Post 535 av 10975 träffar
SFS-nummer ·
2021:553 ·
Visa register
Lag (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Departement: Försvarsdepartementet
Utfärdad: 2021-06-10
Ändring införd: t.o.m. SFS 2021:554
Ikraft: 2021-06-28
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets
förordning (EU) 2019/881 av den 17 april 2019 om Enisa
(Europeiska unionens cybersäkerhetsbyrå) och om
cybersäkerhetscertifiering av informations- och
kommunikationsteknik och om upphävande av förordning (EU)
nr 526/2013 (cybersäkerhetsakten).
Förordningen (EU) 2019/881 benämns i denna lag EU:s
cybersäkerhetsakt.
Ord och uttryck i denna lag har samma betydelse som i EU:s
cybersäkerhetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer
1. är nationell myndighet för cybersäkerhetscertifiering
enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har
meddelats i anslutning till lagen följs.
Ackreditering av organ för bedömning av överensstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till
EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av
organ för bedömning av överensstämmelse i fråga om
cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av
den 9 juli 2008 om krav för ackreditering och upphävande av
förordning (EEG) nr 339/93 och i lagen (2011:791) om
ackreditering och teknisk kontroll finns allmänna bestämmelser
om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om krav för ackreditering av organ för
bedömning av överensstämmelse enligt artikel 60 i EU:s
cybersäkerhetsakt. Lag (2021:554).
Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har
meddelats i anslutning till lagen följs har den nationella
myndigheten för cybersäkerhetscertifiering de befogenheter som
anges i artikel 58.8 i EU:s cybersäkerhetsakt.
5 § Den nationella myndigheten för cybersäkerhetscertifiering
får besluta de förelägganden som behövs för tillsynen och för
att EU:s cybersäkerhetsakt, genomförandeakter som har
meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och
föreskrifter som har meddelats i anslutning till lagen ska
följas.
Ett beslut om föreläggande får förenas med vite.
6 § Den nationella myndigheten för cybersäkerhetscertifiering
får begära handräckning av Kronofogdemyndigheten för att få
tillträde till andra lokaler än bostäder, och där genomföra
utredningar i enlighet med artikel 58.8 d i EU:s
cybersäkerhetsakt.
Vid handräckning tillämpas bestämmelserna i utsökningsbalken
om verkställighet av förpliktelser som inte avser
betalningsskyldighet, avhysning eller avlägsnande. Om den
nationella myndigheten för cybersäkerhetscertifiering begär
det, ska Kronofogdemyndigheten inte i förväg underrätta den
som utredningen ska genomföras hos.
7 § Den nationella myndigheten för cybersäkerhetscertifiering
får besluta att återkalla ett europeiskt
cybersäkerhetscertifikat som har utfärdats av myndigheten
eller av ett organ för bedömning av överensstämmelse i
enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om
certifikatet inte uppfyller kraven i cybersäkerhetsakten eller
en europeisk ordning för cybersäkerhetscertifiering.
Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering
ska besluta att ta ut en sanktionsavgift av den som
1. har utfärdat en EU-försäkran om överensstämmelse enligt
artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt
den europeiska ordning för cybersäkerhetscertifiering som
gäller för IKT-produkten, IKT-tjänsten eller IKT-processen
inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av
betydelse vid ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte
informerar, i enlighet med artikel 56.8 i EU:s
cybersäkerhetsakt, den myndighet eller det organ som avses i
artikel 56.7 om alla sårbarheter eller oriktigheter som
upptäcks och som kan påverka överensstämmelsen med de
säkerhetskrav som gäller för den certifierade IKT-produkten,
IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller
innehar ett cybersäkerhetscertifikat och inte lämnar
kompletterande säkerhetsinformation i enlighet med artikel 55
i EU:s cybersäkerhetsakt, om detta medför en ökad risk för
sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande,
fortsättande eller förnyelse av europeiska
cybersäkerhetscertifikat eller mot villkor för inskränkning
eller utvidgning av tillämpningsområdet för certifiering,
6. överträder ett beslut om föreläggande enligt 5 § som
innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som har
återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor
och högst 15 000 000 kronor.
10 § När sanktionsavgiftens storlek bestäms ska särskild
hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd
av överträdelsen,
2. om den som har begått överträdelsen tidigare begått en
överträdelse, och
3. den vinst som den avgiftsskyldige har gjort till följd av
överträdelsen.
11 § Den nationella myndigheten för cybersäkerhetscertifiering
får besluta att sätta ned eller avstå från att ta ut en
sanktionsavgift om överträdelsen är ringa, om det finns
särskilda skäl eller om det annars med hänsyn till
omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte beslutas om överträdelsen
omfattas av ett föreläggande om vite och överträdelsen ligger
till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får endast beslutas om den som
avgiften ska tas ut av har fått tillfälle att yttra sig inom
två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
14 § Sanktionsavgiften tillfaller staten.
15 § En sanktionsavgift ska betalas till den nationella
myndigheten för cybersäkerhetscertifiering inom 30 dagar från
det att beslutet om att ta ut avgiften har fått laga kraft
eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom föreskriven tid, ska
myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om
indrivning av statliga fordringar m.m. Vid indrivning får
verkställighet ske enligt utsökningsbalken.
16 § En beslutad sanktionsavgift faller bort till den del
beslutet om avgiften inte har verkställts inom fem år från det
att beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat
organ för bedömning av överensstämmelse i enlighet med EU:s
cybersäkerhetsakt får inte obehörigen röja eller utnyttja det
som han eller hon fått kännedom om under det att uppgifterna
utfördes.
I det allmännas verksamhet tillämpas offentlighets- och
sekretesslagen (2009:400).
Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering
får ta ut avgifter för sin verksamhet enligt EU:s
cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om sådana avgifter.
Ändring av beslut av privata organ för bedömning av
överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska
ändra ett beslut som det har meddelat, om
1. organet anser att beslutet är uppenbart felaktigt i något
väsentligt hänseende på grund av att det har tillkommit nya
omständigheter eller av någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir
till nackdel för någon enskild.
Överklagande
20 § Beslut enligt EU:s cybersäkerhetsakt och enligt denna lag
av den nationella myndigheten för cybersäkerhetscertifiering
eller av organ för bedömning av överensstämmelse får
överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.