nationella följd- verkningar. Detta har dock förändrats främst på grund av den åter- upptagna totalförsvarsplaneringen. Enligt länsstyrelserna bedriver i stort sett alla kommuner och regioner säkerhetskänslig verksamhet i någon del, ofta torde det röra sig om deltagande i totalförsvars- verksamhet.

Det anförda betyder enligt utredningens uppfattning att om ut- redningen undantar all offentlig verksamhet som till någon del be- driver säkerhetskänslig verksamhet eller brottsbekämpning utom de

159

som endast gör det marginellt kommer en stor del av den offentliga verksamheten att undantas från cybersäkerhetslagen. Detta är i strid med direktivets syfte. Det kan även förutses att totalförsvarsverk- samheten utvecklas och att cybersäkerhetslagen därmed skulle tappa betydelse för den offentliga verksamheten.

I regeringens direktiv anges dock att inriktningen för förslagen ska vara att säkerhetskänslig verksamhet undantas från den nya regleringen i den utsträckning som är möjlig.43 Här ska dock noteras att undantaget i artikel 2.7 beroende på NIS2-direktivets konstruk- tion slår mot myndigheters, regioners och kommuners verksamhet som helhet, inte den del som kan täckas av säkerhetsskyddslagen. Grundproblemet är att säkerhetsskyddslagen endast berör den del av verksamheten som är säkerhetskänslig, medan cybersäkerhets- lagen som framgått tidigare kommer att omfatta hela verksamheten. För verksamheter som bedriver brottsbekämpning skulle det kunna vara än sämre. De skulle varken omfattas av cybersäkerhetslagen eller säkerhetsskyddslagen, även om de brottsbekämpande myndig- heterna oftast bör till någon del bedriva säkerhetskänslig verksam- het. Regeringens utgångspunkt är dock att offentliga verksamhets- utövare som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning är i sin helhet undan- tagna från direktivets tillämpningsområde.44

Ytterst när det gäller artikel 2.7 gäller alltså att det kan finnas ett behov av att undanta endast en del av verksamheten från cybersäker- hetslagen, den säkerhetskänsliga och den del som avser brottsbekämp- ning. En avgörande fråga är då om detta ändå är möjligt. Det finns som redovisats ovan i avsnitt 5.5.3 ett allmänt undantag i artikel 2.6 för skydd av bland annat nationell säkerhet. Det kan övervägas om det kan användas för att undanta all säkerhetskänslig verksamhet och brottsbekämpning från cybersäkerhetslagen. Skälen ger dock inte stöd för en sådan tolkning, eftersom det i skäl 9 särskilt hänvisas exempelvis till säkerhetsskyddsklassificerade uppgifter. Artikel 2.7 och artikel 2.8 tycks också konkretisera innebörden av artikel 2.6 när de gäller att undanta verksamhetsutövare, verksamhet eller del av verksamhet. Eftersom det i 2.7 finns en särskild artikel om hur offent- liga verksamhetsutövare ska undantas bör det vara det som gäller i den delen. Det skulle i sin tur betyda att det finns långtgående möj-

43s. 18.

44s. 16–17.

160

lighet att undanta samtliga offentliga verksamhetsutövare som be- driver säkerhetskänslig verksamhet och brottsbekämpning utom de som endast gör det marginellt i sin helhet från direktivet, men inte endast i den delen. Som utredningen anfört tidigare framstår det inte som en bra lösning att till stora delar undanta den offentliga verk- samheten, eftersom det urholkar NIS2-direktivets syfte.

När det gäller att delvis undanta verksamheter avseende cyber- säkerhet behöver också övervägas om det medför tekniska och prak- tiska svårigheter. NIS2-direktivet pekar alltså ut verksamhetsutöv- arens hela verksamhet. Ett skäl för det är förstås att det när det gäller cybersäkerhet är svårt att dela upp verksamheten, eftersom exem- pelvis incidenter inom del av verksamheten kan få effekter för hela verksamheten. Detta gäller dock enligt utredningens bedömning i mindre utsträckning för säkerhetskänslig verksamhet, eftersom det oftast förutsätter en högre nivå på tekniska och organisatoriska lös- ningar. Det ska också noteras att artikel 2.8, se nästa avsnitt, förut- sätter att en del av verksamheten undantas. Även när det gäller brotts- bekämpning menar utredningen att det är möjligt att undanta den delen, även om det kan medföra merarbete för myndigheten.

