Motståndskraft i samhällsviktiga tjänster

Slutbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven

Stockholm 2024

SOU 2024:64

3.7Kritiska verksamhetsutövares åtgärder för

8

SOU 2024:64Innehåll

4.2.5Produktion, bearbetning och distribution

5.3.1Undantag för sådant som regleras i lagen

5.3.2Undantag för verksamhetsutövare inom sektorerna bankverksamhet, finansmarknadsinfrastruktur och digital

5.3.3Undantag för åtgärder enligt andra regelverk

5.3.4Undantag för brottsbekämpning och Sveriges

9

5.3.5Uppgiftsskyldigheter omfattar inte uppgifter

5.3.6Tillträdesrätt till lokaler med mera som

6.5Beslut om identifiering och underrättelse

6.6En kritisk verksamhetsutövare är en väsentlig

7.2Identifiering av kritiska verksamhetsutövare av särskild

10

SOU 2024:64Innehåll

9.2.2Befintliga system för bakgrundskontroll

9.3.3Befattningsanalys utgör grunden för vilka

9.3.5Bakgrundskontrollens innehåll och

9.5.2Utländska myndigheters tillgång till uppgifter

9.6Behandling av personuppgifter kopplade

11

10.3.9Produktion, bearbetning och distribution

11.3Administrativa sanktioner eller straffrättsliga påföljder? .. 237

11.4Tillsynsmyndigheten ska vara skyldig att ingripa

12

13

15.5.3Ekonomiska konsekvenser för Myndigheten

15.5.8Ekonomiska konsekvenser för konsumenter

14

SOU 2024:64Innehåll

15

Medlemsstaterna ska senast den 17 oktober 2024 anta och offent- liggöra de bestämmelser som är nödvändiga för att följa direktivet. Bestämmelserna ska tillämpas från och med den 18 oktober 2024.

Direktivet ersätter rådets direktiv 2008/114/EG om identifiering av, klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna som upphör att gälla med verkan från och med den 18 oktober 2024. Hänvisningar i det upp- hävda direktivet ska anses som hänvisningar till det här direktivet.

Utredningens uppdrag

Utredningen redovisar i detta slutbetänkande förslag om införlivning av CER-direktivet i svensk rätt samt förslag till ändring i offentlighets- och sekretessbestämmelserna, ändring i säkerhetsskyddslagen samt i lagen om cybersäkerhet. Utredningen redovisade i delbetänkandet Nya regler om cybersäkerhet, SOU 2024:18 förslag om införlivning av NIS2-direktivet2.

Utredningens uppdrag har varit att föreslå de anpassningar av svensk rätt som är nödvändiga för att CER-direktivet ska kunna genomföras. Det har innefattat att föreslå hur identifiering och krav på verksamhetsutövare som omfattas av direktivet ska regleras samt rollfördelningen mellan svenska myndigheter med avseende på de olika uppgifter och ansvarsområden som föreskrivs i CER-direktivet.

I utredningens uppdrag har även ingått att ta ställning till om be- stämmelserna i offentlighets- och sekretesslagen (2009:400) innebär ett tillräckligt skydd för sådana uppgifter som kan komma att behand- las enligt NIS2- och CER-direktiven, föreslå de ändringar som behövs för en mer sammanhållen systematik mellan säkerhetsskyddslagen, lagen om cybersäkerhet och lagen om motståndskraft hos kritiska verksamhetsutövare, särskilt vad gäller tillsynsmyndigheternas befo- genheter och sanktionsavgifternas storlek.

Utredningen ska vidare beakta de frågor som är gemensamma för NIS2- och CER-direktiven i den mån dessa är hänförliga till genom- förandet av CER-direktivet.

2Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgär- der för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).

18

Utredningens förslag

Lagen om motståndskraft hos kritiska verksamhetsutövare

Utredningen föreslår att CER-direktivet införlivas genom en ny lag, lagen om motståndskraft hos kritiska verksamhetsutövare. Utred- ningen föreslår inte några skyldigheter utöver vad som följer av direktivet.

Vem omfattas av reglerna om motståndskraft hos kritiska verksamhetsutövare?

Regelverket ska tillämpas på enskilda och offentliga verksamhets- utövare som tillhandahåller en samhällsviktig tjänst som omfattas av bilagan till direktivet. Vidare krävs att verksamhetsutövaren har identi- fierats som kritisk av tillsynsmyndigheten. För kritiska verksamhets- utövare inom sektorerna bankverksamhet, finansmarknadsinfra- struktur och digital infrastruktur gäller endast vissa begränsade delar av regelverket.

I förslaget görs vissa undantag från lagens tillämpningsområde. Lagen gäller inte för sådant som regleras i förslaget till lag om cyber- säkerhet och inte heller om det i annan författning finns bestämmelser om krav på riskbedömning, åtgärder för motståndskraft, bakgrunds- kontroll och incidentrapportering om kraven har minst motsvarande verkan. Lagen gäller inte heller för regeringen, Regeringskansliet, ut- landsmyndigheter, kommittéväsendet, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen eller Sveriges domstolar.

Lagen gäller inte för statliga myndigheter som till övervägande del bedriver brottsbekämpning eller säkerhetskänslig verksamhet. För övriga verksamhetsutövare gäller inte 3–6 kap. i lagen för den del av den samhällsviktiga tjänsten som är säkerhetskänslig. Det innebär att dessa verksamhetsutövare bland annat omfattas av bestämmelserna om identifiering i 2 kap. i den föreslagna lagen.

19

Identifiering av kritiska verksamhetsutövare

Tillsynsmyndigheterna ska genom beslut identifiera kritiska verksam- hetsutövare inom sina tillsynsområden. För att en verksamhetsut- övare ska identifieras som kritisk enligt direktivet ska tre kriterier vara uppfyllda. För det första ska verksamhetsutövaren tillhandahålla en eller flera samhällsviktiga tjänster inom någon av sektorerna som finns i bilagan till direktivet, för det andra ska verksamhetsutövaren ha en kritisk infrastruktur belägen i Sverige och för det tredje ska en inci- dent få betydande störande effekter för tillhandahållandet av den sam- hällsviktiga tjänsten. Myndigheten för samhällsskydd och beredskap ska meddela föreskrifter om när en störande effekt är betydande.

Vid identifieringen ska tillsynsmyndigheten beakta den natio- nella riskbedömningen och strategin för kritiska verksamhetsutöva- res motståndskraft.

Tillsynsmyndigheten ska upprätta en förteckning över kritiska verk- samhetsutövare inom sitt tillsynsområde. Myndigheten för samhälls- skydd och beredskap ska upprätta en samlad förteckning över samt- liga kritiska verksamhetsutövare.

Kritiska verksamhetsutövare av särskild europeisk betydelse

Kritiska verksamhetsutövare som tillhandahåller en samhällsviktig tjänst till eller i minst sex medlemsstater ska anmäla detta till tillsyns- myndigheten. Dessa verksamhetsutövare ska delta i kommissionens samråd. På grundval av samrådet fastställer kommissionen om den kri- tiska verksamhetsutövaren är av särskild europeisk betydelse.

Myndigheten för samhällsskydd och beredskap tar emot kom- missionens underrättelse om att en kritisk verksamhetsutövare är av särskild europeisk betydelse och vidarebefordrar den till tillsyns- myndigheten. Tillsynsmyndigheten underrättar den kritiska verksam- hetsutövaren.

Kommissionen anordnar rådgivande uppdrag för att bedöma de åtgärder som den kritiska verksamhetsutövaren har infört för att upp- fylla sina skyldigheter. Ett rådgivande uppdrag får endast genomföras om MSB efter samråd med den kritiska verksamhetsutövaren och dennas tillsynsmyndighet, lämnat samtycke.

20

Krav på riskbedömning, åtgärder för motståndskraft och incidentrapportering

Utredningen föreslår att Myndigheten för samhällsskydd och bered- skap ska göra en nationell riskbedömning.

En kritisk verksamhetsutövare ska göra en riskbedömning nio månader efter att den fått del av beslutet om identifiering. Risk- bedömningen ska innehålla en redogörelse för alla relevanta risker som skulle kunna leda till en incident.

Verksamhetsutövaren ska vidare vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa sin motståndskraft. Åtgärderna ska vidtas på grundval av riskbedömningen, utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. Det ska finnas en plan som beskriver åtgärder som vidtagits eller ska vidtas. Tillsynsmyndigheterna får meddela föreskrifter om riskbedömning, åtgärder och planer för motståndskraft. Myndigheten för samhälls- skydd och beredskap får meddela föreskrifter för sektorn offentlig förvaltning.

Kritiska verksamhetsutövare ska utan dröjsmål rapportera inci- denter som medför eller kan medföra en betydande störning i till- handahållandet av den samhällsviktiga tjänsten till Myndigheten för samhällsskydd och beredskap. En första rapport ska lämnas inom 24 timmar. Myndigheten för samhällsskydd och beredskap får med- dela föreskrifter om vad som utgör en betydande störning och om incidentrapportering.

Skyldigheterna avseende åtgärder och incidentrapportering bör- jar gälla först tio månader efter den dag verksamhetsutövaren fått del av tillsynsmyndighetens beslut om identifiering.

Kritiska verksamhetsutövare ska också utse en samverkansansva- rig som utgör kontaktpunkt för berörda myndigheter.

Bakgrundskontroll

Syftet med en bakgrundskontroll är att endast den som bedöms lämplig ska få vara anställd eller på annat sätt delta i befattningar där deltagandet kan orsaka mer än ringa skada på den samhällsviktiga tjänsten.

21

Utredningen föreslår att kritiska verksamhetsutövare ska göra en befattningsanalys där det framgår för vilka befattningar det finns ett krav på bakgrundskontroll. Analysen ska dokumenteras.

Den kritiska verksamhetsutövaren ska genomföra bakgrunds- kontrollen och bedöma om personen som kontrollen avser är lämp- lig. En bakgrundskontroll innebär att den som kontrolleras ska styrka sin identitet och visa upp ett särskilt utdrag från belastningsregistret. Av förordningen (1999:1134) om belastningsregister framgår vilka uppgifter ett utdrag ska innehålla.

Det ska dokumenteras att en bakgrundskontroll genomförts och anteckningen ska bevaras i två år.

Tillsyn

Utredningen föreslår att den tillsynsmyndighet som är tillsynsmyn- dighet enligt den föreslagna lagen om cybersäkerhet även blir tillsyns- myndighet enligt lagen om motståndskraft hos kritiska verksamhets- utövare. Ett fåtal tillsynsmyndigheter har fått ny undersektor eller kategori av entitet. Vidare ingår i sektorn offentlig förvaltning endast statliga myndigheter. Följande tillsynsmyndigheter föreslås.

3Vårdgivare enligt definitionen i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

22

Tillsynsmyndigheten ska utöva tillsyn över att lagen och föreskrifter som meddelats i anslutning till lagen följs.

Kritiska verksamhetsutövare ska tillhandahålla tillsynsmyndig- heten den information som behövs för tillsynen och den nationella riskbedömningen. Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler och andra utrymmen i den omfattning som behövs för tillsynen. Undantag görs för uppgifter som är säkerhets- skyddsklassificerade och tillträde till verksamhet där säkerhetskäns- lig verksamhet bedrivs.

MSB ska leda ett samarbetsforum där tillsynsmyndigheterna ingår för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

Inom ramen för tillsyn ska tillsynsmyndigheten även genomföra rådgivande uppdrag som anordnas av kommissionen avseende kri- tiska verksamhetsutövare av särskild europeisk betydelse.

Tillsynsmyndigheten ska även bidra med underlag till den natio- nella riskbedömningen.

Gemensam kontaktpunkt

Myndigheten för samhällsskydd och beredskap ska vara gemensam kontaktpunkt. Den gemensamma kontaktpunkten ska ha en sam- bandsfunktion för att säkerställa det gränsöverskridande samarbetet med gemensamma kontaktpunkter i andra medlemsstater och med kommissionen.

Ingripande och sanktioner

Utredningen föreslår att ingripande sker genom att tillsynsmyndig- heten beslutar om föreläggande, sanktionsavgift eller anmärkning. Tillsynsmyndigheten ska ingripa mot den som åsidosatt skyldighe- ten att anmäla att man tillhandahåller tjänsten till minst sex med- lemsstater, göra en riskbedömning, vidta åtgärder och plan för mot- ståndskraft, utse samverkansansvarig, rapportera incidenter, göra en befattningsanalys, genomföra en bakgrundskontroll och bevara viss information.

Nivåerna på sanktionsavgiften föreslås vara desamma som för väsentliga verksamhetsutövare i lagen om cybersäkerhet. Det inne-

23

bär att sanktionsavgiften för enskilda kritiska verksamhetsutövare ska bestämmas till lägst 5 000 kronor och högst till det högsta av:

1.2 procent av den kritiska verksamhetsutövarens totala globala års- omsättning närmast föregående räkenskapsår, eller

2.10 000 000 euro.

För offentliga kritiska verksamhetsutövare ska avgiften bestämmas till lägst 5 000 kronor och högst till 10 000 000 kronor.

Vid bedömning av sanktionsavgiftens storlek ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av över- trädelsen, om den kritiska verksamhetsutövaren tidigare har begått en överträdelse och de kostnader som verksamhetsutövaren har und- vikit till följd av överträdelsen.

Om tillsynsmyndigheten inte finner skäl att ingripa med före- läggande eller sanktionsavgift ska den i stället meddela en anmärk- ning. Tillsynsmyndigheten får i vissa fall avstå från att ingripa.

Lagen om cybersäkerhet

Den som identifierats som en kritisk verksamhetsutövare enligt lagen om motståndskraft hos kritiska verksamhetsutövare ska oav- sett storlek omfattas av lagen om cybersäkerhet om verksamheten om- fattas av bilaga 1 eller 2 i NIS2-direktivet och verksamhetsutövaren är etablerad i Sverige.

Sekretess och tystnadsplikt

För att MSB och tillsynsmyndigheterna ska kunna lämna ut upp- gifter som härrör från andra medlemsstater och EU:s institutioner och som omfattas av sekretess enligt 15 kap. 1 a § offentlighets- och sekretesslagen (2009:400), OSL, till varandra, föreslår utredningen en ny sekretessbrytande bestämmelse i 15 kap.

Utredningen föreslår vidare att sekretesskyddet ska stärkas och föreslår att en ny bestämmelse om sekretess införs i 18 kap. OSL för uppgift i incidentrapporter enligt lagen om cybersäkerhet och lagen om motståndskraft hos kritiska verksamhetsutövare samt för upp- gift om åtgärd som följer av en sådan incident. Bestämmelsen förslås

24

få ett omvänt skaderekvisit och rätten att meddela och offentliggöra uppgifterna begränsas. Vidare föreslås att diarium över incidenter hos rapporterande myndigheter, tillsynsmyndigheter och MSB ska kunna omfattas av sekretess.

När det gäller bakgrundskontroller föreslås en bestämmelse om tystnadsplikt för uppgifter som förekommer i angelägenheter som avser bakgrundskontroll i den nya lagen. En motsvarande bestäm- melse införs i 35 kap. OSL för det allmännas verksamhet.

Sekretesskyddet för uppgifter som tillsynsmyndigheten kommer att hantera behöver kompletteras när det gäller uppgifter som rör enskilds affärs- eller driftsförhållanden. Utredningen föreslår därför att det i bilagan till offentlighets- och sekretessförordningen (2009:641) införs en bestämmelse om att sekretess gäller för dessa uppgifter i verksamhet som består i tillsyn och utredning enligt lagen om motståndskraft hos enskilda verksamhetsutövare.

Sanktionsavgift enligt säkerhetsskyddslagen med mera

Utredningen föreslår att sanktionsavgifternas storlek i säkerhets- skyddslagen (2018:585) ska höjas för enskilda verksamhetsutövare. Det innebär att sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst till det högsta av 120 000 000 kronor eller 2 procent av verk- samhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår.

Utredningen föreslår inga ändringar i säkerhetsskyddslagen av- seende tillsynsmyndighetens befogenheter.

Utredningen har bedömt att ingripande genom att ansöka om förbud att utöva ledningsfunktion och att meddela en anmärkning inte ska införas i säkerhetsskyddslagen.

Anger en kritisk verksamhetsutövare att den samhällsviktiga tjäns- ten till någon del är säkerhetskänslig ska tillsynsmyndigheten enligt säkerhetsskyddslagen underrättas. Tillsynsmyndigheten ska inom fem dagar meddela tillsynsmyndigheten enligt lagen om motstånds- kraft hos kritiska verksamhetsutövare huruvida den kritiska verk- samhetsutövaren har anmält att den bedriver säkerhetskänslig verk- samhet.

25

Konsekvenser

Utredningens förslag medför ekonomiska konsekvenser för tillsyns- myndigheterna, MSB, Polismyndigheten och kritiska verksamhets- utövare.

Utredningen föreslår att

•tillsynsmyndigheterna för år 2025 och 2026 tilldelas ett förstärkt anslag. Kostnader för löpande tillsyn föreslås beräknas när identi- fieringen av kritiska verksamhetsutövare är genomförd.

•MSB för år 2025 och 2026 får ett förstärkt anslag. Kostnader för stöd vid incidenter får klarläggas när identifieringen av kritiska verksamhetsutövare är genomförd.

•Polismyndighetens kostnader för den löpande hanteringen av ut- drag ur belastningsregistret föreslås beräknas när identifieringen av kritiska verksamhetsutövare är genomförd och dessa har gjort den föreskrivna befattningsanalysen.

När det gäller kostnader för offentliga verksamhetsutövare föreslår utredningen att dessa finansieras inom befintlig budgetram. Avse- ende kostnader för enskilda verksamhetsutövare föreslår utred- ningen, när antalet kritiska verksamhetsutövare har identifierats och riskbedömningarna har genomförts, att det kan finnas anledning att överväga om det finns behov av att införa statligt stöd.

Ikraftträdande

Utredningen föreslår att lagen om motståndskraft hos kritiska verk- samhetsutövare och tillhörande förordning ska träda i kraft den 1 augusti 2025.

