Post 524 av 741 träffar
Kompletterande bestämmelser till EU:s cybersäkerhetsakt Prop. 2020/21:186
Ansvarig myndighet: Försvarsdepartementet
Dokument: Prop. 186
Regeringens proposition
2020/21:186
Kompletterande bestämmelser till EU:s cybersäkerhetsakt
Prop.
2020/21:186
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 29 april 2021
Stefan Löfven
Peter Hultqvist
(Försvarsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt. I den föreslagna lagen finns kompletterande bestämmelser till EU:s cybersäkerhetsakt om bland annat nationell myndighet för cybersäkerhetscertifiering, tillsyn, sanktioner och förfarandet vid cybersäkerhetscertifiering.
Den nya lagen föreslås träda i kraft den 28 juni 2021.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt 6
2.2 Förslag till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt 10
3 Ärendet och dess beredning 11
4 EU:s cybersäkerhetsakt 11
4.1 Syfte och huvudsakligt innehåll 11
4.2 Det europeiska ramverket för cybersäkerhetscertifiering 12
4.2.1 Allmänt om det europeiska ramverket för cybersäkerhetscertifiering 12
4.2.2 Artiklar i EU:s cybersäkerhetsakt 14
5 En ny lag införs 21
6 Nationell myndighet för cybersäkerhetscertifiering 23
6.1 Regeringen ska utse den nationella myndigheten för cybersäkerhetscertifiering 23
6.2 Försvarets materielverk bör vara nationell myndighet för cybersäkerhetscertifiering 23
6.3 Avgiftsfinansierad verksamhet 24
7 Tillsynsbefogenheter 25
7.1 Rätt att få tillträde till lokaler och handräckning av Kronofogdemyndigheten 25
7.2 Befogenhet att besluta om förelägganden som får förenas med vite 27
7.3 Omedelbar verkställighet och inhibition 27
7.4 Tillsynsbefogenheter i övrigt 28
7.5 Samma tillsynsbefogenheter med stöd av den nya lagen som enligt EU:s cybersäkerhetsakt 29
7.6 Återkallelse av europeiska cybersäkerhetscertifikat 29
8 Sanktioner 30
8.1 Straffrättsliga sanktioner bör inte införas 30
8.2 Ett system med administrativa sanktionsavgifter 31
8.3 Överträdelser som ska leda till sanktionsavgift 32
8.4 Beslut om sanktionsavgift i samtliga fall 36
8.5 Ramarna för sanktionsavgiftens storlek 37
8.6 Sanktionsavgiftens storlek i det enskilda fallet 39
8.7 Hinder mot sanktionsavgift 40
8.8 Förfarandet vid beslut om sanktionsavgift 41
9 Organ för bedömning av överensstämmelse 43
9.1 Bestämmelser i EU:s cybersäkerhetsakt 43
9.2 Ackreditering av organ för bedömning av överensstämmelse 44
9.2.1 Bestämmelser i EU:s cybersäkerhetsakt 44
9.2.2 Gällande regelverk om ackreditering 45
9.2.3 Kompletterande bestämmelser om ackreditering 45
9.2.4 EU-förordningen (EG) nr 765/2008 byter titel 47
9.3 Överlämnande av förvaltningsuppgifter till organ för bedömning av överensstämmelse 48
10 Handläggning och rättsmedel 49
10.1 Myndigheternas handläggning av ärenden 49
10.2 Ärendehandläggning hos privata organ för bedömning av överensstämmelse 49
10.3 Effektiva rättsmedel 51
10.3.1 Rätten till klagomål 51
10.3.2 Överklagande 52
11 Offentlighet och sekretess 53
11.1 Utgångspunkter 53
11.2 Bestämmelser i EU:s cybersäkerhetsakt 53
11.3 Inget behov av ändringar i offentlighets- och sekretesslagen 55
11.4 En bestämmelse om tystnadsplikt ska införas 59
12 Behandling av personuppgifter 60
13 Ikraftträdande- och övergångsbestämmelser 62
13.1 Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt 62
13.2 Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt 62
14 Konsekvenser 63
15 Författningskommentar 65
15.1 Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt 65
15.2 Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt 74
Bilaga 1 Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) 75
Bilaga 2 Sammanfattning av delbetänkandet SOU 2020:58 130
Bilaga 3 Lagförslaget i delbetänkandet SOU 2020:58 136
Bilaga 4 Förteckning över remissinstanserna (delbetänkandet SOU 2020:58) 140
Bilaga 5 Lagrådsremissens lagförslag 141
Bilaga 6 Lagrådets yttrande 146
Utdrag ur protokoll vid regeringssammanträde den 29 april 2021 151
1
Förslag till riksdagsbeslut
Regeringens förslag:
1. Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
2. Riksdagen antar regeringens förslag till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).
Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäkerhetsakt.
Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer
1. är nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Ackreditering av organ för bedömning av överenstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs har den nationella myndigheten för cybersäkerhetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Vid handräckning tillämpas bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.
7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering.
Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som
1. har utfärdat en EU-försäkran om överenstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,
6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd av överträdelsen,
2. om den som har begått överträdelsen tidigare begått en överträdelse, och
3. den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
14 § Sanktionsavgiften tillfaller staten.
15 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
16 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana avgifter.
Ändring av beslut av privata organ för bedömning av överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut som det har meddelat, om
1. organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Överklagande
20 § Beslut enligt EU:s cybersäkerhetsakt och enligt denna lag av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 28 juni 2021.
2.2 Förslag till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Härigenom föreskrivs att 3 § lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska ha följande lydelse.
Lydelse enligt förslaget i 2.1
Föreslagen lydelse
3 §
I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cyber-säkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Denna lag träder i kraft den 16 juli 2021.
3 Ärendet och dess beredning
Den 17 april 2019 beslutade Europaparlamentet och rådet att anta förordningen (EU) 2019/881 om Enisa (Europeiska unionens säkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). EU-förordningen, här kallad EU:s cybersäkerhetsakt, i dess svenska lydelse finns i bilaga 1. EU:s cybersäkerhetsakt trädde i kraft den 27 juni 2019. Vissa bestämmelser om cybersäkerhetscertifiering som kräver kompletterande nationella bestämmelser ska tillämpas från och med den 28 juni 2021.
Regeringen beslutade den 31 oktober 2019 att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande bestämmelser som EU:s cybersäkerhetsakt ger anledning till och överväga om det finns anledning att införa ytterligare krav för att skydda verksamhet som är av betydelse för Sveriges säkerhet (dir. 2019:73).
Utredningen, som tog namnet Cybersäkerhetsutredningen (Fö 2019:01), överlämnade den 30 september 2020 delbetänkandet EU:s cybersäkerhetsakt - kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58).
En sammanfattning av delbetänkandet finns i bilaga 2. Delbetänkandets lagförslag finns i bilaga 3.
Delbetänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissvaren finns tillgängliga på regeringens webbplats (www.regeringen.se) och i Försvarsdepartementet (Fö2020/00954).
Lagrådet
Regeringen beslutade den 24 mars 2021 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Regeringen följer delvis Lagrådets förslag. Lagrådets synpunkter och förslag behandlas i avsnitten 7.2, 8.3, 8.6, 8.7, 9.2.4 och i författningskommentaren.
I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts.
4 EU:s cybersäkerhetsakt
4.1 Syfte och huvudsakligt innehåll
Syftet med EU:s cybersäkerhetsakt är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen.
EU:s cybersäkerhetsakt reglerar dels Europeiska unionens cybersäkerhetsbyrå (Enisa), dels ett ramverk för cybersäkerhetscertifiering.
I fråga om Enisa regleras mål, uppgifter och organisatoriska frågor. Enisa ska främja spridningen av cybersäkerhetscertifiering i unionen, bl.a. genom att bidra till inrättandet och underhållandet av ramverket för cybersäkerhetscertifiering på unionsnivå. Bestämmelserna i den delen trädde i kraft den 27 juni 2019.
Europeiska kommissionen ska utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Enisa ska med hjälp av expertråd och i nära samarbete med Europeiska gruppen för cybersäkerhetscertifiering (ECCG) lämna förslag på europeiska certifieringsordningar. Syftet är att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikationsteknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen. Skapandet av europeiska ordningar för cybersäkerhetscertifiering medför att certifikat som utfärdas enligt dessa certifieringsordningar blir giltiga och erkända i alla medlemsstater.
Genom ramverket möjliggörs en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering, vilket skapar en digital inre marknad för IKT-produkter, IKT-tjänster och IKT-processer.
4.2 Det europeiska ramverket för cybersäkerhetscertifiering
4.2.1 Allmänt om det europeiska ramverket för cybersäkerhetscertifiering
Det europeiska ramverket för cybersäkerhetscertifiering innebär en möjlighet för tillverkare och leverantörer att upprätta en s.k. EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat som intygar att en viss IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven enligt en europeisk ordning för cybersäkerhetscertifiering.
En EU-försäkran om överenstämmelse eller ett europeiskt cyber-säkerhetscertifikat ska intyga att en produkt, tjänst eller process uppfyller angivna säkerhetskrav när det gäller att skydda tillgänglighet, autenticitet, integritet och konfidentialitet hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via produkten, tjänsten eller processen.
EU-försäkringar om överenstämmelse och europeiska cybersäkerhetscertifikat syftar även till att hjälpa slutanvändarna att göra informerade val och bidra till att harmonisera cybersäkerhetsrutinerna inom unionen.
I skäl 71 i EU:s cybersäkerhetsakt anges att de europeiska ordningarna för cybersäkerhetscertifiering bör bygga på vad som redan existerar på internationell och nationell nivå och, om så krävs, på tekniska specifikationer från forum och konsortier.
Vidare anges att certifieringsordningar som drivs av industrin eller andra privata organisationer inte bör ingå i cybersäkerhetsaktens tillämpningsområde.
Cybersäkerhetsakten ska inte påverka tillämpningen av unionsrätt som innehåller särskilda bestämmelser om certifiering av IKT-produkter, IKT-tjänster och IKT-processer, t.ex. Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (den allmänna dataskyddsförordningen).
EU:s cybersäkerhetsakt ska inte heller påverka medlemsstaternas befogenheter i fråga om verksamhet som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på straffrättens område (artikel 2).
Cybersäkerhetscertifiering kan vara en kostsam process, vilket i sin tur kan leda till högre priser för kunder och konsumenter. Behovet av certifiering kan också variera beroende på i vilket sammanhang produkterna och tjänsterna ska användas och den snabba tekniska utvecklingen. Därför bör det - enligt EU:s cybersäkerhetsakt - vara frivilligt att använda en europeisk cybersäkerhetscertifiering, om inte annat föreskrivs i unionsrätten eller medlemsstaternas nationella rätt som antagits i enlighet med unionsrätten. På vissa områden kan det bli nödvändigt att i framtiden införa särskilda krav på cybersäkerhet och göra cybersäkerhetscertifiering obligatorisk för vissa IKT-produkter, IKT-tjänster och IKT-processer för att förbättra cybersäkerheten i unionen.
Kommissionen ska regelbundet följa upp vilka effekter antagna europeiska ordningar för cybersäkerhetscertifiering har på tillgången till säkra IKT-produkter, IKT-tjänster och IKT-processer på den inre marknaden och bör också regelbundet bedöma i hur hög utsträckning tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer i unionen använder certifieringsordningarna, effektiviteten hos de europeiska ordningarna för cybersäkerhetscertifiering och om bestämda ordningar bör göras obligatoriska. Bedömningen bör göras mot bakgrund av unionens lagstiftning med koppling till cybersäkerhet, särskilt direktiv (EU) 2016/1148, med beaktande av säkerheten i nätverks- och informationssystem som används av leverantörer av samhällsviktiga tjänster.
I avsaknad av harmoniserad unionsrätt får medlemsstaterna införa nationella tekniska föreskrifter som föreskriver obligatorisk certifiering inom ramen för en europeisk ordning för cybersäkerhetscertifiering i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/1535 om ett informationsförfarande när det gäller tekniska föreskrifter och i fråga om föreskrifter för informationssamhällets tjänster.
Medlemsstaterna får även använda europeisk cybersäkerhetscertifiering i samband med offentlig upphandling och inom ramen för Europaparlamentets och rådets direktiv 2014/24/EU om offentlig upphandling.
I syfte att säkerställa en harmonisering och undvika fragmentering upphör nationella ordningar eller förfaranden för certifiering av IKT-produkter, IKT-tjänster eller IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering att gälla från och med den dag som fastställs av kommissionen genom en sådan ordning (genomförandeakt).
Medlemsstaterna får inte heller införa nya nationella ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster eller IKT-processer som redan omfattas av en befintlig europeisk ordning för cybersäkerhetscertifiering. Medlemsstaterna är dock inte förhindrade att anta eller behålla nationella ordningar för cybersäkerhetscertifiering för att skydda den nationella säkerheten.
4.2.2 Artiklar i EU:s cybersäkerhetsakt
Ett europeiskt ramverk för cybersäkerhetscertifiering
I artikel 46 i EU:s cybersäkerhetsakt anges att ett europeiskt ramverk för cybersäkerhetscertifiering ska inrättas för att förbättra förutsättningarna för den inre marknadens funktion genom att höja cybersäkerhetsnivån i unionen och möjliggöra en harmoniserad strategi på unionsnivå för europeiska ordningar för cybersäkerhetscertifiering i syfte att skapa en digital inre marknad för IKT-produkter, IKT-tjänster och IKT-processer.
Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering
I artikel 47 anges att kommissionen ska offentliggöra unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering (nedan kallat unionens löpande arbetsprogram) i vilket strategiska prioriteringar ska fastställas för framtida europeiska ordningar för cybersäkerhetscertifiering. I unionens löpande arbetsprogram ska det särskilt ingå en förteckning över IKT-produkter, IKT-tjänster och IKT-processer eller kategorier av sådana som kan gagnas av att omfattas av en europeisk ordning för cybersäkerhetscertifiering. Inkludering av specifika IKT-produkter, IKT-tjänster och IKT-processer eller kategorier av sådana i unionens löpande arbetsprogram ska motiveras av ett eller flera av de skäl som anges i artikeln, t.ex. efterfrågan på marknaden.
Begäran om en europeisk ordning för cybersäkerhetscertifiering
Enligt artikel 48 får kommissionen begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering på grundval av unionens löpande arbetsprogram. I vederbörligen motiverade fall får kommissionen eller europeiska gruppen för cybersäkerhetscertifiering begära att Enisa utarbetar ett förslag till certifieringsordning eller ser över en befintlig europeisk ordning för cybersäkerhetscertifiering som inte ingår i unionens löpande arbetsprogram.
Utarbetande, antagande och översyn av en europeisk ordning för cybersäkerhetscertifiering
I artikel 49 anges att efter en begäran från kommissionen i enlighet med artikel 48, ska Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. Efter en begäran från europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 48.2 får Enisa utarbeta ett förslag till certifieringsordning som uppfyller de krav som anges i artiklarna 51, 52 och 54. Vid utarbetande av ett förslag till certifieringsordning ska Enisa samråda med alla berörda intressenter genom en formell, öppen, transparent och inkluderande samrådsprocess. För varje förslag till certifieringsordning ska Enisa inrätta en för ändamålet särskilt tillsatt arbetsgrupp i enlighet med artikel 20.4 i syfte att tillhandahålla Enisa särskild rådgivning och sakkunskap. Enisa ska ha ett nära samarbete med europeiska gruppen för cybersäkerhetscertifiering. Europeiska gruppen för cybersäkerhetscertifiering ska ge Enisa bistånd och expertråd vid utarbetandet av förslagen till certifieringsordning och ska anta ett yttrande om förslaget till certifieringsordning. Med utgångspunkt i förslaget till certifieringsordning som Enisa lagt fram, får kommissionen anta genomförandeakter för europeiska ordningar för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer. Enisa ska åtminstone vart femte år utvärdera varje antagen europeisk ordning för cybersäkerhetscertifiering och därvid beakta synpunkter från berörda intressenter.
Webbplats om europeiska ordningar för cybersäkerhetscertifiering
I artikel 50 anges att Enisa ska underhålla en särskild webbplats med information om och offentliggörande av europeiska ordningar för cybersäkerhetscertifiering, europeiska cybersäkerhetscertifikat och EU-intyg om överensstämmelse, även information med avseende på europeiska ordningar för cybersäkerhetscertifiering som inte längre är giltiga, på indragna och utgångna europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse, och på förteckningen över länkar till cybersäkerhetsinformation som tillhandahålls i enlighet med artikel 55. I tillämpliga fall ska det på webbplatsen också anges vilka nationella ordningar för cybercertifiering som har ersatts av en europeisk ordning för cybersäkerhetscertifiering.
Säkerhetsmålsättningarna för europeiska ordningar för cybersäkerhetscertifiering
Enligt artikel 51 ska en europeisk ordning för cybersäkerhetscertifiering vara utformad för att, i tillämpliga fall, uppnå minst de säkerhetsmålsättningar som anges i artikeln.
Assuransnivåer för europeiska ordningar för cybersäkerhetscertifiering
I artikel 52 anges att en europeisk ordning för cybersäkerhetscertifiering får innehålla en eller flera av assuransnivåerna "grundläggande", "betydande" och "hög" för IKT- produkter, IKT-tjänster och IKT-processer.
Assuransnivån för en europeisk certifieringsordning utgör förtroendegrunden för att en IKT-produkt, IKT-tjänst eller IKT-process uppfyller säkerhetskraven i en särskild europeisk ordning för cybersäkerhetscertifiering. I syfte att säkerställa konsekvens i den europeiska ramen för cybersäkerhetscertifiering ska en europeisk ordning för cybersäkerhetscertifiering kunna specificera assuransnivån för EU-försäkringar om överensstämmelse och europeiska cybersäkerhetscertifikat som har utfärdats inom ramen för den ordningen. En EU-försäkran om överensstämmelse kan endast avse assuransnivån grundläggande medan ett europeiskt cybersäkerhetscertifikat kan avse någon av assuransnivåerna grundläggande, betydande eller hög.
Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT-tjänsten och IKT-processen och fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. Varje assuransnivå bör vara konsekvent inom de olika sektoriella områden där certifiering tillämpas.
En europeisk ordning för cybersäkerhetscertifiering kan ha flera utvärderingsnivåer beroende på hur stringent och djupgående utvärderingsmetoden är. Utvärderingsnivåer ska motsvara en av assuransnivåerna och vara kopplad till en lämplig kombination av assuranskomponenter. För samtliga assuransnivåer bör IKT-produkten, IKT-tjänsten eller IKT-processen omfatta en rad säkra funktioner som fastställs i ordningen.
Självbedömning av överensstämmelse
I artikel 53 anges att en europeisk ordning för cybersäkerhetscertifiering kan ge tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer möjlighet att göra en självbedömning av överensstämmelse, dvs. en EU-försäkran om överensstämmelse. En självbedömning av överensstämmelse ska dock endast tillåtas i förhållande till IKT-produkter, IKT-tjänster och IKT-processer med låg risk som motsvarar assuransnivån grundläggande. Denna typ av bedömning av överensstämmelse bedöms lämplig för IKT-produkter och IKT-tjänster med lägre komplexitet som inte utgör en stor risk för det allmänna samhällsintresset (skäl 79). Genom att utfärda en EU-försäkran om överensstämmelse tar tillverkaren eller leverantören ansvar för att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med de krav som anges i certifieringsordningen. Det är frivilligt att utfärda en EU-försäkran om överensstämmelse om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt. En EU-försäkran om överensstämmelse ska erkännas i alla medlemsstater.
Komponenter i europeiska ordningar för cybersäkerhetscertifiering
I artikel 54 anges de komponenter som en europeisk ordning för cybersäkerhetscertifiering åtminstone ska innehålla. Av artikeln följer att föremålet och tillämpningsområdet för certifieringsordningen, inbegripet typen eller kategorierna av de IKT-produkter, IKT-tjänster och IKT-processer som omfattas av certifieringsordningen och en tydlig beskrivning av syftet med ordningen och hur de valda standarderna, utvärderingsmetoderna och assuransnivåerna överensstämmer med behoven hos ordningens avsedda användare ska anges. Om självbedömning av överensstämmelse är tillåtet inom ramen för ordningen ska också anges samt, i tillämpliga fall, särskilda eller ytterligare krav som gäller för organ för bedömning av överensstämmelse för att garantera deras tekniska kompetens att utvärdera cybersäkerhetskraven. Vidare ska, i tillämpliga fall, anges vilka uppgifter som är nödvändiga för certifieringen och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse och regler för övervakning av efterlevnaden av IKT-produkter, IKT-tjänster och IKT-processer vad gäller kraven i europeiska cybersäkerhetscertifikat eller EU-försäkran om överensstämmelse, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven. Härutöver anges i artikeln ytterligare komponenter som en europeisk ordning för cybersäkerhetscertifiering ska innehålla.
Kompletterande cybersäkerhetsinformation för certifierade IKT-produkter, IKT-tjänster och IKT-processer
I artikel 55 anges att tillverkaren eller leverantören av IKT-produkter, IKT-tjänster eller IKT-processer för vilka en EU-försäkran om överensstämmelse har utfärdats eller som är certifierade ska lämna kompletterande cybersäkerhetsinformation enligt vad som anges i artikeln.
Cybersäkerhetscertifiering
I artikel 56 anges att IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49, ska förutsättas överensstämma med kraven i en sådan ordning. Vidare anges att cybersäkerhetscertifieringen ska vara frivillig, om inte annat anges i unionsrätten eller i medlemsstaternas nationella rätt.
I artikel 56.4 anges att de organ för bedömning av överensstämmelse som avses i artikel 60 ska utfärda europeiska cybersäkerhetscertifikat i enlighet med artikeln som avser assuransnivå grundläggande eller betydande på grundval av de kriterier som ingår i den europeiska ordningen för cybersäkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.
I artikel 56.5 anges att genom undantag från punkten 4, och i motiverade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen får utfärdas endast av ett offentligt organ. Ett sådant organ ska vara en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1.
Av artikel 56.6 framgår att om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivån hög, ska det europeiska cybersäkerhetscertifikatet enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse:
- Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse.
- Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering.
I artikel 56.9 anges att ett europeiskt cybersäkerhetscertifikat ska utfärdas för den period som fastställs i den europeiska ordningen för cybersäkerhetscertifiering och får förnyas under förutsättning att de relevanta kraven alltjämt uppfylls.
Av artikel 56.10 framgår att ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater.
Nationella ordningar och certifikat för cybersäkerhetscertifiering
I artikel 57.1 anges att de nationella ordningarna för cybersäkerhetscertifiering och därtill hörande förfaranden, för IKT-produkter, IKT-tjänster och IKT-processer som omfattas av en europeisk ordning för cybersäkerhetscertifiering, ska upphöra att ha verkan från och med den dag som anges i den genomförandeakt som antagits i enlighet med artikel 49.7. Nationella ordningar för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter, IKT-tjänster och IKT-processer som inte omfattas av en europeisk ordning för cybersäkerhetscertifiering får kvarstå.
Av artikel 57.2 framgår att medlemsstaterna inte får införa nya nationella ordningar för cybersäkerhetscertifiering av de IKT-produkter, IKT-tjänster och IKT-processer som omfattas av en befintlig europeisk ordning för cybersäkerhetscertifiering.