En lösning är att utredningen föreslår att endast en begränsad andel av offentliga verksamheter undantas i dess helhet från NIS2- direktivets krav. De som undantas helt bör endast vara de som till övervägande del bedriver säkerhetskänslig verksamhet eller brotts- bekämpning. Vidare bör enligt utredningens bedömning även Reger- ingskansliet och kommittéväsendet undantas. Det skulle betyda att Sverige endast begränsat utnyttjar möjligheten att undanta hela verk- samheter, eftersom det finns en möjlighet att undanta alla verksam- heter som inte endast marginellt bedriver säkerhetskänslig verksam- het eller brottsbekämpning. I gengäld föreslår utredningen att endast den säkerhetskänsliga verksamheten och den del av verksamheten som avser brottsbekämpning hos andra statliga myndigheter, regioner och kommuner undantas i huvudsak från krav i NIS2-direktivet, men att den del av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning fullt ut omfattas av direktivets krav. Det som skulle kunna utgöra grunden för ett sådant förslag är trots den uttryckliga bestämmelsen i artikel 2.7 att direktivet är ett minimi- direktiv. I stället för att tvingas undanta nästan hela offentliga verk- samheten undantar utredningen endast en del. Det ger en högre cyber- säkerhetsnivå, vilket därför är förenligt med artikel 5.

161

Sammantaget bedömer utredningen att det behövs två olika lös- ningar beroende på i vilken utsträckning säkerhetskänslig verksam- het eller brottsbekämpning bedrivs. Offentliga verksamheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brotts- bekämpning bör i sin helhet undantas från cybersäkerhetslagen.

Enligt utredningens bedömning bör detta undantag endast avse myndigheter, eftersom den säkerhetskänsliga verksamhet eller brotts- bekämpning som kommuner eller regioner bedriver inte kan vara en övervägande del av deras verksamhet i stort. Enligt skäl 8 ska alltså den del av verksamheten som är säkerhetskänslig eller avser brotts- bekämpning ställas i relation till verksamheten som helhet. Utredningen anser också att endast ett begränsat antal myndigheter bedriver säker- hetskänslig eller brottsbekämpande verksamhet till övervägande del.

De myndigheter som skulle vara berörda bör klart framgå av för- ordningen. Enligt utredningens bedömning bör de myndigheter som bedriver säkerhetskänslig verksamhet till övervägande del vara För- svarsmakten, Säkerhetspolisen, Fortifikationsverket, Försvarets mate- rielverk, Försvarets radioanstalt, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Totalför- svarets forskningsinstitut och Totalförsvarets plikt- och prövnings- verk. Dessa är även undantagna från delar av förordning (2022:524) om statliga myndigheters beredskap. Även Försvarshögskolan är undantagen från delar av den förordningen, men enligt utredningens uppfattning bedriver Försvarshögskolan inte säkerhetskänslig verk- samhet till övervägande del.

Till utredningen har framförts att det kan finnas skäl att undanta även Inspektionen för strategiska produkter, ISP, och Säkerhets- och integritetsskyddsnämnden. Enligt utredningens uppfattning har dock båda dessa myndigheter bredare uppdrag, exempelvis är Säker- hets- och integritetsskyddsnämndens uppdrag bland annat att utöva tillsyn över de brottsbekämpande myndigheterna med uppgift att stärka rättssäkerheten och skyddet för den personliga integriteten inom den brottsbekämpande verksamheten.45 Utredningen finner därför skäl att med undantag av Försvarshögskolan följa samma av- gränsning som nämnda förordning.

När det gäller myndigheter vars verksamhet till övervägande del avser brottsbekämpning menar utredningen att enligt svensk rätt bör de myndigheter som betecknas som rättsvårdande myndigheter

45https://www.sakint.se, inhämtat 2023-08-30.