Förslagen i offentlighets- och sekretesslagen och offentlighets- och sekretessförordningen som gäller lagen om cybersäkerhet före- slås träda i kraft den 1 januari 2025.

Övriga förslag föreslås träda i kraft den 1 augusti 2025.

26

By 17 October 2024, the Member States must adopt and publish the provisions that are necessary for compliance with the Directive. The provisions will apply from 18 October 2024.

From 18 October 2024, the Directive will replace Council Direc- tive 2008/114/EC on the identification and designation of European critical infrastructure and assessment of the need to improve the protection of that infrastructure. References to the repealed Direc- tive will be construed as references to the new Directive.

The Inquiry’s remit

In this final report, the Inquiry outlines its proposals on incorpo- rating the CER Directive into Swedish law and proposals on amen- ding the public access to information and confidentiality provisions, the Protective Security Act and the proposed cybersecurity act. In its interim report New rules on cybersecurity (SOU 2024:18), the Inquiry outlined proposals on incorporating the Directive on mea- sures for a high common level of cybersecurity across the Union (NIS 2)2.

The Inquiry has been tasked with proposing amendments to Swed- ish law that are necessary for implementation of the CER Directive. This includes proposing how the identification of and requirements placed on entities covered by the Directive should be regulated and how the roles as regards the various tasks and areas of responsibility prescribed under the CER Directive should be divided between Swedish government agencies.

The Inquiry’s remit also includes considering whether the provi- sions of the Public Access to Information and Secrecy Act (2009:400) provide adequate protection for personal data that may be processed in accordance with the NIS 2 and CER Directives, and proposing any amendments that are necessary for a more cohesive system be- tween the Protective Security Act, the proposed cybersecurity act and the proposed act on resilience of critical entities, particularly with respect to supervisory authorities’ powers and the size of finan- cial penalties.

2Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 Decem- ber 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive).

28

The Inquiry should also consider issues that are common to the NIS 2 and CER Directives to the extent that they are relevant for implementation of the CER Directive.

The Inquiry’s proposals

Act on resilience of critical entities

The Inquiry proposes that the CER Directive be incorporated through a new act on resilience of critical entities. The Inquiry does not pro- pose any obligations beyond those set out in the Directive.

Who is covered by the regulations on resilience of critical entities?

The regulatory framework will apply to private and public entities that provide an essential service identified in the Annex to the Directive. The Directive also requires that the entity has been identified as critical by a supervisory authority. Only certain limited parts of the regulatory framework apply to critical entities within the banking, financial mar- ket infrastructure and digital infrastructure sectors.

The proposal includes certain exemptions from the act’s scope of application. The act shall not apply to matters covered by the pro- posed cybersecurity act, nor would it apply if there are provisions in other legislation on requirements concerning risk assessment, resil- ience measures, background checks and incident reporting, provided that the requirements have at least the equivalent effect. The act would likewise not apply to the Government, the Government Offices, missions abroad, government commissions, committees and inquiries, Parliamentary Ombudsmen, Sveriges Riksbank, the Riksdag Administration or the Courts of Sweden.

Moreover, the act would not apply to government agencies that primarily carry out law enforcement or security-sensitive activities. For other entities, Chapters 3–6 of the act would apply to parts of the essential service that are security-sensitive. This means that those entities are subject to the provisions on identification under Chapter 2 of the proposed act.

29

Identification of critical entities

The supervisory authorities should, by independent decision, iden- tify critical entities within their supervisory areas. For an entity to be identified as critical in accordance with the Directive, three cri- teria must be fulfilled. First, the entity must provide one or multiple critical services within a sector identified in the Annex to the Direc- tive; second, the entity must have critical infrastructure located in Sweden; and third, an incident would have a significant disruptive effect on the provision of the essential service. The Swedish Civil Contingencies Agency will issue regulations on when a disruptive effect is considered significant.

When identifying critical entities, supervisory authorities should observe the national risk assessment and the strategy for critical entities’ resilience.

The supervisory authorities should keep a list of critical entities within their supervisory areas, and the Swedish Civil Contingencies Agency should keep a list of all critical entities.

Critical entities of particular European significance

Critical entities that provide an essential service to or in at least six Member States must notify their supervisory authority of this. Those critical entities will take part in the Commission’s consulta- tions. On the basis of consultations, the Commission will establish whether the critical entities are of particular European significance.

The Commission will notify the Swedish Civil Contingencies Agency of its decision as to whether a critical entity is of particular European significance, which will communicate this decision to the supervisory authority. The supervisory authority will then notify the critical entity.

The Commission will organise advisory missions to assess the measures critical entities have introduced to fulfil their obligations. An advisory mission can only take place if the Swedish Civil Con- tingencies Agency gives its consent after consultation with the criti- cal entity and its supervisory authority.

30

Requirements concerning risk assessment, resilience measures and incident reporting

The Inquiry proposes that the Swedish Civil Contingencies Agency carry out a national risk assessment.

A critical entity must carry out a risk assessment nine months after receiving notification of being identified as a critical entity. The risk assessment must include a report on all relevant risks that could lead to an incident.

The entity must also take technical, security and organisational measures to ensure its resilience. These measures should be taken based on the risk assessment, apply an all-hazards approach and be proportionate to the risk. There should be a resilience plan in place describing measures that have been or will be taken. The supervisory authorities may issue regulations on risk assessment, measures and plans for resilience. The Swedish Civil Contingencies Agency may issue regulations for the public administration sector.

Critical entities must immediately report any incidents that entail or could entail a significant disruption of the provision of the essen- tial service to the Swedish Civil Contingencies Agency. An initial report should be submitted within 24 hours. The Swedish Civil Con- tingencies Agency may issue regulations on what constitutes a signi- ficant disruption and on incident reporting.

The obligations concerning measures and incident reporting will begin to apply ten months after the date on which the entity receives notification that the supervisory authority has identified it as a criti- cal entity.

Critical entities should also appoint a liaison officer who serves as a point of contact for relevant authorities.

Background checks

The aim of a background check is to ensure that only those deemed suitable are employed or in some other way participate in roles where participation can cause more than minor harm to the essential service.

The Inquiry proposes that critical entities carry out an analysis to determine which positions require a background check. The analysis should be documented.

31

The critical entity should carry out the background check and as- sess whether the relevant person is suitable. A background check would include verification of the person’s identity and a criminal records extract. The Criminal Records Ordinance (1999:1134) stipu- lates what information is contained in an extract.

Completion of a background check should be documented and a record should be kept for two years.

Supervision

The Inquiry proposes that the supervisory authorities designated under the proposed cybersecurity act should also be the supervisory authorities under the proposed act on resilience of critical entities. A few supervisory authorities have been assigned a new subsector or cate- gory of entity. The public administration sector only includes govern- ment agencies. The following supervisory authorities are proposed.

3According to the definition in Article 3(g) of Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients’ rights in cross- border healthcare.

32

Supervisory authorities should carry out supervision to ensure com- pliance with the proposed act and regulations issued in connection with it.

Critical entities should provide supervisory authorities with the information necessary for supervision and for the national risk assessment. Supervisory authorities should also have the right to access areas, premises and other spaces to the extent necessary for supervision. Exceptions should be made for classified information and access to organisations where security-sensitive activities are con- ducted.

The Swedish Civil Contingencies Agency should lead a coope- ration forum composed of the supervisory authorities so as to facil- itate coordination and achieve efficient and equal supervision.

Within the scope of supervision, the supervisory authority should also implement advisory missions organised by the Commission with respect to critical entities of particular European significance.

The supervisory authorities should also provide material for the national risk assessment.

Single point of contact

The Swedish Civil Contingencies Agency should be the single point of contact. This single point of contact must have a liaison function to ensure cross-border cooperation with the single points of contact of other Member States and the European Commission.

Enforcement measures and penalties

The Inquiry proposes that interventions be possible in the form of injunctions, financial penalties and reprimands issued by the super- visory authorities. The supervisory authority should intervene if an entity has disregarded its obligation to report that it provides a service to at least six Member States, carry out a risk assessment, adopt mea- sures and plans for resilience, appoint a liaison officer, report inci- dents, carry out a position analysis, perform a background check or retain certain information.

The Inquiry proposes that the levels of financial penalties should be the same as for critical entities under the proposed cybersecurity

33

act. This means that financial penalties for individual critical entities should be set at no less than SEK 5 000 and no more than whichever is higher of:

1.2 per cent of the critical entity’s entire global turnover of the preceding fiscal year, or

2.EUR 10 000 000.

For public critical entities, the fee should be set at no less than SEK 5 000 and no more than SEK 10 000 000.

When determining the size of the financial penalty, particular consideration should be given to the damage or risk of damage that arose as a result of the infringement, whether the critical entity pre- viously committed any infringement and the costs the entity avoided due to the infringement.

If the supervisory authority did not find grounds for intervention through an injunction or financial penalty, it should issue a repri- mand. In certain cases, the supervisory authority should be able to refrain from intervening.

Cybersecurity act

An entity identified as critical under the act on resilience of critical entities should, regardless of size, be covered by the proposed cyber- security act if its activities are identified in Annex 1 or 2 of the NIS 2 Directive and the entity is established in Sweden.

Secrecy and confidentiality

For the Swedish Civil Contingencies Agency and the supervisory authorities to be able to exchange information originating from other Member States and EU institutions that is subject to secrecy in accordance with Chapter 15, Section 1a of the Public Access to Information and Secrecy Act (2009:400), the Inquiry proposes intro- ducing a new provision that overrides secrecy to Chapter 15.

The Inquiry further proposes strengthening secrecy protection by introducing a new secrecy provision to Chapter 18 of the Public Access to Information and Secrecy Act that would pertain to infor- mation in incident reporting under the proposed cybersecurity act

34

and the act on resilience of critical entities, and to information con- cerning measures taken in response to such incidents. It is proposed that a reverse requirement of damage apply to the provision (i.e. that there be a presumption that secrecy applies), and that the right to report and disclose information be limited. It is additionally pro- posed that chronological registers of incidents kept by reporting authorities, supervisory authorities and the Swedish Civil Contin- gencies Agency be subject to secrecy.

The Inquiry proposes introducing a provision on a duty of con- fidentiality concerning information arising in connection with back- ground checks. An equivalent provision is being introduced to Chapter 35 of the Public Access to Information and Secrecy Act.

The secrecy protection concerning information handled by the supervisory authorities needs to be supplemented as regards infor- mation concerning private business or operating conditions. The Inquiry therefore proposes introducing a provision to the Annex to the Public Access to Information and Secrecy Ordinance (2009:641) concerning information in activities consisting in supervision and investigation in accordance with the act on resilience of private entities.

Financial penalties in accordance with the Protective Security Act, etc.

The Inquiry proposes increasing the size of financial penalties for private entities under the Protective Security Act (2018:585). This would mean that financial penalties would be set at no less than SEK 25 000 and no more than whichever is higher of SEK 120 000 000 or 2 per cent of the entity’s entire global turnover of the preceding fiscal year. The Inquiry does not propose any amendments to the Pro- tective Security Act as regards supervisory authorities’ powers.

The Inquiry has found that interventions by means of filing for a ban on exercising management functions and issuing reprimands should not be introduced to the Protective Security Act.

If a critical entity indicates that its essential service is in any part security-sensitive, the supervisory authority should be notified in accordance with the Protective Security Act. The supervisory authority should notify the supervisory authority under the proposed act on resilience of critical entities whether the critical entity has reported that it carries out security-sensitive activities.

35

Impact

The Inquiry’s proposals would have a financial impact for the super- visory authorities, the Swedish Civil Contingencies Agency, the Swedish Police Authority and critical entities.

The Inquiry proposes that:

•the supervisory authorities receive additional funding for 2025 and 2026. The Inquiry proposes that costs for ongoing super- vision should be calculated once the critical entities have been identified;

•the Swedish Civil Contingencies Agency should receive additional funding for 2025 and 2026. Costs for support in case of incidents should be established once the critical entities have been identified;

•the Swedish Police Authority’s running costs for processing of criminal record extracts should be calculated once the identifica- tion of critical entities has been carried out and those entities have carried out the prescribed position analysis.

The Inquiry proposes that costs for public entities should be funded within the existing budgetary framework. As regards costs for pri- vate entities, the Inquiry proposes that there may be grounds to con- sider whether there is a need to introduce state aid once the number of critical entities has been identified and the risk assessments car- ried out.

Entry into force

The Inquiry proposes that the act on resilience of critical entities and the associated ordinance enter into force on 1 August 2025.

The proposals for the Public Access to Information and Secrecy Act and Public Access to Information and Secrecy Ordinance con- cerning the proposed cybersecurity act should enter into force on 1 January 2025.

The remaining proposals should enter into force on 1 August 2025.

36

2.enskild verksamhetsutövare: en juridisk eller fysisk person som bedriver verksamhet och som inte är en statlig myndighet, region eller kommun,

3.incident: varje händelse som kan medföra en betydande stör- ning, eller som medför en störning, av tillhandahållandet av en sam- hällsviktig tjänst,

4.kritisk infrastruktur: en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhanda- hållandet av en samhällsviktig tjänst,

5.kritisk verksamhetsutövare: en offentlig eller enskild verksam- hetsutövare som har identifierats enligt 2 kap. 1 § i denna lag,

6.kritisk verksamhetsutövare av särskild europeisk betydelse: en kritisk verksamhetsutövare som tillhandahåller den samhällsviktiga tjänsten till eller i minst sex medlemsstater samt har mottagit en underrättelse från kommissionen om detta,

7.motståndskraft: en kritisk verksamhetsutövares förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident,

8.NIS2-direktivet: Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemen- sam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet),

9.offentlig verksamhetsutövare: en aktör som bedriver verksamhet och som är en statlig myndighet, region eller kommun,

10.risk: risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar,

11.riskbedömning: den övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten,

12.samhällsviktig tjänst: en tjänst som är avgörande för att upp- rätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folk- hälsa och allmän säkerhet, eller miljön,

38

13.standard: en standard enligt definitionen i artikel 2.1 i Europa- parlamentets och rådets förordning (EU) nr 1025/20121,

14.teknisk specifikation: en teknisk specifikation enligt definitionen

iartikel 2.4 i förordning (EU) nr 1025/2012.

Lagens tillämpningsområde

3 § Lagen gäller för enskilda och offentliga verksamhetsutövare som har identifierats som kritiska enligt 2 kap. 1 §.

4 § För kritiska verksamhetsutövare inom sektorerna bankverk- samhet, finansmarknadsinfrastruktur och digital infrastruktur gäller inte 3–6 kap.

Undantag från lagens tillämpningsområde

Krav i andra författningar

5 § Lagen gäller inte för sådant som regleras i lagen om cyber- säkerhet (2025:000).

6 § Om annan författning innehåller bestämmelser om krav på riskbedömning, åtgärder för motståndskraft, bakgrundskontroller och incidentrapportering ska de bestämmelserna gälla om kraven minst motsvarar verkan av skyldigheterna enligt denna lag. Vid be- dömningen ska bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna beaktas.

Regeringen får i föreskrifter ange vilka bestämmelser om risk- bedömning, åtgärder för motståndskraft, bakgrundskontroller och incidentrapportering som har motsvarande verkan.

1Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).

39

Offentliga verksamhetsutövare

7 § Lagen gäller inte för regeringen, Regeringskansliet, utlands- myndigheter, kommittéväsendet, Riksrevisionen, Riksdagens om- budsmän, Sveriges Riksbank, Riksdagsförvaltningen och Sveriges domstolar.

Brottsbekämpning eller Sveriges säkerhet

8 § Lagen gäller inte för statliga myndigheter som till övervägande del bedriver brottsbekämpning eller säkerhetskänslig verksamhet enligt säkerhetsskyddslagen (2018:585).

För offentliga verksamhetsutövare som utövar brottsbekämp- ning eller säkerhetskänslig verksamhet, men utan att göra detta till övervägande del, gäller inte 3–6 kap. för den del av den samhälls- viktiga tjänsten som utgör brottsbekämpning eller är säkerhets- känslig.

Regeringen får i föreskrifter ange vilka statliga myndigheter som till övervägande del bedriver brottsbekämpning eller säkerhets- känslig verksamhet.

För enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet gäller inte 3–6 kap. för den del av den samhällsviktiga tjänsten som är säkerhetskänslig.

9 § Skyldighet att lämna uppgifter enligt denna lag gäller inte upp- gifter som är säkerhetsskyddsklassificerade enligt säkerhetsskydds- lagen (2018:585).

10 § Tillsynsmyndighetens undersökningsbefogenheter i denna lag omfattar inte sådana delar av områden, lokaler eller andra utrymmen där säkerhetskänslig verksamhet enligt säkerhetsskyddslagen (2018:585) bedrivs.

Nationell riskbedömning

11 § Regeringen eller den myndighet regeringen bestämmer ska göra en nationell riskbedömning. Den nationella riskbedömningen ska uppdateras vid behov men minst vart fjärde år.

40

Den nationella riskbedömningen ska åtminstone ange:

1.Vilka relevanta risker som uppstår till följd av beroendet mellan de sektorer som anges i bilagan till CER-direktivet. Bedömningen ska även ta hänsyn till sektorernas beroende till verksamhetsutövare

iEU och i tredje land.

2.Konsekvenserna som en betydande störning i en sektor kan få för andra sektorer, inklusive betydande risker för medborgare och den inre marknaden.

3.Information om de incidenter som har rapporterats enligt 5 kap. Vid framtagandet av den nationella riskbedömningen ska alla

relevanta risker beaktas, och åtminstone de riskbedömningar som gjorts enligt artikel 6.1 i Europaparlamentets och rådets beslut nr 1313/2013/EU, Europaparlamentets och rådets förordningar (EU) 2017/19382 och (EU) 2019/9413 och Europaparlamentets och rådets direktiv 2007/60/EG4 och 2012/18/EU5.

