Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster Prop. 2017/18:205 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 29 mars 2018 Stefan Löfven Morgan Johansson (Justitiedepartementet) Propositionens huvudsakliga innehåll Nätverk och informationssystem spelar en allt viktigare roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och den inre marknadens funktion. Europaparlamentet och rådet antog därför 2016 ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det s.k. NIS-direktivet. I syfte att genomföra NIS-direktivet i svensk rätt föreslår regeringen en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Den nya lagen innebär bl.a. att * vissa leverantörer av samhällsviktiga och digitala tjänster ska vidta säkerhetsåtgärder till skydd för säkerheten i nätverk och informationssystem * leverantörerna ska rapportera incidenter som påverkar kontinuiteten i tjänsterna * den myndighet som regeringen bestämmer ska utöva tillsyn över att lagen och föreskrifter som har meddelats i anslutning till den följs, och ska kunna besluta om vitesföreläggande och sanktionsavgift mot den som inte följer lagens bestämmelser. Den nya lagen föreslås träda i kraft den 1 augusti 2018. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Lagtext 6 2.1 Förslag till lag om informationssäkerhet för samhällsviktiga och digitala tjänster 6 2.2 Förslag till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster 13 3 Ärendet och dess beredning 14 4 Övergripande om NIS-direktivet 14 5 En ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster 15 5.1 En ny lag ska införas 15 5.2 Syftet med lagen 19 5.3 Lagen ska gälla för vissa leverantörer av samhällsviktiga och digitala tjänster 20 5.4 Undantag från lagens tillämpningsområde 24 5.4.1 Elektroniska kommunikationstjänster, betrodda tjänster och mikroföretag eller små företag 24 5.4.2 Säkerhetskänslig verksamhet 26 5.4.3 Bestämmelser om informationssäkerhet i andra författningar 28 5.5 Leverantörer av digitala tjänster ska i vissa fall utse en företrädare 29 5.6 Uttryck i lagen 31 6 Identifiering av leverantörer av samhällsviktiga tjänster 32 6.1 Inledande om NIS-direktivets krav på identifiering av leverantörer av samhällsviktiga tjänster 32 6.2 Förteckning över samhällsviktiga tjänster 32 6.3 Bedömning av vilka leverantörer av samhällsviktiga tjänster som är etablerade i Sverige 35 7 Säkerhetsåtgärder och incidentrapportering för leverantörer av samhällsviktiga tjänster 38 7.1 Säkerhetsåtgärder 38 7.1.1 Befintliga bestämmelser om säkerhetsåtgärder är inte tillräckliga 38 7.1.2 Ett systematiskt arbete 39 7.1.3 Riskanalys 39 7.1.4 Tekniska och organisatoriska åtgärder 40 7.1.5 Incidenthantering 41 7.1.6 Ytterligare föreskrifter om säkerhetsåtgärder 42 7.2 Incidentrapportering 43 7.2.1 Befintliga bestämmelser om incidentrapportering är inte tillräckliga 43 7.2.2 Vilka incidenter ska rapporteras? 44 7.2.3 Till vilken myndighet ska incidentrapporteringen göras? 47 7.2.4 När i tiden ska leverantörer rapportera incidenter? 48 7.2.5 Vilken information ska en incidentrapport innehålla? 49 7.2.6 Frivillig rapportering av incidenter 50 7.2.7 Bemyndigande 50 8 Säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster 51 8.1 Säkerhetsåtgärder 52 8.2 Incidentrapportering 54 9 Tillsyn 57 9.1 Tillsynens övergripande utformning 57 9.2 Tillsynsmyndighetens uppdrag 59 9.3 Tillsynsmyndighetens undersökningsbefogenheter 62 9.3.1 Tillgång till information 62 9.3.2 Tillträdesrätt till lokaler 63 9.3.3 Förelägganden och handräckning 63 10 Ingripanden och sanktioner 64 10.1 Straffbestämmelser bör inte införas 64 10.2 Vilka administrativa sanktioner och andra möjligheter till ingripande ska införas? 65 10.3 Sanktionsavgift 68 10.3.1 Ett sanktionsavgiftssystem med strikt ansvar 68 10.3.2 Sanktionsavgiftens storlek 70 10.3.3 Hur sanktionsavgiften ska bestämmas i det enskilda fallet 71 10.3.4 Hinder mot sanktionsavgift 72 10.3.5 Förfarandebestämmelser 73 10.4 Omedelbar verkställbarhet av förelägganden 75 10.5 Överklagande 75 11 Nationell kontaktpunkt, CSIRT-enhet och samarbetsgrupp 76 11.1 Nationell kontaktpunkt 76 11.2 CSIRT-enhet i Sverige 77 11.3 NIS-direktivets samarbetsgrupp 80 12 Sekretess 81 12.1 Behövs ett starkare skydd för uppgifter som leverantörer ska rapportera vid en incident och tillhandahålla vid tillsyn? 81 12.2 Behövs ytterligare reglering för att tillgodose NIS-direktivets krav på informationsutbyte med andra medlemsstater och kommissionen? 