Av artikel 57.3 framgår att befintliga certifikat som har utfärdats enligt nationella ordningar för cybersäkerhetscertifiering och som omfattas av en europeisk ordning för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.
Hänvisningar i nationell lagstiftning till nationella standarder som har upphört att ha verkan i och med att en europeisk ordning för cybersäkerhetscertifiering har trätt i kraft kan orsaka förvirring. Medlemsstaterna bör därför se till att antagandet av en europeisk ordning för cybersäkerhetscertifiering avspeglas i deras nationella lagstiftning (skäl 98).
Nationella myndigheter för cybersäkerhetscertifiering
I artikel 58.1 anges att varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering på sitt territorium eller, efter överenskommelse med en annan medlemsstat, utse en eller flera nationella myndigheter för cybersäkerhetscertifiering som är etablerade i denna andra medlemsstat som ansvariga för tillsynsuppgifterna i den utseende medlemsstaten.
Av artikel 58.2 följer att medlemsstaten ska underrätta kommissionen om vilka nationella myndigheter för cybersäkerhetscertifiering som utsetts. Om en medlemsstat utser mer än en myndighet ska den också informera kommissionen om vilka uppgifter som var och en av dessa myndigheter tilldelats.
Av artikel 58.3 följer att varje nationell myndighet för cybersäkerhetscertifiering ska, utan att det påverkar tillämpningen av artikel 56.5 a och 56.6, vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.
Av artikel 58.4 följer att medlemsstaterna ska säkerställa att den verksamhet som bedrivs av den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artiklarna 56.5 a och 56.6 är strikt avskild från deras uppgifter och ansvarsområden i förhållande till tillsynsverksamheten och att dessa verksamheter utförs oberoende av varandra.
Av artikel 58.7 framgår att nationella myndigheter för cybersäkerhetscertifiering bl.a. ska
- övervaka och kontrollera efterlevnaden av bestämmelserna i europeiska ordningar för cybersäkerhetscertifiering,
- övervaka IKT-produkters, IKT-tjänsters och IKT-processers överensstämmelse med kraven i de europeiska cybersäkerhetscertifikat som har utfärdats inom deras respektive territorier, i samarbete med andra berörda marknadsövervakningsmyndigheter,
- kontrollera att tillverkare eller leverantörer av IKT-produkter, IKT-tjänster eller IKT-processer som är etablerade inom deras respektive territorier fullgör sina skyldigheter när de genomför självbedömning av överensstämmelse enligt artiklarna 53.2 och 53.3 och motsvarande europeisk ordning för cybersäkerhetscertifiering,
- aktivt bistå och stödja de nationella ackrediteringsorganen med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med denna förordning,
- övervaka och kontrollera den verksamhet som bedrivs av de offentliga organ som avses i artikel 56.5,
- i tillämpliga fall utfärda bemyndiganden för organ för bedömning av överensstämmelse i enlighet med artikel 60.3 och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organen för bedömning av överensstämmelse inte uppfyller kraven i cybersäkerhetsakten,
- behandla klagomål från fysiska eller juridiska personer avseende europeiska cybersäkerhetscertifikat som utfärdats av nationella myndigheter för cybersäkerhetscertifiering eller europeiska cyber-säkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6, eller avseende en EU-försäkran av överensstämmelse som utfärdats enligt artikel 53,
- lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt leden b, c och d i denna punkt eller enligt punkt 8 till Enisa och europeiska gruppen för cybersäkerhetscertifiering,
- samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bl.a. genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som eventuellt avviker från kraven i cybersäkerhetsakten eller från kraven i särskilda europeiska ordningar för cybersäkerhetscertifiering, och
- övervaka relevant utveckling på området cybersäkerhetscertifiering.
I artikel 58.8 anges de minimibefogenheter som varje nationell myndighet för cybersäkerhetscertifiering ska ha för att kunna fullgöra tillsyn över efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering.
Av artikel 58.9 framgår att nationella myndigheter för cybersäkerhetscertifiering ska samarbeta med varandra och med kommissionen, bl.a. genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer.
Inbördes granskning
I artikel 59.1 anges att de nationella myndigheterna för cybersäkerhetscertifiering omfattas av inbördes granskning i syfte att uppnå likvärdiga standarder i hela unionen för EU-försäkringar om överensstämmelse och europeiska cybersäkerhetscertifikat.
Av artikel 59.4 framgår att den inbördes granskningen ska utföras av minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsstater och kommissionen och ska utföras minst vart femte år. Enisa får delta i den inbördes granskningen.
Organen för bedömning av överensstämmelse
Av artikel 60.1 framgår att organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt.
I artikel 60.2 anges att om ett europeiskt cybersäkerhetscertifikat utfärdas av en nationell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse enligt punkten 1.
Av artikel 60.3 framgår att om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar.
Av artikel 60.4 framgår att ackrediteringen som avses i punkten 1 ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i denna artikel. Nationella ackrediteringsorgan ska vidta alla lämpliga åtgärder inom en rimlig tidsram för att begränsa, tillfälligt upphäva eller återkalla ackrediteringen av ett organ för bedömning av överensstämmelse som har utfärdats i enlighet med punkten 1 om villkoren för ackrediteringen inte har uppfyllts, eller inte längre uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot bestämmelserna i cybersäkerhetsakten.
Anmälan till kommissionen
I artikel 61.1 anges att de nationella myndigheterna för cybersäkerhetscertifiering till kommissionen ska anmäla de organ som har ackrediterats och, i tillämpliga fall, bemyndigade i enlighet med artikel 60.3 att utfärda europeiska cybersäkerhetscertifikat på angivna assuransnivåer enligt artikel 52.
Av artikel 61.2 följer att kommissionen, ett år efter ikraftträdandet av en europeisk ordning för cybersäkerhetscertifiering, ska offentliggöra en förteckning över de organ för bedömning av överensstämmelse som har anmälts.
Av artikel 61.4 följer att en nationell myndighet för cybersäkerhetscertifiering får lämna in en begäran till kommissionen om att stryka ett organ för bedömning av överensstämmelse, som anmälts av den myndigheten, från den förteckning som avses i punkten 2.
Europeiska gruppen för cybersäkerhetscertifiering
Av artikel 62 följer att en europeisk grupp för cybersäkerhetscertifiering ska bildas. Gruppen ska bestå av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra berörda nationella myndigheter. Gruppen ska ha i uppgift att bl.a. ge råd till och bistå kommissionen i dess arbete för att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av det europeiska ramverket för cybersäkerhetscertifiering, särskilt när det gäller frågor som rör unionens löpande arbetsprogram, cybersäkerhetscertifiering, strategisamordning och utarbetandet av de europeiska ordningarna för cybersäkerhetscertifiering.
Rätt att lämna in klagomål
I artikel 63.1 anges att fysiska och juridiska personer ska ha rätt att lämna in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller, när klagomålet rör ett europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse som handlar i enlighet med artikel 56.6, till den berörda nationella myndigheten för cybersäkerhetscertifiering.
Rätt till ett effektivt rättsmedel
I artikel 64.1 anges att fysiska och juridiska personer ska ha rätt till effektiva rättsmedel avseende beslut fattade av den myndighet eller det organ som avses i artikel 63.1, och avseende underlåtenhet att vidta åtgärder med anledning av ett klagomål som lämnats in till den myndighet eller det organ som avses i artikel 63.1.
Sanktioner
I artikel 65 anges att medlemsstaterna ska fastställa regler om sanktioner vid överträdelser av det europeiska ramverket för cybersäkerhetscertifiering och europeiska certifieringsordningar, och ska vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.
5 En ny lag införs
Regeringens förslag: En ny lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt införs.
Ord och uttryck i den nya lagen ska ha samma betydelse som i EU:s cybersäkerhetsakt.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Sveriges advokatsamfund ifrågasätter att ytterligare en fristående författning på informationssäkerhetsområdet införs. Övriga remissinstanser tillstyrker eller yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: EU:s cybersäkerhetsakt är bindande i sin helhet och direkt tillämplig i varje medlemsstat. Den ger medlemsstaterna rätt, men föreskriver även en skyldighet för dem, att vidta åtgärder för att säkerställa att regelverket i det europeiska ramverket för cybersäkerhetscertifiering införs och tillämpas på ett ändamålsenligt och effektivt sätt. En medlemsstat får dock inte vidta några åtgärder för att införliva de materiella bestämmelserna i det europeiska ramverket med nationell rätt. Det är endast om nationell rätt kan anses strida mot cybersäkerhetsakten, i de fall akten ger möjlighet eller föreskriver en skyldighet att vidta lagstiftningsåtgärder nationellt och om det behövs nationella åtgärder till stöd för regelverkets syfte, som ändringar i nationell rätt aktualiseras. Flera av artiklarna i EU:s cybersäkerhetsakt förutsätter att nationella kompletterande bestämmelser införs, bl.a. i fråga om utseende av nationell myndighet för cybersäkerhetscertifiering (artikel 58), rätten till ett effektivt rättsmedel (artikel 64) och sanktioner (artikel 65).
Vissa av de kompletterande nationella bestämmelser som behöver införas, t.ex. de om sanktionsavgifter, förutsätter lagstöd. Genom EU:s cybersäkerhetsakt införs ett nytt regelverk för cybersäkerhetscertifiering. Något motsvarande regelverk på nationell nivå finns för närvarande inte. Regeringen anser därför, till skillnad mot Sveriges Advokatsamfund, att en ny lag bör införas. Som utredningen föreslår bör den nya lagen benämnas lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
Vissa av de bestämmelser som föreslås i den nya lagen bör hänvisa till artiklar i EU:s cybersäkerhetsakt, till exempel till artikel 58 som anger vilka befogenheter som den nationella myndigheten för cybersäkerhetscertifiering har. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. För att eventuella ändringar i EU:s cybersäkerhetsakt ska få omedelbart genomslag i Sverige är det lämpligt att hänvisningarna i den nya lagen är dynamiska.
Flera av de ord och uttryck som används i EU:s cybersäkerhetsakt definieras i artikel 2 i cybersäkerhetsakten. Ord och uttryck som används i den nya lagen bör därför ha samma betydelse som i EU:s cybersäkerhetsakt.
6 Nationell myndighet för cybersäkerhetscertifiering
6.1 Regeringen ska utse den nationella myndigheten för cybersäkerhetscertifiering
Regeringens förslag: Den myndighet som regeringen bestämmer ska vara nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Varje medlemsstat ska utse en eller flera nationella myndigheter för cybersäkerhetscertifiering att utföra de uppgifter som anges i EU:s cybersäkerhetsakt. Det är därmed upp till varje medlemsstat att bestämma om en eller flera myndigheter ska utses. Som utredningen föreslår bör det i den nya lagen därför införas en bestämmelse som anger att den myndighet som regeringen bestämmer ska vara nationell myndighet för cybersäkerhetscertifiering.
6.2 Försvarets materielverk bör vara nationell myndighet för cybersäkerhetscertifiering
Regeringens bedömning: Försvarets materielverk bör vara nationell myndighet för cybersäkerhetscertifiering.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker eller invänder inte mot utredningens bedömning. Några remissinstanser, däribland Skatteverket, anser att Myndigheten för samhällsskydd och beredskap bör vara nationell myndighet för cybersäkerhetscertifiering.
Skälen för regeringens bedömning: En viktig utgångspunkt vid inrättandet av den nationella myndigheten för cybersäkerhetscertifiering är att, som utredningen och flera remissinstanser framhåller, beakta de krav på oberoende som EU:s cybersäkerhetsakt ställer. Det gäller verksamhet som avser utfärdande av cybersäkerhetscertifikat och verksamhet som innefattar tillsyn. Under förutsättning att kravet på oberoende uppfylls finns inget hinder enligt EU:s cybersäkerhetsakt mot att utse en myndighet att utföra samtliga uppgifter som åligger den nationella myndigheten för cybersäkerhetscertifiering.
De uppgifter som den nationella myndigheten för cybersäkerhetscertifiering ska ha innefattar sammantaget omvärldsbevakning av frågor som rör cybersäkerhet och cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer, samverkan med nationella och internationella aktörer på området, ansvar för viss cybersäkerhetscertifieringsverksamhet, främst på högsta assuransnivån och tillsynsansvar över efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering.
Försvarets materielverk bedriver verksamhet som kräver bred och djup kunskap och teknisk kompetens inom ramen för verksamhet som Sveriges nationella certifieringsorgan för IT-säkerhet i produkter och system (CSEC). Erfarenhet från certifieringsverksamhet och den tekniska kunskapen som Försvarets materielverk har är också en fördel vid uppbyggnaden av ett system för en effektiv tillsyn över regelverket för cybersäkerhetscertifiering. Till detta kommer att Försvarets materielverk bedöms ha goda förutsättningar att hantera den i vissa fall känsliga information som kommer att behöva tillgängliggöras både vid cybersäkerhetscertifiering på högsta assuransnivån och inom ramen för tillsynsverksamheten.
Regeringen bedömer, i likhet med utredningen, att Försvarets materielverk är den myndighet som är bäst lämpad och bör utses att utföra de uppgifter som åligger den nationella myndigheten för cybersäkerhetscertifiering.
För att säkerställa de krav på oberoende som EU:s säkerhetsakt ställer behöver vissa frågor om bl.a. myndighetens organisation och beslutsförfarande regleras. Detta kan lämpligen göras genom förordning.
6.3 Avgiftsfinansierad verksamhet
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och den nya lagen.
Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om sådana avgifter.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering kommer att utfärda cybersäkerhetscertifikat efter ansökan från den tillverkare eller leverantör som exempelvis vill få en produkt certifierad enligt det europeiska ramverket för cybersäkerhetscertifiering. Kostnader i den verksamheten bör bekostas av de tillverkare och leverantörer som ansöker om ett europeiskt cybersäkerhetscertifikat.
I fråga om avgiftsfinansiering av kostnader för tillsyn har regeringen tidigare uttalat att det bör beaktas att sådana avgifter ska motsvaras av en tydlig motprestation från tillsynsorganets sida, stödja syftet med tillsynen och ge incitament till avsedda beteenden hos tillsynsorganet och objektansvariga samt vara enkla, lättbegripliga och förutsägbara för de objektansvariga, se bl.a. propositionen Lag om sprängämnesprekursorer och redovisning av krisberedskapens utveckling (prop. 2013/14:144 s. 94).
Regeringen bedömer att detta är uppfyllt i fråga om tillsynen över regelverket om cybersäkerhetscertifiering. Tillsynsavgiften bör tas ut av de aktörer vars verksamhet prövas eller är föremål för tillsynsåtgärd. Möjligheten för den nationella myndigheten för cybersäkerhetscertifiering att ta ut avgifter bör således omfatta alla berörda organ för bedömning av överensstämmelse och innehavare av europeiska cybersäkerhetscertifikat eller utfärdare av EU-försäkringar om överensstämmelse. Den nationella myndigheten för cybersäkerhetscertifiering bör även få ta ut avgift för tillsynsverksamhet enligt den nya lagen och föreskrifter som har meddelats i anslutning till lagen.
Som utredningen föreslår bör det i den nya lagen också införas ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att få meddela föreskrifter om sådana avgifter.
Regeringen anser i likhet med utredningen att det inte bör införas någon författningsreglerad avgiftsfinansiering för verksamhet som bedrivs av privata organ för bedömning av överensstämmelse. Dessa organ bedriver verksamhet på en marknad och avgiften för utfärdande av ett cybersäkerhetscertifikat bör bestämmas i konkurrens mellan berörda aktörer.
7 Tillsynsbefogenheter
7.1 Rätt att få tillträde till lokaler och handräckning av Kronofogdemyndigheten
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Vid handräckning ska bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande tillämpas. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Remissinstanserna: Kronofogdemyndigheten och Transportstyrelsen anser att utredningens lagförslag bör förtydligas så att det framgår med stöd av vilka bestämmelser som Kronofogdemyndighetens biträde ska lämnas. Transportstyrelsen anser också att det i bestämmelsen bör anges att rätten till tillträde till lokal av integritetsskäl inte bör gälla om lokalen utgör en bostad. Skatteverket ifrågasätter nödvändigheten att ge rätt till tillträde med hjälp av Kronofogdemyndigheten i alla förekommande fall. Svenska journalistförbundet anser att det bör införas en bestämmelse om begränsning av den nationella myndigheten för cybersäkerhetscertifierings rätt till tillgång till uppgifter som omfattas av journalisters tystnadsplikt motsvarande det beslagsförbud som finns i 27 kap. 2 § rättegångsbalken.
Skälen för regeringens förslag: Av artikel 58.8 d i EU:s cybersäkerhetsakt följer att den nationella myndigheten för cybersäkerhetscertifiering ska ha rätt att få tillgång till alla lokaler hos organ för bedömning av överensstämmelse eller innehavare av ett europeiskt cybersäkerhetscertifikat i syfte att genomföra utredningar i enlighet med unionsrätten eller medlemsstaternas processrätt.
Tillsynsobjekten är tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer som är innehavare av cybersäkerhetscertifikat samt organ för bedömning av överensstämmelse. För att tillsyn ska kunna bedrivas på ett effektivt sätt är det nödvändigt att den nationella myndigheten för cybersäkerhetscertifiering får vidta vissa undersökningar av de lokaler som de får tillträde till och till det som påträffas där. Alla sådana undersökningar måste dock begränsas till det som är nödvändigt för att tillsynen ska kunna genomföras och måste vara inriktade enbart på sådant som har relevans för tillsynen av efterlevnaden av bestämmelserna i EU:s cybersäkerhetsakt. Proportionalitetsprincipen ska beaktas innan myndigheten begär tillträde och gör undersökningar.
Om verksamhetsutövaren vägrar att ge den nationella myndigheten för cybersäkerhetscertifiering tillträde till en lokal för bör den nationella myndigheten för cybersäkerhetscertifiering kunna begära biträde av Kronofogdemyndigheten för att få tillgång till en lokal för att kunna kontrollera handlingar, utrustning och verksamheten på plats.
Som Kronofogdemyndigheten och Transportstyrelsen uppmärksammar bör det tydligt anges med stöd av vilka bestämmelser Kronofogdemyndighetens biträde ska lämnas och att rätten till tillträde till lokal av integritetsskäl inte bör gälla om lokalen utgör en bostad. Regeringen föreslår att lagtexten utformas i enlighet med detta.
Skatteverket ifrågasätter nödvändigheten att ge rätt till tillträde med hjälp av Kronofogdemyndigheten i alla förekommande fall.
Den nationella myndigheten för cybersäkerhetscertifiering måste i sin tillsynsverksamhet beakta proportionalitetsprincipen, som kommer till uttryck i bl.a. 5 § tredje stycket förvaltningslagen (2017:900). Det innebär att de åtgärder som myndigheten vidtar aldrig får vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Regeringen anser därför inte att det finns anledning att i den föreslagna bestämmelsen införa ytterligare begränsningar i rätten att få tillträde till lokaler med biträde av Kronofogdemyndigheten.
Svenska journalistförbundet anser att det bör införas en bestämmelse om begränsning av den nationella myndigheten för cybersäkerhetscertifierings rätt till tillgång till uppgifter som omfattas av journalisters tystnadsplikt motsvarande det beslagsförbud som finns i 27 kap. 2 § rättegångsbalken.
Bestämmelser om s.k. källskydd i journalistisk verksamhet finns i bl.a. tryckfrihetsförordningen. Enligt 1 kap. 1 § tredje stycket tryckfrihetsförordningen står det var och en fritt att meddela uppgifter och underrättelser i vilket ämne som helst till bl.a. journalister och tidningsredaktioner för offentliggörande i tryckta skrifter m.m. En meddelare har rätt att vara anonym (3 kap. 1 § tryckfrihetsförordningen). Den som har tagit emot en uppgift för publicering har, med vissa undantag, tystnadsplikt beträffande meddelarens identitet (3 kap. 3 § tryckfrihetsförordningen). Den nationella myndigheten för cybersäkerhetscertifierings befogenheter avgränsas av att de endast får utövas för fullgörandet av de uppgifter som myndigheten har enligt EU:s cybersäkerhetsakt och den nya lagen.
Regeringen anser att det inte finns något hinder mot att beakta nationella bestämmelser om t.ex. anonymitetsskydd, efterforskningsförbud och tystnadsplikt inom ramen för det europeiska systemet för cybersäkerhetscertifiering. Skyldigheten att tillhandahålla den nationella myndigheten för cybersäkerhetscertifiering information begränsas således av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Eftersom det följer redan av principen om att grundlag har företräde framför vanlig lag, behöver detta inte anges särskilt i den nya lagen.
7.2 Befogenhet att besluta om förelägganden som får förenas med vite
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Enligt artikel 58.8 c i EU:s cybersäkerhetsakt ska varje nationell myndighet för cybersäkerhetscertifiering ha rätt att vidta lämpliga åtgärder, i enlighet med nationell rätt, för att säkerställa att den som utfärdar en EU-försäkran om överensstämmelse eller utfärdar eller innehar ett europeiskt cybersäkerhetscertifikat uppfyller kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering.
Regeringen anser i likhet med utredningen att detta bör säkerställas genom att det i den nya lagen införs en ordning som innebär att den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas. Vidare föreslås att sådana beslut om föreläggande ska få förenas med vite.
Enligt Lagrådet bör det klargöras om avsikten är att ett föreläggande ska kunna riktas mot någon som saluför en produkt som certifierad, trots att något certifikat inte finns. Regeringen konstaterar att artikel 58.8 c i EU:s cybersäkerhetsakt, som bestämmelsen i den nya lagen genomför, inte uttryckligen tar sikte på den situationen. Det bör lämpligen överlämnas till rättstillämpningen att avgöra om frågan faller inom tillämpningsområdet för den nu aktuella regleringen eller om det finns annan lagstiftning, t.ex. på konsumentskyddsområdet, som kan vara tillämplig.
7.3 Omedelbar verkställighet och inhibition
Regeringens bedömning: Det behövs inte några särskilda bestämmelser om att beslut av den nationella myndigheten för cybersäkerhetcertifiering får verkställas omedelbart eller om inhibition av sådana beslut.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm anser att det av effektivitetsskäl bör övervägas att i den nya lagen införa en särskild bestämmelse om att tillsynsmyndigheten får bestämma att ett beslut om föreläggande ska gälla omedelbart. Övriga remissinstanser yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning: Om den nationella myndigheten för cybersäkerhetscertifiering konstaterar att det finns skäl att ingripa genom beslut om föreläggande kan det finnas behov att beslutet ska kunna verkställas omedelbart. Så kan exempelvis vara fallet om myndigheten beslutar att ett förfarande eller en verksamhet inte får fortsätta. Omedelbar verkställighet av ett sådant beslut kan förhindra eller minska sårbarheter och risken för skador. Även andra beslut av myndigheten kan behöva verkställas omedelbart. Skälet för detta kan vara att det annars finns en risk för att syftet med beslutet inte uppnås. Det gäller till exempel beslut som rör tillträde till lokaler för att genomföra undersökningar.