2 kap. Identifiering av kritiska verksamhetsutövare

1 § Tillsynsmyndigheten ska genom beslut identifiera kritiska verk- samhetsutövare inom sitt tillsynsområde.

Skyldigheten att göra en riskbedömning enligt 4 kap. 1 § börjar gälla nio månader efter den dag verksamhetsutövaren har fått del av beslutet i första stycket. Övriga skyldigheter i 4–6 kap. börjar gälla tio månader efter den dag verksamhetsutövaren fått del av samma beslut.

2 § För att identifieras som kritisk verksamhetsutövare enligt 1 § krävs att

1.verksamhetsutövaren tillhandahåller en samhällsviktig tjänst i eller till Sverige och som omfattas av någon av sektorerna som finns

ibilagan till CER-direktivet,

2Europaparlamentets och rådets förordning (EU) 2017/1938 av den 25 oktober 2017 om åtgärder för att säkerställa försörjningstryggheten för gas och om upphävande av förordning (EU) nr 994/2010 (EUT L 280, 28.10.2017, s. 1).

3Europaparlamentets och rådets förordning (EU) 2019/941 av den 5 juni 2019 om risk- beredskap inom elsektorn och om upphävande av direktiv 2005/89/EG (EUT L 158, 14.6.2019, s. 1).

4Europaparlamentets och rådets direktiv 2007/60/EG av den 23 oktober 2007 om bedömning och hantering av översvämningsrisker (EUT L 288, 6.11.2007, s. 27).

5Europaparlamentets och rådets direktiv 2012/18/EU av den 4 juli 2012 om åtgärder för att förebygga och begränsa faran för allvarliga olyckshändelser där farliga ämnen ingår och om ändring och senare upphävande av rådets direktiv 96/82/EG (EUT L 197, 24.7.2012, s. 1).

41

2.verksamhetsutövaren har kritisk infrastruktur belägen i Sverige,

och

3.en incident skulle få en betydande störande effekt för verksam- hetsutövarens tillhandahållande av den samhällsviktiga tjänsten.

Vid identifiering ska tillsynsmyndigheten beakta den nationella riskbedömningen och strategin för kritiska verksamhetsutövares motståndskraft samt kommissionens genomförandeakter på området.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om när en störande effekt är betydande enligt första stycket 3.

3 § Tillsynsmyndigheten ska i sitt beslut enligt 1 § upplysa den kritiska verksamhetsutövaren om

1.tidsfristerna som följer av 1 § andra stycket, och

2.bestämmelserna i 1 kap. 7 § och 2 kap. 1 § 8 lagen (2025:000) om cybersäkerhet.

Om den kritiska verksamhetsutövaren är verksam inom sektorerna bankverksamhet, finansmarknadsinfrastruktur eller digital infrastruk- tur ska det framgå av beslutet att verksamhetsutövaren inte är skyldig att vidta sådana åtgärder som följer av 3–6 kap.

Underrättelse om säkerhetskänslig verksamhet

4 § Om en kritisk verksamhetsutövare anger att den samhälls- viktiga tjänsten till någon del träffas av bestämmelserna i säkerhets- skyddslagen (2018:585) ska tillsynsmyndigheten enligt denna lag underrätta ansvarig tillsynsmyndighet enligt säkerhetsskyddslagen (2018:585) om detta förhållande.

Underrättelse om avidentifiering

5 § Om tillsynsmyndigheten beslutar att en verksamhetsutövare inte längre är kritisk ska den omedelbart underrätta verksamhets- utövaren om detta.

42

Förteckning över kritiska verksamhetsutövare

6 § Den myndighet regeringen bestämmer ska upprätta en för- teckning över kritiska verksamhetsutövare. Förteckningen ska upp- dateras vid behov men minst vart fjärde år.

3 kap. Kritiska verksamhetsutövare av särskild europeisk betydelse

Anmälningsskyldighet för vissa kritiska verksamhetsutövare

1 § En kritisk verksamhetsutövare som identifierats enligt 2 kap. 1 § och som tillhandahåller den samhällsviktiga tjänsten till eller i minst sex medlemsstater ska utan dröjsmål anmäla detta till tillsyns- myndigheten. Anmälningsskyldigheten gäller inte kritiska verksam- hetsutövare inom sektorerna bankverksamhet, finansmarknads- infrastruktur och digital infrastruktur.

Av anmälan ska det framgå vilken samhällsviktig tjänst som till- handahålls och till eller i vilka medlemsstater den tillhandahålls.

Samråd med kommissionen

2 § Den myndighet regeringen bestämmer ska delta i kommissionens samråd enligt artikel 17.2 i CER-direktivet.

En kritisk verksamhetsutövare som har anmält sig enligt 1 § ska delta i kommissionens samråd enligt artikel 17.2 i CER-direktivet.

Underrättelse om identifiering

3 § Den myndighet regeringen bestämmer ska underrätta en kritisk verksamhetsutövare om kommissionens underrättelse om att denna är att betrakta som kritisk verksamhetsutövare av särskild europeisk betydelse.

Bestämmelsen om skyldigheter i 5 § ska tillämpas från och med den dagen den kritiska verksamhetsutövaren mottagit kommissionens underrättelse.

43

Rådgivande uppdrag

4 § Ett rådgivande uppdrag anordnas av kommissionen och genom- förs inom ramen för en tillsyn.

Syftet med ett rådgivande uppdrag är att bedöma de åtgärder som den kritiska verksamhetsutövaren av särskild europeisk betydelse har vidtagit för att uppfylla skyldigheterna i 4–6 kap.

5 § En kritisk verksamhetsutövare av särskild europeisk betydelse ska på begäran av Myndigheten för samhällsskydd och beredskap tillhandahålla riskbedömning enligt 4 kap. 1 § och en förteckning över relevanta åtgärder som vidtagits enligt 4 kap. 2 §.

4 kap. Riskbedömning och åtgärder för motståndskraft

1 § En verksamhetsutövare ska göra en riskbedömning senast nio månader efter att den har fått del av beslutet om att den identifierats som en kritisk verksamhetsutövare.

Riskbedömningen ska innehålla en redogörelse för alla relevanta risker som skulle kunna leda till en incident.

Riskbedömningen ska uppdateras vid behov men minst vart fjärde år.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om riskbedömning.

2 § Kritiska verksamhetsutövare ska vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa sin motståndskraft. Åtgärderna ska utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. De ska vidtas på grundval av verksamhetsut- övarens riskbedömning samt annan relevant information och inklu- dera åtgärder som är nödvändiga för att

1.förhindra incidenter från att uppstå,

2.reagera på, stå emot och begränsa konsekvenserna av incidenter,

3.återhämta sig från incidenter,

4.säkerställa ett tillfredsställande fysiskt skydd av lokaler och kritisk infrastruktur,

5.säkerställa en ändamålsenlig hantering av personalsäkerhet, och

6.öka kunskapen om åtgärderna för motståndskraft hos berörd personal.

44

Kritiska verksamhetsutövare ska upprätta och tillämpa en plan för motståndskraft eller ett eller flera likvärdiga dokument som be- skriver de åtgärder som vidtagits eller ska vidtas enligt första stycket.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om åtgärder och planer för motståndskraft.

3 § Kritiska verksamhetsutövare ska utse en samverkansansvarig som utgör kontaktpunkt för berörda myndigheter.

5 kap. Incidentrapportering

1 § Kritiska verksamhetsutövare ska utan onödigt dröjsmål rappor- tera incidenter som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster.

En första rapport ska lämnas inom 24 timmar efter det att verk- samhetsutövaren fått kännedom om en incident. En detaljerad rapport ska lämnas senast en månad efter att den första rapporten lämnades.

Rapporteringen ska göras till den myndighet som regeringen be- stämmer.

2 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vad som utgör en betydande störning och om incidentrapporteringen enligt 1 §.

6 kap. Bakgrundskontroll

1 § Syftet med en bakgrundskontroll är att endast den som bedöms vara lämplig ska få vara anställd eller på annat sätt delta i befattningar där deltagandet kan orsaka mer än ringa skada på den samhällsviktiga tjänsten.

2 § Kritiska verksamhetsutövare ska föra en förteckning över befattningar med krav på bakgrundskontroll (befattningsanalys). Befattningsanalysen ska utgå från den kritiska verksamhetsut- övarens riskbedömning och åtminstone innehålla uppgift om vilka befattningar där deltagande kan orsaka mer än ringa skada på den samhällsviktiga tjänsten.

45

Befattningsanalysen ska dokumenteras och uppdateras vid behov, men minst en gång om året.

3 § Kritiska verksamhetsutövare ska säkerställa att en person som deltar i verksamhet där deltagandet kan orsaka mer än ringa skada på en samhällsviktig tjänst har genomgått en bakgrundskontroll och bedömts som lämplig för sådant deltagande. Detsamma gäller den som övervägs för rekrytering till sådan befattning.

Endast den som har genomgått bakgrundskontroll och har bedömts lämplig enligt första stycket får anställas eller på annat sätt delta i sådan verksamhet.

En förnyad bakgrundskontroll och bedömning av lämplighet ska göras när det finns skäl för det, men senast inom två år från att den senaste bakgrundskontrollen genomfördes.

4 § Vid en bakgrundskontroll ska den person kontrollen avser på förfrågan från den kritiska verksamhetsutövaren

1.styrka sin identitet genom att visa en giltig och godtagbar identitetshandling för verksamhetsutövaren, och

2.visa upp ett särskilt utdrag från belastningsregistret enligt 9 § andra stycket 7 lagen (1998:620) om belastningsregister för verk- samhetsutövaren. Utdraget får högst vara ett år gammalt vid tid- punkten för bakgrundskontrollen.

5 § Vid bakgrundskontroll ska den kritiska verksamhetsutövaren anteckna om den person kontrollen avser har visat upp giltig och godtagbar identitetshandling, samt sådant särskilt utdrag ur belast- ningsregistret som avses i 4 §.

Anteckningar enligt första stycket ska bevaras i två år från tid- punkten för bakgrundskontrollen.

6 § Ett säkerhetsgodkännande enligt CER-direktivet ska ha samma innebörd som en bakgrundskontroll enligt denna lag.

Regeringen får genomföra bakgrundskontroll och utfärda säker- hetsgodkännande för personer som ska företräda Sverige i Gruppen för kritiska entiteters motståndskraft enligt artikel 19 i CER-direk- tivet.

46

7 § Regeringen eller den myndighet regeringen bestämmer får genomföra bakgrundskontroll och utfärda säkerhetsgodkännande för personer som föreslås delta i ett rådgivande uppdrag enligt artikel 18 i CER-direktivet.

7 kap. Tillsyn

Tillsynsmyndighet

1 § Den myndighet som regeringen bestämmer ska vara tillsyns- myndighet.

Tillsynsmyndighetens uppdrag

2 § Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som meddelats i anslutning till lagen följs samt inom ramen för tillsyn genomföra rådgivande uppdrag enligt 3 kap. 4 §.

Tillsynsmyndigheten ska även bidra med underlag till den natio- nella riskbedömningen enligt 1 kap. 11 §.

Tillsynsmyndighetens undersökningsbefogenheter

3 § Den som står under tillsyn ska på begäran tillhandahålla till- synsmyndigheten den information som behövs för tillsynen och den nationella riskbedömningen enligt 1 kap. 11 §.

4 § Tillsynsmyndigheten har i den omfattning det behövs för till- synen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamheten.

5 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 3 och 4 §§.

Ett sådant föreläggande får förenas med vite.

6 § Tillsynsmyndigheten får begära handräckning av Kronofogde- myndigheten. Vid handräckning gäller bestämmelserna i utsöknings- balken om verkställighet av förpliktelser som inte avser betalnings- skyldighet, avhysning eller avlägsnande.

47

8 kap. Ingripande och sanktioner

Överträdelser som kan leda till sanktioner

1 § Tillsynsmyndigheten ska ingripa om en kritisk verksamhets- utövare har åsidosatt sina skyldigheter enligt denna lag, eller före- skrifter som har meddelats med stöd av bestämmelserna om

1.anmälan enligt 3 kap. 1 §,

2.riskbedömning enligt 4 kap. 1 §,

3.åtgärder och plan för motståndskraft enligt 4 kap. 2 §,

4.samverkansansvarig enligt 4 kap. 3 §,

5.incidentrapportering enligt 5 kap. 1 §,

6.befattningsanalys enligt 6 kap. 2 §,

7.genomförande av bakgrundskontroll enligt 6 kap. 3 § eller antecknande samt bevarande av viss information vid bakgrunds- kontroll enligt 6 kap. 5 §.

2 § Ingripanden sker genom att tillsynsmyndigheten beslutar om

1.föreläggande enligt 4 §,

2.sanktionsavgift enligt 5 §, eller

3.anmärkning.

Om tillsynsmyndigheten inte finner skäl att besluta om sank- tioner enligt första stycket 1 eller 2 ska den i stället besluta om en anmärkning.

3 § Tillsynsmyndigheten får avstå från att ingripa enligt 2 § om överträdelsen är ringa eller ursäktlig, eller om det annars med hänsyn till omständigheterna vore oskäligt att besluta om sanktion.

Förelägganden

4 § Tillsynsmyndigheten får besluta att förelägga den kritiska verk- samhetsutövaren att vidta åtgärder för att uppfylla skyldigheterna som följer av 1 §.

Ett sådant föreläggande får förenas med vite.

48

Sanktionsavgift

5 § Tillsynsmyndigheten får besluta att en kritisk verksamhetsut- övare ska betala en sanktionsavgift till följd av en överträdelse enligt 1 §.

6 § Sanktionsavgiften ska för enskilda kritiska verksamhetsutövare bestämmas till lägst 5 000 kronor och högst till det högsta av:

1.2 procent av den kritiska verksamhetsutövarens totala globala årsomsättning under föregående räkenskapsår, eller

2.10 000 000 euro.

7 § Sanktionsavgiften ska för offentliga kritiska verksamhetsutövare bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

Vad som ska beaktas särskilt vid bestämmande av sanktionsavgiftens storlek

8 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den kritiska verksamhetsutövaren tidigare har begått en över- trädelse och de kostnader som den kritiska verksamhetsutövaren har undvikit till följd av överträdelsen.

Hinder mot att ta ut sanktionsavgift

9 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Betalning, verkställighet och preskription

10 § En sanktionsavgift får endast tas ut om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att över- trädelsen ägde rum.

Beslut om sanktionsavgift ska delges.

49

11 § Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas i rätt tid, ska tillsynsmyndig- heten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar

m.m.Vid indrivning ska verkställighet få ske enligt utsökningsbalken. Sanktionsavgift tillfaller staten.

12 § En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

9 kap. Övriga bestämmelser

Tystnadsplikt

1 § Den som med stöd av denna lag har fått del av uppgifter som förekommer i angelägenhet som avser bakgrundskontroller får inte obehörigen röja eller utnyttja dessa uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

Förordnande om att beslut ska gälla omedelbart

2 § Tillsynsmyndigheten får bestämma att ett beslut om före- läggande enligt denna lag ska gälla omedelbart.

Överklagande

3 § Beslut enligt denna lag eller anslutande föreskrifter får över- klagas till allmän förvaltningsdomstol. När tillsynsmyndighetens beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Denna lag träder i kraft den 1 augusti 2025.

50

1.2Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs i fråga om lagen (1998:620) om belastnings- register att 9 § och 12 a § ska ha följande lydelse.

9 §1

En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Om sådana uppgifter finns har den enskilde även rätt att få sådan skriftlig information som anges i 4 kap. 3 § första stycket 1–8 brottsdatalagen (2018:1177). Upp- gifterna ska på begäran lämnas ut utan avgift en gång per kalenderår.

En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret

1.för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,

2.enligt bestämmelser i skollagen (2010:800),

3.enligt bestämmelser i lagen (2018:1219) om försäkringsdistri- bution,

4.enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,

1Senaste lydelse 2019:431.

51

uppgifter ett sådant utdrag som avses i andra stycket 1–3 och 7 ska innehålla.

Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket 4–6 ska innehålla.

En begäran om uppgifter ur registret ska vara skriftlig. Polis- myndigheten ska säkerställa att begäran görs av en behörig person.

12 a §2

Uppgifter ur registret får efter en begäran som sker med stöd av rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organi- sationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll lämnas ut till en myndighet i en annan med- lemsstat i Europeiska unionen för något annat ändamål än att an- vändas i ett brottmålsförfarande om motsvarande rätt att få del av uppgifterna finns för en svensk myndighet.

En uppgift som har förts in i registret med stöd av 4 a § får dock inte lämnas ut om Polismyndigheten har underrättats av en behörig myndighet i den stat som har överfört uppgiften om att uppgiften har gallrats i den staten.

Trots att motsvarande rätt saknas för en svensk myndighet enligt första stycket får uppgifter ur registret lämnas ut till en annan medlemsstat i Europeiska unionen om begäran görs med stöd av Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.

Denna lag träder i kraft den 1 augusti 2025.

2Senaste lydelse 2022:735.

52

1.3Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att det ska införas två nya paragrafer, 15 kap. 3 c § och 18 kap. 8 d § av följande lydelse,

dels att 18 kap. 19 § ska ha följande lydelse,

dels att det i 35 kap. 1 § ska införas en ny punkt 10, av följande lydelse.

15kap.

3 c §

Sekretessen enligt 1 a § hindrar inte att Myndigheten för samhälls- skydd och beredskap lämnar en uppgift som avses där till tillsyns-

myndigheten enligt lagen (2025:000) om cybersäkerhet och lagen (2025:000) om motstånds- kraft hos kritiska verksamhetsut- övare om uppgiften behövs för att tillsynsmyndigheten ska kunna fullgöra sitt uppdrag

Detsamma gäller när en till- synsmyndighet lämnar sådana uppgifter till Myndigheten för samhällsskydd och beredskap.

En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

53

FörfattningsförslagSOU 2024:64

18 kap.