85 13 Ikraftträdande 86 14 Konsekvenser 87 15 Författningskommentar 90 15.1 Förslaget till lag om informationssäkerhet för samhällsviktiga och digitala tjänster 90 15.2 Förslaget till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster 101 Bilaga 1 NIS-direktivet 102 Bilaga 2 Sammanfattning av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 132 Bilaga 3 Betänkandets lagförslag 138 Bilaga 4 Förteckning över remissinstanserna 149 Bilaga 5 Lagrådsremissens lagförslag 150 Bilaga 6 Lagrådets yttrande 158 Utdrag ur protokoll vid regeringssammanträde den 29 mars 2018 161 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om informationssäkerhet för samhällsviktiga och digitala tjänster, 2. lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om informationssäkerhet för samhällsviktiga och digitala tjänster Härigenom föreskrivs följande. Syftet med lagen 1 § Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för 1. samhällsviktiga tjänster inom sektorerna - energi, - transport, - bankverksamhet, - finansmarknadsinfrastruktur, - hälso- och sjukvård, - leverans och distribution av dricksvatten, - digital infrastruktur, och 2. digitala tjänster. Uttryck i lagen 2 § I lagen avses med 1. nätverk och informationssystem: a) ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2003:389) om elektronisk kommunikation, b) en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller c) digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas, 2. säkerhet i nätverk och informationssystem: nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem, 3. samhällsviktig tjänst: en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, 4. digital tjänst: en tjänst i den mening som avses i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster, och som utgör en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst, 5. internetbaserad marknadsplats: en tjänst som gör det möjligt för konsumenter eller näringsidkare enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning) att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används, 6. internetbaserad sökmotor: en tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet, 7. molntjänst: en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser, 8. NIS-direktivet: Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, 9. företrädare: en fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör och till vilken myndigheter kan vända sig, i stället för till leverantören, i frågor som gäller de skyldigheter som leverantören har enligt NIS-direktivet, 10. incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem, och 11. risk: en rimligen identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk och informationssystem. Lagens tillämpningsområde 3 § Lagen gäller för 1. leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster), och 2. juridiska personer som tillhandahåller en digital tjänst och som har sitt huvudsakliga etableringsställe i Sverige eller har utsett en företrädare som är etablerad här (leverantörer av digitala tjänster). I 10 § finns en bestämmelse som gäller för andra leverantörer. 4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster och vad som avses med en betydande störning enligt 3 § första stycket 1. Undantag från lagens tillämpningsområde Leverantörer av elektroniska kommunikationstjänster 5 § Lagen gäller inte för företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elektronisk kommunikation. Leverantörer av betrodda tjänster 6 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Leverantörer av digitala tjänster som är mikroföretag eller små företag 7 § Lagen gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. Säkerhetskänslig verksamhet 8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627). Leverantörer som omfattas av krav på informationssäkerhet i andra författningar 9 § Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Utseende av företrädare 10 § En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och inte heller har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, ska, om inte något undantag från lagens tillämpningsområde enligt 5-9 §§ är tillämpligt, utse en sådan företrädare. Säkerhetsåtgärder Skyldigheter för leverantörer av samhällsviktiga tjänster 11 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. 12 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen. 13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. 14 § Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Skyldigheter för leverantörer av digitala tjänster 15 § Leverantörer av digitala tjänster ska vidta de tekniska och organisatoriska åtgärder som de anser ändamålsenliga och proportionella och som hanterar risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller digitala tjänster inom Europeiska unionen. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. 16 § Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder. Skyldigheten gäller endast i förhållande till verkningar som sådana incidenter har på digitala tjänster som leverantören erbjuder inom Europeiska unionen. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Bemyndigande 17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om säkerhetsåtgärder enligt 11-16 §§. Incidentrapportering Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster 18 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till den myndighet som regeringen bestämmer. Rapporteringsskyldighet för leverantörer av digitala tjänster 19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras till den myndighet som regeringen bestämmer. Bemyndigande 20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt 18 och 19 §§. Tillsyn Tillsynsmyndighetens uppdrag 21 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. 22 § Tillsynsåtgärder när det gäller leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en leverantör inte uppfyller kraven i 15, 16 eller 19 §. Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster 23 § Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören tillhandahåller en samhällsviktig tjänst i två eller flera medlemsstater inom Europeiska unionen. Tillsynsmyndighetens undersökningsbefogenheter 24 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen. 25 § Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av lagen. 26 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 24 och 25 §§. Ett sådant föreläggande får förenas med vite. 27 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 24 och 25 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Ingripanden och sanktioner Åtgärdsförelägganden 28 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering enligt 10, 12-16, 18 och 19 §§ och enligt föreskrifter som har meddelats i anslutning till de paragraferna. Ett sådant föreläggande får förenas med vite. Sanktionsavgift 29 § Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att 1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen, 2. vidta säkerhetsåtgärder enligt någon av 12-16 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna, eller 3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna. 30 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 31 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare har begått en överträdelse och de kostnader som leverantören har undvikit till följd av överträdelsen. 32 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. 33 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. 34 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges. 35 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken. En sanktionsavgift tillfaller staten. 36 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Föreskrifter om verkställighet 37 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag. Förordnande om att beslut ska gälla omedelbart 38 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart. Överklagande 39 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 1 augusti 2018. 2.2 Förslag till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster Härigenom föreskrivs att 8 § lagen (2018:000) om informations-säkerhet för samhällsviktiga och digitala tjänster ska ha följande lydelse. Lydelse enligt SFS 2018:000 Föreslagen lydelse 8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627). Lagen gäller inte för verksamhet som omfattas av säkerhetsskyddslagen (2018:000). Denna lag träder i kraft den 1 april 2019. 3 Ärendet och dess beredning I juli 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, kallat NIS-direktivet. Medlemsstaterna ska senast den 9 maj 2018 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att genomföra direktivet. Dessa bestämmelser ska tillämpas från och med den 10 maj 2018. NIS-direktivet finns i bilaga 1. Regeringen beslutade den 31 mars 2016 att ge en särskild utredare i uppdrag att föreslå hur NIS-direktivet ska genomföras i svensk rätt. I april 2017 överlämnade utredaren betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36). En sammanfattning av betänkandet finns i bilaga 2. Betänkandets lagförslag finns i bilaga 3. Betänkandet har remitterats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/03997/L4). I denna proposition föreslås de lagändringar som bedöms nödvändiga för att genomföra NIS-direktivet i svensk rätt. Lagrådet Regeringen beslutade den 15 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Regeringen följer i allt väsentligt Lagrådets synpunkter. Lagrådets synpunkter behandlas i avsnitt 5.2 och 5.4.3 och i författningskommentaren. I förhållande till lagrådsremissen har det även gjorts en ändring i 2 § 9. Ändringen är författningsteknisk och i övrigt av enkel beskaffenhet. Lagrådets yttrande har därför inte inhämtats. Vidare har det gjorts vissa redaktionella och språkliga ändringar. 