I 35 § förvaltningslagen finns bestämmelser om när en myndighets beslut får verkställas. Utgångspunkten är att ett beslut som får överklagas inom en viss tid får verkställas när överklagandetiden har gått ut, om beslutet inte har överklagats. Ett beslut får dock i vissa fall verkställas omedelbart. Det gäller till exempel om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock först noga överväga om det finns skäl att avvakta med att verkställa beslutet på grund av att beslutet medför mycket ingripande verkningar för någon enskild, att verkställigheten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller någon annan omständighet.
Regeringen anser att detta är en lämplig och effektiv ordning även i fråga om den nationella myndigheten för cybersäkerhetscertifierings beslut. Någon särskild bestämmelse av det slag som Förvaltningsrätten i Stockholm efterfrågar bör därför inte införas.
En domstol som ska pröva ett överklagande av ett förvaltningsbeslut som gäller omedelbart kan förordna att det överklagade beslutet tills vidare inte ska gälla, s.k. inhibition. Möjligheten till inhibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av den nationella myndigheten för cybersäkerhetscertifiering minimeras. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291). Någon särskild bestämmelse om inhibition behöver därför inte tas in i den nya lagen.
7.4 Tillsynsbefogenheter i övrigt
Regeringens bedömning: Kompletterande bestämmelser om tillsynsbefogenheter i övrigt behöver inte regleras i lag.
Utredningens bedömning överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över bedömningen.
Skälen för regeringens bedömning: Enligt artikel 58.8 i EU:s cybersäkerhetsakt kan den nationella myndigheten för cybersäkerhetscertifiering begära att utfärdare av en EU-försäkran om överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och organ för bedömning av överensstämmelse ska lägga fram alla uppgifter som myndigheten behöver för att kunna fullgöra sin uppgift (punkten a). Myndigheten har också befogenhet att genomföra undersökningar, i form av kontroller, av utfärdare av en EU-försäkran om överensstämmelse, innehavare av ett europeiskt cybersäkerhetscertifikat och organ för bedömning av överensstämmelse för att kunna verifiera överensstämmelse med bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering (punkten b).
Regeringen instämmer i utredningens bedömning att det inte behöver införas några kompletterande bestämmelser i lag om den nationella myndigheten för cybersäkerhetscertifierings befogenheter enligt bestämmelserna i artikel 58.8 a och b.
7.5 Samma tillsynsbefogenheter med stöd av den nya lagen som enligt EU:s cybersäkerhetsakt
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering ska ha de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt även vid tillsynen över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Ett fungerande europeiskt system för cybersäkerhetscertifiering förutsätter att nationella bestämmelser införs som kompletterar EU:s cybersäkerhetsakt. Tillsynen över regelverket bör lämpligen omfatta att såväl bestämmelserna i EU:s cybersäkerhetsakt som de kompletterande nationella bestämmelserna följs. För att tillsynsverksamheten ska kunna bedrivas på ett effektivt och ändamålsenligt sätt bör de befogenheter som den nationella myndigheten för cybersäkerhetscertifiering har enligt artikel 58.8 i EU:s cybersäkerhetsakt gälla även vid tillsyn enligt den nya lagen och föreskrifter som har meddelats i anslutning till lagen.
Regeringen föreslår i likhet med utredningen att en bestämmelse om detta förs in i den nya lagen.
7.6 Återkallelse av europeiska cybersäkerhetscertifikat
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Enligt artikel 58.8 e i EU:s cybersäkerhetsakt får en nationell myndighet för cybersäkerhetscertifiering, i enlighet med nationell rätt, återkalla europeiska cybersäkerhetscertifikat som har utfärdats av den myndigheten eller organ för bedömning av överensstämmelse i enlighet med artikel 56.6, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering. IKT-produkter, IKT-tjänster och IKT-processer som har certifierats enligt en europeisk ordning för cybersäkerhetscertifiering, som antagits enligt artikel 49, ska förutsättas överensstämma med kraven i en sådan ordning (artikel 56.1).
Av artikel 56.4 framgår att de organ för bedömning av överensstämmelse som avses i artikel 60 får utfärda europeiska cybersäkerhetscertifikat i enlighet med vad som anges i artikeln och som avser assuransnivå "grundläggande" eller "betydande" Genom undantag från punkten 4, och när en europeisk ordning för cybersäkerhetscertifiering föreskriver det, får ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen utfärdas endast av ett offentligt organ. Ett sådant organ ska antingen vara en nationell myndighet för cybersäkerhetscertifiering som avses i artikel 58.1 eller ett offentligt organ som är ackrediterat som organ för bedömning av överensstämmelse i enlighet med artikel 60.1 (artikel 56.5).
Om en europeisk ordning för cybersäkerhetscertifiering som antagits enligt artikel 49 kräver assuransnivå "hög" ska det europeiska cybersäkerhetscertifikatet endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, efter bemyndigande av den myndigheten, av ett organ för bedömning av överensstämmelse. Detta får ske först efter antingen ett förhandsgodkännande av myndigheten för varje enskilt europeiskt cybersäkerhetscertifikat eller efter en allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till organet för bedömning av överensstämmelse (artikel 56.6).
Som utredningen föreslår bör det i den nya lagen införas en bestämmelse som ger den nationella myndigheten för cybersäkerhetscertifiering rätt att återkalla cybersäkerhetscertifikat som myndigheten eller ett organ för bedömning av överensstämmelse som ackrediterats enligt artikel 60.1 har utfärdat och som inte längre uppfyller kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering.
Regeringen anser att det bör överlämnas till rättstillämpningen att utveckla närmare praxis i fråga om sådan återkallelse.
8 Sanktioner
8.1 Straffrättsliga sanktioner bör inte införas
Regeringens bedömning: Det bör inte införas straffrättsliga sanktioner för överträdelser av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Transportstyrelsen är tveksam till bedömningen att det inte finns tillräckliga skäl att införa straffrättsliga sanktioner med hänsyn till att de produkter, tjänster och processer som omfattas av cybersäkerhetscertifiering kan förväntas utgöra kritiska komponenter för landets försvars- och krishanteringsförmåga. Övriga remissinstanser yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning: I artikel 58.8 f i EU:s cybersäkerhetsakt anges att varje nationell myndighet för cybersäkerhetscertifiering ska utdöma sanktioner i enlighet med nationell rätt och kräva att överträdelser av skyldigheterna i förordningen omedelbart upphör. Vidare föreskrivs i artikel 65 att medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering och vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska anmäla reglerna och åtgärderna samt ändringar av dessa utan dröjsmål till kommissionen.
EU:s cybersäkerhetsakt reglerar inte frågan om vilka typer av sanktioner som bör finnas eller i vilka fall som en sanktionsavgift bör tas ut av den som inte följer bestämmelserna i ramverket för cybersäkerhetscertifiering.
Kriminalisering som metod att förhindra överträdelse av olika normer i samhället bör användas med försiktighet och bör inte komma i fråga om det finns någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet.
Regeringens förslag om den nationella myndigheten för cybersäkerhetscertifierings ansvar för tillsyn och befogenheter innebär att myndigheten får effektiva verktyg i arbetet med att motverka brister i fråga om cybersäkerhetscertifiering.
Mot den bakgrunden, och med hänsyn till möjligheten att införa administrativa sanktioner, anser regeringen - i likhet med utredningen - att det inte bör införas några bestämmelser som innebär straffrättsliga sanktioner vid överträdelser av det europeiska ramverket för cybersäkerhetscertifiering.
8.2 Ett system med administrativa sanktionsavgifter
Regeringens förslag: Den nationella myndigheten för cybersäkerhetscertifiering ska kunna besluta om sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Ett system med administrativa sanktionsavgifter används ofta för att enkelt och snabbt beivra regelöverträdelser. Sanktionsavgifter bör tas ut endast när det gäller lätt konstaterbara överträdelser för vilka utredningsinslaget är begränsat. Ansvaret är således vanligtvis strikt i dessa fall. Sanktionsavgifter bör drabba alla som överträder reglerna lika och avgiften bör vara anpassad till överträdelsen enligt schabloner.
Regeringen anser att införandet av en ordning med administrativa sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt är såväl lämpligt som ändamålsenligt. Som utredningen framhåller kan en sådan ordning antas medföra såväl ökad följsamhet till som färre överträdelser av regelverket. En annan konsekvens av införandet av ett sanktionssystem bör också bli att konsumenternas förtroende för branschen på sikt kan öka, vilket ligger i det allmännas intresse.
En sådan ordning utgör också ett lämpligt komplement till den möjlighet att få besluta förelägganden, som får förenas med vite, som behandlas i avsnitt 7.2.
Regeringen föreslår därför, i likhet med utredningen, att det i den nya lagen införs bestämmelser om att den nationella myndigheten för cybersäkerhetscertifiering ska kunna besluta om sanktionsavgifter för vissa överträdelser av EU:s cybersäkerhetsakt.
8.3 Överträdelser som ska leda till sanktionsavgift
Regeringens förslag: Sanktionsavgift ska tas ut av den som
1. har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,
6. överträder ett beslut av den nationella myndigheten för cybersäkerhetscertifiering om föreläggande som innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som blivit återkallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Remissinstanserna: Kammarrätten i Stockholm och Transportstyrelsen anser att utredningens förslag i denna del är delvis oklart och bör förtydligas.
Skälen för regeringens förslag
Utgångspunkter
Det europeiska ramverket för cybersäkerhetscertifiering utgörs av EU:s cybersäkerhetsakt och de europeiska ordningar för cybersäkerhetscertifiering som kommer att utfärdas med stöd av akten. Det är ett omfattade och komplext regelsystem. Som utredningen anför bör endast mer allvarliga, tydliga och avgränsade överträdelser leda till att den nationella myndigheten för cybersäkerhetscertifiering beslutar om sanktionsavgift. Utgångspunkterna vid övervägande av vilka överträdelser bör omfattas av sanktionsavgift bör i första hand vara syftet med regleringen, vikten av att bestämmelserna efterlevs och de skador som kan bedömas uppkomma vid överträdelser. Flertalet aktörer som kommer att vara verksamma på marknaden för cybersäkerhetscertifiering är vinstdrivande företag som verkar i konkurrens med varandra. Sanktionssystemet behöver därför också utformas på ett sätt som kan antas ge aktörerna tillräckliga skäl att följa de krav som uppställs och därmed undvika risken att drabbas av sanktionsavgift.
Regeringen delar utredningens bedömning att överträdelser av EU:s cybersäkerhetsakt och de skyldigheter som följer av en europeisk ordning för cybersäkerhetscertifiering ska - oavsett om det är fråga om en frivillig eller obligatorisk certifiering - kunna föranleda att en sanktionsavgift beslutas.
När det gäller frågan om vilka överträdelser som bör kunna föranleda beslut om sanktionsavgift, är det viktigt att det är tydligt vilka överträdelser som avses och vem en sanktionsavgift ska kunna tas ut av. Det europeiska ramverket för cybersäkerhetscertifiering innebär att det i de europeiska ordningarna för cyberhetsäkerhetscertifiering kommer att införas ytterligare och mer specifika bestämmelser som gäller vid certifiering av en produkt, tjänst eller process enligt den aktuella ordningen. De europeiska ordningarna för cybersäkerhetscertifiering kan därför förväntas bidra till en ökad tydlighet i fråga om de överträdelser som kan föranleda beslut om sanktionsavgift.
Regeringen anser därför inte att det finns skäl att justera utredningens lagförslag i denna del på det sätt som Kammarrätten i Stockholm och Transportstyrelsen efterfrågar.
Utfärdande av en EU-försäkran om överensstämmelse i strid med villkor i en europeisk ordning för cybersäkerhetscertifiering
Tillverkaren eller leverantören av en IKT-produkt, IKT-tjänst eller IKT-process får under vissa förutsättningar utfärda en EU-försäkran om överensstämmelse. Genom att upprätta en sådan försäkran tar tillverkaren eller leverantören ansvar för att produkten, tjänsten eller processen överensstämmer med den tillämpliga europeiska ordningen för cybersäkerhetscertifiering (artikel 53.2). I dessa fall görs det alltså inte någon oberoende prövning av om IKT-produkten, IKT-tjänsten eller IKT-processen i fråga uppfyller de krav som anges i den tillämpliga europeiska ordningen för cybersäkerhetscertifiering. Det är viktigt att ansvarig tillverkare eller leverantör ges tydliga incitament att säkerställa att de villkor som gäller är uppfyllda. I annat fall finns det en risk att IKT-produkter, IKT-tjänster och IKT-processer marknadsförs under angivande att de uppfyller vissa säkerhetskrav som de inte uppfyller. Det kan i sin tur medföra säkerhetsrisker och orsaka skador i de verksamheter som IKT-produkten, IKT-tjänsten eller IKT-processen används i. Det riskerar också äventyra tilliten till det europeiska systemet för cybersäkerhetscertifiering. Som utredningen föreslår bör en sanktionsavgift därför kunna tas ut av en tillverkare eller leverantör som har utfärdat en EU-försäkran om överenstämmelse trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-produkten inte är uppfyllda.
Enligt lagrådsremissens förslag skulle sanktionsavgift även tas ut om kraven enligt EU:s cybersäkerhetsakt inte är uppfyllda. Som Lagrådet påpekar motsvarar detta dock inte innehållet i artikel 53.2 i EU:s cybersäkerhetsakt. Lagtexten bör därför förtydligas och även justeras i sak i enlighet med Lagrådets förslag.
Bristande fullgörelse av uppgiftsskyldigheten
Den fysiska eller juridiska person som ansöker om att få sin produkt, tjänst eller process certifierad av ett organ för bedömning av överensstämmelse är skyldig att göra all information som krävs för att genomföra certifieringen tillgänglig (artikel 56.7). De uppgifter som tillverkaren eller leverantören lämnar ligger till grund för bedömningen om ett cybersäkerhetscertifikat ska utfärdas eller inte. Det förutsätts att de uppgifter som lämnas är korrekta. Felaktiga uppgifter eller underlåtelse att lämna uppgifter kan medföra att certifikat utfärdas på felaktiga grunder. De konsekvenser och risker som felaktigt utfärdade certifikat medför är desamma som vid felaktigt utfärdande av en EU-försäkran om överensstämmelse. En överträdelse som innebär att någon har lämnat oriktiga eller ofullständiga uppgifter vid ansökan om certifiering bör därför medföra att en sanktionsavgift får tas ut. Som Kammarrätten i Stockholm anför bör det av bestämmelsen framgå att sanktionsavgift endast får beslutas om uppgifterna som har lämnats är av betydelse.
Förslaget i lagrådsremissen innehöll en hänvisning till artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering. Lagrådet, som uppmärksammar bl.a. att det i artikel 56.7 inte finns någon reglering av ansökan, anser att det saknas skäl att i aktuell bestämmelse föreskriva var ansökan om cybersäkerhetscertifiering regleras och lämnar ett förslag på justering av lagtexten. Regeringen följer Lagrådets förslag.
Innehavare av ett europeiskt cybersäkerhetscertifikat har vidare en skyldighet att informera den myndighet eller det organ som avses artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen (artikel 56.8). Om uppgiftsskyldigheten inte fullgörs bör en sanktionsavgift kunna tas ut av innehavaren av certifikatet.
Även en tillverkare eller leverantör som har utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt bör betala en sanktionsavgift. I likhet med Kammarrätten i Stockholm anser regeringen att det av lagtexten bör framgå att sanktionsavgift endast bör kunna beslutas om denna brist medför en ökad risk för sårbarhet eller skada.
Överträdelse av villkor
För att säkerställa ett enhetligt europeiskt system för cybersäkerhetscertifiering och uppnå syftet med en hög nivå av cybersäkerhet i unionen är det av avgörande betydelse att de villkor som uppställs enligt ramverket efterlevs, såsom villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat samt villkor för utvidgning eller inskränkning av tillämpningsområdet för certifiering. De europeiska ordningarna för cybersäkerhetscertifiering som kommer att beslutas med stöd av EU:s cybersäkerhetsakt kan förväntas innehålla sådana villkor. En sanktionsavgift bör därför, som Lagrådet föreslår, kunna tas ut av den som bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat samt villkor för utvidgning eller inskränkning av tillämpningsområdet för certifiering.
Överträdelse av förbud
Enligt regeringens förslag ska den nationella myndigheten för cybersäkerhetscertifiering ha möjlighet att besluta förelägganden, som får förenas med vite (avsnitt 7.2). Sådana beslut om förelägganden kan riktas mot tillverkare, leverantörer och organ för bedömning av överensstämmelse.
Ett beslut om föreläggande som innebär ett förbud kan antas typiskt sett komma i fråga vid de allvarligaste fallen av bristande följsamhet av regelverket för cybersäkerhetscertifiering eller vid upprepade överträdelser. En sanktionsavgift bör därför kunna tas ut av den som överträder ett beslut om ett sådant förbud. En sanktionsavgift bör dock inte få beslutas om överträdelsen omfattas av ett föreläggande, som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. Lagtexten bör utformas i enlighet med detta.
Användande av cybersäkerhetscertifikat som har återkallats
Den nationella myndigheten för cybersäkerhetscertifiering ska ha befogenhet att, i enlighet med nationell rätt, besluta att återkalla ett cybersäkerhetscertifikat som har utfärdats av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överenstämmelse i enlighet med artikel 56.6 om sådana certifikat inte uppfyller kraven EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering (artikel 58.8 e). Regeringens förslag innebär att den nationella myndigheten för cybersäkerhetscertifiering ska ha den befogenheten.
De cybersäkerhetscertifikat som får återkallas med stöd av bestämmelserna är sådana som har utfärdats av den nationella myndigheten för cybersäkerhetscertifiering eller av ett organ för bedömning av överensstämmelse med stöd av en europisk ordning för cybersäkerhetscertifiering som kräver assuransnivå hög. Det är angeläget att certifikat för varor, tjänster och processer som har återkallats inte fortsatt används på marknaden. Detta gör sig särskilt gällande i fråga om varor, tjänster och processer som har certifierats på assuransnivå hög eftersom det kan antas att sådana varor, tjänster och processer används i säkerhetskänslig verksamhet. En sanktionsavgift bör därför kunna tas ut av en tillverkare eller leverantör som använder ett cybersäkerhetscertifikat som har återkallats.
Som Lagrådet anför bygger certifieringen inom unionen på att ett certifikat som har utfärdats av en behörig myndighet inom unionen gäller inom den inre marknaden. Därmed följer också att en återkallelse som en sådan myndighet beslutar innebär att certifikatet inte längre gäller inom denna marknad. Regeringen gör bedömningen att en sanktionsavgift enligt den nya lagen därför bör kunna tas ut av den som i Sverige använder ett certifikat som har återkallats av en nationell myndighet för cybersäkerhetscertifiering i en annan medlemsstat. Det bör överlämnas till rättstillämpningen att utveckla närmare praxis i fråga om återkallelse i en sådan situation.
Vem ska sanktionsavgiften tas ut av?
I EU:s cybersäkerhetsakt regleras inte närmare vilka som ska kunna drabbas av sanktioner. Sanktionsavgifter kan användas både mot juridiska och fysiska personer. Sanktionsavgift ska tas ut av den som gör sig skyldig till någon av de överträdelser som anges i lagen. En avgift kan därför tas ut av den som utfärdar en EU-försäkran eller den som utfärdar eller innehar ett europeiskt cybersäkerhetscertifikat och gör sig skyldig till en överträdelse på sätt som anges i bestämmelsen. En sanktionsavgift kan även tas ut av en statlig myndighet, vars verksamhet omfattas av regleringen.
8.4 Beslut om sanktionsavgift i samtliga fall
Regeringens förslag: Det ska vara obligatoriskt att besluta om sanktionsavgift vid överträdelser av regelverket. Det ska gälla strikt ansvar vid sådana överträdelser.
Den nationella myndigheten för cybersäkerhetscertifiering ska besluta om sanktionsavgift.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Sveriges advokatsamfund anser att det inte finns skäl att införa en ordning med strikt ansvar. Övriga remissinstanser instämmer i utredningens förslag eller yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Det ska gälla strikt ansvar för överträdelser
System med sanktionsavgifter bygger typiskt sett på principen om strikt ansvar. Strikt ansvar innebär att varken uppsåt eller oaktsamhet är ett krav för att ta ut sanktionsavgift. Det räcker att en bestämmelse har överträtts. Regeringen håller med utredningen om att det inte finns skäl att avvika från grundprincipen för sanktionsavgifter att ansvaret ska vara strikt. Det är framförallt den omständigheten att det inte behöver bevisas att ett visst handlande har varit avsiktligt eller avgöras hur oaktsamt handlandet varit som gör en sådan ordning effektiv. Det är också svårt att se att överträdelser i normalfallet kan bero på annat än uppsåt eller oaktsamhet. Regeringen anser alltså, i likhet med utredningen, men till skillnad från Sveriges advokatsamfund, att en ordning ska införas som innebär att överträdelser av det europeiska ramverket för cybersäkerhetscertifiering bygger på strikt ansvar.
Det ska vara obligatoriskt att ta ut sanktionsavgift
En fråga är om det bör vara obligatoriskt att ta ut sanktionsavgift när en viss bestämmelse har överträtts. Sanktionsavgifter bör, som anförs ovan, tas ut endast till följd av lätt konstaterbara överträdelser för vilka utredningsinslaget är begränsat. Ansvaret är således vanligtvis strikt i dessa fall, men andra varianter förekommer. Som regeringen anför i propositionen Informationssäkerhet för samhällsviktiga och digitala tjänster bör tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt vara begränsade med hänsyn till behovet av likabehandling, objektivitet och proportionalitet (prop. 2017/18:205 s. 69 och 70). Regelverket om cybersäkerhetscertifiering kan dock vara komplext, och innebära en resurskrävande hantering för tillsynsmyndigheten. Regeringen anser i likhet med utredningen att övervägande skäl talar för att det på det nu aktuella området bör vara obligatoriskt att besluta om sanktionsavgift när förutsättningarna för detta är uppfyllda. Detta minskar utrymmet för skönsmässiga bedömningar av den nationella myndigheten för cybersäkerhetscertifiering och framstår även som mest ändamålsenligt vid mer allvarliga överträdelser av regelverket.
Den nationella myndigheten för cybersäkerhetscertifiering ska besluta om sanktionsavgift
Regeringen anser i likhet med utredningen att såväl ändamålsskäl som effektivitetsskäl talar för att det bör vara den nationella myndigheten för cybersäkerhetscertifiering som ska besluta om sanktionsavgift. Regeringen föreslår att bestämmelser om detta införs i den nya lagen.
8.5 Ramarna för sanktionsavgiftens storlek
Regeringens förslag: En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Skatteverket anser att sanktionsavgiftens storlek bör baseras på aktörens förutsättningar i likhet med vad som gäller enligt EU:s dataskyddsförordning. Övriga remissinstanser yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Sanktionsavgifter ska vara effektiva, proportionerliga och avskräckande. Det finns flera tänkbara alternativ i fråga om utformningen. Det kan t.ex. vara fråga om på förhand bestämda belopp eller beloppsintervall, som gäller oavsett vem som begått överträdelsen, eller som är kopplade till t.ex. årsomsättning i näringsverksamhet.