8 d §

Utöver vad som följer av 8 § gäller sekretess för uppgift i en inci- dentrapport enligt 3 kap. 5–7 §§ lagen (2025:000) om cybersäkerhet och 5 kap. 1 § lagen (2025:000) om motståndskraft hos kritiska verk- samhetsutövare samt för uppgift om åtgärd som följer av en sådan inci- dent om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutöva- rens verksamhet skadas eller de åt- gärder som vidtagits motverkas.

För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.

Nuvarande lydelseFöreslagen lydelse

18 kap.

19 §1

Den tystnadsplikt som följer av 1–3 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om kvarhållande av försändelse på befordringsföretag, hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning, hemlig rumsavlyss-

1Senast lydelse 2024:477.

54

ning eller hemlig dataavläsning på grund av beslut av domstol, under- sökningsledare eller åklagare eller inhämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kom- munikation i de brottsbekämpande myndigheternas underrättelse- verksamhet.

Den tystnadsplikt som följer av 17 § inskränker rätten att med- dela och offentliggöra uppgifter, när det är fråga om uppgift om kvarhållande av försändelse på befordringsföretag, hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning, hemlig rumsavlyssning eller hemlig dataavläsning på grund av beslut av domstol eller åklagare.

Att den tystnadsplikt som följer av 1–3 §§ i vissa fall inskränker rätten att meddela och offentliggöra uppgifter utöver det som anges i andra stycket följer av 7 kap. 10 §, 12–18 §§, 20 § 3 och 22 § första stycket 1 och andra stycket tryckfrihetsförordningen samt 5 kap. 1 § och 4 § första stycket 1 och andra stycket yttrandefrihetsgrundlagen.

35kap. 1 §2

Sekretess gäller för uppgift om en enskilds personliga och ekono- miska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3.angelägenhet som avser säkerhetsprövning enligt säkerhets- skyddslagen (2018:585),

4.annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5.register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna, eller uppgifter som behandlas av Säkerhetspolisen eller Polismyndigheten med stöd av lagen (2019:1182) om Säker- hetspolisens behandling av personuppgifter,

2Senaste lydelse 2024:328.

55

6.register som förs enligt lagen (1998:621) om misstankeregister,

7.register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2025 i fråga om lagen (2025:000) om cybersäkerhet och i övrigt den 1 augusti 2025.

56

1.4Förslag till lag om ändring

i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 7 kap. 4 § ska ha följande lydelse

dels att det ska införas en ny paragraf 8 kap. 5 §, och närmast före 8 kap. 5 § en ny rubrik av följande lydelse.

7 kap.

4 §1

En sanktionsavgift ska be- stämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.

8 kap.

Underrättelse om kritiska verk- samhetsutövare

5 §

Tillsynsmyndigheten ska inom fem arbetsdagar från att en under- rättelse enligt 2 kap. 4 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare har mottagits meddela tillsynsmyndig- heten enligt lagen om motstånds- kraft hos kritiska verksamhets-

1Senaste lydelse 2021:952.

57

utövare huruvida den kritiska verksamhetsutövaren har anmält att den bedriver säkerhetskänslig verksamhet enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585).

Denna lag träder i kraft den 1 augusti 2025.

58

1.5Förslag till lag om ändring i lagen (2025:000) om cybersäkerhet

Härigenom föreskrivs i fråga om lagen (2025:000) om cybersäkerhet att 1 kap. 7 § och 2 kap. 1 § ska följande lydelse.

1 § lagen (2025:000) om mot- ståndskraft hos kritiska verksam- hetsutövare och som inte uppfyller storlekskravet i 4 § 3, börjar skyl- digheterna i 3 kap. gälla tio månader efter den dag verksam- hetsutövaren fått del av beslutet.

59

FörfattningsförslagSOU 2024:64

2 kap.

1 §

Följande verksamhetsutövare är väsentliga:

1.Statliga myndigheter,

2.verksamhetsutövare som bedriver verksamhet enligt bilaga 1 till NIS2-direktivet, är en kommun eller ett lärosäte med examens- tillstånd och vars verksamhet överstiger trösklarna för medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekom- mendation 2003/361/EG,

3.verksamhetsutövare som erbjuder allmänna elektroniska kom- munikationsnät eller allmänt tillgängliga elektroniska kommunika- tionstjänster och vars verksamhet är medelstora företag enligt artikel 2 och 3.1–3 i bilagan till kommissionens rekommendation 2003/361/EG,

4.kvalificerade tillhandahållare av betrodda tjänster,

5.registreringsenheter för toppdomäner,

Denna lag träder i kraft den 1 augusti 2025.

60

1.6Förslag till förordning om motståndskraft hos kritiska verksamhetsutövare

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § Denna förordning kompletterar lagen (2025:000) om mot- ståndskraft hos kritiska verksamhetsutövare.

Uttryck i förordningen

2 § Uttryck som används i förordningen har samma innebörd som i lagen (2025:000) om motståndskraft hos kritiska verksamhets- utövare.

Undantag

Krav i andra författningar

3 § I bilagan till denna förordning anges de lagar och krav och andra författningar som innehåller krav på riskbedömning, åtgärder för motståndskraft, bakgrundskontroller och incidentrapportering med verkan som sammantaget motsvarar skyldigheterna enligt lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare.

Brottsbekämpning eller Sveriges säkerhet

4 § Fortifikationsverket, Försvarets materielverk, Försvarets radio- anstalt, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen, Totalförsvarets forskningsinstitut och Totalförsvarets plikt- och prövningsverk bedriver säkerhetskänslig verksamhet till över- vägande del.

61

5 § Brottsförebyggande rådet, Brottsoffermyndigheten, Ekobrotts- myndigheten, Kriminalvården, Polismyndigheten, Rättsmedicinal- verket, Säkerhetspolisen och Åklagarmyndigheten bedriver brotts- bekämpning till övervägande del.

Nationell riskbedömning

6 § Myndigheten för samhällsskydd och beredskap ska göra en nationell riskbedömning.

Den nationella riskbedömningen ska delges tillsynsmyndig- heterna och de kritiska verksamhetsutövarna i relevanta delar.

7 § Myndigheten för samhällsskydd och beredskap ska lämna relevant information till kommissionen om de typer av risker som har identifierats i den nationella riskbedömningen, per sektor och undersektor enligt bilagan till CER-direktivet inom tre månader från det att riskbedömningen har upprättats eller uppdaterats.

Identifiering av kritiska verksamhetsutövare

Betydande störande effekt

8 § Vid bedömningen av när en störande effekt enligt 2 kap. 2 § första stycket 3 lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare är betydande ska följande kriterier beaktas.

a)Antalet användare som är beroende av den samhällsviktiga tjänst som den berörda verksamhetsutövaren tillhandahåller,

b)den grad till vilken andra sektorer och undersektorer som anges i bilagan till CER-direktivet är beroende av den samhälls- viktiga tjänsten i fråga,

c)vilken effekt incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och trygg- heten eller befolkningens hälsa, uttryckt i grad och varaktighet,

d)verksamhetsutövarens marknadsandel på marknaden för den eller de berörda samhällsviktiga tjänsterna,

e)det geografiska område som skulle kunna påverkas av en incident, inbegripet eventuella gränsöverskridande konsekvenser, med beaktande av den sårbarhet som är förknippad med graden av

62

isolering för vissa typer av geografiska områden, såsom öregioner, avlägsna områden eller bergsområden, och

f)verksamhetsutövarens betydelse för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten, med beaktande av till- gången till alternativa sätt för att tillhandahålla den samhällsviktiga tjänsten.

9 § Myndigheten för samhällsskydd och beredskap får, efter att ha gett tillsynsmyndigheterna tillfälle att yttra sig, meddela ytterligare föreskrifter om när en störande effekt enligt 2 kap. 2 § första stycket 3 lagen (2025:000) om motståndskraft hos kritiska verksamhets- utövare är betydande.

Förteckning över kritiska verksamhetsutövare

10 § Myndigheten för samhällsskydd och beredskap ska upprätta en samlad förteckning över samtliga kritiska verksamhetsutövare. Av förteckningen ska framgå antalet kritiska verksamhetsutövare som har identifierats för varje sektor, undersektor som anges i bilagan till CER-direktivet samt antalet kritiska verksamhetsutövare för varje samhällsviktig tjänst.

Förteckningen ska uppdateras vid behov men minst var fjärde år.

11 § Myndigheten för samhällsskydd och beredskap ska lämna en förteckning över samhällsviktiga tjänster och om det finns ytter- ligare samhällsviktiga tjänster jämfört med den förteckning över sam- hällsviktiga tjänster som anges i kommissionens delegerade förord- ning, det antal kritiska verksamhetsutövare som har identifierats för varje sektor och undersektor som anges i bilagan till CER-direktivet och för varje samhällsviktig tjänst samt vilka föreskrivna tröskel- värden enligt 9 § som har tillämpats till kommissionen.

Informationen ska lämnas utan dröjsmål och därefter när det är nödvändigt men minst vart fjärde år.

63

Kritiska verksamhetsutövare av särskild europeisk betydelse

12 § Myndigheten för samhällsskydd och beredskap ska under- rätta kommissionen om vilka kritiska verksamhetsutövare som till- handahåller samhällsviktiga tjänster till eller i minst sex medlems- stater, vilka samhällsviktiga tjänster som erbjuds samt till eller i vilka medlemsstater den kritiska verksamhetsutövaren tillhandahåller sådana tjänster.

Samråd

13 § Myndigheten för samhällsskydd och beredskap ska delta i kom- missionens samråd enligt artikel 17.2 i CER-direktivet och informera kommissionen om tjänsten som omfattas av samrådet bedöms vara en samhällsviktig tjänst. Bedömningen ska göras i samråd med berörd tillsynsmyndighet.

14 § Myndigheten för samhällsskydd och beredskap ska ta emot kommissionens underrättelse om att en kritisk verksamhetsutövare är att betrakta som kritisk verksamhetsutövare av särskild europeisk betydelse och vidarebefordra underrättelsen till berörd tillsynsmyn- dighet.

Rådgivande uppdrag

15 § Myndigheten för samhällsskydd och beredskap får begära att kommissionen anordnar ett rådgivande uppdrag. En sådan begäran ska ske på initiativ av den kritiska verksamhetsutövaren eller dennas tillsynsmyndighet.

16 § Ett rådgivande uppdrag som anordnas på initiativ av kommis- sionen eller en annan medlemsstat får genomföras först efter samtycke av Myndigheten för samhällsskydd och beredskap. Myndigheten för samhällsskydd och beredskap ska samråda med den kritiska verksam- hetsutövaren av särskild europeisk betydelse och dennas tillsynsmyn- dighet innan ett samtycke lämnas.

64

17 § Ett rådgivande uppdrag som anordnas för en kritisk verk- samhetsutövare som inte är av särskild europeisk betydelse får anord- nas endast om verksamhetsutövaren har lämnat samtycke.

18 § Myndigheten för samhällsskydd och beredskap ska lämna förslag på experter till sådana rådgivande uppdrag som kommissio- nen anordnar samt utfärda säkerhetsgodkännande enligt 6 kap. 7 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare för experter som ska delta i ett rådgivande uppdrag.

19 § Myndigheten för samhällsskydd och beredskap ska, om begäran enligt artikel 18.3 är motiverad, tillhandahålla kommissionen den information som inhämtats enligt 3 kap. 5 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare.

20 § Myndigheten för samhällsskydd och beredskap ska lämna information till kommissionen och de medlemsstater till eller i vilka den samhällsviktiga tjänsten tillhandahålls om vilka åtgärder som vidtagits i enlighet med kommissionens yttrande enlig artikel 18.4 tredje stycket CER-direktivet.

Riskbedömning och åtgärder för motståndskraft

21 § Tillsynsmyndigheten får inom sitt tillsynsområde meddela föreskrifter om riskbedömning enligt 4 kap. 1 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

För sektorn offentlig förvaltning får Myndigheten för samhälls- skydd och beredskap meddela föreskrifter om riskbedömning enligt

4kap. 1 § lagen (2025:000) om motståndskraft hos kritiska verksam- hetsutövare.

22 § Tillsynsmyndigheten får inom sitt tillsynsområde meddela föreskrifter om åtgärder och planer för motståndskraft enligt 4 kap. 2 § lagen (2025:000) om motståndskraft hos kritiska verksamhets- utövare. Myndigheten för samhällsskydd och beredskap ska ges tillfälle att yttra sig.

65

För sektorn offentlig förvaltning får Myndigheten för samhälls- skydd och beredskap meddela föreskrifter om åtgärder och planer för motståndskraft enligt 4 kap. 2 § lagen (2025:000) om motstånds- kraft hos kritiska verksamhetsutövare.

Incidentrapportering

23 § Incidentrapportering enligt 5 kap. 1 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare ska göras till Myn- digheten för samhällsskydd och beredskap.

24 § Vid bedömningen om en incident medför en betydande störning ska särskilt följande beaktas:

1.Antal och andel användare som berörs av störningen.

2.Störningens varaktighet.

3.Det geografiska område som påverkas av störningen och om området är geografiskt isolerat.

25 § Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om vad som utgör en betydande störning och om inci- dentrapportering enligt 5 kap. 1 § lagen (2025:000) om motstånds- kraft hos kritiska verksamhetsutövare. Tillsynsmyndigheterna ska ges tillfälle att yttra sig.

26 § En incidentrapport ska innehålla information som är nöd- vändig för att förstå incidentens art, orsak och möjliga konsekven- ser.

27 § Myndigheten för samhällsskydd och beredskap ska ge den kritiska verksamhetsutövaren eventuell information som skulle kunna hjälpa den kritiska verksamhetsutövaren att reagera ändamålsenligt på incidenten.

Myndigheten för samhällsskydd och beredskap ska tillgänglig- göra informationen i incidentrapporter utan dröjsmål för tillsyns- myndigheten.

Myndigheten för samhällsskydd och beredskap får i samband med en incident informera allmänheten.

66

28 § Myndigheten för samhällsskydd och beredskap ska informera gemensamma kontaktpunkter i andra medlemsstater om en incident har eller kan ha betydande påverkan på kritiska verksamhetsutövare och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i den medlemsstaten.

Om en incident har eller kan ha betydande påverkan på konti- nuiteten i tillhandahållandet av samhällsviktiga tjänster i minst sex medlemsstater ska Myndigheten för samhällsskydd och beredskap anmäla incidenten till kommissionen.

Tillsyn

Tillsynsmyndigheter

29 § Följande myndigheter ska vara tillsynsmyndighet enligt lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare och denna förordning för angivna tillsynsområden.

1Vårdgivare enligt definitionen i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöver- skridande hälso- och sjukvård.

67

30 § Länsstyrelsen i Norrbottens län ska vara tillsynsmyndighet för verksamhetsutövare som har sitt säte i Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län samt Länsstyrelsen i Västra Götaland.

31 § Länsstyrelsen i Skåne län ska vara tillsynsmyndighet för verk- samhetsutövare som har sitt säte i Kronobergs, Blekinge, Kalmar eller Skåne län samt Länsstyrelsen i Stockholms län.

32 § Länsstyrelsen i Stockholms län ska vara tillsynsmyndighet för verksamhetsutövare som har sitt säte i Stockholms, Uppsala, Söder- manlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län samt Länsstyrelsen i Norrbottens län.

33 § Länsstyrelsen i Västra Götalands län ska vara tillsynsmyndig- het för verksamhetsutövare som har sitt säte i Hallands, Jönköpings, Västra Götalands eller Östergötlands län samt Länsstyrelsen i Skåne län.

Tillsynsmyndighetens uppgifter

34 § Tillsynsmyndigheterna ska, för sina respektive tillsynsområden

1.upprätta en förteckning över kritiska verksamhetsutövare. Av förteckningen ska framgå identiteten på den kritiska verksamhets- utövaren, antalet kritiska verksamhetsutövare som har identifierats för varje sektor, undersektor som anges i bilagan till CER-direktivet samt antalet kritiska verksamhetsutövare för varje samhällsviktig tjänst,

2.utan dröjsmål lämna förteckningen enligt punkt 1 till Myndig- heten för samhällsskydd,

3.utan dröjsmål lämna uppgifter till Myndigheten för samhälls- skydd och beredskap om vilka kritiska verksamhetsutövare som upp- gett att den tillhandahåller samhällsviktiga tjänster till eller i minst sex medlemsstater, vilka samhällsviktiga tjänster som erbjuds samt till eller i vilka medlemsstater den kritiska verksamhetsutövaren till- handahåller sådana tjänster,

4.underrätta den kritiska verksamhetsutövaren om att denna är att betrakta som kritisk verksamhetsutövare av särskild europeisk

68

betydelse och lämna information om vilka skyldigheter som följer av att vara en kritisk verksamhetsutövare av särskild europeisk betydelse,

5.lämna uppgifter till Myndigheten för samhällsskydd och bered- skap om tillsynsåtgärder, inbegripet bedömningar av efterlevnad eller beslut om förelägganden och sanktioner enligt 7 kap. 2 § och 8 kap. lagen om motståndskraft hos kritiska verksamhetsutövare som till- synsmyndigheten vidtagit avseende kritiska verksamhetsutövare av särskild europeisk betydelse,

6.lämna uppgifter till Myndigheten för samhällsskydd och bered- skap om vilka åtgärder den kritiska verksamhetsutövaren av särskild europeisk betydelse har vidtagit enligt kommissionens yttrande enligt artikel 18.4 tredje stycket CER-direktivet, och

7.underrätta den eller de andra tillsynsmyndigheter som utövar tillsyn över den kritiska verksamhetsutövaren enligt lagen (2025:000) om cybersäkerhet om besluten enligt 2 kap. 1 § och 5 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsutövare. Om den kritiska verksamhetsutövaren är verksam inom sektorerna bank- verksamhet, finansmarknadsinfrastruktur eller digital infrastruktur ska underrättelsen även innehålla uppgift om att verksamhets- utövaren inte är skyldig att vidta sådana åtgärder som följer av 3– 6 kap. i lagen om motståndskraft hos kritiska verksamhetsutövare.