4 Övergripande om NIS-direktivet Syftet med NIS-direktivet är att förbättra den inre marknadens funktion genom att skapa tillit och förtroende och att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Flera av åtgärderna syftar mer specifikt till att säkerställa kontinuiteten i de samhällsviktiga och digitala tjänster som omfattas av direktivet. Direktivet innebär bl.a. att vissa leverantörer av samhällsviktiga tjänster och vissa leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker och incidenter i nätverk och informationssystem som de är beroende av för att kunna tillhandahålla tjänsterna. Leverantörerna ska också rapportera incidenter som har en betydande eller avsevärd påverkan på kontinuiteten i tjänsterna. För att en leverantör ska anses vara en sådan leverantör av samhällsviktiga tjänster som omfattas av direktivet krävs att leverantören bedriver verksamhet inom någon av de enheter som särskilt pekas ut i direktivet. Enheterna utgör olika slags leverantörer inom sju olika sektorer. Sektorerna är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Dessutom krävs att den tjänst som tillhandahålls är samhällsviktig, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Medlemsstaterna är skyldiga att dels upprätta en förteckning över de tjänster som är samhällsviktiga, dels identifiera de leverantörer på deras territorium som tillhandahåller sådana tjänster. De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Medlemsstaterna ska enligt direktivet utse myndigheter med särskilda uppgifter, t.ex. tillsynsmyndigheter, nationella kontaktpunkter och enheter för hantering av incidenter, s.k. CSIRT-enheter (Computer Security Incident Response Team). Medlemsstaterna ska också säkerställa att tillsynsmyndigheterna har befogenheter och medel för att kontrollera att leverantörerna uppfyller sina skyldigheter samt fastställa regler om sanktioner för överträdelse av de nationella bestämmelser som antagits enligt direktivet. Direktivet innehåller vidare en skyldighet för varje medlemsstat att anta en nationell strategi för säkerhet i nätverk och informationssystem. När det gäller leverantörer av samhällsviktiga tjänster får medlemsstaterna anta eller behålla bestämmelser som syftar till att uppnå en högre nivå på säkerheten i nätverk och informationssystem än vad som anges i direktivet. För leverantörer av digitala tjänster får medlemsstaterna emellertid inte införa ytterligare säkerhets- eller rapporteringskrav. Närmare redogörelse för NIS-direktivets innehåll ges löpande genom propositionen. 5 En ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster 5.1 En ny lag ska införas Regeringens förslag: NIS-direktivet ska i huvudsak genomföras genom en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: En majoritet av remissinstanserna anser att det är viktigt för samhällets informationssäkerhet att NIS-direktivet genomförs. Många remissinstanser anser emellertid att ett samlat regelverk för genomförandet av NIS-direktivet kommer medföra att de krav som ställs på dem i olika regelverk på informationssäkerhetsområdet blir svåröverskådliga och svårtillämpade, bland andra Affärsverket Svenska kraftnät, Statens energimyndighet, Finansinspektionen, Frobbit AB, Malmö kommun, Netnod, Stockholms läns landsting, Västra Götalands läns landsting, Stiftelsen för internetinfrastruktur, Sveriges Kommuner och Landsting, Sveriges advokatsamfund, Svenskt Näringsliv, Säkerhets- och försvarsföretagen och Säkerhetspolisen. Med hänsyn till bl.a. detta avstyrker Sveriges advokatsamfund förslaget. Skälen för regeringens förslag Befintliga rättsliga krav på informationssäkerhet I svensk rätt finns flera regelverk som ställer krav på informationssäkerhet utifrån olika syften och förutsättningar. Övergripande bestämmelser om informationssäkerhet och krav på incidentrapportering för statliga myndigheter finns i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Syftet med förordningen är att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer samt inför och vid höjd beredskap. Varje