162

vara utgångspunkt. Polismyndigheten, Säkerhetspolisen, Åklagar- myndigheten, Ekobrottsmyndigheten, Sveriges Domstolar, Kriminal- vården, Brottsförebyggande rådet, Rättsmedicinalverket, Genteknik- nämnden och Brottsoffermyndigheten är rättsvårdande myndigheter.46 Sveriges Domstolar omfattas inte av NIS2-direktivet.

När det gäller Rättsmedicinalverket och Gentekniknämnden kan man möjligen ifrågasätta om dessa bedriver brottsbekämpning. Här ska beaktas att enligt direktivet avses alltså med brottsbekämpning förebyggande, utredning, upptäckt och lagföring av brott. Rättsmedi- cinalverket utgör den medicinska länken i rättskedjan, som bidrar till ett rättssäkert samhälle.47 Verket utfärdar exempelvis rättsintyg om skador och drogtester som kan utgöra bevisning i ett brottmål. Sam- tidigt utför verket även analyser som får enbart civilrättslig bety- delse, exempelvis genom faderskapsutredning. Utredningen föreslår med hänsyn till ett helhetsperspektiv att Rättsmedicinalverket ska omfattas av undantaget. När det dock vidare gäller Gentekniknämnden menar utredningen att denna nämnd inte kan anses bedriva brotts- bekämpning och därför inte bör omfattas. Nämnden har till uppgift att via rådgivande verksamhet främja en etiskt försvarbar och säker användning av gentekniken så att människors och djurs hälsa och miljön skyddas. Det sker främst via yttranden till regeringen och myn- digheter.48

Sammantaget föreslår utredningen att de rättsvårdande myndig- heterna med undantag av Gentekniknämnden inte ska omfattas av cybersäkerhetslagen.

Till utredningen har vidare anförts att även Tullverket och Kust- bevakningen borde undantas. Även när det gäller dessa myndigheter menar utredningen att de har bredare uppdrag och att det därför finns skäl att följa avgränsningen för rättsvårdande myndigheter. Tullverkets uppdrag är exempelvis att övervaka och kontrollera varu- flödet in och ut ur Sverige. Verket ser till att korrekta tullavgifter, skatter och andra avgifter betalas in samt att regler för in- och ut- förselrestriktioner följs.49 Utredningen menar att eftersom det hand- lar om att undanta myndigheter från krav finns det skäl att vara

46https://www.regeringen.se/regeringens-politik/rattsvasendet/rattsvasendet-i-statens- budget/, inhämtat 2023-07-05.

47https://www.rmv.se, inhämtat 2023-07-07.

48https://www.genteknik.se/om-gentekniknamnden/, inhämtat 2023-07-07.

49www.tullverket.se/omoss/dethargortullverket/verksamhetochorganisation.4.153f8c8c16ffa d23c2215f1.html, inhämtat 2023-08-28.

163

restriktiv. Undantagen bör därför avse myndigheter med verksam- het där brottsbekämpning utgör en övervägande andel.

När det gäller samtliga dessa myndigheter har Säkerhetspolisen föreslagit att även dessa myndigheter skulle omfattas av cybersäker- hetslagen, men att kraven skulle begränsas till riskhanteringsåtgär- der. Däremot skulle de inte omfattas av krav om incidentrappor- tering och inte heller av tillsyn och sanktioner. Det utgår alltså från en grundsyn om att NIS2-kraven bör utgöra en ”bottenplatta” som kan kompletteras av krav i säkerhetsskyddslagen, jämför avsnitt 5.2.11.

Från Försvarsmakten har också upplysts att det pågår en policy- diskussion om att myndigheten frivilligt åtager sig att följa NIS2- direktivets krav så långt som möjligt.