Begäran om information

35 § När en tillsynsmyndighet begär information enligt 7 kap. 3 § lagen (2025:000) om motståndskraft hos kritiska verksamhetsut- övare ska tillsynsmyndigheten ange syftet med begäran och precisera vilken information som krävs.

Samarbetsforum för effektiv och likvärdig tillsyn

36 § Myndigheten för samhällsskydd och beredskap ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

69

Gemensam kontaktpunkt

37 § Myndigheten för samhällsskydd och beredskap ska vara gemen- sam kontaktpunkt.

Gemensamma kontaktpunktens uppgifter

38 § Den gemensamma kontaktpunkten ska ha en sambands- funktion för att säkerställa gränsöverskridande samarbete med gemen- samma kontaktpunkter i andra medlemsstater och kommissionen.

39 § Den gemensamma kontaktpunkten ska senast den 17 juli 2028 och därefter vartannat år lämna den rapport som avses i artikel 9.3 i CER-direktivet.

40 § Den gemensamma kontaktpunkten ska i samverkan med tillsynsmyndigheten delta i de samråd som avses i artikel 11 i CER- direktivet.

Övrigt

41 § Myndigheten för samhällsskydd och beredskap och tillsyns- myndigheterna ska lämna stöd till Sveriges deltagande i den sam- arbetsgrupp som inrättats enligt artikel 19 i CER-direktivet.

Denna förordning träder i kraft den 1 augusti 2025.

70

Bilaga

71

1.7Förslag till förordning om ändring i förordningen (1999:1134) om belastningsregister

Härigenom föreskrivs i fråga om förordningen (1999:1134) om belastningsregister att 22 § ska ha följande lydelse.

Om påföljden även avser något annat brott än de som anges i första stycket 2 och 3, ska också uppgifter om det brottet lämnas ut.

Ett registerutdrag enligt 9 § andra stycket 2 lagen om belastningsregister som den enskilde begär med hänvisning till bestämmelser i skollagen (2010:800) ska endast innehålla uppgifter om domar, beslut eller strafförelägganden där påföljd har dömts ut

1Senaste lydelse 2017:526.

72

eller åtalsunderlåtelse meddelats för brott mot 3 kap. 1, 2 och 6 §§, 4 kap. 1 §, 6 kap., 8 kap. 6 § och 16 kap. 10 a § brottsbalken. Om påföljden eller åtalsunderlåtelsen även avser något annat brott, ska också uppgifter om det brottet lämnas ut.

Ett registerutdrag enligt 9 § andra stycket 4 lagen om belast- ningsregister som den enskilde begär med hänvisning till bestäm- melser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn ska endast innehålla uppgifter om domar, beslut eller strafförelägganden där påföljd har dömts ut eller åtalsunderlåtelse meddelats för brott mot 3 kap. 1, 2, 5 och 6 §§, 4 kap. 1–2 och 4–5 §§, 6 kap., 8 kap. 5 och 6 §§, 16 kap. 8, 9 och 10 a §§ brottsbalken, narkotikastrafflagen, lagen om förbud mot vissa dopningsmedel, lagen (1999:42) om förbud mot vissa hälso- farliga varor, 6 § lagen (2000:1225) om straff för smuggling och 11 kap. 4 § alkohollagen (2010:1622) samt medverkan och försök till sådana brott. I fråga om brott som avses i 6 kap. brottsbalken, narkotikastrafflagen och lagen om förbud mot vissa dopningsmedel ska utdraget också innehålla uppgifter om domar, beslut och strafförelägganden där påföljd har dömts ut eller åtalsunderlåtelse meddelats för förberedelse, stämpling och underlåtenhet att avslöja brott. Om påföljden eller åtalsunderlåtelsen även avser något annat brott, ska också uppgifter om det brottet lämnas ut.

Ett registerutdrag enligt 9 § andra stycket 5 lagen om belast- ningsregister som den enskilde begär med hänvisning till bestäm- melser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder ska endast innehålla uppgifter om domar, beslut eller strafförelägganden där påföljd har dömts ut eller åtalsunderlåtelse meddelats för brott mot 3 kap. 1, 2 och 6 §§, 4 kap. 1 §, 6 kap., 8 kap. 6 § och 16 kap. 10 a § brotts- balken. Om påföljden eller åtalsunderlåtelsen även avser något annat brott, ska också uppgifter om det brottet lämnas ut.

Ett registerutdrag enligt 9 § andra stycket 6 lagen om belastnings- register som den enskilde begär med hänvisning till bestämmelser i lagen (2013:852) om registerkontroll av personer som ska arbeta med barn ska endast innehålla uppgifter om domar, beslut eller strafförelägganden där påföljd har dömts ut eller åtalsunderlåtelse meddelats för brott mot 3 kap. 1, 2 och 6 §§, 4 kap. 1 §, 6 kap., 8 kap. 6 § och 16 kap. 10 a § brottsbalken. Om påföljden eller åtalsunder-

73

låtelsen även avser något annat brott, ska också uppgifter om det brottet lämnas ut.

Denna förordning träder i kraft den 1 augusti 2025.

74

1.8Förslag till förordning om ändring i förordningen (2007:1119) med instruktion för Affärsverket svenska kraftnät

Härigenom föreskrivs i fråga om förordningen (2007:1119) med instruktion för Affärsverket svenska kraftnät att 3 § ska följande lydelse.

3 §1

Svenska kraftnät ska också

1.bygga ut ett transmissionsnät för el i Sverige och förbindelser med elnät i andra länder baserat på samhällsekonomiska lönsamhets- bedömningar,

2.svara för tillsyn i frågor om driftsäkerhet hos det nationella elsystemet enligt ellagen (1997:857) och förordningen (2023:241) om det nationella elsystemet,

3.främja konkurrensen på elmarknaden,

4.främja forskning, utveckling och demonstration av ny teknik av betydelse för verksamheten,

5.bedriva tjänsteexport inom sitt verksamhetsområde,

6.främja dammsäkerheten i landet,

7.bygga ut, installera och förvalta ledningar för elektronisk kom- munikation, främst på transmissionsnätet, samt upplåta nätkapacitet

idessa,

8.bevaka tillgången på höglastkapacitet i det svenska elsystemet och löpande förmedla information om effekttillgång till marknadens aktörer samt övervaka och utföra bedömningar av resurstillräcklig- heten i enlighet med artikel 20.1 i Europaparlamentets och rådets förordning (EU) 2019/943 av den 5 juni 2019 om den inre mark- naden för el,

9.inom sitt verksamhetsområde se till att möjligheterna att bygga ut fossilfri elproduktion och nya användningsområden för el tas tillvara i omställningen av elsystemet,

1Senaste lydelse 2023:577.

75

10.inom sitt område inkassera kapacitetsavgifter och betalningar

ienlighet med artikel 49 i förordning (EU) 2019/943,

11.även i övrigt inom sitt verksamhetsområde fullgöra uppgifter som följer av förordning (EU) 2019/943,

12.se till att de regelverk och rutiner som affärsverket disponerar över är kostnadseffektiva och enkla för medborgare och företag,

13.vartannat år genomföra

76

SOU 2024:64Författningsförslag

Denna förordning träder i kraft den 1 augusti 2025.

77

1.9Förslag till förordning om ändring i förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap

Härigenom föreskrivs att 17 a § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap ska upphöra gälla vid utgången av juli 2025.

17 a §1

Myndigheten ska vara Sveriges kontaktpunkt för skydd av europeisk kritisk infrastruktur enligt artikel 10.1 i rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna.

Denna förordning träder i kraft den 1 augusti 2025.

1Senaste lydelse 2009:611.

78

1.10Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs i fråga om offentlighets- och sekretess- förordningen (2009:641)

dels att 3 § ska följande lydelse,

dels att bilagan till offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

3 §1 Följande myndigheter ska i den utsträckning som framgår nedan inte tillämpa 5 kap. 2 § andra stycket offentlighets- och sekretesslagen (2009:400)

MyndighetRegister

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Bilaga2

isekretessen

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

kraft hos kritiska verksamhets- utövare.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

1Senaste lydelse 2023:637.

2Senaste lydelse 2024:77.

79

Denna förordning träder i kraft den 1 januari 2025 i fråga om lagen (2025:000) om cybersäkerhet och i övrigt den 1 augusti 2025.

80

1.11Förslag till förordning om ändring i förordningen (2010:185) med instruktion för Trafikverket

Härigenom föreskrivs i fråga om förordningen (2010:185) med instruktion för Trafikverket att 4 § ska följande lydelse.

4 §1

Trafikverket ska

1.årligen till regeringen redovisa produktiviteten för drift-, underhålls- och byggåtgärder inom det egna ansvarsområdet,

2.årligen följa upp och till regeringen redovisa genomförda åt- gärder i den nationella planen för transportinfrastruktur samt i läns- planer för regional transportinfrastruktur i de delar verket ansvarar för genomförandet,

3.årligen bistå Trafikanalys i dess uppgift att till regeringen redovisa en uppföljning av de transportpolitiska målen,

4.årligen till regeringen rapportera kostnad per identifierad avgiftsbelagd passage som nyckeltal för vägavgiftssystem,

5.bistå Trafikanalys när det gäller användningen av databaser och analysverktyg,

6.när det gäller det transeuropeiska transportnätet TEN-T och Fonden för ett sammanlänkat Europa (FSE)

a) ansvara för Sveriges del i förvaltningen av det tekniska informa- tionssystemet för det transeuropeiska transportnätet (TENtec),

b) sprida information om möjligheterna att söka bidrag till projekt, c) bistå regeringen i beredning, kvalitetssäkring och samordning

av bidragsansökningar,

d) följa upp genomförandet av de projekt som har beviljats bidrag, granska projektens års- och slutrapporter samt pröva frågor om att godkänna rapporterna för projekt där Trafikverket inte självt är stödmottagare,

e) bistå regeringen i arbetet gällande de europeiska korridorer som anges i Europaparlamentets och rådets förordning (EU) nr 1315/2013 av den 11 december 2013 om unionens riktlinjer för

1Senaste lydelse 2023:46.

81

utbyggnad av det transeuropeiska transportnätet och om upphävande av beslut nr 661/2010/EU,

Denna förordning träder i kraft 1 augusti 2025.

82

1.12Förslag till förordning om ändring i förordningen (2014:520) med instruktion för Statens energimyndighet

Härigenom föreskrivs i fråga om förordningen (2014:520) med instruktion för Statens energimyndighet att 3 § ska följande lydelse.

3 §1

Statens energimyndighet ska

1.ha ett samlat ansvar för information och för att ta fram under- lag i enlighet med Europaparlamentets och rådets direktiv (EU) 2018/2001 av den 11 december 2018 om främjande av användningen av energi från förnybara energikällor och göra de beräkningar som medlemsstaterna är skyldiga att göra enligt artiklarna 7 och 23–27 och enligt bilagorna till samma direktiv,

2.vara behörig myndighet enligt Europaparlamentets och rådets förordning (EU) 2017/1938 av den 25 oktober 2017 om åtgärder för att säkerställa försörjningstryggheten för gas och om upphävande av förordning (EU) nr 994/2010,

3.till Myndigheten för sam-

1Senaste lydelse 2024:528.

83

84

85

86

SOU 2024:64Författningsförslag

87

Bestämmelser om en marknadskontrollmyndighets befogenhet att besluta om åtgärder enligt förordning (EU) 2019/1020 finns i lagen (2018:550) med kompletterande bestämmelser till EU:s energimärkningsförordning, plan- och bygglagen (2010:900) respektive lagen (2018:551) med kompletterande bestämmelser till EU:s däckmärkningsförordning.

Denna förordning träder i kraft den 1 augusti 2025.

88

i bilaga 3. Det som vidare återstår för utredningen är enligt regeringens tilläggsdirektiv

1.gemensamma frågor för NIS2- och CER-direktiven i den mån dessa är hänförliga till genomförandet av CER-direktivet eller i övrigt syftar till att uppnå en sammanhängande reglering,

2.analysera hur den nya regleringen ska fungera vid sidan av säker- hetsskyddsregleringen och föreslå ändringar som behövs för att uppnå en mer sammanhållen systematik mellan regelverken, särskilt vad gäller tillsynsmyndigheternas befogenheter och sanktionsav- gifternas storlek, och

3.ta ställning till om bestämmelserna i offentlighets- och sekretess- lagen (2009:400), OSL, innebär ett tillräckligt skydd för sådana uppgifter som kan komma att behandlas enligt direktiven.

2.1.2Utredningens övergripande utgångspunkter

Utredningen hade i sitt delbetänkande några övergripande utgångs- punkter som även kommer att gälla för detta betänkande.

Båda EU-direktiven är så kallade minimidirektiv, varför med- lemsstaterna får anta mer långtgående bestämmelser. Det betyder att utredningen skulle kunna lämna förslag om att exempelvis fler sektorer än vad som följer av direktiven skulle kunna omfattas av en reglering. Utgångspunkten enligt regeringen ska dock vara att förslagen utformas så att regelbördan och administrationen mini- meras för berörda verksamhetsutövare. Om utredningen lämnar mer långtgående förslag ska utredningen motivera varför det är nöd- vändigt och göra en analys om förslagen är samhällsekonomiskt effek- tiva och hur svenska företags konkurrenskraft skulle påverkas. En slutsats bör vara att tidsramen för uppdraget i hög grad utgör hinder för sådana förslag. Detsamma bör gälla för utredningens möjlighet enligt regeringens direktiv att ta sig an närliggande frågor.

Den andra utgångspunkten som även kommer att gälla för CER är att direktivet inte ska införlivas direktivnära utan att förslagen ska utformas utifrån den systematik och terminologi som används i svensk rätt. Det betyder att ett normalt språkbruk ska eftersträvas. En följd blir att utredningen även i den lag som ska införliva kraven

90

i CER-direktivet kommer att exempelvis ersätta begreppet entitet med verksamhetsutövare.

Vidare kommer CER-direktivets krav på motsvarande sätt som NIS2-direktivet att regleras i en särskild lag med tillhörande för- ordning. Därutöver kommer att krävas följdändringar med anled- ning av att direktiv 2008/114/EG upphävs.

2.1.3CER-direktivet

CER-direktivet ställer krav på motståndskraft i samhällsviktiga tjänster. Enligt CER-direktivet ska medlemsstaterna identifiera verk- samhetsutövare som erbjuder samhällsviktiga tjänster inom sekto- rerna energi, transport, bankverksamhet, finansmarknadsstruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruk- tur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel. De utpekade sektorerna i CER-direktivet pekas även ut av NIS2-direktivet, men NIS2 innehåller även om- råden som inte återfinns i CER-direktivet som till exempel post- och budtjänster, avfallshantering och forskning. För de utpekade verk- samhetsutövarna ska det gälla särskilda skyldigheter. De ska vidta åtgärder för att stärka sin motståndskraft och rapportera incidenter. CER-direktivet innehåller också bestämmelser om tillsyn och sank- tioner och en ram för samarbete mellan medlemsstaterna. En slutsats är att CER-direktivets krav påminner om det första NIS-direktivet som genomfördes genom lagen (2018:1174) om informationssäker- het för samhällsviktiga och digitala tjänster, NIS-lagen. Som följer av den lagens första paragraf omfattar den lagen samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finans- marknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur och digitala tjänster.

Medlemsländerna ska senast den 17 oktober 2024 anta de natio- nella bestämmelser som krävs för att följa direktiven.

91

Identifiering av kritiska verksamhetsutövare

Medlemsländerna är skyldiga att identifiera de kritiska verksamhets- utövarna inom de utpekade sektorerna samt att upprätta en förteck- ning. Flera kriterier ska vara uppfyllda för att identifiering ska kunna ske. Verksamhetsutövaren ska tillhandahålla en eller flera samhälls- viktiga tjänster och ha sin kritiska infrastruktur belägen i medlems- staten. Vidare skulle en incident medföra betydande störande effekt. Verksamhetsutövare som tillhandahåller samma eller liknande sam- hällsviktiga tjänster i minst sex medlemsstater har särskild europeisk betydelse och ska omfattas av särskilda bestämmelser.

Det anförda betyder att utredningen behöver klarlägga hur regler för att peka ut samhällsviktiga tjänster ska utformas. Kommissionen har visserligen i en delegerad akt fastställt en icke uttömmande för- teckning över tjänster som ska anses samhällsviktiga,4 men enligt regeringen kan det inte uteslutas att det kan finnas behov av andra samhällsviktiga tjänster i en nationell reglering. Vidare behöver analyseras hur direktivets kriterier för vad som utgör en betydande störande effekt ska tillämpas nationellt. Enligt regeringens direktiv skulle det kunna vara lämpligt att överväga en motsvarande lösning som enligt nuvarande NIS-reglering. Den innebär att MSB, efter att tillsynsmyndigheterna och Socialstyrelsen getts tillfälle att yttra sig, får meddela föreskrifter om vilka tjänster som är samhällsviktiga och vad som avses med betydande störning. Utredningen behöver även överväga vem som ansvarar för identifieringen, hur förfarandet ska gå till, hur en förteckning kan upprättas och uppdateras och om det krävs särskilda nationella bestämmelser om identifiering och an- mälan av kritiska verksamhetsutövare.

Krav på kritiska verksamhetsutövare

Kritiska verksamhetsutövare ska enligt direktivet utföra en riskbe- dömning och vidta lämpliga och proportionella åtgärder för att säker- ställa sin motståndskraft. Åtgärderna ska grundas på riskbedömning av verksamhetsutövaren och medlemsstaten. Direktivet uppställer också vissa minimikrav, som kommer att kompletteras med icke-

4Kommissionens delegerade förordning (EU) 2623/2450 av den 25 juli 2023 om kom- plettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster.

92

bindande riktlinjer och tekniska specifikationer. Utredningen ska mot denna bakgrund analysera hur reglerna om riskbedömning ska utfor- mas och kunna kompletteras vid behov. Det ingår att analysera hur krav om riskbedömning förhåller till annan lagstiftning om liknande krav.