Överträdelser av det europeiska ramverket för cybersäkerhetscertifiering bedöms kunna påverka samhällsviktig verksamhet och även leda till allvarlig skada för Sveriges säkerhet. Därför bör maximibeloppet sättas så högt att det får en tillräckligt avskräckande effekt.
Bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering kommer att omfatta såväl myndigheter som företag. Aktörerna kommer dock att skilja sig mycket från varandra vad gäller t.ex. storlek och ekonomiska förutsättningar. Detta innebär att vad som upplevs som en avhållande avgift av en aktör med måttliga ekonomiska resurser kan framstå som i det närmaste obetydlig för en aktör med stora resurser. Skillnaderna kommer att finnas mellan olika aktörer, när det gäller företag, i olika branscher och mellan företag inom samma bransch.
De aktörer som omfattas av bestämmelserna är både myndigheter, företag och enskilda. Regeringen anser därför inte att det är lämpligt att koppla sanktionsavgiften till aktörens förutsättningar såsom Skatteverket föreslår. Ett system med bestämda beloppsintervall är i stället att föredra (jfr bedömningen i prop. 2017/18:205 s. 70 och 71).
För att sanktionsavgifterna ska vara effektiva, proportionerliga och avskräckande bör intervallet för sanktionsavgiften vara förhållandevis stort. Den nationella myndigheten för cybersäkerhetscertifiering får då möjlighet att göra en nyanserad bedömning när avgiftens storlek ska bestämmas.
När det gäller bestämmandet av ett lämpligt beloppsintervall kan en jämförelse göras med de belopp som kan komma ifråga vid allvarliga överträdelser av bl.a. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, dvs. högst tio miljoner kronor. En sådan avgift har av regeringen bedömts utgöra en effektiv, proportionell och avskräckande sanktion mot allvarliga överträdelser (se prop. 2017/18:205 s. 71).
Mot denna bakgrund, och med beaktande av förekomsten av stora globala aktörer på IKT-marknaden, anser regeringen, i likhet med utredningen, att det högsta beloppet för en sanktionsavgift enligt den föreslagna lagen bör bestämmas till 15 000 000 kronor. Det lägsta beloppet bör lämpligen bestämmas till 10 000 kronor då bl.a. fysiska personer kan vara innehavare av europeiska cybersäkerhetscertifikat. Det breda intervallet motiveras också av det kan röra sig om vitt skilda typer av överträdelser. Om exempelvis en enskild lämnar bristfälliga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifiering bör detta i många fall kunna bedömas som mindre allvarligt, medan allvarliga brister i cybersäkerhetskrav i produkter, tjänster och processer som kan skada samhällsviktig verksamhet bör bedömas strängare.
8.6 Sanktionsavgiftens storlek i det enskilda fallet
Regeringens förslag: När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas dels till den skada eller risk för skada som har uppkommit till följd av överträdelsen, dels till om den som har begått överträdelsen tidigare begått en överträdelse och dels till den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag innebär att särskild hänsyn ska tas till de kostnader som har undvikits och inte, som regeringen föreslår, till den vinst som har gjorts.
Remissinstanserna: Trafikverket anser att det bör förtydligas i vilken utsträckning sanktionsavgifter kan åläggas vid upprepade förseelser. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: När storleken på sanktionsavgiften ska bestämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. Som utredningen anför är det inte möjligt att i den nya lagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Den nya lagen bör i stället innehålla en bestämmelse som anger sådana omständigheter som särskilt bör beaktas.
Regeringen instämmer i utredningens bedömning att särskild hänsyn bör tas till den skada eller risk för skada som uppstått till följd av överträdelsen och om den avgiftsskyldige tidigare begått en överträdelse. Utredningen föreslår att särskild hänsyn också ska tas till de kostnader som har undvikits till följd av överträdelsen. Regeringen anser dock att det är lämpligare att i stället ta särskild hänsyn till den ekonomiska fördel som överträdelsen har inneburit för den avgiftsskyldige. Liksom i lagen (2007:528) om värdepappersmarknaden kan detta i lagtexten uttryckas så att särskild hänsyn ska tas till den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
En försvårande omständighet som bör beaktas särskilt vid bedömningen av skadan eller risken för skada är om överträdelsen medför sårbarhet eller risk för skada på bl.a. samhällsviktig verksamhet eller säkerhetskänslig verksamhet. Värt att beakta särskilt är också om större konsumentskaror drabbats av överträdelsen. Exempel på omständigheter som kan komma att påverka beloppets storlek men inte behöver tas in i lagen är även hur länge överträdelsen pågått. Om den avgiftsskyldige tidigare gjort sig skyldig till överträdelse av lagen kan det bli aktuellt att beakta om överträdelserna är likartade samt den tid som har gått mellan de olika överträdelserna. Regeringen anser inte att det finns skäl att införa någon begränsning i fråga om antalet sanktionsavgifter som får beslutas i fråga om en viss aktör. Någon sådan bestämmelse som Trafikverket efterfrågar föreslås därför inte.
Vissa omständigheter kan det finnas anledning att beakta i mildrande riktning. I propositionen Effektiv bekämpning av marknadsmissbruk gjordes exempelvis bedömningen att det förhållandet att en aktör aktivt samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet samt om aktören snabbt har vidtagit rättelse (prop. 2016/17:22 s. 220 och 221).
Att avgiftsskyldigheten bygger på strikt ansvar innebär att det bör finnas en möjlighet för den nationella myndigheten för cybersäkerhetscertifiering att kunna besluta om jämkning av sanktionsavgift. En bestämmelse som ger myndigheten utrymme att i vissa fall sätta ned eller helt avstå från att ta ut någon sanktionsavgift bör därför införas. Regeringen anser att jämkning bör kunna ske om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Det kan exempelvis vara oskäligt att över huvud taget ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra särskilda skäl för jämkning. Det kan också finnas grund för nedsättning när det rör sig om en bedömningsfråga, t.ex. vilka certifieringsåtgärder som är nödvändiga i ett visst sammanhang och berörd aktör trots en ingående granskning gjort en felaktig bedömning. Enligt regeringen kan det däremot inte anses oskäligt att ta ut en sanktionsavgift om överträdelsen exempelvis beror på att en aktör inte har känt till gällande rätt eller om överträdelsen har orsakats av försämrad ekonomi, tidsbrist eller bristande rutiner. Det bör överlämnas till rättstillämpningen att utveckla närmare praxis kring grunderna för jämkning.
Lagrådet anser att den föreslagna bestämmelsen om jämkning av sanktionsavgift i praktiken inte innebär något annat än ett integrerat moment i den bedömning som ligger till grund för ett beslut enligt bestämmelsen om sanktionsavgiftens storlek. Lagrådet lämnar därför ett förslag till justering av lagtexten i denna del, för att tydliggöra att det inte är fråga om ett särskilt beslut om nedsättning. Regeringen kan inte instämma i Lagrådets förslag, bl.a. eftersom det enligt regeringens mening skulle innebära en ändring i sak som inte är lämplig. Vidare finns det flera exempel på befintlig lagstiftning som har utformats på liknande sätt som enligt lagrådsremissens förslag utan att - såvitt känt - ha förorsakat tillämpningssvårigheter. Det framstår därför inte som ändamålsenligt att justera paragrafen med den förebild i fråga om utformningen som Lagrådet föreslår som alternativ.
Regeringen väljer därför att behålla lagrådsremissens förslag.
8.7 Hinder mot sanktionsavgift
Regeringens förslag: En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: I det sjunde tilläggsprotokollet till den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga) finns bestämmelser om rätten att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Begreppet straff i den mening som avses i Europakonventionen och EU:s rättighetsstadga anses omfatta vite, se propositionen Administrativa sanktioner på yrkesfiskets område (prop. 2007/08:107 s. 24) och propositionen Effektivare sanktioner för arbetsmiljö- och arbetstidsreglerna (prop. 2012/13:143 s. 69).
Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion - administrativ eller straffrättslig - för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer har ansetts vara när det inleds en domstolsprocess angående frågan om utdömande av vite (se prop. 2016/17:22 s. 228).
Ett beslut om föreläggande som har förenats vite bör därför inte hindra ett senare beslut om ingripande med sanktionsavgift så länge som den nationella myndigheten för cybersäkerhetscertifiering inte har ansökt om utdömande av vitet. När den nationella myndigheten för cybersäkerhetscertifiering har ansökt om utdömande av vitet bör myndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i den nya lagen.
Lagrådet väcker den mer principiella frågan om regleringen inte borde täcka också den situationen att frågan om vitesföreläggande aktualiseras efter ett beslut om att ta ut sanktionsavgift. Enligt regeringens mening motiverar den eventuella risken för en sådan tillämpning av det nu aktuella regelverket inte att innebörden av dubbelbestraffningsförbudet enligt Europakonventionen i en sådan situation behöver komma till särskilt uttryck i lagtexten.
8.8 Förfarandet vid beslut om sanktionsavgift
Regeringens förslag: En sanktionsavgift ska endast få beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Sanktionsavgiften ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska myndigheten lämna den obetalda avgiften för indrivning. Vid indrivning får verkställighet ske enligt utsökningsbalken.
En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Sanktionsavgiften tillfaller staten.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Skatteverket anser att preskriptionstiden bör räknas från identifikationstillfället med hänsyn till att det kan ta tid innan överträdelser upptäcks eller identifieras. Övriga remissinstanser yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Beslut om administrativa sanktionsavgifter är en ingripande åtgärd. I likhet med vad som gäller enligt bl.a. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster bör sådana beslut därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). Som utredningen föreslår bör en bestämmelse om detta tas in i den nya lagen.
Enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster får sanktionsavgift inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år från överträdelsen. I förarbetena till lagen angav regeringen att en sådan gräns bör finnas på grund av sanktionsavgiftens ingripande natur (prop. 2017/18:205 s. 74). En motsvarande reglering finns i 5 kap. 14 § lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Samma skäl gör sig gällande i fråga om sanktionsavgift för överträdelser av det europeiska ramverket för cybersäkerhetscertifiering.
En bortre tidsgräns för när en sanktionsavgift får beslutas bör finnas och regeringen anser att två år är en rimlig sådan gräns. Som Skatteverket anför kan det ta viss tid innan överträdelser av det europeiska regelverket för cybersäkerhetscertifiering upptäcks. Regeringen anser dock inte att det finns skäl att i det här fallet göra en annan bedömning i fråga om från vilken tidpunkt preskriptionstiden ska börja löpa än den som lagstiftaren har gjort på andra liknande områden. En bestämmelse med motsvarande innebörd som i de nyss nämnda lagarna bör därför införas i den föreslagna lagen. Liksom i andra liknande fall bör bevisbördan för att kommunikation har genomförts ligga på tillsynsmyndigheten (se prop. 2017/18:205 s. 74).
För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv bör en sanktionsavgift som den nationella myndigheten för cybersäkerhetscertifiering har beslutat kunna drivas in utan att det krävs något domstolsavgörande (3 kap. 1 § första stycket 6 utsökningsbalken). Det bör i den nya lagen införas bestämmelser om att betalning av sanktionsavgift ska ske till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om sanktionsavgift vann laga kraft eller annars inom den längre tid som anges i beslutet. I lagen bör också regleras att myndigheten ska lämna den obetalda avgiften för indrivning om avgiften inte betalas inom denna tid.
Som utredningen föreslår bör en sanktionsavgift preskriberas i den utsträckning verkställighet inte har skett inom fem år.
Sanktionsavgiften bör tillfalla staten.
9 Organ för bedömning av överensstämmelse
9.1 Bestämmelser i EU:s cybersäkerhetsakt
Cybersäkerhetscertifikat enligt EU:s cybersäkerhetsakt kan utfärdas av privata och offentliga organ för bedömning av överensstämmelse samt av den nationella myndigheten för cybersäkerhetscertifiering. Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. En sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt. Av bilagan framgår bl.a. att ett organ för bedömning av överensstämmelse ska vara en juridisk person.
Utgångspunkten är att de organ för bedömning av överensstämmelse som avses i artikel 60 i EU:s cybersäkerhetsakt ska utfärda europeiska cybersäkerhetscertifikat som avser assuransnivå "grundläggande" eller "betydande" på grundval av de kriterier som ingår i en europeisk ordning för cybersäkerhetscertifiering (artikel 56.4). Genom undantag från den bestämmelsen, och i vederbörligen motiverade fall, får en europeisk ordning för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av den ordningen endast kan utfärdas av ett offentligt organ för bedömning av överensstämmelse. Ett sådant organ ska vara nationell myndighet för cybersäkerhetscertifiering eller ett offentligt organ som är ackrediterat som ett organ för bedömning av överensstämmelse enligt artikel 60.1.
Om en europeisk ordning för cybersäkerhetscertifiering kräver assuransnivå "hög" ska europeiska cybersäkerhetscertifikat enligt den ordningen endast utfärdas av en nationell myndighet för cybersäkerhetscertifiering eller, i följande fall, av ett organ för bedömning av överensstämmelse (artikel 56.6):
- Efter förhandsgodkännande av den nationella myndigheten för cybersäkerhetscertifiering för varje enskilt europeiskt cybersäkerhetscertifikat som utfärdats av ett organ för bedömning av överensstämmelse (artikel 56.6 a).
- Efter allmän delegering på förhand av uppgiften att utfärda ett sådant europeiskt cybersäkerhetscertifikat till ett organ för bedömning av överensstämmelse från den nationella myndigheten för cybersäkerhetscertifiering (artikel 56.6 b).
Om ett europeiskt cybersäkerhetscertifikat utfärdas av den nationella myndigheten för cybersäkerhetscertifiering enligt artiklarna 56.5 a och 56.6 ska certifieringsorganet hos den nationella myndigheten för cybersäkerhetscertifiering ackrediteras som ett organ för bedömning av överensstämmelse (artikel 60.2).
Om de europeiska ordningarna för cybersäkerhetscertifiering innehåller särskilda eller ytterligare krav enligt artikel 54.1 f ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar (artikel 58.7 e och 60.3).
9.2 Ackreditering av organ för bedömning av överensstämmelse
9.2.1 Bestämmelser i EU:s cybersäkerhetsakt
Enligt artikel 60.1 ska organen för bedömning av överensstämmelse ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008. En sådan ackreditering ska endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till EU:s cybersäkerhetsakt. Ackrediteringen ska utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven som anges i artikel 60.
I bilagan till EU:s cybersäkerhetsakt framgår de krav ska organen för bedömning av överensstämmelse ska uppfylla. Bland annat uppställs följande krav:
- Ett organ för bedömning av överensstämmelse ska inrättas i enlighet med nationell rätt och vara en juridisk person.
- Ett organ för bedömning av överensstämmelse ska vara ett tredje-partsorgan som är oberoende av den organisation eller de IKT-produkter, IKT-tjänster eller IKT-processer som det bedömer.
- Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för att utföra bedömningen av överensstämmelse får inte utgöras av den som konstruerar, tillverkar, levererar, installerar, köper, äger, använder eller underhåller den IKT-produkt, IKT-tjänst eller IKT-process som bedöms, eller de som företräder någon av dessa parter.
- Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får varken delta direkt i konstruktionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av dessa IKT-produkter, IKT-tjänster eller IKT-processer som bedöms, eller företräda de parter som bedriver denna verksamhet.
- Organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för genomförandet av bedömningen av överensstämmelse får inte delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse. Det förbudet ska framför allt gälla konsulttjänster.
- Organen för bedömning av överensstämmelse ska också uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som utför certifiering av IKT-produkter, IKT-tjänster eller IKT-processer.
Det ställs också krav på bl.a. kompetens och teknisk expertis hos organen för bedömning av överensstämmelse (se bilagan till EU:s cybersäkerhetsakt).
9.2.2 Gällande regelverk om ackreditering
Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning nr 339/93 trädde i kraft den 1 januari 2010. EU-förordningen syftar till att underlätta den fria rörligheten för varor på EU:s inre marknad och samtidigt säkerställa en hög skyddsnivå för allmänna intressen som hälsa och säkerhet i allmänhet, hälsa och säkerhet på arbetsplatser, konsumentskydd och miljöskydd. Genom EU-förordningen har gemensamma bestämmelser och principer om ackreditering av organ för bedömning av överensstämmelse, t.ex. laboratorier, kontrollorgan och certifieringsorgan införts. EU-förordningen innehåller även regler om marknadskontroll, kontroll av produkter från tredje länder och CE-märkning. Genom lagen (2011:791) om ackreditering och teknisk kontroll har svensk rätt anpassats till EU-förordningen. Lagen och tillhörande förordning (2011:811) om ackreditering och teknisk kontroll uppställer krav för bl.a. ackreditering av organ för bedömning av överensstämmelse och hur bedömningar av överensstämmelse och rapportering av sådana ska göras. Den innehåller även bestämmelser om certifiering av anordningar, tillsyn och avgifter. Styrelsen för ackreditering och teknisk kontroll (Swedac) ansvarar, som nationellt ackrediteringsorgan, för ackreditering enligt EU-förordningen och ansvarar för övrig ackreditering av organ för bedömning av överensstämmelse. Swedac fattar beslut att utse anmälda organ för bedömning av överensstämmelse och fattar beslut att begränsa eller återkalla en sådan anmälan. Swedac utövar tillsyn över organ som avses i lagen samt har rätt att ta ut avgifter för att täcka kostnader för ackreditering, tillsyn och bedömning.
Bestämmelsen i artikel 60.1 i EU:s cybersäkerhetsakt om att organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/2008 innebär alltså att Swedac är den myndighet som ska ackreditera organ för bedömning av överenstämmelse enligt EU:s cybersäkerhetsakt.
9.2.3 Kompletterande bestämmelser om ackreditering
Regeringens förslag: I den nya lagen ska det upplysningsvis anges att bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering finns i artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till cybersäkerhetsakten samt att det i förordning (EG) nr 765/2008 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om krav för ackreditering av sådana organ.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: De flesta remissinstanser yttrar sig inte särskilt över förslaget. Styrelsen för ackreditering och teknisk kontroll (Swedac) anser att utredningens förslag innebär att Swedac och den nationella myndigheten för cybersäkerhetscertifiering kommer att ha tillsynsuppdrag som är delvis överlappande. Enligt Swedac bör förhållandet mellan tillsynsrollerna klargöras i det fortsatta arbetet.
Skälen för regeringens förslag
En upplysningsbestämmelse om vissa bestämmelser om ackreditering
I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till cybersäkerhetsakten finns det bestämmelser om krav på ackreditering och att organen för bedömning av överensstämmelse ska vara ackrediterade enligt förordning (EG) nr 765/2008. Även de europeiska ordningarna för cybersäkerhetscertifiering som kommer att utfärdas som genomförande akter kan komma att innehålla bestämmelser om ackreditering. I förordningen (EG) nr 765/2008 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Detta innebär att det vid cybersäkerhetscertifiering enligt det europeiska ramverket kommer att finnas bestämmelser om ackreditering i flera EU-rättsakter och på nationell nivå. I den nya lagen bör det införas en upplysningsbestämmelse som tydliggör det. Regeringen föreslår att utredningens lagtextförslag justeras i enlighet med detta.
Ett normgivningsbemyndigande om krav för ackreditering
Det kan finnas behov av kompletterande bestämmelser avseende ackreditering enligt det europeiska ramverket för cybersäkerhetscertifiering. Som utredningen föreslår bör regeringen eller den myndighet som regeringen bestämmer därför få meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse. Lagtexten bör utformas i enlighet med detta.
Gränsdragningen mellan tillsynsmyndigheternas ansvarsområden
Den nationella myndigheten för cybersäkerhetscertifiering har i uppgift att utöva tillsyn över efterlevnaden av regelverket för det europeiska systemet för cybersäkerhet. Uppgiften att utöva tillsyn omfattar även organen för bedömning av överensstämmelse. Den nationella myndigheten för cybersäkerhetscertifiering har t.ex. befogenhet att genomföra undersökningar, i form av kontroller, av organen för bedömning av överensstämmelse. Även Styrelsen för ackreditering och teknisk kontroll (Swedac) har i uppgift att bedriva tillsyn. Swedacs uppgifter och ansvar för såväl ackreditering som tillsyn av organ för bedömning av överensstämmelse framgår av gällande reglering om ackreditering i förening med de ytterligare krav som anges i EU:s cybersäkerhetsakt och kommande europeiska ordningar för cybersäkerhetscertifiering. Som Swedac uppmärksammar kan Swedacs och den nationella myndigheten för cybersäkerhetscertifierings tillsynsverksamhet i viss utsträckning komma att överlappa varandra. Myndigheterna behöver därför samverka och samråda vid bedrivande av tillsyn. Detta framgår också delvis redan av EU:s cybersäkerhetsakt. I artikel 58.7 punkten e framgår nämligen att den nationella myndigheten för cybersäkerhetscertifiering aktivt ska bistå och stödja det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse. Det europeiska regelverket är därmed utformat med beaktande av de båda organens till del överlappande uppgifter i det här avseendet. Det finns också bestämmelser om samverkan i förvaltningslagen (8 §) och i myndighetsförordningen (2007:515).
Regeringen ser därför, till skillnad från Swedac, inte något behov av att reglera detta särskilt. Genom nära och effektiv samverkan mellan den nationella myndigheten för cybersäkerhetscertifiering och det nationella ackrediteringsorganet bör eventuella oklarheter i fråga om t.ex. gränsdragning mellan myndigheternas tillsynsområden kunna undvikas.
9.2.4 EU-förordningen (EG) nr 765/2008 byter titel
Regeringens förslag: Den nya lagen ändras så att upplysningsbestämmelsen i lagen om EU-förordningen (EG) nr 765/2008 anger den lydelse av förordningens titel som träder i kraft den 16 juli 2021.
Utredningen lämnar inte något förslag i denna del.
Skälen för regeringens förslag: Regeringens förslag som behandlas i avsnitt 9.2.3 innebär att det i den nya lagen upplysningsvis ska anges att bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering finns i EU-förordningen (EG) nr 765/2008.
I artikel 39.1 i förordningen (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter anges att titeln till förordningen (EG) nr 765/2008 ska ersättas. Ändringen gäller från och med den 16 juli 2021. Anledningen är att bestämmelser om marknadskontroll i förordningen (EG) nr 765/2008 upphävs den 16 juli 2021 i samband med att förordningen (EU) 2019/1020 om marknadskontroll och överensstämmelse blir fullt tillämplig.
I lagrådsremissen föreslås att det görs en ändring i den nya lagen, så att EU-förordningen (EG) nr 765/2008 anges med dess nya titel. Enligt Lagrådet skulle en mer ändamålsenlig ordning kunna vara att ändringen i stället genomförs i form av en övergångsbestämmelse till den nya lagen. Lagrådet lämnar också ett förslag på hur detta kan genomföras. Regeringen, som bl.a. noterar att Lagrådets förslag avviker från vad som är författningstekniskt brukligt för ändringar av nu aktuellt slag, anser dock att utformningen enligt lagrådsremissens förslag är såväl lämpligare som tydligare från bl.a. ett rättstillämpningsperspektiv och därför bör stå kvar.
9.3 Överlämnande av förvaltningsuppgifter till organ för bedömning av överensstämmelse
Regeringens bedömning: I EU:s cybersäkerhetsakt finns bestämmelser som innebär att förvaltningsuppgifter, innefattande myndighetsutövning, överlämnas till privata organ för bedömning av överensstämmelse.
