En mer direktivnära implementering

Regeringen föreslår en implementering som i högre grad än utredningens förslag följer NIS2-direktivets struktur och terminologi, vilket kan underlätta såväl tillämpning som tillsyn. Myndigheten för samhällsskydd och beredskap (MSB) ges en central roll i tillämpningen av lagen.

Ett centralt ställningstagande är att lagens krav ska gälla hela organisationen, även om bara en del av verksamheten bedrivs inom NIS2-direktivets tillämpningsområde. Anledningen är att en mer begränsad tillämpning riskerar att urholka regelverkets syfte och effektivitet. Att verksamheten endast bedrivs inom en del av organisationen påverkar därför inte lagens tillämplighet.

För enskilda verksamhetsutövare gäller som huvudregel ett storlekskrav som motsvarar ett medelstort företag, vilket innebär att verksamheten måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas. Från denna huvudregel finns dock undantag – vissa av lagen särskilt utpekade enskilda verksamhetsutövare omfattas oavsett storlek, och MSB ges dessutom en uttrycklig roll att peka ut mindre aktörer som bedöms särskilt kritiska för samhällets funktion.

Ett centralt ställningstagande är att lagens krav ska gälla hela organisationen, även om bara en del av verksamheten bedrivs inom NIS2-direktivets tillämpningsområde.

I övrigt följer lagrådsremissen i huvudsak utredningens förslag, men regeringen gör vissa justeringar. Utredningen föreslog att vissa verksamhetsutövare som omfattas av bilagorna till NIS 2-direktivet och som är etablerade i Sverige ska omfattas av lagen, oavsett om de uppfyller storlekskravet, med hänvisning till deras särskilda samhällsbetydelse. Regeringen delar i huvudsak denna bedömning men gör på vissa punkter en annan avvägning än utredningen.

Utredningen menade att en förutsättning bör vara att verksamheten är väsentlig för att upprätthålla kritiska samhälleliga och ekonomiska funktioner. Regeringen anser emellertid att det i stället bör krävas att verksamhetsutövaren är den enda leverantören i Sverige av en tjänst som är nödvändig för sådana funktioner. Enligt regeringen stämmer kravet på att verksamhetsutövaren ska vara den enda leverantören av en sådan tjänst bättre överens med direktivets utformning.

Utredningen föreslog vidare att samtliga statliga myndigheter skulle omfattas av lagen. Regeringen gör en mer begränsad tolkning av direktivet och föreslår i stället att endast statliga myndigheter med beslutskompetens som kan påverka den fria rörligheten inom EU, samt vissa ytterligare myndigheter som regeringen utser, ska omfattas. Vilka statliga myndigheter som anses uppfylla kriteriet beror på om deras beslut kan påverka den fria rörligheten på längre sikt. Detta innebär att det för varje myndighet krävs en individuell bedömning av om den omfattas av lagens tillämpningsområde. Vidare framgår att kommuner, regioner och kommunalförbund omfattas och klassificeras som väsentliga verksamhetsutövare under förutsättning att de når upp till storlekströskeln för ett medelstort företag.

Krav på säkerhetsåtgärder

Organisationer åläggs att vidta både tekniska och organisatoriska säkerhetsåtgärder. Med detta avses exempelvis riskhantering, incidentberedskap, kryptering och säkerhet i leveranskedjan. Dessa ska vara riskbaserade, proportionerliga och lämpliga i relation till risken. Regeringen lyfter vidare fram att krishantering ska ses som en egen del av cybersäkerhetsarbetet. Det innebär att organisationer inte bara ska förebygga och upptäcka incidenter, utan också aktivt planera för hur de ska agera om en kris inträffar. Utredningen föreslog vidare att lagen skulle innehålla ett uttryckligt krav på ett systematiskt och riskbaserat informationssäkerhetsarbete. I lagrådsremissen saknas detta krav, men regeringen framhåller att verksamhetsutövare trots detta förväntas arbeta systematiskt. Vi konstaterar att det kommer att vara svårt att uppfylla kraven enligt NIS2-direktivet om man inte arbetar systematiskt och riskbaserat, exempelvis genom att följa ISO 27000-standarden.