Vidare ska kritiska verksamhetsutövare rapportera incidenter som medför eller skulle kunna medföra en betydande störning för samhällsviktiga tjänster. Utredningen behöver analysera hur bedöm- ningen ska gå till och till vilken myndighet rapportering ska ske.

Bakgrundskontroller

I Sverige gäller lagen (1998:620) om belastningsregister. Det förs av Polismyndigheten som är personuppgiftsansvarig. Enligt lagen ska uppgifter ur belastningsregistret lämnas ut om det begärs av särskilt utpekade svenska myndigheter som till exempel en åklagarmyndig- het för visst syfte. Därutöver får även en myndighet i övrigt, i den utsträckning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger tillstånd till det, begära ut uppgifter. Den enskilde får också begära uppgifter om sig själv. Även utländska organ kan begära ut uppgifter. Slutligen finns det vissa särregler för till exempel Advokatsamfundet och enskilda kan i vissa särskilda fall begära uppgifter om andra enskilda.

Kritiska verksamhetsutövare ska enligt direktivet kunna ansöka om bakgrundskontroller för personer som har en känslig roll i verk- samheten. En sådan kontroll ska bekräfta identiteten och även inne- fatta uppgifter från belastningsregistret.

Utredningen behöver föreslå ett system för bakgrundskontroller. Det ska bygga på att kritiska verksamhetsutövare på ett effektivt sätt ska få kännedom om brott, men samtidigt ska integritetsintrånget för den enskilde inte vara större än nödvändigt. Enligt regeringen ska systemet inte bygga på verksamhetsutövaren själv kan begära ut upp- gifterna. Med verksamhetsutövare avses enligt utredningens bedöm- ning en nuvarande eller framtida arbetsgivaren, som kan vara en offentlig eller enskild verksamhetsutövare. Det betyder att verksam- hetsutövaren kan vara exempelvis en myndighet, men även ett företag.

93

Myndigheternas ansvarsfördelning

Även enligt detta direktiv ska en gemensam kontaktpunkt för sam- arbetet med andra myndigheter utses. Vidare ska det finnas en eller flera myndigheter som ska ansvara för direktivets tillämpning på nationell nivå.

Det finns ett krav på samstämmighet mellan de två direktiven. Det anges att verksamhetsutövare som har identifierats som kritiska enligt CER-direktivet även ska anses vara väsentliga enligt NIS2- direktivet och att myndigheterna som ansvar för tillämpningen av respektive direktiv ska utbyta information om hot, incidenter och åtgärder.

Mot den angivna bakgrunden anger regeringen att samma myn- dighet bör utöva tillsyn över såväl verksamheter enligt NIS2-direk- tivet som CER-direktivet. MSB är redan nationell kontaktpunkt för det arbete som bedrivs inom ramen för direktiv 2008/114/EG,5 som alltså ersätts av CER-direktivet. Enligt regeringen bör därför MSB utses till nationell kontaktpunkt även för CER-direktivet. MSB bör även ha en samordnande roll för tillsynsmyndigheterna enligt CER- direktivet på sätt som den redan har för tillsynsmyndigheterna enligt NIS-regelverket. MSB bör också få del av relevant information från tillsynsmyndigheterna och ha en samordnande roll om riskbedöm- ningen. Utredningen ska därför föreslå ett system för tillsyn för CER-direktivet, som är samordnat med NIS2-direktivet. Det betyder att föreslå vilka myndigheter som ska vara tillsynsmyndigheter och föreslå hur MSB:s roll som gemensam nationell kontaktpunkt ut- formas. I denna del är det självklart att de överväganden om myndig- hetsstruktur som gjordes för NIS2-direktivet kommer att vara ut- redningens utgångspunkt.

Myndigheternas befogenheter

Myndigheterna ska ha rätt att utföra inspektioner av kritisk infra- struktur och riskhanteringsåtgärder, ha rätt att besluta om säkerhets- revision samt kunna kräva information och rättelse. Medlemsstaterna ska anta regler om effektiva, proportionella och avskräckande sank- tioner.

5Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna.

94

Medlemsstaterna har större valfrihet avseende utformningen av myndigheternas verktyg för CER-direktivet jämfört med NIS2- direktivet. Samtidigt är utgångspunkten att tillsynen enligt båda direk- tiven ska kunna utövas på ett samordnat och effektivt sätt. Vidare ska ingripanden och sanktionerna enligt direktiven framstå som propor- tionerliga i förhållande till varandra och vara förutsebara.

2.1.4Gemensamma frågor för NIS2 och CER

Som framgår ovan under 2.1.1 återstår det för utredningen att klar- lägga om det finns gemensamma frågor för NIS2- och CER-direk- tiven. Det ska noteras att det ska vara frågor som är hänförliga till genomförandet av CER-direktivet eller i övrigt syftar till att uppnå en sammanhängande reglering. Ett exempel som utredningen identi- fierade vid arbetet med delbetänkandet är som även framgår ovan att det av artiklarna 2.3 och 3.1 f i NIS2-direktivet följer att alla verk- samhetsutövare som är kritiska enligt CER-direktivet också är väsentliga enligt NIS2-direktivet. Det ska dock beaktas att utred- ningen saknar mandat för att genomföra justeringar av tidigare slut- satser om NIS2-direktivet, eftersom det arbetet är avslutat och ett delbetänkande har överlämnats.

2.1.5Anpassning av säkerhetsskyddslagen

Vidare återstår det för utredningen enligt regeringens tilläggsdirek- tiv att analysera hur den nya regleringen ska fungera vid sidan om säkerhetsskyddsregleringen och föreslå ändringar som behövs för att uppnå en mer sammanhållen systematik mellan regelverken, sär- skilt vad gäller tillsynsmyndigheternas befogenheter och sanktioner. Här ska noteras att utredningen redan i delbetänkandet har genom- fört en omfattande analys om hur säkerhetsskyddsregleringen ska för- hålla sig till cybersäkerhetsregleringen. Utredningen har därför redan klarlagt i vilken utsträckning cybersäkerhetslagen ska vara tillämplig för verksamheter som redan omfattas av säkerhetsskyddslagen (2018:585). Slutsatsen blev att myndigheter som bedriver säkerhets- känslig verksamhet till övervägande del undantas från cybersäker- hetsregleringen. Motsvarande ska gälla för enskilda verksamhetsut- övare som enbart bedriver säkerhetskänslig verksamhet. För övriga

95

offentliga och enskilda verksamhetsutövare som bedriver säkerhets- känslig verksamhet gäller för den säkerhetskänsliga delen enbart kraven om anmälningsskyldighet i cybersäkerhetslagen, medan lagen i dess helhet gäller för den övriga verksamheten.

Utredningen kommer att på samma sätt analysera förhållandet mellan CER-direktivet och säkerhetsskyddsregleringen i detta slut- betänkande.

Därutöver är det dock en kvarstående uppgift för utredningen att anpassa säkerhetsskyddsregleringens bestämmelser om tillsynsbe- fogenheter och sanktioner efter NIS2-direktivets och CER-direkti- vets tillsynsbefogenheter och sanktioner. Skälet är att det inte skulle vara önskvärt om säkerhetsskyddsregleringen innehöll mindre ingri- pande befogenheter och sanktioner än regleringen avseende NIS2- direktivet och CER-direktivet.

2.1.6Sekretess och dataskydd

Slutligen är också en återstående uppgift för utredningen att ta ställning till om bestämmelserna i offentlighets- och sekretesslagen (2009:400), OSL, innebär ett tillräckligt skydd för sådana uppgifter som kan komma att behandlas enligt direktiven. Såväl NIS2-direktivet som CER-direktivet kräver att verksamhetsutövaren lämnar uppgifter. Direktiven ställer krav på konfidentialitet. Det behöver därför klargöras om de nationella reglerna om sekretess i OSL är tillräck- liga. Den frågan lyftes redan av remissinstanserna vid beredningen av NIS-lagen. Regeringen bedömde då att sekretesskyddet var till- räckligt, men frågan behöver på nytt analyseras med hänsyn särskilt till CER-direktivets bestämmelser.

Vidare behöver utredningen analysera vilken personuppgifts- behandling direktiven ger upphov till och kan särskilt behöva göra överväganden om sekretess och dataskydd avseende utformning av system för bakgrundskontroller.

2.1.7Konsekvensanalys

En viktig uppgift för utredningen är att göra en konsekvensanalys för förslagen. Det handlar särskilt om ekonomiska konsekvenser för de myndigheter som utredningen föreslår uppgifter för. Vidare kom-

96

mer offentliga som enskilda verksamhetsutövares kostnader att kunna öka till följd av att nya skyldigheter åläggs dem. Även påverkan på den kommunala självstyrelsen ska analyseras.

Kostnadsökningar för det allmänna ska utredningen föreslå en finansiering för.

Utredningens gav i delbetänkandet Sweco Aktiebolag (Sweco) i uppdrag att ge in ett underlag för att utredningen ska kunna bedöma de ekonomiska konsekvenserna för de myndigheter som kommer att få uppgifter enligt den nya regleringen om NIS2. Som framgår av delbetänkandet hade dock ett flertal av myndigheterna svårigheter att inom den begränsade utredningstiden kunna bedöma sina kost- nader för uppgifterna enligt cybersäkerhetsregleringen, varför Swecos underlag inte kunde läggas till grund för någon bedömning i delbe- tänkandet.

Tiden för att införliva CER-direktivet är än mer begränsat och uppgår till drygt sex månader. Detta talar emot att använda samma metod. Det ska vidare noteras att skillnaden mellan NIS2- och CER- direktiven har bäring på hur konsekvensanalysen ska utformas. För att omfattas av NIS2-direktivet är det tillräckligt att verksamhetsut- övaren omfattas av en utpekad sektor i bilagor till direktivet. Det betydde att det tillsynsmyndigheterna behövde göra för att upp- skatta sina kostnader för tillsyn enligt NIS2- direktivet var att be- räkna antalet verksamhetsutövare som skulle omfattas inom respek- tive sektor. Som kommer att framgå närmare av kapitel 6 är förut- sättningarna för att omfattas av CER mer långtgående. Det krävs dels att verksamhetsutövaren ingår i en utpekad sektor som anges i bilagan till CER-direktivet, dels att verksamhetsutövaren identi- fierats som kritisk. Det betyder att det är en tvåstegsprocess som kommer att bli tidskrävande. Enligt artikel 6.1 i CER-direktivet ska också medlemsstaterna först den 17 juli 2026 ha identifierat de kritiska verksamhetsutövarna. Det betyder att kostnaderna för till- syn enligt CER-direktivet aktualiseras först 2027.

2.2Utredningens uppdrag och arbete

Utredningens arbete har bedrivits på sedvanligt sätt med regel- bundna möten med sakkunniga och experter samt med deltagarna i en till utredningen knuten referensgrupp. Utredningen har haft tre

97

protokollförda möten med expert- och sakkunniggruppen och två med referensgruppen.

Utredningen har också träffat Läkemedelsverket, MSB och Polis- myndigheten.

Utredningen har löpande hållit Regeringskansliet informerat om arbetet.

Utredningen har därutöver samverkat med bland annat Uppdrag att förbättra bakgrundskontroller i kommunerna (Ju 2024:A). Utred- ningen har informerat utredningen Samordning för nationell digital infrastruktur i hälso- och sjukvården (S 2023:14) om uppdraget.

2.3Betänkandets disposition

Betänkandet inleds i kapitel 3 med en övergripande beskrivning av CER-direktivet. I kapitel 4 redogörs för sektorerna som följer enligt CER-direktivet och skillnader gentemot motsvarigheterna enligt NIS2-direktivet. Av kapitel 5 följer den föreslagna lagens tillämp- ningsområde. I kapitel 6 behandlas systemet för identifiering av kri- tiska verksamhetsutövare och de förteckningar som ska föras. Där- efter följer i kapitel 7 en redogörelse för bestämmelserna kring kritiska verksamhetsutövare av särskild europeisk betydelse. I kapitel 8 redo- görs för de kritiska verksamhetsutövarnas riskbedömning, åtgärder för motståndskraft och incidentrapportering. I kapitel 9 behandlas bak- grundskontroller. I kapitel 10 och 11 behandlas tillsyn respektive ingripanden och sanktioner. Kapitel 12 behandlar gemensam kon- taktpunkt i Sverige och dess uppgifter. I kapitel 13 redogörs för be- stämmelser om sekretess kopplat till NIS2- och CER-direktiven. Kapitel 14 innehåller föreslag till ändringar av säkerhetsskydds- regleringen. I kapitel 15 återfinns konsekvensanalysen. Kapitel 16 behandlar frågor kopplade till ikraftträdande. Avslutningsvis åter- finns författningskommentaren i kapitel 17.

Det finns därutöver fyra bilagor till betänkandet. Kommitté- direktivet återfinns i bilaga 1. Utredningens tilläggsdirektiv finns i bilaga 2. I bilaga 3 finns CER-direktivet. Bilaga 4 innehåller en parallell- uppställning över direktivets artiklar och de bestämmelser i utred- ningens författningsförslag som genomför dem.

98

Direktivet omfattar energi- och transportsektorerna (artikel 3), och går huvudsakligen ut på att EU:s medlemsstater ska identifiera och utse europeisk kritisk infrastruktur, ECI.

Myndigheten för samhällsskydd och beredskap är utpekad nationell kontaktpunkt för arbetet med EPCIP-frågorna i Sverige. Trafikverket, Affärsverket svenska kraftnät och Statens energimyn- dighet ska identifiera och redovisa eventuell kritisk infrastruktur till MSB. Den nationella kontaktpunkten, MSB, ska samordna frågor kring skydd av kritisk infrastruktur i Sverige med andra medlems- stater och med EU-kommissionen.

Europaparlamentet och Europeiska rådet antog den 14 december 2022 CER-direktivet. Direktivet ska vara genomfört i svensk rätt den 17 oktober 2024. Genom artikel 27 upphävs direktiv 2008/114/EG.

I kapitel 16 redogörs för de författningsändringar som krävs i och med att direktiv 2008/114/EG upphör att gälla.

3.2Bakgrund och syfte

I CER-direktivet konstateras att kritiska verksamhetsutövare spelar en avgörande roll för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet på den inre marknaden. Det är därför enligt direktivet viktigt att det på unionsnivå skapas en regler- ing som syftar till att stärka kritiska verksamhetsutövares mot- ståndskraft genom att fastställa harmoniserade minimiregler. I CER- direktivet anges även att det är viktigt att bistå verksamhetsutövarna genom enhetligt stöd och tillsynsåtgärder. Vid utvärderingen av rådets direktiv 2008/114/EG1 konstaterades att säkerhetsåtgärderna i det direktivet inte är tillräckliga för att förhindra alla störningar som kan uppstå. Det är därför nödvändigt att säkerställa att risker redovisas bättre, att skapa enhetlighet i rollen och uppgifterna för kritiska verksamhetsutövare och att det antas unionsregler för att stärka kritiska verksamhetsutövares motståndskraft. Kritiska verk- samhetsutövare bör kunna öka sin förmåga att förebygga, skydda sig mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från incidenter som kan störa tillhandahållandet av samhällsviktiga tjänster. Vidare anges i direktivet att kritiska verk-

1Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna.

100

samhetsutövare behöver rustas bättre eftersom det finns en dyna- misk hotbild och ett ökande ömsesidigt beroende mellan infrastruk- tur och de olika sektorerna. Direktivet syftar till att åstadkomma en solid harmoniseringsnivå för sektorer och kategorier av verksam- hetsutövare som omfattas av tillämpningsområdet. Direktivet in- rättar en övergripande ram för att hantera kritiska verksamhets- utövares motståndskraft med hänsyn till alla faror, oberoende av om det är naturliga faror eller orsakade av människan, olyckshändelser eller avsiktligt framkallade faror (skäl 1–4).

3.3Riskbedömning av medlemsstaterna

Kommissionen ges i direktivet befogenhet att anta en delegerad akt senast den 17 november 2023 för att komplettera direktivet med en icke uttömmande förteckning över samhällsviktiga tjänster inom de sektorer och undersektorer som omfattas av direktivet. Kommissionen antog en sådan förordning den 25 juli.2 De behöriga myndigheterna ska använda förteckningen för att göra en riskbedömning senast den

17januari 2026 (medlemsstaternas riskbedömning). Medlemsstater- nas riskbedömningar ska innehålla en redogörelse för relevanta risker för naturolyckor och risker orsakade av människan, inbegripet risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan och hybridhot eller andra antagonistiska hot.

Inom tre månader från att riskbedömningen har gjorts ska med- lemsstaten förse kommissionen med relevant information om de typer av risker som har identifierats och resultatet av riskbedöm- ningen per sektor och undersektor (artikel 5).

3.4Identifiering av kritiska verksamhetsutövare

Senast den 17 juli 2026 ska medlemsstaterna identifiera de kritiska verksamhetsutövarna för de sektorer och undersektorer som anges i direktivets bilaga. Bilagan innehåller följande 11 sektorer:

2Kommissionens delegerade förordning (EU) 2023/2450 av den 25 juli 2023 om kom- plettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster.

101

•Energi, med undersektorerna elektricitet, fjärrvärme eller fjärr- kyla, olja, gas och vätgas.

•Transport, med undersektorerna luftfart, järnväg, vatten, väg och kollektivtrafik.

•Bankverksamhet.

•Finansmarknadsinfrastruktur.

•Hälso- och sjukvård.

•Dricksvatten.

•Avloppsvatten.

•Digital infrastruktur.

•Offentlig förvaltning.

•Rymden.

•Produktion, bearbetning och distribution av livsmedel.

När en medlemsstat identifierar kritiska verksamhetsutövare ska den ta hänsyn till resultatet av sin riskbedömning samt den strategi för att stärka kritiska verksamhetsutövares motståndskraft som ska antas enligt artikel 4.