Det behövs inte några motsvarande bestämmelser i den nya lagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser yttrar sig inte särskilt över utredningens bedömning i denna del. Tullverket anser dock att överlämnandet av förvaltningsuppgift till privata organ för bedömning av överensstämmelse uttryckligen bör regleras i den nya lagen.
Skälen för regeringens bedömning: Enligt 12 kap. 4 § andra stycket regeringsformen kan förvaltningsuppgifter överlämnas till juridiska personer och enskilda individer. Om förvaltningsuppgiften innefattar myndighetsutövning, får ett överlämnande göras endast med stöd av lag
I EU:s cybersäkerhetsakt finns bestämmelser om att de organ för bedömning av bestämmelse som avses i artikel 60 ska utfärda cybersäkerhetscertifikat på assuransnivå "grundläggande" och "betydande" (artikel 56.4). Organen för bedömning av överensstämmelse ska ackrediteras av det nationella ackrediteringsorganet under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till cybersäkerhetsakten (artikel. 60.1). Av bilagan framgår att ett organ för bedömning av överensstämmelse ska vara en juridisk person. Ett organ för bedömning av överensstämmelse kan alltså vara såväl en offentligrättslig som privaträttslig aktör.
Om det i en europeisk ordning för cybersäkerhetscertifiering ställs krav på assuransnivå "hög", ska den nationella myndigheten för cybersäkerhetscertifiering utfärda cybersäkerhetscertifikat enligt den ordningen (artikel 56.6). Den nationella myndigheten för cybersäkerhetscertifiering kan dock på förhand delegera uppgiften till ett organ för bedömning av överensstämmelse. Vidare kan en europeisk ordning för cybersäkerhetscertifiering innehålla särskilda eller ytterligare krav (artikel 54.1 f). I de fallen ska endast organ för bedömning av överensstämmelse som uppfyller dessa krav bemyndigas av den nationella myndigheten för cybersäkerhetscertifiering att utföra uppgifter inom ramen för sådana ordningar (artikel 60.3). Enligt artikel 58.7 e får en nationell myndighet för cybersäkerhetscertifiering i tillämpliga fall utfärda bemyndiganden enligt artikel 60.3 för organ för bedömning av överensstämmelse att utföra certifieringsuppgifter och begränsa, tillfälligt upphäva eller återkalla befintliga bemyndiganden om organet inte uppfyller kraven enligt EU:s cybersäkerhetsakt.
Som utredningen anför utgör ett cybersäkerhetscertifikat, särskilt när det är fråga om obligatorisk cybersäkerhetscertifiering, en förutsättning för att en tillverkare eller leverantör ska kunna tillhandahålla IKT-produkten, IKT-tjänsten eller IKT-processen på den inre marknaden. Uppgiften att utfärda cybersäkerhetscertifikat utgör en förvaltningsuppgift som innefattar myndighetsutövning.
Uppgiften för såväl privata som offentliga organ för bedömning av överensstämmelse att utfärda europeiska cybersäkerhetscertifikat regleras i EU:s cybersäkerhetsakt. Regeringen anser i likhet med utredningen att artiklarna 56.4, 56.6, 58.7 e och 60.3 i EU:s cybersäkerhetsakt ger tillräckligt lagstöd för det överlämnande av förvaltningsuppgifter till privata organ för bedömning av överensstämmelse som regleringen i cybersäkerhetsakten innebär. Det finns därför inte något behov av motsvarande bestämmelser i den nya lagen.
10 Handläggning och rättsmedel
10.1 Myndigheternas handläggning av ärenden
Regeringens bedömning: I den mån det europeiska ramverket för cybersäkerhetscertifiering inte innehåller avvikande bestämmelser är förvaltningslagen tillämplig på berörda myndigheters handläggning av ärenden. Det behövs inga kompletterande nationella regler om ärendehandläggningen hos myndigheterna.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning: Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna (1 §). Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från förvaltningslagen, tillämpas den bestämmelsen (4 §). När det gäller det europeiska ramverket för cybersäkerhetscertifiering innebär detta att förvaltningslagen ska tillämpas om det inte finns avvikande bestämmelser i EU:s cybersäkerhetsakt och de genomförandeakter som beslutas med stöd av akten.
Regeringen anser i likhet med utredningen att det inte finns behov av kompletterande nationella bestämmelser om handläggningen av ärenden hos den nationella myndigheten för cybersäkerhetscertifiering eller ett offentligt organ för bedömning av överensstämmelse.
Frågan om vilka regler för handläggning som bör gälla i samband med klagomål enligt artiklarna 58.7 f och 63 behandlas i avsnitt 10.3.1.
10.2 Ärendehandläggning hos privata organ för bedömning av överensstämmelse
Regeringens förslag: Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut det har meddelat om organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Organ för bedömning av överensstämmelse ska vara juridiska personer, t.ex. aktiebolag. En förutsättning för att en privat aktör ska få vara organ för bedömning av överensstämmelse är att organet ackrediteras av det nationella ackrediteringsorganet. De aktörer som önskar bli ackrediterade ska uppfylla flera krav, bl.a. krav på opartiskhet, tillhandahållande av beskrivningar av de förfaranden enligt vilka organen utför sina bedömningar i syfte att säkerställa insyn samt uppfylla de krav som anges i relevanta standarder enligt förordning (EG) nr 765 (se bilagan till EU:s cybersäkerhetsakt). De europeiska ordningarna för cybersäkerhetscertifiering ska vidare innehålla en rad komponenter som bl.a. kan förväntas ha inverkan på handläggningen av ärenden om cybersäkerhetscertifiering (se artikel 54 i EU:s cybersäkerhetsakt). Det finns vidare en möjlighet för en tillverkare eller leverantör att lämna in klagomål till organet för bedömning av överensstämmelse (se nedan). Det europeiska ramverket för cybersäkerhetscertifiering innehåller således en viss ordning för ärendehandläggning.
I artikel 41 i Europeiska unionens stadga om de grundläggande rättigheterna av den 7 december 2000, anpassad den 12 december 2007 i Strasbourg, förkortad rättighetsstadgan, slås vidare fast att var och en har rätt till god förvaltning. Denna rättighet omfattar bl.a. rätten till kommunikation, aktinsyn och motivering av beslut. Rätten till god förvaltning gäller enligt rättighetsstadgan bara i förhållande till unionens institutioner, organ och byråer. Som regeringen anför i propositionen En modern och rättssäker förvaltning - ny förvaltningslag framstår det som naturligt att utgå från att de allmänna unionsrättsliga principer som gäller i ärenden som handläggs av unionens institutioner och organ också gäller för medlemsstaternas myndigheter, när de handlägger ärenden på unionsrättens område (prop. 2016/17:180 s. 44).
De privata organen för bedömning av överensstämmelse utgör inte myndigheter i förvaltningslagens mening. Förvaltningslagen är därför inte tillämplig på organens handläggning av ärenden.
De privata organen för bedömning av överensstämmelse ska i utövandet av den verksamheten beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet (jfr 1 kap. 9 § regeringsformen). Härutöver bör, som utredningen föreslår, organen för bedömning av överensstämmelse ha en skyldighet att i vissa fall ompröva ett tidigare beslut i ett ärende om certifiering. Det bör i den nya lagen införas en särskild bestämmelse om detta. En lämplig förebild för bestämmelsen kan vara 38 § förvaltningslagen om när en myndighet ska ändra ett beslut.
Regeringen föreslår därför att ett privat organ för bedömning av överensstämmelse ska ändra ett beslut det har meddelat, om organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
10.3 Effektiva rättsmedel
10.3.1 Rätten till klagomål
Regeringens bedömning: Det behövs inga särskilda bestämmelser om den enskildes rätt att ge in klagomål till utfärdaren av ett europeiskt cybersäkerhetscertifikat eller den nationella myndigheten för cybersäkerhetscertifiering. Det behövs inte heller några särskilda bestämmelser om certifieringsorganens och myndighetens handläggning av sådana klagomål.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning: Klagomål som rör EU-försäkringar av överensstämmelse, europeiska cybersäkerhetscertifikat utfärdade av nationella myndigheter för cybersäkerhetscertifiering och sådana certifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6 (dvs. certifikat som avser högsta assuransnivån) ska ges in till den berörda nationella myndigheten för cybersäkerhetscertifiering. Klagomål ska i övriga fall lämnas till det organ för bedömning av överensstämmelse som har utfärdat det europeiska cybersäkerhetscertifikat som klagomålet avser (artikel 63.1).
Den nationella myndigheten för cybersäkerhetscertifiering eller det organ för bedömning av överensstämmelse som klagomålet lämnats till ska underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats, och ska informera den klagande om effektiva rättsmedel enligt artikel 64 (artikel 63.2). Den nationella myndighetens uppgift att behandla klagomål regleras även i artikel 58.7 f. Av bestämmelsen följer att myndigheten i lämplig utsträckning ska undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen.
När den nationella myndigheten för cybersäkerhetscertifiering handlägger klagomålsärenden är förvaltningslagen tillämplig, i den mån det europeiska ramverket inte innehåller avvikande bestämmelser. Som redogörs för ovan innehåller EU:s cybersäkerhetsakt vissa handläggningsregler som ska följas av såväl den nationella myndigheten för cybersäkerhetscertifiering som offentliga och privata organ för bedömning av överensstämmelse. Ytterligare förfaranderegler kan också tillkomma genom de europeiska ordningarna för cybersäkerhetscertifiering. Handläggningsförfarandet enligt cybersäkerhetsakten uppvisar likheter med bestämmelser i förvaltningslagen, t.ex. i fråga om utredningsansvar, skyndsamhetskrav och underrättelseskyldighet (jfr artiklarna 58.7 f och 63.2). Cybersäkerhetsakten ger också enskilda rätt till effektiva rättsmedel även avseende underlåtenhet att vidta åtgärder med anledning av ett klagomål (artikel 64.1 b). Frågan om överklagande behandlas närmare i nästa avsnitt.
Sammantaget gör regeringen i likhet med utredningen bedömningen att det inte finns behov av att införa kompletterande nationella bestämmelser om den nationella myndigheten för cybersäkerhetscertifierings eller ett organ för bedömning av överensstämmelses handläggning av klagomål enligt EU:s cybersäkerhetsakt.
10.3.2 Överklagande
Regeringens förslag: Beslut enligt EU:s cybersäkerhetsakt och den nya lagen av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse ska få överklagas till allmän förvaltningsdomstol.
Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Domstolsverket och Förvaltningsrätten i Stockholm anser att frågan om forum vid överklagande av beslut bör övervägas ytterligare. Förvaltningsrätten i Stockholm uppmärksammar även frågan om partsställning vid överklagande av beslut som fattas av privaträttsliga subjekt. Lunds universitet anser att det bör framgå av lagtexten att det är den nationella myndighetens och organen för bedömning av överensstämmelses beslut som får överklagas.
Skälen för regeringens förslag: Enligt artikel 64.1 a i EU:s cybersäkerhetsakt ska enskilda ha rätt till effektiva rättsmedel avseende beslut som har fattats av den nationella myndigheten för cybersäkerhetscertifiering och organ för bedömning av överensstämmelse.
Enligt artikel 6.1 i Europakonventionen, som gäller som lag, gäller att var och en vid prövningen av hans eller hennes civila rättigheter ska vara berättigad till en rättvis och offentlig förhandling inom skälig tid och inför en opartisk domstol som har upprättats enligt lag.
Beslut om bl.a. cybersäkerhetscertifiering och sanktionsavgifter enligt EU:s cybersäkerhetsakt och den föreslagna lagen innefattar prövningar som faller inom tillämpningsområdet för artikel 6.1. En överprövning av sådana beslut måste därför vara förenlig med konventionens krav i fråga om domstolsprövning. Regeringen föreslår därför, i linje med Lunds universitets synpunkter, att det i lagen införs bestämmelser om överklagande som innebär att beslut enligt EU:s cybersäkerhetsakt och den nya lagen av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse ska få överklagas till allmän förvaltningsdomstol.
I likhet med vad som allmänt gäller i fråga om överklagande av förvaltningsbeslut bör det krävas prövningstillstånd vid överklagande till kammarrätten. Detta bör anges i lagtexten.
Domstolsverket uppmärksammar att det kan förekomma uppgifter som är säkerhetsklassificerade enligt säkerhetsskyddslagen (2018:585) i ett överklagat ärende. Regeringen anser dock inte att de praktiska och ekonomiska skäl som myndigheten pekar på ger anledning att i detta lagstiftningsärende överväga särskilda forumregler för mål i domstol enligt det aktuella regelverket.
Utredningens lagförslag reglerar inte frågan om vilken ställning ett privat organ har vid ett överklagande till domstol. Som Förvaltningsrätten i Stockholm uppmärksammar finns det dock rättspraxis som ger stöd för att ett enskilt rättssubjekt i vissa fall kan ges motpartsställning även utanför tillämpningsområdet för 7 a § förvaltningsprocesslagen (1971:291). Regeringen konstaterar att det inte finns beredningsunderlag för att överväga en eventuell sådan reglering.
11 Offentlighet och sekretess
11.1 Utgångspunkter
Det europeiska ramverket för cybersäkerhetscertifiering ger möjlighet för tillverkare och leverantörer av IKT-produkter, IKT-tjänster och IKT-processer att antingen utfärda en EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat. Såväl en EU-försäkran om överensstämmelse som ett europeiskt cybersäkerhetscertifikat grundas på information om den aktuella produktens, tjänstens eller processens konstruktion och funktionalitet. Vidare inbegriper IKT-produkter, IKT-tjänster och IKT-processer ofta en eller flera komponenter eller annan teknik från tredje part, som är nödvändiga för produkten, tjänsten, eller processen, t.ex. programmoduler, bibliotek eller programmeringsgränssnitt. Detta kan innebära cybersäkerhetsrisker eftersom sårbarheter i sådana tredjepartskomponenter även kan påverka IKT-produkternas, IKT-tjänsternas och IKT-processernas säkerhet. Det finns därför ett behov av att informationen och uppgifterna skyddas, bl.a. av konkurrens- och säkerhetsskäl. Bestämmelser som rör skydd för uppgifter finns i EU:s cybersäkerhetsakt och i offentlighets- och sekretesslagen (2009:400), förkortad OSL.
11.2 Bestämmelser i EU:s cybersäkerhetsakt
Uppgiftsskyldighet
Av artikel 56.7 i EU:s cybersäkerhetsakt följer att den fysiska eller juridiska person som lämnar in sina IKT-produkter, IKT-tjänster eller IKT-processer för certifiering ska göra all information som krävs för att genomföra certifieringen tillgänglig för den nationella myndigheten för cybersäkerhetscertifiering, om myndigheten utfärdar certifikatet, eller för det aktuella organet för bedömning av överensstämmelse. Uppgifter som är nödvändiga och som en sökande ska lämna till eller på annat sätt göra tillgängliga för organ för bedömning av överensstämmelse kommer att anges i de europeiska ordningarna för cybersäkerhetscertifiering (artikel 54.1 h).
Innehavare av europeiska cybersäkerhetscertifikat är vidare skyldiga att rapportera nyupptäckta sårbarheter eller oriktigheter vilka rör säkerheten för cybersäkerhetscertifierad IKT till en nationell myndighet för cybersäkerhetscertifiering eller ett organ för bedömning av överensstämmelse. Myndigheten eller organet ska i sin tur överlämna mottagen information till den berörda nationella myndigheten för cybersäkerhetscertifiering (artikel 56.8).
En tillverkare eller leverantör ska också lämna kompletterande cybersäkerhetsinformation om en IKT-produkt, IKT-tjänst eller IKT-process som är certifierad eller för vilken en EU-försäkran om överensstämmelse har utfärdats enligt cybersäkerhetsakten. Den kompletterande säkerhetsinformationen ska tillgängliggöras i elektroniskt format och finnas tillgänglig och vid behov uppdateras åtminstone fram till dess att motsvarande europeiska cybersäkerhetscertifikat eller EU-försäkran om överensstämmelse löper ut (artikel 55).
Utfärdare av EU-försäkringar om överensstämmelse, certifikatinnehavare och privata organ för bedömning av överensstämmelse, ska dessutom lämna uppgifter som är nödvändiga för den tillsyn som utförs av den nationella myndigheten för cybersäkerhetscertifiering enligt artiklarna 58.7 och 58.8.
Följaktligen kommer både den nationella myndigheten för cyber-säkerhetscertifiering och organ för bedömning av överensstämmelse att i sina verksamheter hantera uppgifter om certifikatsökande, certifikatinnehavare och utfärdare av EU-försäkringar om överensstämmelse och information om IKT-produkter, IKT-tjänster och IKT-processer.
Vidare har den nationella myndigheten för cybersäkerhetscertifiering en skyldighet att lämna uppgifter till andra nationella myndigheter för cybersäkerhetscertifiering, andra myndigheter och till kommissionen. Det följer av bestämmelserna i artiklarna 58.7-58.9 i EU:s cybersäkerhetsakt. Enligt de bestämmelserna ska nationella myndigheter för cybersäkerhetscertifiering övervaka relevant utveckling på området cybersäkerhetscertifiering, samarbeta med varandra och med kommissionen genom att utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer, samarbeta med andra nationella myndigheter för cybersäkerhetscertifiering eller andra myndigheter, bl.a. genom att utbyta information om IKT-produkter, IKT-tjänster och IKT-processer som avviker från kraven i cybersäkerhetsakten eller från kraven i särskilda europeiska ordningar för cybersäkerhetscertifiering, och lämna en årlig sammanfattande rapport om den verksamhet som bedrivits enligt punkten 7 b, c och d eller enligt punkten 8 till Enisa och den europeiska gruppen för cybersäkerhetscertifiering.
Genom artikel 59 inrättas ett system för inbördes granskning i syfte att uppnå likvärdiga standarder i hela unionen för europeiska cybersäkerhetscertifikat och EU-försäkringar om överensstämmelse. Den inbördes granskningen ska utföras av minst två nationella myndigheter för cybersäkerhetscertifiering från andra medlemsländer och EU-kommissionen och ska utföras minst var femte år. Enisa får delta i den inbördes granskningen. Inom ramen för den inbördes granskningen kommer den nationella myndigheten för cybersäkerhetscertifiering att behöva såväl lämna uppgifter till som ta emot uppgifter från andra nationella myndigheter för cybersäkerhetscertifiering, EU-kommissionen och Enisa.
Konfidentialitet och tystnadsplikt
Bestämmelser om skydd för uppgifter hos organ för bedömning av överensstämmelse finns i punkten 16 i bilagan till EU:s cybersäkerhetsakt. I denna punkt anges att ett organ som önskar bli ackrediterat ska bevara konfidentialitet och iaktta tystnadsplikt avseende all den information som organen erhåller vid utförandet av bedömning av överensstämmelse i enlighet med det europeiska ramverket för cybersäkerhetscertifiering eller kompletterande nationella bestämmelser, utom i de fall då uppgifter måste lämnas enligt unionsrätten eller medlemsstaternas nationella rätt. Det ställs även krav på att organ för bedömning av överensstämmelse ska ha dokumenterade förfaranden som möter kraven på konfidentialitet och tystnadsplikt. Vidare anges att immateriella rättigheter ska skyddas.
I artikel 54.1 n i EU:s cybersäkerhetsakt anges också att en europeisk ordning för cybersäkerhetscertifiering ska innehålla bestämmelser om hur organ för bedömning av överensstämmelse i tillämpliga fall ska bevara sina uppgifter.
11.3 Inget behov av ändringar i offentlighets- och sekretesslagen
Regeringens bedömning: Det finns inte något behov av ändringar i offentlighets- och sekretesslagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm anser att det kan finnas behov av att införa en uttrycklig bestämmelse om uppgiftsskyldighet som möjliggör ett utlämnande enligt 10 kap. 28 § offentlighets- och sekretesslagen. Även Skatteverket är inne på en liknande linje. Övriga remissinstanser yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning
Utgångspunkter
Till följd av bestämmelserna om uppgiftsskyldighet i EU:s cybersäkerhetsakt kommer organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering att få tillgång till skyddsvärda uppgifter om såväl tillverkare och leverantörer som IKT-produkter, IKT-tjänster och IKT-processer. Det kan t.ex. vara fråga om nyupptäckta cybersäkerhetssårbarheter i certifierad IKT som används i samhällsviktig verksamhet. Den nationella myndigheten för cybersäkerhetscertifiering kommer också att förfoga över ytterligare skyddsvärd information inom ramen för tillsynsverksamheten, t.ex. avseende tester och underlag för provning samt certifieringsorganets bedömning av dessa underlag.
Det finns ett behov av att säkerställa att dessa uppgifter åtnjuter ett fullgott skydd inom det europeiska systemet för cybersäkerhetscertifiering. Som redogörs för ovan finns bestämmelser om konfidentialitet och tystnadsplikt i EU:s cybersäkerhetsakt. I offentlighets- och sekretesslagen finns det ett flertal bestämmelser som kan vara tillämpliga på uppgifter hos ett offentligt organ för bedömning av överensstämmelse eller den nationella myndigheten för cybersäkerhetscertifiering. Skyddet för uppgifter i de privata organen för överensstämmelses verksamhet behandlas i avsnitt 11.4.
Sekretess till skydd för enskilds personliga eller ekonomiska förhållanden
Enligt 30 kap. 23 § OSL gäller sekretess, i den utsträckning regeringen meddelar föreskrifter om det, i en statlig myndighets verksamhet som består i utredning, planering, prisreglering, tillståndsgivning, tillsyn eller stödverksamhet med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt
1. för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat, om det kan antas att den enskilde lider skada om uppgiften röjs, och
2. för uppgift om andra ekonomiska eller personliga förhållanden än som avses i 1 för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet.
Som utredningen uppmärksammar kan behov av sådan sekretess komma att aktualiseras i fråga om uppgifter som förekommer i övervaknings-, kontroll- och tillsynsverksamheten hos den nationella myndigheten för cybersäkerhetscertifiering. Regeringen kan i sådant fall besluta om en ändring i offentlighets- och sekretessförordningen (2009:641).
Enligt 31 kap. 12 § OSL gäller sekretess för vissa uppgifter i uppdragsverksamhet för enskilds räkning. Bestämmelsen kan vara tillämplig på uppgifter som ett offentligt organ för bedömning av överensstämmelse eller den nationella myndigheten för cybersäkerhetscertifiering får tillgång till när organet eller myndigheten utfärdar cybersäkerhetscertifikat efter ansökan från t.ex. ett aktiebolag.
Sekretess till skydd för allmänna intressen
Enligt 15 kap. 1 § OSL gäller sekretess för uppgifter som angår Sveriges förbindelser med en annan stat eller i övrigt rör en annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det skulle störa Sveriges mellanfolkliga förbindelser eller på annat sätt skada landet om uppgifterna röjs.
Enligt 15 kap. 1 a § första stycket OSL gäller sekretess för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs. Motsvarande sekretess gäller enligt paragrafens andra stycke för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som avses i första stycket. EU:s cybersäkerhetsakt är en sådan bindande EU-rättsakt som avses i 15 kap. 1 a § OSL.
