Vad tycker remissinstanserna om cybersäkerhetslagen?
Under våren 2024 inkom remissyttrandena för delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18). Remissinstanserna tycks generellt sett vara positiva till förslaget att implementera NIS2-direktivet genom en ny cybersäkerhetslag. Utredningen har dock medfört många frågor och remissinstanserna har föreslagit ändringar i flera hänseenden.
I denna artikel sammanställer och diskuterar advokat Viktor Robertson och Rebecca Zorec Jämsä från Advokatfirman Kahn Pedersen vissa av remissinstansernas yttranden avseende utredningens förslag för implementeringen av NIS2-direktivet i svensk rätt.
I mars 2024 överlämnades delbetänkandet i vilket utredningen föreslår att NIS2-direktivet ska införlivas i svensk rätt genom en ny lag om cybersäkerhet (cybersäkerhetslagen). Lagen föreslås träda i kraft den 1 januari 2025. De flesta remissinstanser tycks vara positiva till att implementera NIS2-direktivet genom en ny lag, och många anser att det finns ett intresse av att cybersäkerhetsfrågan prioriteras. Förslaget anses bland annat bidra till en högre lägstanivå för cybersäkerhet i Sverige.
Trots den övergripande positiva inställningen hos remissinstanserna har de lämnat synpunkter och förslag på ändringar till delbetänkandet. I denna analys redogörs dels för tendenser som har identifierats i remissyttrandena, dels för vissa utmärkande synpunkter som har framförts. Analysen är inte uttömmande, utan ger en uppfattning om vissa av remissinstansernas inställning till utredningens förslag.
Cybersäkerhetslagens tillämpningsområde
Utredningen föreslår att verksamhetsutövarens verksamhet i dess helhet ska omfattas av cybersäkerhetslagen, förutsatt att någon del av verksamheten omfattas. Det innebär att om verksamhetsutövaren även bedriver annan verksamhet än sådan som återfinns i bilaga 1 eller 2 till NIS2-direktivet, ska även den övriga verksamheten omfattas av cybersäkerhetslagen (se avsnitt 5.2.2 i SOU 2024:18).
Remissinstansernas synpunkter på utredningens förslag skiljer sig åt i detta avseende. Post- och telestyrelsen (PTS) delar utredningens tolkning av NIS2-direktivet, och anser därmed att hela verksamhetsutövarens verksamhet ska omfattas av cybersäkerhetslagen.
Transportstyrelsen å sin sida påpekar att samtliga verksamheter som en verksamhetsutövare bedriver inte nödvändigtvis behövs för att upprätthålla den samhällsviktiga tjänsten. Därför anser Transportstyrelsen att det är verksamhetens koppling till den samhällsviktiga tjänsten som bör vara central i bedömningen för cybersäkerhetslagens omfattning. Livsmedelsverket intar en liknande ståndpunkt och menar att cybersäkerhetslagen ska tillämpas på den samhällsviktiga tjänsten, samt de nätverk och informationssystem som kan påverka säkerheten i den.
Svenskt Näringsliv avstyrker uttryckligen att hela verksamheten som huvudregel ska omfattas av kraven i cybersäkerhetslagen. Flera andra remissinstanser är på motsvarande sätt av uppfattningen att det är oproportionerligt att hela verksamheten ska omfattas av den nya lagen bara för att en del gör det. Det anses kunna bli omotiverat kostsamt och betungande för berörda parter att upprätthålla en reglering med en omfattning som den föreslagna. Därutöver kan en vid omfattning av lagens krav påverka förmågan att skydda de system som verkligen är i behov av skydd utifrån ett samhällsperspektiv.