För att en verksamhetsutövare ska identifieras som kritisk enligt direktivet ska tre kriterier vara uppfyllda. För det första ska verk- samhetsutövaren tillhandahålla en eller flera samhällsviktiga tjänster i eller till medlemsstaten, för det andra ska verksamhetsutövaren ha sin kritiska infrastruktur belägen där, för det tredje att en incident skulle få betydande störande effekter för tillhandahållandet av en eller flera samhällsviktiga tjänster. Samhällsviktig tjänst definieras i artikel 2.5 i direktivet som en tjänst som är avgörande för att upp- rätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folk- hälsa och allmän säkerhet, eller miljön.

När en medlemsstat fastställer om en störande effekt är betydande ska den beakta följande kriterier:

•Antalet användare som är beroende av den samhällsviktiga tjänsten.

•Hur beroende andra sektorer som omfattas av direktivet är av den samhällsviktiga tjänsten.

102

•Vilken effekt incidenter kan få för ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och tryggheten eller befolkningens hälsa.

•Verksamhetsutövarens marknadsandel.

•Det geografiska område som skulle kunna påverkas av en incident.

•Verksamhetsutövarens betydelse för upprätthållandet av en till- räcklig nivå på den samhällsviktiga tjänsten.

Varje medlemsstat ska upprätta en förteckning över de kritiska verk- samhetsutövare som har identifierats och säkerställa att dessa under- rättas om att de har identifierats som kritiska inom en månad från identifieringen. Medlemsstaterna ska också informera verksamhets- utövarna om deras skyldigheter och från och med vilket datum skyl- digheterna gäller. Förteckningen ska ses över och uppdateras vid behov men minst vart fjärde år.

Efter identifieringen ska varje medlemsstat utan onödigt dröjs- mål lämna följande information till kommissionen:

•En förteckning över samhällsviktiga tjänster i den medlemsstaten.

•Det antal kritiska verksamhetsutövare som har identifierats för varje sektor och undersektor, och för varje samhällsviktig tjänst.

•Eventuella tröskelvärden som har tillämpats för att fastställa om en störande effekt är betydande.

Därefter ska medlemsstaterna lämna informationen när det är nöd- vändigt men minst vart fjärde år (artikel 6–7).

3.5Behöriga myndigheter och gemensam kontaktpunkt

Varje medlemsstat ska utse eller inrätta en eller flera behöriga myn- digheter som är ansvariga för tillämpningen och efterlevnadskon- trollen av direktivet. Därutöver ska varje medlemsstat också utse en gemensam kontaktpunkt. Den gemensamma kontaktpunkten ska utöva en sambandsfunktion som säkerställer gränsöverskridande samarbete med de gemensamma kontaktpunkterna i andra medlems-

103

stater och den grupp för kritiska verksamhetsutövares motstånds- kraft som inrättas genom direktivet. En medlemsstat får föreskriva att den gemensamma kontaktpunkten även ska ha en sambands- funktion med kommissionen och säkerställa samarbete med tredje- länder. Varje medlemsstat ska säkerställa att dess behöriga myndig- heter och gemensamma kontaktpunkt samråder och samarbetar med andra relevanta myndigheter när så är lämpligt (artikel 9).

3.6Riskbedömning av kritiska verksamhetsutövare

Medlemsstaterna ska säkerställa att kritiska verksamhetsutövare gör en riskbedömning inom nio månader från mottagandet av under- rättelsen om att de har identifierats som kritiska. Riskbedömningen ska göras på grundval av medlemsstaternas riskbedömningar och andra informationskällor, för att bedöma alla relevanta risker som kan störa tillhandahållandet av deras samhällsviktiga tjänster. Risk- bedömningen ska innehålla en redogörelse för alla relevanta risker för naturolyckor och risker orsakade av människan som skulle kunna leda till en incident, inbegripet risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folk- hälsan och hybridhot samt andra antagonistiska hot (artikel 12).

3.7Kritiska verksamhetsutövares åtgärder för motståndskraft

Medlemsstaterna ska säkerställa att kritiska verksamhetsutövare vid- tar lämpliga och proportionella tekniska, säkerhetsmässiga och orga- nisatoriska åtgärder för att säkerställa sin motståndskraft. Dessa ska inbegripa åtgärder som är nödvändiga för att

a)förhindra incidenter från att uppstå, med vederbörlig hänsyn till åtgärder för katastrofriskreducering och klimatanpassning,

b)säkerställa ett tillfredställande skydd av deras lokaler och kritiska infrastruktur, med vederbörlig hänsyn till exempelvis stängsel, barriärer, verktyg och rutiner för övervakning av områdesgränser, detektionsutrustning och åtkomstkontroller,

104

c)reagera på, stå emot och begränsa konsekvenserna av incidenter, med vederbörlig hänsyn till genomförandet av risk- och kris- hanteringsförfaranden och protokoll samt varningsrutiner,

d)återhämta sig från incidenter, med vederbörlig hänsyn till åt- gärder för driftskontinuitet och identifiering av alternativa för- sörjningskedjor, för att återuppta tillhandahållandet av den sam- hällsviktiga tjänsten,

e)säkerställa en ändamålsenlig hantering av personalsäkerhet, med vederbörlig hänsyn till åtgärder såsom fastställande av kategorier av personal som utför kritiska funktioner, fastställande av åt- komsträttigheter till lokaler, kritisk infrastruktur och känslig information, inrättande av förfaranden för bakgrundskontroller i enlighet med artikel 14 och fastställande av de kategorier av personer som måste genomgå sådana bakgrundskontroller samt fastställande av lämpliga utbildningskrav och kvalifikationer, och

f)öka medvetenheten om de åtgärder som anges i a-e hos berörd personal, med vederbörlig hänsyn till utbildningskurser, informa- tionsmaterial och övningar.

Medlemsstaterna ska säkerställa att kritiska verksamhetsutövare har och tillämpar en plan för motståndskraft eller ett eller flera likvärdiga dokument med en beskrivning av de åtgärder som vidtagits enligt ovan. Medlemsstaterna ska också säkerställa att kritiska verksam- hetsutövare utser en sambandsansvarig eller motsvarande som kon- taktpunkt med de berörda myndigheterna (artikel 13).

3.8Bakgrundskontroller

Medlemsstaterna ska ange de villkor enligt vilka en kritisk verksam- hetsutövare får ansöka om bakgrundskontroller av personer som

a)innehar känsliga roller i eller till förmån för den känsliga verksam- hetsutövaren, särskilt när det gäller den kritiska verksamhets- utövarens motståndskraft,

b)har bemyndigats att direkt eller på distans få tillgång till den kri- tiska verksamhetsutövarens lokaler eller dess informations- eller kontrollsystem,

105

c)övervägs för rekrytering till tjänster som omfattas av de kriterier som anges i a eller b.

Ansökningarna ska bedömas inom rimlig tid och hanteras i enlighet med nationell rätt och nationella förfaranden samt relevant och tillämplig unionsrätt. Bakgrundskontroller ska vara proportionella och strikt begränsade till vad som är nödvändigt. De ska utföras enbart i syfte att utvärdera en potentiell säkerhetsrisk för den kritiska verksamhetsutövaren.

En bakgrundkontroll ska åtminstone bekräfta identiteten på den person som är föremål för kontrollen samt kontrollera uppgifter ur kriminalregistret avseende brott som är relevanta för en viss tjänst (artikel 14).

3.9Incidentanmälan

Medlemsstaterna ska säkerställa att kritiska verksamhetsutövare utan onödigt dröjsmål lämnar en anmälan till den behöriga myndigheten om incidenter som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster. Om det inte är opera- tivt omöjligt ska en första anmälan lämnas inom 24 timmar efter det att verksamhetsutövaren fått kännedom om incidenten. En detal- jerad rapport ska lämnas senast en månad därefter.

För att fastställa om störningen är betydande ska i synnerhet följande tas i beaktande:

a)antal användare som berörs av störningen,

b)störningens varaktighet, och

c)det geografiska område som påverkas av störningen, med beaktande av om området är geografiskt isolerat.

Om en incident har eller kan ha en betydande påverkan på konti- nuiteten i tillhandahållandet av samhällsviktiga tjänster i minst sex medlemsstater ska incidenten anmälas till kommissionen.

En incidentanmälan ska omfatta all tillgänglig information som är nödvändig för att den behöriga myndigheten ska förstå inciden- tens art, orsak och möjliga konsekvenser.

106

Den gemensamma kontaktpunkten ska informera dess motsva- righeter i andra medlemsstater som påverkas om incidenten har eller kan ha en betydande påverkan på kritiska verksamhetsutövare och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster i en eller flera andra medlemsstater.

Så snart som möjligt efter en anmälan ska den behöriga myndig- heten ge verksamhetsutövaren relevant uppföljningsinformation, in- klusive information som skulle kunna hjälpa verksamhetsutövaren att reagera ändamålsenligt på incidenten. Medlemsstaterna ska infor- mera allmänheten om de anser att det skulle ligga i allmänhetens intresse (artikel 15).

3.10Kritiska verksamhetsutövare av särskild europeisk betydelse

En kritisk verksamhetsutövare ska betraktas som en kritisk verk- samhetsutövare av särskild europeisk betydelse om den har identi- fierats som kritisk enligt direktivet och den tillhandahåller samma eller liknande samhällsviktiga tjänster till eller i minst sex medlems- stater. Medlemsstaterna ska säkerställa att en kritisk verksamhets- utövare informerar sin behöriga myndighet om den tillhandahåller samhällsviktiga tjänster till så många medlemsstater. Medlemsstaterna ska utan onödigt dröjsmål underrätta kommissionen om identiteten på dessa kritiska verksamhetsutövare. Kommissionen ska då samråda med behöriga myndigheter i de berörda medlemsstaterna och den kritiska verksamhetsutövaren i fråga. Om kommissionen på grund- val av samråden fastställer att den berörda verksamhetsutövaren till- handahåller samhällsviktiga tjänster till eller i fler än sex medlems- stater ska kommissionen, via den behöriga myndigheten, underrätta den berörda verksamhetsutövaren om att den betraktas som en kritisk verksamhetsutövare av särskild europeisk betydelse och informera om dess skyldigheter enligt direktivet (artikel 17).

107

3.11Rådgivande uppdrag

På begäran av en medlemsstat som identifierat en kritisk verksamhets- utövare av särskild europeisk betydelse ska kommissionen anordna ett så kallat rådgivande uppdrag för att bedöma de åtgärder som den kritiska verksamhetsutövaren infört för att uppfylla sina skyldig- heter enligt direktivet. Kommissionen får också anordna ett råd- givande uppdrag på eget initiativ eller på begäran av en eller flera medlemsstater till eller i vilka den samhällsviktiga tjänsten tillhanda- hålls. Detta under förutsättning att den medlemsstat som har identi- fierat verksamhetsutövaren samtycker till detta. Ett rådgivande uppdrag ska bestå av experter från den medlemsstat där den kritiska verksamhetsutövaren av särskild europeisk betydelse är belägen, experter från de medlemsstater till eller i vilka den samhällsviktiga tjänsten tillhandahålls och företrädare för kommissionen. Kommis- sionen ska anta en genomförandeakt om regler och förfaranden för rådgivande uppdrag. Medlemsstaterna ska säkerställa att kritiska verksamhetsutövare av särskild europeisk betydelse ger det råd- givande uppdraget åtkomst till uppgifter, system och anläggningar som rör tillhandahållandet av deras samhällsviktiga tjänster (artikel 18).

3.12Gruppen för kritiska verksamhetsutövares motståndskraft

Genom CER-direktivet inrättas en grupp för kritiska verksamhets- utövares motståndskraft. Gruppen ska ge kommissionen stöd samt underlätta samarbete och informationsutbyte mellan medlemsstaterna i frågor som rör direktivet. Gruppen består av företrädare för medlems- staterna och kommissionen. Kommissionens företrädare är ordförande i gruppen (artikel 19).

3.13Tillsyn, efterlevnadskontroll och sanktioner

För att bedöma om de verksamhetsutövare som har identifierats enligt direktivet fullgör de skyldigheter som fastställs i direktivet ska med- lemsstaterna säkerställa att de behöriga myndigheterna har befogen- heter och medel att

108

a)genomföra inspektioner på plats av den kritiska infrastruktur och de lokaler som den kritiska verksamhetsutövaren använder för att tillhandahålla sina samhällsviktiga tjänster och tillsyn på distans av de åtgärder för motståndskraft som vidtagits av verksamhets- utövaren i enlighet med artikel 13, och

b)utföra eller beställa revisioner av kritiska verksamhetsutövare.

Medlemsstaterna ska också säkerställa att de behöriga myndigheterna har befogenheter och medel att kräva att verksamhetsutövare enligt NIS2-direktivet som identifierats som kritiska enligt CER-direktivet inom en rimlig tidsfrist lämnar

a)den information som är nödvändig för att bedöma om de åtgärder som verksamhetsutövarna har vidtagit för att säkerställa sin motståndskraft uppfyller kraven i artikel 13,

b)bevis på att åtgärderna faktiskt har genomförts, inklusive resul- tatet av en revision som har utförts av en oberoende och kvalifi- cerad revisor som har valts av verksamhetsutövaren och som har utförts på verksamhetsutövarens bekostnad.

Medlemsstaterna ska säkerställa att de behöriga myndigheterna enligt CER-direktivet kan begära att de behöriga myndigheterna enligt NIS2-direktivet ska utöva sina tillsynsbefogenheter på en verksam- hetsutövare enligt NIS2-direktivet som har identifierats som kritisk enligt CER-direktivet. För det ändamålet ska medlemsstaterna säker- ställa att de behöriga myndigheterna samarbetar och utbyter informa- tion (artikel 21).

Medlemsstaterna ska fastställa regler om sanktioner för över- trädelser av de nationella åtgärder som antagits och vidta alla nöd- vändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande (artikel 22).

109

4.2.2Transport

Sektorn transport omfattar samma undersektorer och kategorier av verksamhetsutövare som i NIS2-direktivet med den skillnaden att även undersektorn kollektivtrafik omfattas av CER-direktivet.

•Kollektivtrafikföretag enligt definitionen i artikel 2 d i Europa- parlamentets och rådets förordning (EG) nr 1370/2007.3

Med kollektivtrafikföretag avses enligt den definitionen ett offent- ligt eller privat företag, eller en offentlig eller privat företagsgrupp, som bedriver kollektivtrafik, eller ett offentligt organ som tillhanda- håller kollektivtrafiktjänster.

4.2.3Hälso- och sjukvård

Sektorn hälso- och sjukvård omfattar samma undersektorer och kategorier av verksamhetsutövare som i NIS2-direktivet med den skillnaden att en ytterligare kategori av verksamhetsutövare lagts till i CER-direktivet, nämligen verksamhetsutövare med tillstånd att bedriva partihandel i den mening som avses i artikel 79 i direktiv 2001/83/EG.4 Artikel 79 i det direktivet anger vilka minimikrav som en sökande ska uppfylla för att få tillstånd att bedriva partihandel med läkemedel. För att bedriva partihandel med läkemedel krävs i Sverige tillstånd från Läkemedelsverket. Alla som har tillstånd till partihandel i något land i EU eller EES får handla i alla länder i EU och EES med de läkemedel som tillståndet omfattar.

4.2.4Offentlig förvaltning

Sektorn offentlig förvaltning omfattar samma undersektorer och kategorier av verksamhetsutövare som i NIS2-direktivet med den skillnaden att offentliga verksamhetsutövare på regional nivå inte omfattas av CER-direktivet. Det är därmed endast offentliga verk- samhetsutövare hos nationella regeringar såsom de definieras av en

3Europaparlamentets och rådets förordning (EG) nr 1370/2007 av den 23 oktober 2007 om kollektivtrafik på järnväg och väg och om upphävande av rådets förordning (EEG) nr 1191/69 och (EEG) nr 1107/70.

4Europaparlamentets och rådets direktiv 2001/83/EG av den 6 november 2001 om upp- rättande av gemenskapsregler för humanläkemedel.

112

medlemsstat i enlighet med nationell rätt som ingår i sektorn, se vidare kapitel 5.

4.2.5Produktion, bearbetning och distribution av livsmedel

Sektorn omfattar samma kategorier av verksamhetsutövare som i NIS2-direktivet med den skillnaden att livsmedelsföretag som ute- slutande bedriver logistikverksamhet har lagts till. Vidare har ordet storskalig lagts till i CER-direktivet när det gäller livsmedelsföretag som bedriver industriell produktion och bearbetning.

113

viktiga samhällsfunktioner, ekonomisk verksamhet, folkhälsa, allmän säkerhet eller miljön. I direktivet pekas elva sektorer ut. Här ingår bland annat energi, transport och offentlig förvaltning. Samtliga sektorer tillhandahåller enligt utredningens bedömning samhällsvik- tiga tjänster som är avgörande för att säkerställa viktiga samhälls- funktioner. Det betyder att utredningen i sitt författningsförslag kommer att definiera samhällsviktig tjänst som en tjänst som är avgörande för att upprätthålla viktiga samhällsfunktioner, ekono- misk verksamhet, folkhälsa och allmän säkerhet, eller miljön.

Vidare anges i artikel 1 a att direktivet särskilt innehåller skyldig- heter för medlemsstaterna att identifiera kritiska entiteter och att stödja dem i deras uppfyllande av skyldigheterna som följer av att vara en sådan entitet.

Utredningen drog i delbetänkandet för NIS2 slutsatsen att det direktivet inte skulle införlivas direktivnära utan att det skulle ske en anpassning till den systematik som gäller för svensk rätt och att svenskt språkbruk skulle eftersträvas.1 Motsvarande ska även gälla för införlivandet av CER-direktivet.

En utmaning blir då de olika begreppen. Direktivet handlar om att tillhandahålla tjänster som är nödvändiga för viktiga samhälls- funktioner genom att identifiera och stärka motståndskraften hos kritiska entiteter. Utredningen ersatte i sitt delbetänkande be- greppet entitet med verksamhetsutövare. Av förenklingsskäl föreslår utredningen att entiteter även i detta sammanhang ersätts med verk- samhetsutövare.