Enligt regeringens bedömning kan bestämmelserna om utrikessekretess aktualiseras i fråga om uppgifter hos den nationella myndigheten för cybersäkerhetscertifiering som ska lämnas till eller som inkommit från andra medlemsstaters nationella myndigheter för cybersäkerhetscertifiering, EU-kommissionen eller Enisa med stöd av bestämmelserna i artiklarna 58.7-9 och 59 i EU:s cybersäkerhetsakt.
Enligt 15 kap. 2 § OSL gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Så kallad försvarssekretess kan exempelvis aktualiseras hos de offentliga organen för bedömning av överensstämmelse och hos den nationella myndigheten för cybersäkerhetscertifiering i den mån det förekommer uppgifter vars röjande medför att kritiska samhällsfunktioner äventyras och att verksamheter av betydelse för Sveriges säkerhet hotas.
Enligt 17 kap. 1 § OSL gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjas. Bestämmelsen kan t.ex. aktualiseras i den nationella myndigheten för cybersäkerhetscertifierings tillsynsverksamhet.
Enligt utredningen kan det bli aktuellt för ett organ för bedömning av överensstämmelse att använda tester och prov för att bedöma kunskapsnivå och tilldela status som evaluerare eller certifierare. I en sådan situation bör 17 kap. 4 § OSL kunna bli tillämplig. Enligt den bestämmelsen gäller sekretess för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets överseende, om det kan antas att syftet med provet motverkas om uppgiften röjs.
Sekretessbrytande bestämmelser
Den nationella myndigheten för cybersäkerhetscertifiering, offentliga organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet behöver kunna lämna sekretessbelagda uppgifter som myndigheterna hanterar i certifierings-, tillsyns- eller ackrediteringsverksamhet till varandra. Ett organ för bedömning av överenstämmelse har t.ex. en skyldighet att till den nationella myndigheten för cybersäkerhetscertifiering vidarebefordra information om sårbarheter eller oriktigheter som rör säkerheten för en cybersäkerhetscertifierad IKT-produkt, IKT-tjänst eller IKT-process (artikel 56.8). Vidare har den nationella myndigheten för cybersäkerhetscertifiering en skyldighet att bistå det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs enligt EU:s cybersäkerhetsakt av organen för bedömning av överensstämmelse (artikel 58.7 b). I den verksamheten kan uppgifter som kan omfattas av sekretess behöva lämnas mellan myndigheterna. Den nationella myndigheten för cybersäkerhetscertifiering ska också samarbeta med andra berörda marknadsövervakningsmyndigheter (se artikel 58.7 a).
En uppgift som omfattas av sekretess enligt offentlighets- och sekretesslagen får som utgångspunkt inte röjas för enskilda eller andra myndigheter (8 kap. 1 § OSL). För att tillgodose myndigheters behov av information och informationsutbyte i sin verksamhet finns flera undantag från huvudregeln om sekretess mellan myndigheter. Sådana sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns huvudsakligen i 10 kap. OSL.
Enligt 10 kap 2 § OSL hindrar sekretess inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen kan vara tillämplig i fall där någon av de övriga sekretessbrytande reglerna inte gäller, men ska tillämpas restriktivt (se prop. 1979/80:2 Del A s. 465 och 494).
Enligt 10 kap. 17 § OSL hindrar sekretess inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revision hos den myndighet där uppgiften förekommer. Får en myndighet i verksamhet som avser tillsyn eller revision en sekretessreglerad uppgift överförs sekretessen till den mottagande myndigheten om uppgiften inte ingår i ett beslut hos den mottagande myndigheten (11 kap. 1 § OSL). Det är inte bara uppgifter hos den kontrollerade myndigheten som skyddas. Om tillsyns- eller kontrollmyndigheten inhämtar sekretessbelagda uppgifter från någon annan myndighet än den som är föremål för tillsyn eller revision blir också dessa uppgifter sekretesskyddade. Bestämmelsen i 10 kap. 17 § OSL kan bli tillämplig som ett led i tillsynsverksamheten hos den nationella myndigheten för cybersäkerhetscertifiering i fråga om tillsyn över ett offentligt organ för bedömning av överensstämmelse.
Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en uppgift som omfattas av sekretess lämnas till en annan myndighet om det är uppenbart att intresset av att lämna uppgiften har företräde framför det intresse som sekretessen har att skydda. Generalklausulen kan inte tillämpas om utlämnandet strider mot lag eller förordning. Bestämmelsen är subsidiär i förhållande till andra sekretessbrytande bestämmelser och ska alltså inte tillämpas om någon annan sekretessbrytande bestämmelse kan tillämpas.
Enligt 10 kap. 28 § OSL hindrar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Som redogörs för ovan innebär EU:s cybersäkerhetsakt, som ska jämställas med lag, en skyldighet för bl.a. offentliga organ för bedömning av överensstämmelse att lämna uppgifter till den nationella myndigheten för cybersäkerhetscertifiering. Regeringen anser därför, till skillnad från Förvaltningsrätten i Stockholm och Skatteverket, inte att det finns behov av att införa en bestämmelse om uppgiftsskyldighet för att möjliggöra utlämnande av uppgifter enligt 10 kap. 28 §.
Det finns således flera sekretessbrytande bestämmelser som kan tillämpas för att uppgifter som omfattas av sekretess ska kunna lämnas mellan myndigheter i samband med tillsyn och rapportering av sårbarheter. Bestämmelserna kan också vara tillämpliga i den nationella ackrediteringsorganets tillsynsverksamhet över offentliga organ för bedömning av överensstämmelse respektive när myndigheten får uppgifter i samband med ansökan om ackreditering.
De sekretessbrytande bestämmelserna i 10 kap. 15-27 §§ och 28 § första stycket OSL får inte tillämpas om sekretess gäller för uppgiften enligt 15 kap. 1 a §. I sammanhanget kan nämnas att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning (8 kap. 3 § OSL). Det innebär att sekretess inte hindrar det informationsutbyte som enligt artiklarna 58.7-9 och 59 i cybersäkerhetsakten ska ske mellan de nationella myndigheterna för cybersäkerhetscertifiering.
Regeringen gör sammantaget bedömningen att det inte finns något behov av att införa nya sekretessbrytande bestämmelser.
Det finns inte behov av några ändringar i offentlighets- och sekretesslagen
Sammanfattningsvis finns det flera sekretessbestämmelser i offentlighets- och sekretesslagen som kan aktualiseras i verksamheten hos offentliga organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering. Det har inte framkommit att det finns behov av att göra några ändringar i offentlighets- och sekretesslagen med anledning av EU:s cybersäkerhetsakt.
11.4 En bestämmelse om tystnadsplikt ska införas
Regeringens förslag: Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att det även ska införas en upplysningsbestämmelse om att den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Bestämmelserna om konfidentialitet och tystnadsplikt i bilagan till EU:s cybersäkerhetsakt gäller för privata organ för bedömning av överensstämmelse. Till skillnad mot offentliga organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering omfattas inte de privata organens hantering av uppgifter av offentlighets- och sekretesslagen, eftersom den lagen, med vissa undantag, endast är tillämplig vid myndigheters hantering av handlingar.
Bestämmelser om tystnadsplikt för privata aktörer finns dock i vissa specialförfattningar. Tystnadsplikten är då ofta reglerad som ett förbud mot att obehörigen röja vissa uppgifter. En sådan bestämmelse finns t.ex. i 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse.
Författningsreglerad tystnadsplikt, oavsett om den följer av bestämmelser i offentlighets- och sekretesslagen eller av annan lag, utgör en inskränkning av yttrandefriheten enligt regeringsformen. Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
Som utredningen föreslår bör det i den nya lagen införas en bestämmelse om tystnadsplikt som innebär att den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt inte obehörigen får röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
En möjlighet för de privata organen för bedömning av överensstämmelse att bryta sekretessen i förhållande till behöriga nationella myndigheter, och då författning kräver att uppgifter lämnas, har intagits i bilagan till EU:s cybersäkerhetsakt. Detta undantag möjliggör nödvändigt informationsutbyte mellan organet i fråga och den nationella myndigheten för cybersäkerhetscertifiering. Att den föreslagna tystnadsplikten avgränsas med ett obehörighetsrekvisit innebär bl.a. att uppgifter kan lämnas ut med samtycke, till den nationella myndigheten för cybersäkerhetscertifiering eller annars som en följd av en skyldighet i lag eller författning.
Det bör också framgå av lagtexten att offentlighets- och sekretesslagen är tillämplig i det allmännas verksamhet. Till skillnad mot utredningen anser regeringen inte att det av lagtexten behöver framgå att den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. Utformningen av paragrafen i den här delen överensstämmer med motsvarande bestämmelse i 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
12 Behandling av personuppgifter
Regeringens bedömning: Befintlig reglering på personuppgiftsområdet är tillräcklig för den personuppgiftsbehandling som kan komma att utföras av den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet.
Det behöver inte införas nya bestämmelser om behandling av personuppgifter med anledning av EU:s cybersäkerhetsakt.
Utredningens bedömning överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens bedömning.
Skälen för regeringens bedömning: I den verksamhet som den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet bedriver med stöd av EU:s cybersäkerhetsakt och den nya lagen kommer myndigheterna och organen att behöva behandla personuppgifter. Den nationella myndigheten för cybersäkerhetscertifiering kommer t.ex. att behöva behandla organisationsnummer för enskild näringsverksamhet, namn på fysiska företrädare och adress- och kontaktuppgifter inom ramen för sin tillsyns- och certifieringsverksamhet. Organen för bedömning av överensstämmelse kommer att behöva behandla motsvarande uppgifter vid utfärdande av certifikat enligt det nya regelverket. Detsamma gäller när ackrediteringsorganet beslutar om ackreditering av organ för bedömning av överensstämmelse.
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande EU:s dataskyddsförordning, utgör grunden för generell personuppgiftsbehandling inom EU. EU:s cybersäkerhetsakt ska inte påverka tillämpningen av EU:s dataskyddsförordning (skäl 74).
Det innebär att EU:s dataskyddsförordning ska tillämpas i verksamhet hos den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet. I svensk rätt kompletteras EU:s dataskyddsförordning av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Enligt EU:s cybersäkerhetsakt ska den fysiska eller juridiska person som lämnar in en IKT-produkt, IKT-tjänst, eller IKT-process för certifiering göra all information som krävs för att genomföra certifieringen tillgänglig för den nationella myndigheten för cybersäkerhetscertifiering, om denna myndighet utfärdar certifikatet eller för ett organ för bedömning av överensstämmelse (artikel 56.7). Ett utfärdande av ett cybersäkerhetscertifikat ska gälla inom hela unionen och förutsätter att information om den som ansöker om certifikat, såsom personnummer eller kontaktuppgifter registreras. Tillgången till sådana uppgifter är också en förutsättning för att den nationella myndigheten för cybersäkerhetscertifiering ska kunna utöva tillsyn över t.ex. en innehavare av ett cybersäkerhetscertifikat. Även det nationella ackrediteringsorganet verksamhet finns det ett behov av tillgång till kontaktuppgifter till de organ för bedömning av överensstämmelse som är föremål för ackreditering, bl.a. för att kunna utöva tillsyn över organen.
När det gäller frågan om rättslig grund för personuppgiftsbehandlingen bedömer regeringen att behandlingen är nödvändig för att dels utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i EU:s dataskyddsförordning), dels fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c i EU:s dataskyddsförordning). De rättsliga grunderna är fastställda i EU:s cybersäkerhetsakt och den föreslagna lagen. De aktuella grunderna för behandlingen är således fastställda i unionsrätten och i den nationella rätten på det sätt som krävs enligt artikel 6.3 i EU:s dataskyddsförordning (jfr prop. 2017/18:105 s. 56-57). EU:s cybersäkerhetsakt och den föreslagna lagen uppfyller kravet i artikel 6.3 i EU:s cybersäkerhetsakt om att unionsrätten och den nationella rätten ska uppfylla ett mål av allmänt intresse och vara proportionella mot det legitima mål som eftersträvas.
Vad gäller frågan om personuppgiftsbehandlingen är proportionerlig bör beaktas att de tillverkare och leverantörer som ansöker om cybersäkerhetscertifikat agerar yrkesmässigt. De uppgifter som kommer att behandlas är inte sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning eller uppgifter om lagöverträdelser (artikel 10 i EU:s dataskyddsförordning). Det kommer främst vara fråga om kontaktuppgifter till företrädare för juridiska personer. Intrånget i de registrerades personliga integritet bedöms därför vara förhållandevis litet. Vid en avvägning mellan den registrerades personliga integritet och behovet av att personuppgiften behandlas framstår behandlingen som proportionerlig.
Regeringen bedömer att befintlig reglering i EU:s dataskyddsförordning, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning är tillräcklig för den personuppgiftsreglering som kan komma att utföras av den nationella myndigheten för cybersäkerhetscertifiering, organ för bedömning av överensstämmelse och det nationella ackrediteringsorganet. Det behöver således inte införas några nya bestämmelser om behandling av personuppgifter med anledning av EU:s cybersäkerhetsakt.
13 Ikraftträdande- och övergångsbestämmelser
13.1 Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Regeringens förslag: Den nya lagen ska träda i kraft den 28 juni 2021.
Regeringens bedömning: Det behövs inga övergångsbestämmelser.
Utredningens förslag och bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag och bedömning.
Skälen för regeringens förslag och bedömning: Lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt bör träda i kraft samtidigt som bestämmelserna i EU:s cybersäkerhetsakt om cybersäkerhetscertifiering ska börja tillämpas, dvs. den 28 juni 2021.
Det finns inte behov av några övergångsbestämmelser.
13.2 Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Regeringens förslag: Lagen om ändring i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska träda i kraft den 16 juli 2021.
Regeringens bedömning: Det behövs inga övergångsbestämmelser.
Utredningen lämnar inte något förslag i denna del.
Skälen för regeringens förslag och bedömning: Ändringen av titeln till EU-förordningen (EG) nr 765/2008 ska börja tillämpas den 16 juli 2021. Lagen om ändring i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt bör träda i kraft samtidigt.
Det finns inte behov av några övergångsbestämmelser.
14 Konsekvenser
Regeringens bedömning: Förslagen innebär att Försvarets materielverk får nya uppgifter, vilket bedöms innebära ökade kostnader för myndigheten.
Förslagen innebär att Kronofogdemyndigheten och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. De kostnadsökningarna bedöms inte bli större än att de ryms inom befintliga anslag.
Förslagen medför vissa kostnader för företag och enskilda.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Några remissinstanser efterfrågar en utförligare konsekvensanalys. Domstolsverket bedömer att kostnadsökningen för domstolarna inte kan hanteras inom befintliga ekonomiska ramar.
Skälen för regeringens bedömning
Konsekvenser för Försvarets materielverk
Regeringen gör bedömningen att Försvarets materielverk (FMV) bör utses till nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt. Det innebär att myndigheten får nya ansvarsområden och flera nya uppgifter.
Uppgiften som nationell myndighet för cybersäkerhetscertifiering kommer att medföra behov av resursförstärkning vid myndigheten, främst i form av personalförstärkning. De nya ansvarsområdena och uppgifterna medför ett ökat personalbehov inom FMV som beräknas uppgå till femton årsarbetskrafter samt kostnader för bl.a. utbildning, resor, it och övrig administration. De beräknade utgifterna för den nya verksamheten kan i nuläget uppskattas till 20 000 000 kronor för 2022 och 30 000 000 kronor för 2023 och framåt.
Myndighetens certifieringsverksamhet är för närvarande både anslags- och avgiftsfinansierad. Motsvarande system bör införas när det gäller finansieringen av den certifieringsverksamhet som ska bedrivas enligt EU:s cybersäkerhetsakt. Möjligheten att ta ut avgifter ska avse kostnaden för utfärdande av certifikat.
Myndighetens tillsynsverksamhet ska enligt regeringens förslag avgiftsfinansieras genom att en tillsynsavgift tas ut av de aktörer vars verksamhet prövas eller är föremål för en tillsynsåtgärd. Möjligheten för FMV att ta ut tillsynsavgifter ska omfatta alla utfärdare av EU-försäkringar om överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat, och organ för bedömning av överensstämmelse.
Regeringen avser att vid behov återkomma till riksdagen med förslag om ökade medel för kommande år.
Konsekvenser för Styrelsen för ackreditering och teknisk kontroll (Swedac)
Styrelsen för ackreditering och teknisk kontroll (Swedac) är nationellt ackrediteringsorgan. Jämfört med de uppgifter myndigheten för närvarande utför skiljer sig ansvaret enligt EU:s cybersäkerhetsakt åt endast i mindre omfattning. Ackrediteringsverksamheten vid Swedac finansieras av kundernas avgifter, som ska täcka samtliga kostnader för ackrediteringen. Eftersom verksamheten när det gäller ackreditering är avgiftsfinansierad bör denna verksamhet inte kräva ytterligare finansiella resurser.
Konsekvenser för Kronofogdemyndigheten
Bestämmelserna om sanktionsavgifter kan komma att öka antalet ärenden hos Kronofogdemyndigheten något. Även förslaget om att den nationella myndigheten för cybersäkerhetscertifiering ska få vända sig till Kronofogdemyndigheten och begära handräckning på plats vid vissa inspektioner kan leda till att Kronofogdemyndighetens hjälp behövs vid ett antal tillfällen men ökningen bedöms dock inte bli särskilt stor och förväntas inte påverka Kronofogdemyndighetens verksamhet mer än att konsekvenserna kan hanteras inom befintliga anslag för myndigheten.
Konsekvenser för domstolarna
Utredningens förslag om möjligheten att överklaga beslut som meddelas av organ för bedömning av överensstämmelse och av myndigheten för cybersäkerhetscertifiering innebär en ny reglering. En viss måltillströmning till allmän förvaltningsdomstol kan därför väntas. Det kan dock antas att överklaganden av beslut av organ för bedömning av överensstämmelse och den nationella myndigheten för cybersäkerhetscertifiering i frågor som avser certifiering inledningsvis kommer ske i begränsad omfattning.
Regeringen anser därför till skillnad från Domstolsverket att domstolarnas kostnadsökningar bör rymmas inom de befintliga anslagen.
Konsekvenser för näringslivet och företag
Införandet av det europeiska ramverket för cybersäkerhetscertifiering bedöms komma att påverka såväl företag som tillverkar och levererar an-givna IKT-produkter, IKT-tjänster och IKT-processer som företag som använder sig av dessa.
Innehållet i de europeiska certifieringsordningarna, och hur väl svenska företagsprodukter m.m. motsvarar kraven i dessa ordningar, kan dock antas komma att påverka svenska företags konkurrenskraft.
Det nya regelverket förväntas på sikt bidra till ökad cybersäkerhet och en bättre fungerande marknad, vilket i förlängningen är till fördel för både ekonomiska aktörer och unionsmarknadens funktion. En effektiv tillsyn ökar även förutsättningarna för att företagare ska kunna konkurrera på lika villkor.
Konsekvenser för konsumenter och andra användare
Cybersäkerhetscertifiering är förenat med kostnader, vilket innebär att cybersäkerhetscertifierade konsumentprodukter och konsumenttjänster kan antas komma att avspegla sig i priset på sådana produkter och tjänster.
Konsekvenser för samhället
Syftet med det europeiska ramverket för cybersäkerhetscertifiering är att förbättra medborgarnas och företagens cybersäkerhet. EU:s cybersäkerhetsakt kan anses ha positiva konsekvenser för hela samhället, eftersom syftet med certifieringsverksamheten enligt cybersäkerhetsakten är att höja cybersäkerhetsnivån inom unionen och harmonisera europeiska system för cybersäkerhetscertifiering på unionsnivån.
Övriga konsekvenser
Förslagen bedöms inte påverka
- den kommunala självstyrelsen,
- brottsligheten och det brottsförebyggande arbetet,
- sysselsättning och offentlig service i olika delar av landet,
- jämställdheten mellan kvinnor och män, eller
- möjligheterna att nå de integrationspolitiska målen.
Förslagen bedöms inte heller i övrigt medföra några konsekvenser av betydelse.
15 Författningskommentar
15.1 Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).
Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäkerhetsakt.
Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
I paragrafen anges lagens innehåll. Övervägandena finns i avsnitt 5.
Av första stycket framgår att syftet med lagen är att komplettera EU:s förordning om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten). Lagen kompletterar EU:s cybersäkerhetsakt och kan därför inte tillämpas fristående från den. Hänvisningen till EU:s cybersäkerhetsakt är dynamisk. Det innebär att hänvisningen avser cybersäkerhetsakten i den vid varje tidpunkt gällande lydelsen.
Av andra stycket framgår att förordningen (EU) 2019/881 i lagen benämns EU:s cybersäkerhetsakt.
Tredje stycket innehåller en upplysning om att ord och uttryck i lagen har samma betydelse som i EU:s cybersäkerhetsakt. I artikel 2 i cybersäkerhetsakten finns definitioner.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer
1. är nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Paragrafen reglerar nationell myndighet för cybersäkerhetscertifiering. Övervägandena finns i avsnitt 6.1, 6.2 och 7.5.
Enligt punkten 1 är den myndighet som regeringen bestämmer nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt.
Av punkten 2 framgår att den nationella myndigheten även utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Ackreditering av organ för bedömning av överensstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
I paragrafen finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 9.2.
Första stycket innehåller en upplysning om att det i artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
Andra stycket innehåller en upplysning om att ackreditering sker enligt förordning (EG) nr 765/2008 och lagen (2011:791) om ackreditering och teknisk kontroll, som kompletterar den förordningen.
Ackrediteringen ska enligt artikel 60.4 i EU:s cybersäkerhetsakt utfärdas till organen för bedömning av överensstämmelse för en period på högst fem år och får förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse fortfarande uppfyller kraven i artikel 60 och i bilagan till EU:s cybersäkerhetsakt.
I 33 § lagen (2011:791) om ackreditering och teknisk kontroll finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om själva ackrediteringen.
Enligt tredje stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt. Bestämmelsen ger stöd för att meddela de kompletterande föreskrifter som kan behövas för ackreditering av organ för bedömning av överensstämmelse enligt cybersäkerhetsaktens bestämmelser respektive kompletterande krav för att organen ska ackrediteras.
Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs har den nationella myndigheten för cybersäkerhetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt.
I paragrafen regleras de befogenheter den nationella myndigheten för cybersäkerhetscertifiering har vid tillsyn enligt lagen och föreskrifter som har meddelats i anslutning till lagen. Övervägandena finns i avsnitt 7.5.
Av paragrafen framgår att de befogenheter som den nationella myndigheten för cybersäkerhetscertifiering har enligt artikel 58.8 i EU:s cybersäkerhetsakt även gäller vid tillsyn över att bestämmelserna i den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs. I artikel 58.8 anges den nationella myndighetens tillsynsbefogenheter, t.ex. befogenheten att genomföra kontroller av innehavare av ett europeiskt cybersäkerhetscertifikat.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
I paragrafen regleras vissa tillsynsbefogenheter enligt lagen. Övervägandena finns i avsnitt 7.2.