Myndigheten för samhällsskydd och beredskap (MSB) anser, till skillnad från andra remissinstanser, att utredningens förslag på tillämpningsområde för cybersäkerhetslagen utgör en minimiimplementering av NIS2-direktivet. Enligt delbetänkandet ska nämligen endast vissa samhällsviktiga verksamheter omfattas av krav på att vidta säkerhetsåtgärder, tillsyn samt rapportera incidenter. MSB menar att det ur ett totalförsvarsperspektiv är centralt att all samhällsviktig verksamhet på sikt omfattas av den nya regleringen. Utredningen hade enligt MSB möjligheten att utvidga cybersäkerhetslagens tillämpningsområde, om det följdes av en konsekvensanalys. På grund av den korta tidsrymden och de begränsade resurserna har dock någon sådan utvidgning inte föreslagits. MSB föreslår att myndigheten själv ska ges i uppdrag att göra konsekvensanalyser för att utvidga tillämpningsområdet med de sektorer som det ur ett totalförsvarsperspektiv är särskilt angeläget att få med i NIS2-regleringen. MSB vill alltså utöka det föreslagna tillämpningsområdet för cybersäkerhetslagen.
Användningen av redan etablerade begrepp
Enligt utredningen ska en terminologi som används i svensk rätt och ett normalt språkbruk eftersträvas för cybersäkerhetslagen. Remissinstanserna instämmer med utredningen i denna del. Det råder dock oenighet bland instanserna avseende vilka begrepp som är etablerade och lämpliga att använda i cybersäkerhetslagen. Förslag på ändringar avseende olika begrepp har framförts i remissyttrandena.
Utredningens användning av begreppet verksamhetsutövare har tagits upp av flera remissinstanser. Några instanser anser att entitet är ett mer etablerat och neutralt begrepp och att det bör användas i den nya regleringen. Det finns också remissinstanser av den motsatta uppfattningen. Transportstyrelsen instämmer med utredningen att begreppet entitet bör ersättas och anser att verksamhetsutövare är ett lämpligt ordval eftersom det är ett vanligt förekommande begrepp för deras tillsynsobjekt.
Ett annat begrepp som har väckt skilda meningar är riskhanteringsåtgärder. Trafikverket å ena sidan tillstyrker begreppet och anför att det tydligt pekar på kopplingen mellan åtgärder och de analyser som ligger till grund för bedömningen om hur skyddet ska utformas.
MSB och Utbetalningsmyndigheten anser å andra sidan att säkerhetsåtgärder är ett mer etablerat begrepp och att det därför ska ersätta begreppet riskhanteringsåtgärder.
Tillsynsansvar och föreskriftsrätt
Utredningen har övervägt om föreskriftsrätten bör flyttas från tillsynsmyndigheterna till MSB. Det skulle innebära att det upprättas en gemensam föreskrift som gäller för samtliga sektorer. Därmed skulle det kunna skapas en enhetlig reglering som underlättar för verksamhetsutövare som bedriver verksamhet i flera sektorer.
Utredningen har dock gjort bedömningen att det är tillsynsmyndigheterna som har bäst kunskaper om respektive sektor och därmed bäst förutsättningar att avgöra vilken tillsyn som behövs och vilka föreskrifter som är lämpliga. Försvarets materielverk (FMV) instämmer med utredningen i denna bedömning.
Många av remissinstanserna påpekar risken att en verksamhet som står under flera myndigheters tillsyn träffas av olika föreskrifter och tillsynskrav. Flera remissinstanser menar att sådana situationer bidrar till en komplexitet som kan försvåra arbetet mot en högre cybersäkerhet. Därutöver anses det inte vara ekonomiskt hållbart eller praktiskt tillämpbart. Det är en stor utmaning för de föreslagna föreskrifts- och tillsynsmyndigheterna att var och en etablera och upprätthålla den kompetens som är nödvändig för att utforma sektoranpassade föreskrifter.
Det kan i en del remissyttrandena utläsas en önskan om att ett litet antal tillsynsmyndigheter ges föreskriftsrätt. Som alternativ anges att endast en myndighet ges rätten att meddela föreskrifter och att tillsynsmyndigheterna ska ha möjlighet att komplettera dem när det är nödvändigt. MSB har föreslagits som en lämplig ensam ansvarig myndighet.