Av artikel 1 följer vidare att direktivet innehåller skyldigheter för kritiska entiteter, dvs. kritiska verksamhetsutövare för att stärka deras motståndskraft och förmåga att tillhandahålla tjänster på den inre marknaden. Vidare framgår det att direktivet innehåller bestäm- melser om tillsyn och efterlevnadskontroll samt gemensamma för- faranden för samarbete och rapportering. Slutligen följer också av direktivet att det finns särskilda bestämmelser för kritiska verksam- hetsutövare av särskild europeisk betydelse.

Av det anförda följer att CER-direktivet sammantaget handlar om att säkerställa samhällsviktiga tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner. För att kunna göra det ska kritiska verksamhetsutövare som tillhandahåller sådana tjänster identifieras och deras motståndskraft ska stärkas. Sammantaget

1Se kapitel 5 i SOU 2024:18.

116

föreslår utredningen att syftet med lagen är att kritiska verksamhets- utövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster i de utpekade sektorerna och att detta styr lagens namn.

5.2Vem kan omfattas av lagen?

Utredningens förslag: Lagen gäller för enskilda och offentliga verksamhetsutövare som har identifierats som kritiska enligt 2 kap. 1 § i den föreslagna lagen.

Som framgår ovan innehåller direktivet skyldigheter för kritiska verksamhetsutövare. Avgörande är därför definitionen i artikel 2.1. Där anges det att kritisk verksamhetsutövare betyder en offentlig eller privat verksamhetsutövare som medlemsstaten har identifierat i enlighet med artikel 6. Av den artikeln följer att medlemsstaterna ska identifiera de kritiska verksamhetsutövarna för de sektorer och undersektorerna som anges i bilagan. Systematiken innebär således att direktivets bestämmelser ska vara tillämpliga för verksamhetsut- övare som omfattas av bilagan till direktivet och uppfyller rekvisiten för att kunna pekas ut som kritisk, samt att den har pekats ut som kritisk av en medlemsstat.

Innebörden av det anförda är att direktivet som huvudregel anger att verksamhetsutövare som omfattas av bilagan kan, men behöver inte, omfattas av direktivets bestämmelser. De verksamhetsutövare som kan omfattas är de som är verksamma inom de elva sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden och produktion, bearbetning och distribution av livsmedel. Som framgår av direktivets bilaga delas sedan vissa av dessa sektorer in i undersektorer. Definitionen av sektorn eller undersektorn anges också i bilagan, oftast genom hänvisning till andra EU-rättsakter. I denna del är CER-direktivet uppbyggt på samma sätt som NIS2-direktivet. Skillnaden mellan NIS2-direktivet och CER-direktivet är att det för CER-direktivet inte räcker att verksamheten ingår i en sektor för att omfattas av direktivets krav och därmed av utredningens förslag till lag. Därutöver tillkommer det alltså som krav för att omfattas att medlemsstaten enligt artikel 6 identifierat verksamhetsutövaren som kritisk. Utredningen kommer

117

att lämna förslag om identifiering av kritiska verksamhetsutövare i kapitel 6.

Vidare ska kommissionens delegerade förordning (EU) av den 25.7.2023 om komplettering av Europaparlamentets och rådets direktiv (EU) 2022/2557 genom upprättande av en förteckning över samhällsviktiga tjänster noteras.2 Av artikel 1 i förordningen följer att det är en icke-uttömmande förteckning över samhällsviktiga tjänster i de sektorer och undersektorer som anges i bilagan till CER-direktivet. I motiveringen anges mot bakgrund av direktivets minimiharmoniseringsansats och förteckningens icke uttömmande karaktär att medlemsstaterna, i enlighet med EU-lagstiftningen, skulle kunna komplettera den med ytterligare samhällsviktiga tjänster på nationell nivå, särskilt för att ta hänsyn till nationella särdrag vid tillhandahållandet av samhällsviktiga tjänster.

Från MSB har anförts att för att fullt ut kunna nyttja CER- direktivets möjligheter att stärka samhällets motståndskraft och totalförsvar, bör den långsiktiga målsättningen vara att med stöd av lagen ge tillsynsmyndigheter möjlighet att peka ut verksamhets- utövare inom samtliga av de viktiga samhällsfunktioner som specifi- ceras i MSB:s vägledning Lista med viktiga samhällsfunktioner – Utgångspunkt för att stärka samhällets beredskap. Detta förutsätter dock att antalet sektorer och delsektorer utvidgas.

Det anges i artikel 6 att medlemsstaterna ska identifiera de kritiska verksamhetsutövarna för de sektorer och undersektorer som anges i bilagan. Direktivet är ett minimidirektiv, varför det skulle vara möjligt för utredningen att lägga till sektorer eller tjänster inom respektive sektor/undersektor. Denna fråga har utredningen behandlat i avsnitt

2.1.2.Som framgår där är utgångspunkten för utredningen dock att förslagen utformas så att regelbördan och administrationen minimeras för berörda verksamhetsutövare. Om utredningen lämnar mer långt- gående förslag ska utredningen motivera varför det är nödvändigt och göra en analys om förslagen är samhällsekonomiskt effektiva och hur svenska företags konkurrenskraft skulle påverkas. En slut- sats är därför att tidsramen för uppdraget i hög grad utgör hinder för en utökning av sektorerna. Som vidare framgår ovan behandlar kommissionens förteckning också enbart verksamhetsutövare inom de utpekade sektorerna i bilagan. Denna förteckning är inte ut-

2https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM:C(2023)4878, inhämtat 2024-03-28.

118

tömmande. Det betyder att utredningen inte kommer att begränsa sina förslag till förteckningen, men till verksamhetsutövare inom sektorerna i bilagan till direktivet. Av skäl 18 i CER-direktivet följer bland annat att medlemsstaterna bör ta vara på det arbete som gjorts och de erfarenheter som dragits utifrån arbetet med att identifiera samhällsviktiga tjänster enligt NIS-direktivet. Utredningen anser att MSB:s publikation Lista med viktiga samhällsfunktioner – Utgångs- punkt för att stärka samhällets beredskap kan vara ett bra ingångsvärde i detta arbete.

Slutsatsen här är att den verksamhetsutövare som bedriver verk- samhet i en sektor som anges i bilagan till direktivet kan omfattas av direktivets krav. För att omfattas krävs det att medlemsstaten identi- fierar verksamhetsutövaren som kritisk. Utredningen kommer att behandla identifieringen i kapitel 6.

5.2.1Offentliga verksamhetsutövare

Utredningens förslag: En offentlig verksamhetsutövare är en aktör som bedriver verksamhet och är en statlig myndighet, region eller kommun.

Lagen gäller inte för regeringen, Regeringskansliet, utlands- myndigheter, kommittéväsendet, Riksrevisionen, Riksdagens om- budsmän, Sveriges Riksbank, Riksdagsförvaltningen och Sveriges domstolar.

Statliga myndigheter

Begreppet offentlig förvaltning i bilagan till CER-direktivet betyder enligt punkt 9 i bilagan offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat. I artikel 2.10 anges en definition för offentlig förvaltningsentitet. Det ska vara en entitet som erkänts som sådan i en medlemsstat enligt nationell rätt med undantag för rättsväsendet, parlament och centralbanker. Vidare ska fyra kriterier vara uppfyllda, som innebär att

1.verksamheten har inrättats för att tillgodose behov i det allmännas intresse och inte ha industriell eller kommersiell karaktär,

119

2.verksamheten har ställning som en juridisk person eller har lagstadgad rätt att företräda en annan verksamhet som har ställ- ning som juridisk person,

3.verksamheten finansieras till största delen offentligt, och

4.verksamheten har befogenhet att rikta administrativa eller reglerade beslut till fysiska eller juridiska personer som påverkar deras rättig- heter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.

I NIS2-direktivet är innebörden av offentlig förvaltning i bilagan bredare, eftersom det ingår både offentliga förvaltningsentiteter hos nationella regeringar och offentliga förvaltningsentiteter på regional nivå, dvs. regioner. Enligt CER-direktivet omfattas inte regioner i sektorn offentlig förvaltning. Inte heller kommuner ingår i sektorn offentlig förvaltning enligt den definition som följer av bilagan.

Det ska dock noteras att definitionerna av offentliga förvalt- ningsentiteter på nationell nivå är identiska i NIS2- och CER- direktiven.3 I sitt delbetänkande analyserade utredningen ingående innebörden av offentliga förvaltningsentiteter på nationell nivå för svensk rätt. Slutsatsen blev att som utgångspunkt kan samtliga statliga svenska myndigheter inklusive statliga affärsverk innefattas i definitionen. Eftersom det står ”hos regeringen” i definitionen i punkt 9 i bilagan till CER-direktivet och i NIS2-direktivet bör dock regeringen falla utanför, trots att det är en myndighet. Ordet ”hos” bör enligt utredningens tidigare bedömning även exkludera de fyra myndigheterna som lyder under riksdagen. Dessa är Riksrevisionen, Riksdagens ombudsmän (JO), Sveriges Riksbank och Riksdagsför- valtningen. Sveriges Riksbank är även uttryckligen undantagen i sin egenskap av centralbank. Detsamma gäller domstolarna, eftersom rättsväsendet är undantaget. I begreppet ”Sveriges domstolar” ingår enligt utredningens uppfattning även specialdomstolarna Arbets- domstolen och Försvarsunderrättelsedomstolen. Däremot ska följande aktörer med funktioner kopplade till rättsväsendet ändå kunna omfattas av den föreslagna regleringen: Domstolsverket, Rättshjälpsmyndigheten, Rättshjälpsnämnden, Domarnämnden, Notarienämnden och Överklagandenämnden för nämndemanna- uppdrag. Riksdagen är ingen myndighet utan en beslutande för-

3Se avsnitt 5.2.4 i SOU 2024:18.

120

samling och faller därför utanför lagens tillämpning. Utredningen gör alltså samma bedömning för CER-direktivets definition som för den likalydande NIS2-defintionen. När det gäller Regeringskansliet inklusive kommittéväsendet gör utredningen samma bedömning som gjordes i delbetänkandet4 att de på grund av sin särställning ska undantas.

Utredningen analyserade också särskilt de fyra kriterierna som redovisades ovan. Utredningen ansåg två av dem, att verksamheten har inrättats för att tillgodose behov i det allmännas intresse och inte har industriell eller kommersiell karaktär samt att verksamheten finansieras till största delen offentligt, vara självklara för offentlig verksamhet och menade därför att de inte behövde beröras närmare. Kriteriet om att det är tillräckligt med företrädesrätt utgör heller inget problem för statlig verksamhet. Däremot fann utredningen att det fjärde kriteriet för offentlig förvaltning om att verksamheten skulle ha befogenhet att rikta administrativa eller reglerade beslut till fysiska och juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital utgjorde en svårighet. Enligt utredningens mening var det inte självklart att samtliga myndigheter fattar beslut som rör gräns- överskridande rörlighet. Samtidigt framstod det inte som ändamåls- mässigt att analysera vilka myndigheter som kan fatta beslut om det. För NIS2-direktivet drog utredningen då slutsatsen att direktivets syfte inte var att göra en skiljelinje mellan offentlig verksamhet utifrån beslut om gränsöverskridande påverkan och beaktade då också att NIS2-direktivet är ett minimidirektiv. Utredningen drar motsvarande slutsats för CER-direktivet.

Sammantaget innebär det anförda att lagen om motståndskraft hos kritiska verksamhetsutövare kan omfatta samtliga statliga myn- digheter i Sverige med undantag för regeringen, Regeringskansliet, utlandsmyndigheter, kommittéväsendet,5 Riksrevisionen, JO, Sveriges Riksbank, Riksdagsförvaltningen och Sveriges domstolar. De statliga myndigheter som identifieras ska betecknas offentliga verksamhets- utövare.

4SOU 2024:18 s. 164.

5Det följer vidare av skäl 11, se nedan i 5.3, att utlandsmyndigheter är undantagna. Utred- ningen bedömde i det här sammanhanget för NIS2-direktivet att även Regeringskansliet och kommittéväsendet bör undantas och gör samma bedömning för CER-direktivet.

121

Kommuner och regioner

NIS2-direktivet omfattade sektorn offentlig förvaltning uttryck- ligen även offentliga verksamhetsutövare på regional nivå, det vill säga regioner. Avseende kommuner omfattades dessa inte uttryck- ligen, men har i utredningens delbetänkande ändå ansetts utgöra offentliga verksamhetsutövare.

I fråga om CER-direktivet ingår varken regioner eller kommuner i sektorn offentlig förvaltning. Samtliga regioner i Sverige är dock vårdgivare enligt en EU-rättslig definition6 och ingår därmed i sektorn hälso- och sjukvård. Detsamma gäller majoriteten av alla kommuner i Sverige, genom att de bedriver hemsjukvård. Därutöver kan kommuner även ingå i andra sektorer som exempelvis energi eller avloppsvatten under förutsättning att den kommunala verksam- heten i denna del inte bedrivs i bolagsform. Kommunalförbund som bildats enligt 3 kap. 8 § kommunallagen (2017:725) är att betrakta som en kommun eller region. Innebörden blir att även regioner och kommuner kan bedömas vara kritiska verksamhetsutövare, se vidare kapitel 6. De kommuner och regioner som identifieras ska betecknas offentliga verksamhetsutövare. När det gäller kommunfullmäktige och regionfullmäktige är dessa beslutande församlingar och faller därmed utanför lagens tillämpningsområde.

Avseende bolag som ägs av kommun eller region anser utred- ningen att det saknas skäl till någon annan bedömning än den som gjordes för NIS2 i delbetänkandet. Som följd ska kommunal- och regionägda bolag som bedriver verksamhet som omfattas av bestäm- melserna i lagen om motståndskraft hos kritiska verksamhetsutövare betecknas som enskilda verksamhetsutövare. På motsvarande sätt ska bolag som helt eller delvis ägs av svenska staten anses vara en- skilda verksamhetsutövare.

6Se artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, jfr 2 kap. 1–3 §§ samt 7 kap. hälso- och sjukvårdslagen (2017:30).

122

5.2.2Enskilda verksamhetsutövare

Utredningens förslag: En enskild verksamhetsutövare är en juridisk eller fysisk person som bedriver verksamhet och som inte är en statlig myndighet, region eller kommun.

Direktivet innehåller som ovan anges skyldigheter för kritiska verk- samhetsutövare. Kritiska verksamhetsutövare definieras alltså enligt artikel 2.1 som en offentlig eller privat verksamhetsutövare som har identifierats av en medlemsstat i enlighet med artikel 6 som till- hörande en av de kategorier som anges i bilagan till direktivet. Ut- redningen kommer att benämna privata verksamhetsutövare som en- skilda verksamhetsutövare, vilket följer samma systematik som har använts i delbetänkandet. I CER-direktivet definieras inte enskild verksamhetsutövare. Utifrån systematiken i artikel 2.1 anser utred- ningen dock att den enda rimliga slutsatsen är att alla typer av privata rättssubjekt, dvs både fysiska och juridiska personer, omfattas av begreppet. En sådan tolkning motsvarar även utredningens mot- svarande bedömningar avseende NIS2-direktivet. Detta innebär att en enskild verksamhetsutövare utgörs av en fysisk eller juridisk person som inte är en statlig myndighet, region eller en kommun och som bedriver verksamhet.

5.2.3Kritiska verksamhetsutövare

Utredningens förslag: En kritisk verksamhetsutövare är en offentlig eller enskild verksamhetsutövare som har identifierats enligt 2 kap. 1 § i den föreslagna lagen.

Direktivets definition av kritisk verksamhetsutövare följer av artikel 2.1. Begreppet är centralt eftersom det endast är sådana verk- samhetsutövare som identifierats som kritiska som omfattas av direktivets skyldigheter. Kraven för att kunna identifieras utvecklas i kapitel 6. Utredningen bedömer att definitionen ska genomföras i svensk rätt med tillägget att identifiering ska ske genom att den svenska föreslagna mekanismen för identifiering har tillämpats (som i sin tur överensstämmer med artikel 6 i CER-direktivet, se vidare kapitel 6).

123

Av direktivets definition av kritisk verksamhetsutövare följer att en sådan ska ha identifierats som tillhörande en av de kategorier av entiteter som följer av bilagan till CER-direktivet. Identifierings- processen i artikel 6 förutsätter i sin tur att den aktuella samhälls- viktiga tjänsten går att härleda till bilagan till direktivet. Det synes inte finnas någon tydlig anledning varför definitionen i artikel 2.1 hänvisar till ”kategorier […] som följer av bilagan” i stället för att enbart hänvisa till bilagan på samma sätt som artikel 6 gör. Utred- ningen bedömer att denna skillnad saknar materiell betydelse, efter- som en verksamhetsutövare betecknas som kritisk först genom att den identifierats i enlighet med artikel 6, och en förutsättning för att detta ska kunna ske är att den samhällsviktiga tjänsten är hänförlig till bilagan. Utredningen anser mot denna bakgrund att definitionen av kritisk verksamhetsutövare i svensk rätt inte behöver nämna bilagan, så länge den hänvisar till identifieringsmekanismen.

5.3Undantag från tillämpningsområdet

5.3.1Undantag för sådant som regleras i lagen om cybersäkerhet

Utredningens förslag: Lagen gäller inte för sådant som regleras i lagen om cybersäkerhet (2025:000).

Artikel 1 innehåller undantag från direktivets tillämpningsområde. Det första undantaget följer av första delen av artikel 1.2. Där anges det att CER-direktivet inte är tillämpligt på frågor som omfattas av NIS2-direktivet. Det betyder att cybersäkerhetsregleringen har företräde, vilket ska följa av utredningens förslag till lagen om mot- ståndskraft hos kritiska verksamhetsutövare. I CER-direktivet betonas att medlemsstaterna ska samordna införlivningen av NIS2- och CER-direktiven på grund av förhållandet mellan fysisk säkerhet och cybersäkerhet (artikel 1.1). Syftet med undantaget om att CER- direktivet inte är tillämpligt på sådant som regleras i cyberssäker- hetslagen bör vara att förhindra överlappande reglering. Det bör även noteras att en verksamhetsutövare som blir utpekad som kritisk

124