I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Den nationella myndigheten för cybersäkerhetscertifierings möjlighet att besluta om föreläggande med vite utgör en sådan lämplig nationell åtgärd för att säkerställa efterlevnad av regelverket som avses i artikel 58.8 c i EU:s cybersäkerhetsakt. Utfärdare av EU-försäkringar om överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och organ för bedömning av överensstämmelse kan således åläggas att åtgärda brister och uppfylla kraven i EU:s cybersäkerhetsakt eller en europeisk ordning för cybersäkerhetscertifiering. Motsvarande gäller för de krav som följer av den nya lagen och föreskrifter som meddelas i anslutning till lagen. Den nationella myndigheten för cybersäkerhetscertifiering bör dock i första hand försöka få den det gäller att frivilligt lämna information eller rätta till bristerna och således efterkomma myndighetens påpekanden. Befogenheten att besluta förelägganden innefattar även förelägganden som innebär förbud.
I andra stycket anges att ett beslut om föreläggande får förenas med vite. Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Det är den nationella myndigheten för cybersäkerhetscertifiering som i varje enskilt fall ska bedöma om det är lämpligt att förena ett beslut om föreläggande med vite.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Vid handräckning tillämpas bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.
I paragrafen finns bestämmelser om handräckning. Övervägandena finns i avsnitt 7.1.
I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillgång till andra lokaler än bostäder och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Av artikel 58.8 d i EU:s cybersäkerhetsakt följer att rätten för den nationella myndigheten för cybersäkerhetscertifiering att få tillgång till lokaler omfattar lokaler hos ett organ för bedömning av överensstämmelse och innehavare av ett europeiskt cybersäkerhetscertifikat. För det fall den nationella myndigheten för cybersäkerhetscertifiering vägras tillträde till en lokal för att genomföra utredningar i enlighet med EU:s cybersäkerhetsakt får myndigheten begära handräckning av Kronofogdemyndigheten. Begäran om handräckning får inte avse en lokal som utgör bostad. Rätten till tillträde till lokaler enligt artikel 58.8 d i EU:s cybersäkerhetsakt omfattar inte lokaler hos en utfärdare av en EU-försäkran om överensstämmelse. Begäran om handräckning av Kronofogdemyndigheten får inte avse sådana lokaler.
I andra stycket anges att bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande tillämpas vid handräckning. Vidare anges att Kronofogdemyndigheten inte i förväg ska underrätta den som utredningen ska genomföras hos, om den nationella myndigheten för cybersäkerhetscertifiering begär det.
7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering.
Paragrafen reglerar återkallelse av europeiska cybersäkerhetscertifikat. Övervägandena finns i avsnitt 7.6.
Av paragrafen följer att den nationella myndigheten för cyber-säkerhetscertifiering får återkalla europeiska cybersäkerhetscertifikat när de förutsättningar som anges i artikel 58.8 e föreligger.
Ett beslut om återkallelse innebär att IKT-produkten, IKT-tjänsten eller IKT-processen inte längre får tillhandahållas på den inre marknaden som en cybersäkerhetscertifierad IKT-produkt, IKT-tjänst eller IKT-process enligt EU:s cybersäkerhetsakt. En tillverkare eller leverantör som i strid mot angivna bestämmelser ändå tillhandahåller en sådan IKT-produkt, IKT-tjänst eller IKT-process kan göra sig skyldig till överträdelse av regelverket som utgör grund för den nationella myndigheten för cybersäkerhetscertifiering att besluta om sanktionsavgift enligt 8 §.
Som Lagrådet uppmärksammar kan tänkbara grunder för ett beslut om återkallelse av ett europeiskt cybersäkerhetscertifikat med stöd av paragrafen vara att det har tillkommit nya normer på EU-nivå som innebär nya krav vilka certifikatet inte uppfyller, eller att certifikatet på något sätt har varit felaktigt redan när det utfärdades. Närmare praxis kring detta får utvecklas i rättstillämpningen.
Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som
1. har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,
6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
I paragrafen, som utformas enligt Lagrådets förslag, regleras sanktionsavgifter. Övervägandena finns i avsnitt 8.3.
I paragrafen anges de överträdelser av regelverket som kan föranleda att en sanktionsavgift ska tas ut av den som har gjort sig skyldig till överträdelsen. Strikt ansvar för överträdelser gäller. Det innebär att det inte krävs att det föreligger någon form av uppsåt eller vårdslöshet hos den som gjort sig skyldig till överträdelsen. Av 10 § framgår att den nationella myndigheten för cybersäkerhetscertifiering ska beakta olika försvårande och förmildrande omständigheter vid prövningen av avgiftens storlek.
Enligt punkten 1 ska den nationella myndigheten för cybersäkerhetscertifiering besluta att ta ut en sanktionsavgift av den som har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 trots att kraven i den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda.
Av punkten 2 följer att en sanktionsavgift ska tas ut av den som har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering. En förutsättning för att sanktionsavgift ska beslutas är att de uppgifter som har lämnats är av betydelse för prövningen och bedömningen av överensstämmelse.
Av punkten 3 följer att en sanktionsavgift ska tas ut av den som innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen. Sådan information ska delges skyndsamt i de fall en sårbarhet kan drabba tredje part.
Av punkten 4 följer att en sanktionsavgift ska tas ut av den som har utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada. Cybersäkerhetscertifiering syftar bl.a. till att höja säkerheten i IKT-produkter, IKT-tjänster och IKT-processer och på så sätt minska risken för sårbarheter och skador i system och i produkter. En sanktionsavgift ska därför endast kunna beslutas med stöd av punkten 4 om underlåtenheten att lämna information har medfört en sådan ökad risk för sårbarhet eller skada.
Av punkten 5 följer att en sanktionsavgift ska tas ut av den som bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering.
Av punkten 6 följer att en sanktionsavgift ska tas ut av den som överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud.
Av punkten 7 följer att en sanktionsavgift ska tas ut av den som använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e.
9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
I paragrafen regleras sanktionsavgifternas storlek. Övervägandena finns i avsnitt 8.5.
Enligt paragrafen ska en sanktionsavgift bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor. Hur avgiften ska bestämmas i det enskilda fallet regleras i 10 §. Det är den nationella myndigheten för cybersäkerhetscertifiering som beslutar om sanktionsavgiftens storlek.
10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd av överträdelsen,
2. om den som har begått överträdelsen tidigare begått en överträdelse, och
3. den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
I paragrafen regleras vilka omständigheter som särskilt ska beaktas när den nationella myndigheten för cybersäkerhetscertifiering bestämmer sanktionsavgiftens storlek. Övervägandena finns i avsnitt 8.6.
Av paragrafen framgår att särskild hänsyn ska tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den som har begått överträdelsen tidigare begått en överträdelse och den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
Vid bestämmande av storleken på sanktionsavgiften i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. I paragrafen anges sådana omständigheter som särskilt bör beaktas.
11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
I paragrafen regleras jämkning av sanktionsavgift. Övervägandena finns i avsnitt 8.6.
Av paragrafen följer att den nationella myndigheten för cyber-säkerhetscertifiering kan sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning. Det kan också finnas grund för jämkning när det rör sig om en bedömningsfråga, t.ex. vilka certifieringsåtgärder som är nödvändiga i ett visst sammanhang - och berörd aktör trots en gedigen granskning gjort en felaktig bedömning. Andra omständigheter att beakta i mildrande riktning kan vara att den avgiftsskyldige har samarbetat med den nationella myndigheten för cybersäkerhetscertifiering för att komma till rätta med överträdelsen eller skyndsamt har vidtagit rättelse för att minska skadan eller risken för skada.
Regleringen i 9 § om sanktionsavgifternas storlek hindrar inte ett beslut om jämkning som innebär att sanktionsavgift tas ut med ett belopp som är lägre än 10 000 kronor.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
I paragrafen regleras ett förbud mot beslut om sanktionsavgifter i vissa fall. Övervägandena finns i avsnitt 8.7.
Enligt paragrafen får en sanktionsavgift inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. Paragrafen syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner.
Om ett beslut om vitesföreläggande har meddelats och en domstolsprocess inletts om utdömande av vitet är den nationella myndigheten för cybersäkerhetscertifiering enligt bestämmelsen förhindrad att besluta om sanktionsavgift för samma överträdelse. Bestämmelsen hindrar inte att en överträdelse först kan bli föremål för ett vitesföreläggande och i ett senare skede beslut om sanktionsavgift, under förutsättning att någon ansökan om utdömande av vitet inte har gjorts.
13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
I paragrafen regleras när en sanktionsavgift får beslutas och krav på delgivning. Övervägandena finns i avsnitt 8.8.
Första stycket innebär att om kommunikation enligt förvaltningslagen med den som avgiften ska tas ut av inte har gjorts inom två år från den dag då överträdelsen ägde rum, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har genomförts ligger på den nationella myndigheten för cybersäkerhetscertifiering.
Av andra stycket framgår att ett beslut om sanktionsavgift ska delges. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen.
14 § Sanktionsavgiften tillfaller staten.
I paragrafen anges att en sanktionsavgift tillfaller staten. Övervägandena finns i avsnitt 8.8.
15 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Paragrafen reglerar betalning och indrivning av sanktionsavgifter. Övervägandena finns i avsnitt 8.8.
16 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Paragrafen reglerar preskription av sanktionsavgifter. Övervägandena finns i avsnitt 8.8.
Bestämmelsen innebär att betalning av beslutad avgift inte kan krävas efter det att fem år gått sedan beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
I paragrafen finns bestämmelser om tystnadsplikt. Övervägandena finns i avsnitt 11.4.
Enligt första stycket får den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes. Organ för bedömning av överensstämmelse kan vara privaträttsliga aktörer, t.ex. ett aktiebolag. Tystnadsplikten innebär att personer som deltar i organet för bedömning av överensstämmelses verksamhet inte får avslöja eller utnyttja det han eller hon fått kännedom om under det att uppgifterna utfördes. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestämmelsens tillämpningsområde. Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
I andra stycket finns en upplysning om att offentlighets- och sekretesslagen tillämpas i det allmännas verksamhet. Det allmännas verksamhet innefattar t.ex. den verksamhet som den nationella myndigheten för cybersäkerhetscertifiering och offentliga organ för bedömning av överensstämmelse bedriver.
Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana avgifter.
I paragrafen finns bestämmelser om avgifter. Övervägandena finns i avsnitt 6.3.
I första stycket anges att den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och den kompletterande lagen. Paragrafen innebär att tillsyns- och certifieringsverksamheterna vid den nationella myndigheten för cybersäkerhetscertifiering kan finansieras genom att avgifter tas ut av de aktörer som orsakar kostnaderna. Den nationella myndigheten för cybersäkerhetscertifiering bör kunna ta ut avgifter av utfärdare av EU-försäkran om överensstämmelse, organ för bedömning av överensstämmelse samt innehavare av europeiska cybersäkerhetscertifikat.
Enligt andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om sådana avgifter.
Ändring av beslut av privata organ för bedömning av överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut som det har meddelat, om
1. organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Paragrafen reglerar ändring av beslut av privata organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 10.2.
Av paragrafen följer att privata organ för bedömning av överensstämmelse har en skyldighet att ändra ett beslut när beslutet är uppenbart felaktigt på grund av nya omständigheter eller av någon annan anledning och beslutet kan ändras snabbt och enkelt utan att det blir till nackdel för någon enskild. Paragrafen har sin redaktionella förebild i 38 § förvaltningslagen.
Överklagande
20 § Beslut enligt EU:s cybersäkerhetsakt och denna lag av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
I paragrafen, som utformas enligt Lagrådets förslag, regleras överklagande av beslut. Övervägandena finns i avsnitt 10.3.
I första stycket anges att beslut av den nationella myndigheten för cybersäkerhetscertifiering och organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt och denna lag får överklagas till allmän förvaltningsdomstol.
I fråga om förfarandet vid överklagande av beslut av organ för bedömning av överensstämmelse finns bestämmelser i lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvaltningsuppgifter.
Enligt andra stycket krävs det prövningstillstånd vid överklagande till kammarrätten.
15.2 Förslaget till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
I paragrafen finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Övervägandena finns i avsnitt 9.2.4.
Andra stycket ändras på så sätt att Europaparlamentets och rådets förordning (EG) nr 765/2008 anges med dess nya titel.
Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten)
Sammanfattning av delbetänkandet SOU 2020:58
Uppdraget
Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) trädde i kraft den 27 juni 2019. Förordningen började tillämpas direkt med undantag för vissa artiklar som kräver kompletterande bestämmelser på nationell nivå och som därför ska börja tillämpas först den 28 juni 2021. Det huvudsakliga syftet med förordningen är att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen och säkerställa en väl fungerande inre marknad.
Utredningens uppdrag i denna första del har varit att föreslå de anpassningar och kompletterande nationella författningsbestämmelser som EU:s cybersäkerhetsakt ger anledning till och som behöver finnas på plats när förordningen i sin helhet börjar tillämpas den 28 juni 2021.
I uppdraget har ingått att överväga och föreslå vilken befintlig nationell myndighet som ska utses att fullgöra de uppgifter och tilldelas de ansvarsområden som följer av EU:s cybersäkerhetsakt, bl.a. uppdraget att utöva tillsyn över efterlevnaden av det europeiska ramverket för cybersäkerhetscertifiering. Det har även ingått att undersöka vilka kompletterande nationella bestämmelser, bl.a. processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver eller som det annars finns anledning att införa.
Utredningen kommer i slutbetänkandet att analysera och överväga om det bör införas krav på certifiering och godkännande av vissa produkter, tjänster och processer som ska användas i verksamheter som är av betydelse för Sveriges säkerhet. Denna del av uppdraget ska redovisas senast den 1 mars 2021.
Behovet av ökad cybersäkerhet
Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är beroende av nätverk och informationssystem som används av myndigheter, organisationer, företag och privatpersoner. Den digitala utvecklingen ger stora möjligheter att förbättra och effektivisera människors vardag och olika verksamheter. Digitaliseringen har skapat nya former av kommunikation, datahantering och datalagring. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknik (IKT). Med den tilltagande digitaliseringen och globaliseringen, som ökar beroenden över nations-, sektors- och ansvarsgränser, har även följt en ökad betoning på cyberfrågor i samhället. Informations- och cybersäkerhetsarbete, av såväl offentliga som privata aktörer, ses som nödvändigt vid digitaliseringsprocesser för att samhället ska kunna fungera och utvecklas i linje med de mål som finns inom olika politikområden. Samtidigt som allt fler länder utvecklar strategier, doktriner och förmågor inom cyberområdet ökar förekomsten av cyberattacker mot olika intressen och verksamheter. Hoten kan utgöras av politiskt, ekonomiskt och brottsligt motiverade angrepp, men även oavsiktliga incidenter som påverkar cybersäkerheten ökar. Cyberincidenterna kan störa tillhandahållandet av nödvändiga tjänster, exempelvis vatten, hälso- och sjukvård, elektricitet och mobila tjänster. Möjligheterna till påverkan i informationssystem i demokratiska valprocesser och desinformationskampanjer är också en utmaning. Beroende av digital infrastruktur och tjänster genom anslutna enheter och utbredd uppkoppling till internet skapar ökade sårbarheter vilket medför högre krav på informations- och cybersäkerhet. Genom att kontrollera och certifiera IKT-produkter, IKT-tjänster och IKT-processer kan man göra dem säkrare och även öka förtroendet för dessa.
EU:s cybersäkerhetsakt
EU:s cybersäkerhetsakt är uppdelad i två delar. Den första delen behandlar mål, uppgifter och organisatoriska frågor som rör Europeiska unionens cybersäkerhetsbyrå (Enisa). Den andra delen reglerar fastställandet av ett europeiskt ramverk för cybersäkerhetscertifiering. Kommissionen ska utarbeta löpande arbetsprogram för europeisk cybersäkerhetscertifiering där det fastställs strategiska prioriteringar för framtida europeiska ordningar för cybersäkerhetscertifiering. Enisa ska med hjälp av expertråd och i nära samarbete med den Europeiska gruppen för cybersäkerhetscertifiering (ECCG) lämna förslag på europeiska certifieringsordningar. Syftet är att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikationsteknik (IKT) i unionen samt att undvika en fragmentering av den inre marknaden när det gäller certifieringsordningar i unionen. Skapandet av europeiska ordningar för cybersäkerhetscertifiering kommer att medföra att certifikat som utfärdas enligt dessa certifieringsordningar blir giltiga och erkända i alla medlemsstater. Förutom att beskriva de säkerhetsmålsättningar som ska beaktas i utformningen av de europeiska ordningarna för cybersäkerhetscertifieringar, anger EU:s cybersäkerhetsakt vad minimiinnehållet i sådana ordningar bör vara.
Ny lag som kompletterar EU:s cybersäkerhetsakt
Utredningen föreslår att de kompletterande nationella bestämmelser till EU:s cybersäkerhetsakt som krävs ska samlas i en ny lag och en ny förordning. I lagen anges att regeringen ska utse en nationell myndighet för cybersäkerhetscertifiering och ges kompletterande bestämmelser om myndighetens befogenheter och möjlighet att besluta om sanktioner för överträdelser av regelverket samt vissa processuella bestämmelser.
En nationell myndighet för cybersäkerhetscertifiering
EU:s cybersäkerhetsakt ställer krav på att en eller flera nationella myndigheter för cybersäkerhetscertifiering utses av medlemsstaterna. Med utgångspunkt i att en sådan myndighet ska utses bland befintliga myndigheter, krav på kunskap och erfarenhet av informations- och kommunikationsteknologi (IKT) och att det nationella certifieringsorganet för it-säkerhet vid Försvarets materielverk (FMV/CSEC) ska ha en roll när det gäller cybersäkerhetscertifiering på högsta assuransnivån föreslås Försvarets materielverk som nationell myndighet för cybersäkerhetscertifiering. Myndigheten ska därmed fullgöra de uppgifter som följer av det europeiska ramverket för cybersäkerhetscertifiering. I uppgifterna ingår omvärldsbevakning av området för cybersäkerhet, samverkan med nationella och internationella aktörer, ansvar för cybersäkerhetscertifiering på den högsta assuransnivån samt ansvar för tillsyn över regelsystemets efterlevnad.
Det nationella certifieringsorganet vid myndigheten, CSEC, föreslås som ackrediterat organ för bedömning av överensstämmelse enligt artiklarna 56.5 och 56.6 i EU:s cybersäkerhetsakt. Det innebär att CSEC eller det ackrediterade organ för bedömning av överensstämmelse som bemyndigas ska ansvara för cybersäkerhetscertifiering på högsta assuransnivån. I syfte att säkerställa certifieringsorganets oberoende som ackrediterat organ för bedömning av överensstämmelse föreslås att det i författning anges att vid Försvarets materielverk ska finnas ett ackrediterat organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt. När chefen för det ackrediterade organet för bedömning av överensstämmelse utövar verksamhet enligt cybersäkerhetsakten är denne inte underställd myndighetschefen. Certifieringsorganets ekonomiska resurser bör beslutas i särskild ordning av regeringen.
Tillsyn
EU:s cybersäkerhetsakt anger att den nationella myndigheten för cybersäkerhetscertifiering ska övervaka och kontrollera efterlevnaden av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering.
Utredningen föreslår att Försvarets materielverk som nationell myndighet för cybersäkerhetscertifiering ska fullgöra de tillsynsuppgifter som följer av EU:s cybersäkerhetsakt och får således de befogenheter som redan framgår av aktens bestämmelser.
Myndigheten ska behandla klagomål som rör en utfärdad EU-försäkran om överensstämmelse eller ett europeiskt cybersäkerhetscertifikat. Myndigheten ska också kontrollera att tillverkare eller leverantörer som genomför självbedömning av överensstämmelse av IKT-produkter, IKT-tjänster och IKT-processer, dvs. när en EU-försäkran om överensstämmelse utfärdas, fullgör sina skyldigheter och att ett europeiskt cybersäkerhetscertifikat som utfärdas överensstämmer med kraven i den aktuella europeiska ordningen för cybersäkerhetscertifiering.
Myndigheten ska även bistå det nationella ackrediteringsorganet med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse i enlighet med cybersäkerhetsaktens bestämmelser.
Befogenheter
I EU:s cybersäkerhetsakt ges den nationella myndigheten för cybersäkerhetscertifiering vissa minimibefogenheter för att kunna fullgöra sina tillsynsuppgifter.
Utredningen föreslår vissa kompletterande bestämmelser om tillsynsbefogenheter. Myndigheten ska besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av den förordningen, den nya lagen och föreskrifter som har meddelats i anslutning till lagen ska följas. Myndigheten kan förelägga en berörd aktör att lämna information eller vidta någon annan åtgärd. Myndigheten får även besluta om cybersäkerhetscertifikat och kan återkalla ett utfärdat certifikat. Myndigheten kan besluta att ett föreläggande ska gälla omedelbart. Ett beslut om föreläggande får förenas med vite. Myndigheten får även i syfte att genomföra en kontroll göra en undersökning i den berörda aktörens lokaler. Rätten till tillträde till lokal ska dock inte gälla bostäder. Myndigheten föreslås få rätt att få biträde av Kronofogdemyndigheten vid tillsyn. Regeringen eller den myndighet som regeringen bestämmer föreslås få meddela närmare föreskrifter om formerna för lämnandet av information, kontrollförfarandet vid undersökningar och utredningsförfarandet vid tillträde till lokaler.
Sanktioner
EU:s cybersäkerhetsakt anger att medlemsstaterna ska fastställa regler om sanktioner vid överträdelse av bestämmelserna i det europeiska ramverket för cybersäkerhetscertifiering. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Utredningen föreslår att den nationella myndigheten för cybersäkerhetscertifiering får besluta att sanktionsavgift ska påföras den som utfärdar en EU-försäkran om överensstämmelse utan att fastställda krav på cybersäkerhet är uppfyllda, lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifieringen, innehar ett europeiskt cybersäkerhetscertifikat och underlåter att informera om alla sårbarheter eller oriktigheter som upptäcks, utfärdar en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som underlåter att lämna kompletterande säkerhetsinformation. Sanktionsavgift ska även kunna påföras den som bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering, överträder ett beslut om förbud eller använder ett europeiskt cybersäkerhetscertifikat som blivit återkallat. Avgiften kan således påföras utfärdare av EU-försäkran om överensstämmelse och certifikatinnehavare (IKT-tillverkare och leverantörer) samt organ för bedömning av överensstämmelse.
Avgiften ska tas ut även om överträdelsen inte skett uppsåtligen eller av oaktsamhet, dvs. ett strikt ansvar ska gälla. Om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut sanktionsavgiften får avgiften sättas ned. Avgiften ska bestämmas till lägst 10 000 kronor och högst 15 miljoner kronor.
Nationell strategi
Regeringen bör överväga att ta fram en nationell strategi för att tillvarata nationella intressen när det europeiska ramverket för cybersäkerhetscertifiering utvecklas. I arbetet bör berörda myndigheter, andra offentliga aktörer och näringslivet ges möjlighet att delta.
Samverkan
För att säkerställa att nationella intressen kan representeras och tillvaratas i arbetet med det europeiska ramverket för cybersäkerhetscertifiering ska det finns en adekvat nationell representation i Europeiska gruppen för cybersäkerhetscertifiering. Det ställer krav på en utbyggd och väl fungerande samverkan mellan berörda myndigheter, berörda näringslivsorganisationer och företag.