När det gäller kravet på säkerhet i leveranskedjan skiljer sig regeringens förslag från utredningens. Även om kravet på säkerhet i leveranskedjan tar sikte på förhållandet till direkta leverantörer måste, enligt regeringen, även risker hos underleverantörer beaktas. Kraven omfattar hela systemens livscykel, från förvärv och utveckling till underhåll. Med förvärv avses fall där en organisation tar över ett system med äganderätt. Men regeringen framhåller att säkerhetskraven gäller även när man inte äger systemet, till exempel vid utkontraktering och licensiering. Sammantaget visar detta att säkerhetsansvaret sträcker sig längre än till den egna organisationen.

Vi konstaterar att det kommer att vara nödvändigt för verksamheter att genomföra systematiska risk- och sårbarhetsanalyser. På grundval av dessa analyser avgörs vilka konkreta säkerhetsåtgärder som ska vidtas, samtidigt som det är viktigt att dokumentera och motivera skälen till varför vissa åtgärder bedöms tillräckliga. En analys bör dessutom regelbundet revideras och uppdateras för att säkerställa att säkerhetsåtgärderna förblir ändamålsenliga och aktuella.

Nyheter om utbildning, anmälan, tillsyn och ledningsförbud

Ett tydligt exempel på regeringens mer försiktiga linje är utbildningskraven. Utredningen föreslog att alla anställda skulle erbjudas cybersäkerhetsutbildning, men regeringen anser att det inte är motiverat och begränsar därför kravet till ledningen. Samtidigt måste verksamhetsutövare vidta flera säkerhetsåtgärder, såsom grundläggande cyberhygien, utbildning i cybersäkerhet och personalsäkerhet. Regeringen understryker att dessa åtgärder redan uppmuntrar till regelbunden utbildning även för övriga medarbetare.

Vidare följer regeringen i stort utredningens modell med sektorsvisa tillsynsmyndigheter, men föreslår samtidigt några viktiga justeringar och förtydliganden. Bland annat ska tillsynsmyndigheter kunna vidta åtgärder mot viktiga verksamhetsutövare redan när det finns ”anledning att anta” att reglerna inte följs – en lägre tröskel än utredningens ”befogad anledning”. En annan nyhet är att anmälan om verksamhet som omfattas av lagen inte ska göras till respektive tillsynsmyndighet, utan till en ny central myndighet som regeringen ska utse.

Vidare förtydligas förutsättningarna för meddelande av förbud att inneha ledningsfunktion. Om en väsentlig verksamhetsutövare bryter mot centrala skyldigheter – exempelvis att utse företrädare, anmäla verksamheten, vidta säkerhetsåtgärder, genomföra utbildning eller rapportera incidenter – kan tillsynsmyndigheten ansöka om att en befattningshavare förbjuds att inneha ledningsfunktion. I lagrådsremissen tydliggörs att förbudet endast gäller just väsentliga verksamhetsutövare. För att ett sådant förbud ska kunna beslutas krävs att överträdelsen är allvarlig och att personen agerat uppsåtligen eller grovt oaktsamt.

Vägen framåt – ekonomiska effekter och långsiktiga fördelar

Den föreslagna cybersäkerhetslagen representerar en omfattande transformation av det svenska cybersäkerhetslandskapet, och den slutliga utformningen kommer att vara avgörande för hur framgångsrikt Sverige lyckas stärka sin cybersäkerhet i enlighet med EU:s ambitioner.

Införandet av den nya lagen förväntas medföra betydande ekonomiska konsekvenser och ett ökat resursbehov för både verksamhetsutövare och tillsynsmyndigheter. Regeringen uppskattar att över 1 500 företag i Sverige med totalt omkring 500 000 anställda kan komma att påverkas av den nya lagen och tillhörande föreskrifter. Den största kostnaden för enskilda verksamhetsutövare bedöms vara kopplad till de säkerhetsåtgärder som måste vidtas.

En konsekvent nivå av cyberresiliens bland centrala verksamhetsutövare kan dock leda till kostnadsbesparingar på längre sikt. EU-kommissionen har uppskattat att införandet av bestämmelserna i NIS2-direktivet kan leda till en minskning av kostnaderna för cyberincidenter med 11,3 miljarder euro inom unionen. Med rätt implementering och tillräckliga resurser är således förhoppningen att den nya lagen ska bidra till att skapa en mer resilient digital infrastruktur som gynnar både näringslivet och samhället i stort.