myndighet ansvarar enligt förordningen för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. För de mest skyddsvärda verksamheterna finns i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) bestämmelser om hantering av hemliga uppgifter och incidentrapportering. Syftet med säkerhetsskyddsregleringen är framför allt att säkerställa ett skydd för verksamheter där påverkan genom ett antagonistiskt angrepp skulle medföra allvarliga konsekvenser på nationell nivå. Säkerhetsskyddet ska förebygga att hemliga uppgifter som rör rikets säkerhet obehörigen röjs, ändras eller förstörs, att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som är av betydelse för rikets säkerhet. I propositionen Ett modernt och stärkt skydd för Sveriges säkerhet (prop. 2017/18:89) föreslår regeringen en ny säkerhetsskyddslag. Den nya säkerhetsskyddslagen föreslås innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Vidare föreslår regeringen att det ska förtydligas att kraven i säkerhetsskyddsregleringen gäller i såväl allmän som enskild verksamhet. Säkerhetsskyddet ska enligt förslaget både skydda uppgifter som är hemliga och de som inte är hemliga men som skulle omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) om den lagen hade varit tillämplig i den aktuella verksamheten. Regeringen föreslår också att skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, ska förbättras. Enligt lagen (2003:389) om elektronisk kommunikation, förkortad LEK, är den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst skyldig att vidta tekniska och organisatoriska åtgärder för att skydda uppgifter som behandlas i samband med tillhandahållande av tjänsten. I LEK regleras också att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster är skyldig dels att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet, dels att utan onödigt dröjsmål rapportera störningar eller avbrott av betydande omfattning till Post- och telestyrelsen (PTS). Utöver nämnda regelverk finns det i nationell rätt i vissa fall krav på säkerhet som även kan omfatta informationssäkerhet, t.ex. mer allmänt formulerade bestämmelser om riskhantering och bestämmelser med krav på driftsäkerhet eller kontinuitet i den tillhandahållna tjänsten. Det finns även sektorer som regleras av sektorsspecifika EU-rättsakter som innehåller krav på säkerhet i nätverk och informationssystem. Sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur är exempel på sådana sektorer. Vidare finns det en skyldighet att rapportera personuppgiftsincidenter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad dataskyddsförordningen, som ska börja tillämpas från och med den 25 maj 2018. Ett samlat regelverk för genomförandet av NIS-direktivet Det finns olika sätt att genomföra NIS-direktivet i svensk rätt. Ett alternativ är genom ett samlat regelverk som specifikt avser direktivets genomförande, dvs. genom en ny lag med en anslutande förordning. Utredningen har föreslagit en sådan lösning. Fördelarna med ett samlat regelverk för genomförandet är att det blir tydligt för myndigheter, enskilda och tillsynsmyndigheten vilken reglering som finns när det gäller samhällsviktiga och digitala tjänster. Bestämmelser som behöver anpassas till respektive sektor kan då regleras i myndighetsföreskrifter. Regleringen blir heltäckande och ingen tjänst riskerar att sakna reglering. Det blir också lättare att komplettera och ändra regelverket om ett sådant behov uppkommer. Vidare kan det underlätta tillämpningen, inte minst mot bakgrund av att myndigheter och enskilda kan komma att omfattas av NIS-direktivet i flera medlemsstater. Ett stort antal av remissinstanserna, såsom Affärsverket Svenska kraftnät, Statens energimyndighet, Finansinspektionen, Frobbit AB, Malmö kommun, Netnod, Stiftelsen för internetinfrastruktur, Stockholms läns landsting, Västra Götalands läns landsting, Sveriges Kommuner och Landsting, Sveriges advokatsamfund, Säkerhets- och försvarsföretagen och Säkerhetspolisen, anser att ett samlat regelverk för genomförandet kommer att medföra svårigheter i tillämpningen gentemot andra regelverk. De flesta av dessa remissinstanser påpekar särskilt att kraven på incidentrapportering i NIS-direktivet tillsammans med andra närliggande krav på rapportering, såsom i säkerhetsskyddsregleringen och dataskyddsförordningen, kan medföra att aktörer med anledning av samma händelse ska skicka incidentrapporter till flera myndigheter med varierande innehåll och svarstid. Enligt Finansinspektionen kan det medföra en risk för att vissa aktörer väljer att