Utredningen menar dock att det framstår som en bättre lösning att helt undanta dessa enstaka myndigheter som bedriver säkerhets- känslig verksamhet och rättsvårdande myndigheter. I förhållande till det totala antalet statliga myndigheter som alltså är 346 utgör dessa knappt tjugo myndigheter en liten andel. Det skulle också kunna framstå som ologiskt om exempelvis Riksbanken inte omfattades men Försvarsmakten gjorde det. På samma sätt skulle det vara skevt om Polismyndigheten och Åklagarmyndigheten inkluderades, men inte domstolarna. Därutöver skulle det stå i strid med regeringens direktiv som har utgångspunkten att säkerhetskänslig verksamhet ska undantas så långt som möjligt och att direktivet möjliggör att all offentlig säkerhetskänslig verksamhet kan undantas. Utredningen menar också att det inte är effektivt att införa skyldigheter som det inte är lämpligt att bedriva tillsyn över och som inte heller skulle vara sanktionerade. En bättre lösning är då att även andra myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning på samma sätt som Försvarsmakten frivilligt åtager sig att följa lagen så långt som möjligt.

Vidare bör alltså enligt utredningens bedömning även Regerings- kansliet inklusive kommittéväsendet undantas i sin helhet. Dessa kan inte anses bedriva säkerhetskänslig verksamhet eller brotts- bekämpning till övervägande del, men bör likväl undantas på grund av sin särställning. Det framstår exempelvis komplicerat att en myn- dighet ska bedriva tillsyn över Regeringskansliet, med hänsyn till att myndigheter är underställda regeringen.

164

Därutöver bör det alltså gälla en särregel för övriga offentliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning, men där den säkerhetskänsliga verksamheten eller brottsbekämpningen inte är en övervägande del. Detta bör avse alla andra myndigheter än de som pekas ut i förordningen enligt ovan samt regioner och kommuner. För dessa verksamheter bör den säker- hetskänsliga delen av verksamheten och verksamhet som avser brotts- bekämpning undantas från kravet på incidentrapportering, riskhan- teringsåtgärder och kravet om att utse företrädare samt tillsyn och sanktioner som hänför sig till dessa krav. Innebörden blir att den säkerhetskänsliga delen av verksamheten och den del som avser brottsbekämpning endast kommer att omfattas av informationskrav enligt artikel 3 och 27 samt tillsyn och sanktioner som kan avse den delen. När det gäller säkerhetskänslig verksamhet kommer det där- utöver att finnas ett undantag från skyldigheter att lämna uppgifter som är säkerhetsskyddsklassificerade enligt förslaget ovan i avsnitt 5.5.3. Eftersom det inte föreslås någon begränsning av förslaget i den delen gäller även det om en tillsynsmyndighet efterlyser uppgifter.

För dessa myndigheters, regioners och kommuners övriga verk- samhet som inte är säkerhetskänslig eller avser brottsbekämpning bör NIS2-direktivets krav gälla fullt ut.

Som framgått inledningsvis i detta avsnitt ska undantaget inte gälla för en verksamhetsutövare som agerar som en tillhandahållare av betrodda tjänster. I definitionen ligger att sådana elektroniska tjänster vanligen tillhandahålls mot ekonomisk ersättning. Utred- ningens bedömning är att ingen myndighet som undantas i dess helhet är tillhandahållare av betrodda tjänster, varför detta saknar relevans för svensk rätt. Det betyder att det saknas skäl till särskild lagreglering för tillhandahållare av betrodda tjänster.

Som framgått följer av skäl 8 att offentliga verksamheter som in- rättats gemensamt med ett tredjeland i enlighet med ett internatio- nellt avtal samt medlemsländernas diplomatiska och konsulära be- skickningar i tredje länder eller nätverks- och informationssystem som drivs för användare i ett tredje land inte omfattas av direktivet. Sammantaget avses utlandsmyndigheterna, det vill säga ambassader, karriärkonsulat, representationer och delegationer vid internationella organisationer som EU, FN och OECD är det egna myndigheter

165

som lyder under regeringen.50Av lagen bör framgå att även dessa undantas från direktivet.

5.5.5Undantag för enskilda verksamhetsutövare

Utredningens förslag: Lagen gäller inte för enskilda verksam- hetsutövare som enbart bedriver säkerhetskänslig verksamhet eller brottsbekämpning. Detsamma ska gälla för enskilda verksamhets- utövare som enbart erbjuder tjänster till myndigheter som är helt undantagna från lagen.

För enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning tillsammans med annan verk- samhet gäller för den säkerhetskänsliga delen av verksamheten och verksamheten som avser brottsbekämpning enbart kravet om anmälan och uppgiftsskyldighet till tillsynsmyndigheten i 2 kap. 2 § cybersäkerhetslagen. Detsamma ska gälla för de tjänster som erbjuds till myndigheter som är helt undantagna från lagen.

Vad som anförs ovan i andra stycket gäller inte om verksam- hetsutövaren är en tillhandahållare av betrodda tjänster.

För den del av verksamheten som inte är säkerhetskänslig, avser brottsbekämpning eller tjänster till myndigheter som är helt undantagna gäller cybersäkerhetslagen i dess helhet.

Ovan har utredningen redovisat hur undantaget bör tillämpas för offentliga verksamhetsutövare. I detta avsnitt ska analyseras vad som ska gälla för särskilda verksamhetsutövare enligt artikel 2.8. En första fråga är vad som avses med särskilda verksamhetsutövare. Utred- ningen tolkar det med hänsyn till placeringen av artikeln efter 2.7 till andra verksamhetsutövare än offentliga som bedriver sådan verk- samhet som följer av artikel 2.8. Det betyder som utgångspunkt alla verksamhetsutövare som omfattas av direktivet utom statliga myn- digheter, regioner eller kommuner. Utredningen använder begreppet enskilda verksamhetsutövare.

Som analyserats i avsnitt 5.2.12 och 5.2.13 omfattas som utgångs- punkt andra fysiska eller juridiska personer än offentliga som bedri- ver verksamhet inom EES, innefattas i bilaga 1 eller 2 till direktivet

50https://www.regeringen.se/regeringskansliet/organisation/, inhämtat 2023-06-12.

166

samt uppfyller storlekskravet, vilket i korthet betyder att verksam- heten sysselsätter minst 50 personer eller har en omsättning eller balans- omslutning som överstiger 10 miljoner euro per år av direktivet.

Därtill kommer att vissa särskilda verksamhetsutövare omfattas även om de inte uppfyller storlekskravet. Det handlar till exempel om verksamhetsutövare som erbjuder allmänna elektroniska kom- munikationsnät eller utövare med särskilt kritiska verksamheter.

Artikel 2.8 anger alltså vad som gäller för enskilda verksamhets- utövare. Medlemsstaterna får undanta sådana verksamhetsutövare som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inte från direktivet, utan från skyldigheterna i artikel 21 och i artikel 23, som reglerar risk- hanteringsåtgärder respektive incidentrapportering. Undantaget får bara avse den del av verksamheten som avser nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning. Det ska alltså note- ras att detta undantag ger medlemsstaterna en möjlighet att undanta enskilda, (företag eller enskilda fysiska personer) verksamhetsutöva- res verksamhet till den del den är säkerhetskänslig eller om verk- samheten avser brottsbekämpning. Här föreligger alltså som tidigare också konstaterats en skillnad mot undantaget avseende offentliga verksamhetsutövare, eftersom det undantaget är obligatoriskt utfor- mat, medan detta är en möjlighet. Även enskilda verksamhetsutöv- are omfattas av säkerhetsskyddslagen om de bedriver säkerhetskäns- lig verksamhet.

Om medlemsstaten undantar sådan verksamhetsutövare från kra- vet på riskhanteringsåtgärder och incidentrapportering ska inte heller hela tillsyns- och efterlevnadskontrollkapitlet 7 i direktivet tillämpas på den specifika verksamheten eller dessa specifika tjänster.

Detsamma skulle gälla för de enskilda verksamhetsutövare som uteslutande erbjuder tjänster till offentliga verksamhetsutövare som undantagits från direktivet enligt artikel 2.7. I det fallet får alltså den delen av verksamheten undantas från riskhanteringsåtgärder och incidentrapportering samt tillsyn och sanktioner i den delen. Ut- gångspunkten är att utredningen som framgått i tidigare avsnitt endast föreslår att ett begränsat antal myndigheter ska undantas från lagen i dess helhet och då de myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning till övervägande del. Utredningen föreslår med hänsyn härtill att enbart de som erbjuder tjänster till dessa myndigheter också undantas från krav om riskhanteringsåtgär-

167