Vidare föreslår utredningen att MSB ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. MSB föreslås därtill utarbeta en vägledning om riskhanteringsåtgärder till stöd för tillsynsmyndigheternas föreskriftsarbete. Det tycks vara i enlighet med remissinstansernas intresse att införa en samordnande funktion som kan säkerställa att tillsynsmyndigheterna samordnar författandet av föreskrifter. FMV anser att det bör övervägas om stödet till myndigheter med föreskriftsrätt och tillsynsansvar bör utökas utöver vad som föreslås i utredningen.
Ytterligare en del i betänkandet är att utredningen föreslår att en verksamhetsutövares anmälan om att den omfattas av cybersäkerhetslagen ska göras till respektive tillsynsmyndighet.
Varje tillsynsmyndighet ska därmed upprätta ett register inom sitt tillsynsområde över väsentliga och viktiga verksamhetsutövare. MSB och Transportstyrelsen har anfört att det inte kan anses rimligt eller resurseffektivt ur ett samhällsperspektiv att varje tillsynsmyndighet ska ta fram nya egna system för att hantera verksamhetsutövarnas anmälningar och känsliga uppgifter på ett säkert sätt.
MSB arbetar sedan tidigare med en systemplattform för registrering och informationsdelning och föreslår att anmälningar ska göras på ett samlat sätt till en gemensam kontaktpunkt. Transportstyrelsen anser att det vore lämpligare att MSB för registret på vilka verksamheter som omfattas av cybersäkerhetslagen.
Andra återkommande synpunkter
Utöver de omdiskuterade delarna i delbetänkandet som har angetts finns en rad andra aspekter som remissinstanserna har synpunkter på. Bland annat har instanserna påpekat tidpunkten för incidentrapportering. Åsikterna skiljer sig något i denna del men generellt sett tycks det vara önskvärt med en direktivnära formulering av kravet på rapporteringen för incidenter. Formuleringen i direktivet anses nämligen ge incitament för att verksamhetsutövarna ska anmäla incidenter i ett tidigt skede. Utredningens föreslagna formulering av incidentrapporteringen anses inte ha den effekten.
Det tycks dessutom vara en allmän uppfattning hos remissinstanserna att det finns risk för överlappningsproblematik, dels mellan den föreslagna regleringen och nuvarande lag, dels mellan den föreslagna regleringen och pågående lagstiftningsarbete. Flera remissinstanser uppmanar därför lagstiftaren att säkerställa att överlappningsproblem undviks.
I princip samtliga remissinstanser som ingått i vår genomgång har efterfrågat en fördjupad konsekvensanalys av utredningens förslag. Vissa instanser vill särskilt ha analyser utifrån ett visst perspektiv. Andra har saknat konsekvensanalyser rent allmänt i delbetänkandet. Bristen av analyser kan troligtvis förklaras av den korta tiden utredningen haft för att ta fram förslaget. Men det står onekligen klart att konsekvensanalyser efterfrågas av remissinstanserna.
Förtydliganden och enkelhet har varit en genomgående faktor i remissinstansernas yttranden. I delbetänkandet framförs en systematik med bland annat korshänvisningar som ger upphov till en komplex och svårnavigerad reglering. Det har poängterats av instanserna att det är viktigt att företagen kan göra rätt och att det förutsätter en tydlig reglering.
Sammanfattningsvis
Remissinstanserna är generellt positiva till att införliva NIS2-direktivet genom en ny cybersäkerhetslag. Det står dock klart efter en genomgång av remissyttrandena att flera aspekter i delbetänkandet behöver ses över och tydliggöras innan en ny cybersäkerhetslag kan träda i kraft. Huruvida ett sådant arbete kan genomföras innan det föreslagna datumet för lagens ikraftträdande kvarstår att se.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 27 sep 2024
Advokat, Advokatfirman Kahn Pedersen