Konsekvenser
Utredningens förslag syftar till att uppfylla kraven i EU:s cybersäkerhetsakt och att bidra till ett ändamålsenligt och effektivt genomslag och tillämpning av det europeiska ramverket för cybersäkerhetscertifiering. Analysen av behovet av kompletterande nationella bestämmelser har dock försvårats av osäkerheten om det närmare innehållet i de framtida europeiska ordningarna för cybersäkerhetscertifiering (genomförandeakter).
Utredningen anser att det för närvarande inte är möjligt att överblicka vilka direkta konsekvenser som införandet av det europeiska ramverket för cybersäkerhetscertifiering kommer att medföra för den utpekade nationella myndigheten för cybersäkerhetscertifiering eller för andra aktörer som berörs av det angivna ramverket eftersom några genomförandeakter ännu inte antagits. Det går inte heller att bedöma i vilken omfattning som berörda aktörer kommer att använda sig av möjligheten till EU-försäkran om överensstämmelse eller utfärda europeiska cybersäkerhetscertifikat, vilket också påverkar behovet och omfattningen av tillsyn. Det går därför inte heller att sätta författningsförslagen i relation till ekonomiska beräkningar, annat än när det gäller behovet av vissa tillkommande resurser för den nationella myndigheten för cybersäkerhetscertifiering.
Utredningen har vid utformningen av förslagen, bl.a. när det gäller uppgifter för och organisering av den nationella myndigheten för cybersäkerhetscertifiering, tagit hänsyn till de alternativ som kan förväntas vara mest ändamålsenliga och kostnadseffektiva. Myndighetens åligganden enligt EU:s cybersäkerhetsakt medför kostnader för administrativt arbete och för tillsyn, bl.a. medför nya befogenheter och sanktionsmöjligheter behov av att utbilda personal och ändra vissa arbetsformer. Inledningsvis bedöms dock kostnaderna för detta vara begränsade. Det nationella certifieringsorganet CSEC:s verksamhet föreslås fortsatt vara anslagsfinansierat för vissa grundläggande funktioner och fortsatt avgiftsfinansierat för uppdragen med cybersäkerhetscertifiering.
Utredningens förslag om kompletterande bestämmelser avseende myndighetens befogenheter och möjligheten att besluta om sanktionsavgift bedöms inte medföra några ekonomiska konsekvenser i sig.
De förslag till framför allt samverkan och samordning mellan berörda myndigheter som utredningen föreslår bedöms i kostnadsavseende vara marginella.
Det europeiska ramverket för cybersäkerhetscertifiering innebär i nuläget frivillig cybersäkerhetscertifiering. I framtiden kan emellertid användningen av europeisk cybersäkerhetscertifiering bli obligatorisk. En ekonomisk aktör beslutar om att tillhandahålla IKT-produkter eller -tjänster på unionsmarknaden under förutsättning att bestämmelserna om cybersäkerhetscertifiering följs. Det är inte möjligt att uppskatta hur många företag som berörs av utredningens förslag. Det är inte heller möjligt att göra någon närmare bedömning av förslagens effekter på företag eller företagandet i Sverige, annat än att de företag som väljer att utfärda en EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat kommer att få kostnader i samband med förfarandet. En effektiv tillsyn ökar även förutsättningarna för att företagare ska kunna konkurrera på lika villkor. De föreslagna bestämmelserna förväntas på sikt leda till ökad cybersäkerhet och en bättre fungerande marknad, vilket i förlängningen är till fördel för både ekonomiska aktörer och unionsmarknadens funktion.
Den nya lagen och övriga författningsändringar föreslås träda i kraft den 28 juni 2021.
Lagförslaget i delbetänkandet SOU 2020:58
Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt (cybersäkerhetsakten)
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten), här benämnd EU:s cybersäkerhetsakt.
Termer och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer är
1. nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över efterlevnaden av denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ackreditering av organ för bedömning
3 § I Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse enligt artikel 60.1 i EU:s cybersäkerhetsakt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Tillsynsbefogenheter och sanktioner
4 § Den nationella myndigheten för cybersäkerhetscertifiering har de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt även vid tillsynen över efterlevnaden av denna lag och föreskrifter som har meddelats i anslutning till lagen.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för att EU:s cybersäkerhetsakt, de genomförandeakter som har meddelats med stöd av den förordningen, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
Den nationella myndigheten för cybersäkerhetscertifiering har rätt att få biträde av Kronofogdemyndigheten för tillsyn i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla europeiska cybersäkerhetscertifikat som utfärdats av den myndigheten eller europeiska cybersäkerhetscertifikat som utfärdats av organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om sådana certifikat inte uppfyller kraven i akten eller en europeisk ordning för cybersäkerhetscertifiering.
7 § Den nationella myndigheten för cybersäkerhetscertifiering ska ta ut en sanktionsavgift av den som
1. utfärdar en EU-försäkran om överenstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt utan att fastställda krav på cybersäkerhet i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering är uppfyllda,
2. lämnar oriktiga eller ofullständiga uppgifter vid ansökan om cybersäkerhetscertifieringen enligt artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och underlåter att i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt informera den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som underlåter att lämna kompletterande säkerhetsinformation enligt artikel 55 i EU:s cybersäkerhetsakt,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat samt villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering enligt EU:s cybersäkerhetsakt eller motsvarande europeisk ordning för cybersäkerhetscertifiering
6. överträder ett beslut om förbud enligt 5 §, eller
7. använder ett europeiskt cybersäkerhetscertifikat som blivit återkallat enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
8 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
9 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om den som begått överträdelsen tidigare begått en överträdelse och de kostnader som denne undvikit till följd av överträdelsen.
10 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa eller om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
11 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
12 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
13 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Vid indrivning får verkställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
14 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
15 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Avgifter
16 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela förskrifter om avgiftssystemets utformning enligt första stycket.
Omprövning hos privata organ för bedömning av överensstämmelse
17 § Finner ett privat organ för bedömning av överensstämmelse att ett beslut som det meddelat är uppenbart oriktigt på grund av nya omständigheter eller av någon annan anledning ska organet ändra beslutet, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Överklagande
18 § Beslut enligt EU:s cybersäkerhetsakt och denna lag får överklagas till allmän förvaltningsdomstol. Även beslut av ett privat organ för bedömning av överensstämmelse enligt dessa författningar får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 28 juni 2021.
Förteckning över remissinstanserna (delbetänkandet SOU 2020:58)
Remissvar har lämnats av Bolagsverket, Domstolsverket, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsmakten, Försäkringskassan, Förvaltningsrätten i Stockholm, Inspektionen för strategiska produkter, Integritetsskyddsmyndigheten, Internetstiftelsen, Justitiekanslern, Kammarkollegiet, Kammarrätten i Stockholm, Kommerskollegium, Konkurrensverket, Konsumentverket, Kronofogdemyndigheten, Kungl. Tekniska högskolan, Kustbevakningen, Luftfartsverket, Lunds universitet (Juridiska fakulteten), Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västra Götalands län, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Post- och telestyrelsen, Regelrådet, Riksarkivet, Riksrevisionen, RISE Research Institutes of Sweden AB, Skatteverket, Småföretagarnas Riksförbund, Statens servicecenter, Statistiska centralbyrån, Statskontoret, Stockholms universitet (Juridiska fakulteten), Styrelsen för ackreditering och teknisk kontroll, Svenska Journalistförbundet, Sveriges advokatsamfund, Sveriges Kommuner och Regioner, Säkerhets- och försvarsföretagen, Säkerhetspolisen, Totalförsvarets forskningsinstitut, Trafikverket, Transportstyrelsen, Tullverket, Upphandlingsmyndigheten, Verket för innovationssystem, Vetenskapsrådet/SUNET och Åklagarmyndigheten.
Innovationsföretagen, It- och telekomföretagen, Näringslivets regelnämnd, Riksdagens ombudsmän SKL Kommentus, Svensk Handel, Svenskt Näringsliv, Sveriges Standardiseringsförbund och Teknikföretagen har avstått från att lämna synpunkter på förslagen i delbetänkandet eller har inte svarat på remissen.
Synpunkter har även lämnats av Energiföretagen, Huawei, Svenska statsnätsföreningen och Vattenfall AB.
Lagrådsremissens lagförslag
Regeringen har följande förslag till lagtext.
Förslag till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten), här benämnd EU:s cybersäkerhetsakt.
Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer
1. är nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Ackreditering av organ för bedömning av överenstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs har den nationella myndigheten för cybersäkerhetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas.
Ett beslut om föreläggande får förenas med vite.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, för att genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt.
Vid handräckning tillämpas bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.
7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering.
Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som
1. utfärdar en EU-försäkran om överenstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt utan att kraven enligt EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering är uppfyllda,
2. lämnar oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering enligt artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller som innehar ett cybersäkerhetscertifikat och som inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering enligt EU:s cybersäkerhetsakt eller motsvarande europeisk ordning för cybersäkerhetscertifiering,
6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.
10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd av överträdelsen,
2. om den som har begått överträdelsen tidigare begått en överträdelse, och
3. den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
14 § Sanktionsavgiften tillfaller staten.
15 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
16 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana avgifter.
Ändring av beslut av privata organ för bedömning av överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut som det har meddelat, om
1. organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild.
Överklagande
20 § Beslut av den nationella myndigheten för cybersäkerhetscertifiering och organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt och denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 28 juni 2021.
Förslag till lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Härigenom föreskrivs att 3 § lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt ska ha följande lydelse.
Lydelse enligt förslaget i 2.1
Föreslagen lydelse
3 §
I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cyber-säkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
Denna lag träder i kraft den 16 juli 2021.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2021-04-01
Närvarande: F.d. justitierådet Eskil Nord samt justitieråden
Inga-Lill Askersjö och Petter Asp
Kompletterande bestämmelser till EU:s cybersäkerhetsakt
Enligt en lagrådsremiss den 24 mars 2021 har regeringen (Försvarsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt,
2. lag om ändring i lagen (2021:000) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.
Förslagen har inför Lagrådet föredragits av rättssakkunniga Karin Byström.
Förslagen föranleder följande yttrande.
Förslaget till lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
3 §
Bestämmelsen i andra stycket i paragrafen ger upplysning om att det i en EU-förordning, som gäller krav för ackreditering och marknadskontroll i samband med saluföring av produkter, finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Lydelsen kommer att gälla endast under tiden 28 juni 2021-16 juli 2021. Vid sistnämnda tidpunkt kommer nämligen förordningen att byta namn genom att orden "och marknadskontroll i samband med saluföring av produkter" utgår.
I lagrådsremissen föreslås att ändringen av ordalydelsen i bestämmelsen ska ske genom en ändringslag (förslag 2.2 i lagrådsremissen). Ändringslagen reglerar således endast ett namnbyte på en EU-förordning i en upplysningsbestämmelse. Förfarandet är i och för sig formellt korrekt, men enligt Lagrådets mening leder en sådan ordning enbart till att lagstiftningen blir svårare att överskåda. Den som ska kontrollera ändringar i lagen kommer alltid att vara tvungen att passera denna ändring, utan att den kommer att ha någon betydelse.
När det gäller en ändring av förevarande slag skulle en mer ändamålsenlig ordning kunna vara att ändringen genomförs i form av en övergångsbestämmelse till den nya lagen. I 3 § andra stycket i den nya lagen kan den bestämmelse som föreslås i ändringslagen tas in. I övergångsbestämmelserna kan därefter föreskrivas "Bestämmelsen i 3 § andra stycket har fram till 16 juli 2021 följande lydelse" och följas av den lydelse som föreslås i 3 § andra stycket i den nya lagen i lagrådsremissen. Ändringslagen blir härigenom överflödig.
5 §
Enligt förslagen i lagrådsremissen ska den nationella myndigheten för cybersäkerhetscertifiering ha möjlighet att med stöd av denna paragraf besluta om förelägganden mot tillverkare, leverantörer och organ för bedömning av överensstämmelse. Ett sådant föreläggande kan avse också förbud. I 8 § 6 finns en anslutande bestämmelse som anger att en sanktionsavgift ska kunna tas ut av den som överträder ett beslut om föreläggande som innebär ett förbud.
Ett föreläggande kan alltså riktas mot och en avgift tas ut av en tillverkare eller en leverantör som innehar ett certifikat och av något skäl har meddelats ett förbudsföreläggande. Det framgår emellertid inte om avsikten också är att ett föreläggande ska kunna riktas mot någon som saluför en produkt som certifierad, trots att något certifikat inte finns. Syftet med EU:s cybersäkerhetsakt är enligt artikel 1 bl.a. att säkerställa en väl fungerande inre marknad (inom den aktuella sektorn). Det är sannolikt att det syftet inte uppnås om regleringen omfattar endast leverantörer som innehar certifikat och som av någon anledning förelagts ett förbud, men inte omfattar dem som inte har något certifikat men ändå saluför en produkt som certifierad.
Enligt Lagrådets mening bör denna fråga klargöras i det fortsatta lagstiftningsarbetet.
7 §
Av bestämmelsen framgår att den nationella myndigheten för cybersäkerhetscertifiering får återkalla ett certifikat som har utfärdats av myndigheten eller, i vissa fall, av ett organ för bedömning av överensstämmelse. För att ett certifikat ska kunna återkallas fordras att "certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering". Vad som avses med detta, dvs. att certifikatet inte uppfyller nyss nämnda krav, framstår som mycket oklart. Någon ledning ges inte i författningskommentaren till bestämmelsen.
En möjlig tolkning är att bestämmelsen tar sikte på den situationen att det har tillkommit nya normer på EU-nivå som innebär nya krav vilka certifikatet inte uppfyller (jfr lagrådsremissen s. 30 och SOU 2020:58 s. 207 där det talas om att ett certifikat inte "längre" uppfyller kraven). Det är emellertid också möjligt att förstå bestämmelsen så att den därutöver - eller i stället - tar sikte på certifikat som på något sätt varit felaktiga från början.
I tillägg är det näraliggande att fråga sig om inte ett certifikat borde kunna återkallas om det visar sig att en viss produkt, tjänst eller process som har certifierats inte uppfyller de krav som ställs för att erhålla certifikatet. Det framstår emellertid - eftersom lagtexten tar sikte på själva certifikatets överensstämmelse med vissa angivna normer - som mycket tveksamt om lagtexten kan anses omfatta ett sådant fall.
Oklarheterna går visserligen tillbaka på den bestämmelse i EU:s cybersäkerhetsakt (artikel 58.8 e) som mer eller mindre ordagrant har förts över till paragrafen. Det bör dock i den fortsatta beredningen utvecklas i författningskommentaren hur regleringen ska förstås. Något hinder på EU-rättslig grund mot att åtminstone i huvudsak ange regeringens bedömning av vad paragrafen är avsedd att omfatta kan inte anses finnas. Tvärtom synes detta vara nödvändigt för att åstadkomma en rimlig stabilitet i rättstillämpningen.
8 §
I paragrafen regleras när den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift.
Punkt 1 gäller det fall då någon har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt, trots att vissa krav inte är uppfyllda. En sådan försäkran avser enligt artikeln att tillverkaren eller leverantören tar ansvar för att IKT-produkten, IKT-tjänsten eller IKT-processen överensstämmer med de krav som anges i den europeiska ordning för cybersäkerhetscertifiering som gäller för dessa. I punkt 1 anges emellertid att sanktionsavgift även ska utgå om kraven enligt EU:s cybersäkerhetsakt inte är uppfyllda. Eftersom den försäkran som avses i artikel 53.2 inte innefattar detta måste - om sanktionsavgift ska kunna utgå vid överträdelse av kraven i EU:s cybersäkerhetsakt och det inte kan anses täckas av övriga punkter i 8 § - det regleras på annat sätt. Bestämmelsens ordalydelse bör också justeras, bl.a. för att klargöra vad som avses med "motsvarande europeiska ordning". Lagrådet föreslår att bestämmelsen ges följande lydelse.
1. har utfärdat en EU-försäkran om överensstämmelse enligt 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,
Enligt punkt 2 ska sanktionsavgift tas ut av den som lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering enligt artikel 56.7 i EU:s cybersäkerhetsakt och motsvarande europeisk ordning för cybersäkerhetscertifiering. I artikel 56.7 finns emellertid inte någon reglering av ansökan och det är inte heller klart om sådana bestämmelser kommer att tas in i de europeiska ordningarna. Även i denna punkt är det oklart vad som avses med "motsvarande europeisk ordning". Enligt Lagrådets mening saknas emellertid skäl att i aktuell bestämmelse föreskriva var ansökan om cybersäkerhetscertifiering regleras och föreslår därför att bestämmelsen ges följande lydelse.
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,
I punkt 5 föreslås att sanktionsavgift ska få tas ut av den som bryter mot villkor för utfärdande, bibehållande, fortsättande och förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering enligt EU:s cybersäkerhetsakt eller motsvarande europeisk ordning för cybersäkerhetscertifiering. Även i denna bestämmelse, liksom i övriga punkter i paragrafen där uttrycket förekommer, är det oklart vad "motsvarande europeisk ordning" syftar på. Men inte heller här finns skäl att ha koppling till cybersäkerhetsakten eller de europeiska ordningarna. Bestämmelsen kan därför avslutas med orden "tillämpningsområdet för certifieringen". Därutöver bör bestämmelsen ändras på så sätt att uppräkningen av villkor i första ledet bör sammanbindas med "eller" i stället för "och".
Beträffande punkten 6 se Lagrådets synpunkter under 5 §.
Punkten 7 ger den nationella myndigheten möjlighet att ta ut en avgift av den som använder ett återkallat certifikat. Det framstår som klart att detta gäller gentemot den som i Sverige använder ett certifikat som återkallats av den nationella myndighet som regeringen kommer att bestämma enligt 2 §. Men det framgår inte vad som gäller i den situationen att en tillverkare eller leverantör på den svenska marknaden använder ett certifikat som återkallats av en behörig myndighet i någon annan medlemsstat.
Certifieringen inom unionen bygger på att ett certifikat som utfärdats av en behörig myndighet inom unionen gäller inom den inre marknaden. Därmed följer också att en återkallelse som en sådan myndighet beslutar innebär att certifikatet inte längre gäller inom denna marknad.
Eftersom kravet i punkt 7 för att avgift ska kunna tas ut endast är att ett certifikat har återkallats med stöd av angiven artikel i cybersäkerhetsakten, förefaller det sannolikt att även certifikat som återkallats av ett annat lands myndighet kan omfattas av punkten, men frågan bör belysas i det fortsatta lagstiftningsarbetet.
10 och 11 §
I 10 § anges vad som särskilt ska beaktas vid bestämmande av en sanktionsavgifts storlek. Av 11 § framgår vidare att myndigheten får "besluta att sätta ned eller avstå från att ta ut en sanktionsavgift" under vissa förutsättningar.
Det som i den sistnämnda paragrafen anges som ett "beslut att sätta ned" avgiften är i praktiken inget annat än ett integrerat moment i den bedömning som ligger till grund för ett beslut om sanktionsavgiftens storlek enligt 10 §. Vid tillämpning av 10 § är det fråga om en bedömning där man kan beakta omständigheter som går i såväl skärpande som mildrande riktning. Vid den bedömningen måste i mildrande riktning sådana omständigheter som tas upp i 11 § - att överträdelsen är ringa och att det finns "särskilda skäl" - kunna beaktas (jfr s. 69 i lagrådsremissen där det framgår att uppräkningen i 10 § inte är avsedd att vara uttömmande och att myndigheten vid bestämmande av sanktionsavgiftens storlek bör beakta samtliga relevanta omständigheter). Det förhållandet att fråga inte är om ett särskilt beslut om nedsättning bör på ett bättre sätt återspeglas i lagtexten.
Motsvarande problem uppstår inte i de fall det blir aktuellt att besluta om att helt avstå från att ta ut en sanktionsavgift, eftersom det när ett sådant beslut fattas inte behövs någon bedömning av sanktionens storlek.
En möjlighet att komma till rätta med det nu beskrivna problemet är att utforma 11 § på följande sätt.
Den nationella myndigheten för cybersäkerhetscertifiering får besluta att avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Om det inte bedöms finnas skäl att avstå från att ta ut sanktionsavgift ska nu nämnda omständigheter i stället beaktas vid bestämmande av avgiftens storlek.
Om detta förslag inte kan godtas kan den variant som används i bl.a. 32 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster utgöra ett alternativ. Där används lokutionen att sanktionsavgiften "får efterges helt eller delvis" i stället för att myndigheten "får besluta att sätta ned eller avstå". Men också detta alternativ är problematiskt eftersom det innebär att den omständigheten att överträdelsen är ringa (vilket otvetydigt är en omständighet som måste kunna beaktas enligt 10 §) framställs som ett skäl för att delvis efterge sanktionsavgiften, när det i själva verket är en integrerad del av bedömningen av hur stor sanktionsavgiften ska vara.
Lagrådets förslag bygger på förutsättningen att "beslut att sätta ned" avgiften inte uteslutande tar sikte på att göra det möjligt att gå under den miniminivå, 10 000 kr, som anges i 9 §. Det framstår emellertid som osannolikt att så skulle vara fallet, men det framgår inte klart av remissen. Huruvida 11 § överhuvudtaget avses ge en möjlighet att bestämma sanktionsavgiften till ett belopp som understiger 10 000 kr framgår inte heller av remissen. Det bör klargöras i det fortsatta lagstiftningsarbetet.
12 §
Av paragrafen följer att det är möjligt att påföra en sanktionsavgift för en viss gärning även om gärningen omfattas av ett vitesföreläggande, under förutsättning att en ansökan om utdömande av vitet inte har gjorts. Bestämmelsen anger emellertid inte att påförandet av en sådan avgift hindrar en efterföljande ansökan om utdömande av vite. Som Lagrådet har noterat i sitt yttrande över lagrådsremissen Anpassningar till EU:s förordningar om medicinteknik - del 2, förekommer bestämmelser som är utformade på detta sätt i lagstiftningsfloran. Lagrådet vill dock även i detta ärende uppmärksamma den mer principiella frågan om regleringen inte borde täcka också den sist nämnda situationen.
20 §
Bestämmelsen i första stycket i paragrafen bör justeras så att det blir klart att "enligt EU:s cybersäkerhetsakt och enligt denna lag" även syftar på beslut av den nationella myndigheten. Lagrådet föreslår att bestämmelsen ges följande lydelse.
Beslut enligt EU:s cybersäkerhetsakt och enligt denna lag av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedömning av överensstämmelse får överklagas till allmän förvaltningsdomstol.
Förslaget till lag om ändring i lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Om Lagrådets förslag om en övergångsbestämmelse till 3 § lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt godtas, ska förevarande förslag till ändringslag utgå.
Försvarsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 29 april 2021
Närvarande: statsminister Löfven, ordförande, och statsråden Bolund, Johansson, Baylan, Hallengren, Hultqvist, Andersson, Damberg, Shekarabi, Ygeman, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lindhagen, Lind, Hallberg, Nordmark, Micko, Stenevi, Olsson Fridh
Föredragande: statsrådet Hultqvist
Regeringen beslutar proposition Kompletterande bestämmelser till EU:s cybersäkerhetsakt