inte rapportera alla relevanta incidenter och att lagstiftarens syfte med reglerna därmed undermineras. Mot denna bakgrund förespråkar bl.a. Affärsverket Svenska kraftnät, Stiftelsen för internetinfrastruktur och Säkerhets- och försvarsföretagen på olika sätt ett regelverk som omfattar hela eller större delar av informationssäkerhetsområdet. Ett flertal remissinstanser, bl.a. Statens energimyndighet, Finansinspektionen, Frobbit AB, Malmö kommun, Netnod, Svenska bankföreningen, Svenskt Näringsliv, Sveriges Kommuner och Landsting och Säkerhets- och försvarsföretagen, föreslår eller poängterar vikten av en harmonisering av reglerna om säkerhetsåtgärder och incidentrapportering i olika regelverk för att om möjligt undvika att samma incident behöver rapporteras till flera myndigheter. Som remissinstanserna påpekar är en av nackdelarna med ett samlat regelverk för genomförandet att myndigheter och enskilda i vissa fall kommer att behöva tillämpa olika regelverk för samma nätverk och informationssystem men med olika syften. För myndigheter och enskilda inom sektorer som även omfattas av andra EU-rättsakter finns också en risk för att det kan bli otydligt vilken reglering som gäller. Ett regelverk som omfattar hela eller stora delar av informationssäkerhetsregleringen skulle också ligga i linje med de rekommendationer Riksrevisionen lämnat i sin rapport Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23). Informationssäkerhetsområdet är emellertid, som vissa remissinstanser också påpekar, fragmenterat och svåröverskådligt. De EU-rättsliga och nationella reglerna är mer utvecklade inom vissa sektorer än inom andra. Det finns också skillnader mellan olika typer av leverantörer inom samma sektor. Vissa bestämmelser i nationell rätt tar inte heller direkt sikte på informationssäkerhet utan syftar till att upprätthålla kontinuiteten i tjänsten utifrån andra aspekter eller till att analysera eller hantera risker mer allmänt. Beträffande de digitala tjänster som regleras av NIS-direktivet saknas i dag reglering helt. För att tillmötesgå remissinstansernas efterfrågan om ett regelverk för hela eller stora delar av informationssäkerhetsområdet och en harmonisering av kraven i de olika regelverken, skulle det därför krävas ett omfattande arbete som bl.a. inkluderar kartläggning av ett stort antal nationella och unionsrättsliga bestämmelser. Remissinstansernas förslag i dessa avseenden kan enligt regeringen inte genomföras inom ramen för detta lagstiftningsärende. Enligt regeringens mening bör genomförandet av NIS-direktivet istället ske genom ett samlat regelverk. NIS-direktivet innebär skyldigheter för både enskilda och offentliga aktörer. Ett genomförande av direktivet behöver följaktligen ske huvudsakligen i lagform. Det bör därför införas en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster. I vilken utsträckning genomförandet bör ske genom bestämmelser i förordning eller myndighetsföreskrifter kommer behandlas löpande genom propositionen. En nationell it-strategi Enligt artikel 7 i NIS-direktivet ska medlemsstaterna anta en nationell strategi för säkerhet i nätverk och informationssystem. Regeringen antog den 22 juni 2017 en nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213). Det pågår ett arbete i Regeringskansliet med att säkerställa att strategin motsvarar direktivets krav. Genomförandet av NIS-direktivet bör därför i denna del ske inom ramen för det arbetet. Den nya lagen bör alltså inte reglera Sveriges skyldighet enligt NIS-direktivet att anta en nationell it-strategi. 5.2 Syftet med lagen Regeringens förslag: Syftet med den nya lagen ska vara att uppnå en hög nivå på säkerheten i nätverk och informationssystem för digitala tjänster samt för samhällsviktiga tjänster inom sektorerna - energi - transport - bankverksamhet - finansmarknadsinfrastruktur - hälso- och sjukvård - leverans och distribution av dricksvatten - digital infrastruktur. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har föreslagit att det i den nya lagen ska anges att lagens syfte är att uppnå en hög gemensam nivå på säkerheten i nätverk och informationssystem inom EU, för att förbättra den inre marknadens funktion. Vidare har utredningen föreslagit att det ska anges att den nya lagen genomför NIS-direktivet. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag: NIS-direktivets syfte är enligt artikel 1 att uppnå en hög gemensam nivå på säkerheten i nätverk och informationssystem inom EU, för att förbättra den inre marknadens funktion. För att den nya lagens bestämmelser ska bli mer lättillgängliga anser regeringen - liksom utredningen - att den nya lagen bör innehålla en bestämmelse som anger det övergripande syftet med lagen. Till skillnad från utredningen anser regeringen emellertid att syftet bör formuleras på så sätt att lagen har till syfte att höja nivån på säkerheten i nätverk och informationssystem. Vidare bör det tydliggöras att syftet endast avser informationssäkerhet för vissa tjänster och sektorer. Regeringen delar Lagrådets uppfattning att det i lagtext inte behöver anges att den nya lagen genomför NIS-direktivet. 5.3 Lagen ska gälla för vissa leverantörer av samhällsviktiga och digitala tjänster Regeringens förslag: Den nya lagen ska gälla för - leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster). - juridiska personer som tillhandahåller en tjänst som utgör en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst och som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här (leverantörer av digitala tjänster). Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som avses med en betydande störning vid tillhandahållandet av en samhällsviktig tjänst. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har föreslagit att de faktorer som enligt NIS-direktivet ska beaktas vid bedömningen av om en incident skulle medföra en betydande störning vid tillhandahållandet av en samhällsviktig tjänst ska regleras i den nya lagen. Remissinstanserna: E-hälsomyndigheten och Affärsverket Svenska kraftnät anser att regelverket även bör omfatta leverantörer av samhällsviktiga tjänster som inte omfattas av NIS-direktivet. Flera remissinstanser anser att det är viktigt att det meddelas föreskrifter som tydliggör vad som krävs för att en leverantör som tillhandahåller samhällsviktiga tjänster ska omfattas av den nya lagen. Datainspektionen anser att det bör införas en upplysningsbestämmelse om att personuppgiftsbehandling ska ske i enlighet med dataskyddsdirektivet. Skälen för regeringens förslag Leverantörer av samhällsviktiga tjänster som omfattas av NIS-direktivet För att en leverantör ska anses vara en sådan leverantör av samhällsviktiga tjänster som omfattas av NIS-direktivet krävs att leverantören är en sådan typ av enhet som anges i bilaga 2 till direktivet. Enheterna utgör olika slags leverantörer, såsom operatörer av oljeproduktion och vissa kreditinstitut och vårdgivare, och finns inom sju angivna sektorer. Sektorerna är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vidare krävs att leverantören tillhandahåller en samhällsviktig tjänst, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. En samhällsviktig tjänst definieras i direktivet som en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet (artiklarna 4.4 och 5.2). För att en leverantör av samhällsviktiga tjänster ska omfattas av NIS-direktivet krävs även att leverantören är etablerad på en medlemsstats territorium (artikel 5.1). En leverantör av samhällsviktiga tjänster ska anses etablerad i en medlemsstat om leverantören bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, dvs. om det är fråga om exempelvis en filial eller ett dotterbolag, är inte en avgörande faktor (skäl 21). Både offentliga aktörer, såsom statliga myndigheter, landsting och kommuner, och privata aktörer kan utgöra en leverantör av samhällsviktiga tjänster som omfattas av direktivet (artikel 4.4). Leverantörer av digitala tjänster som omfattas av NIS-direktivet De leverantörer av digitala tjänster som omfattas av NIS-direktivet är juridiska personer som tillhandahåller digitala tjänster. Med digital tjänst avses enligt direktivet en tjänst i form av en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst (artiklarna 4.5 och 4.6 samt bilaga 3). Med ordet tjänst avses en tjänst i den mening som stadgas i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster. I artikel 1.1 b i det direktivet definieras en tjänst som alla informationssamhällets tjänster, dvs. tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. En internetbaserad marknadsplats är enligt NIS-direktivet en digital tjänst som gör det möjligt för konsumenter eller näringsidkare (enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning [EG] nr 2006/2004 och direktiv 2009/22/EG [direktivet om alternativ tvistlösning]) att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare antingen på webbplatsen för den internetbaserade marknadsplatsen eller på webbplatsen tillhörande en näringsidkare där datatjänster som tillhandahålls av en internetbaserad marknadsplats används (artikel 4.17). En internetbaserad marknadsplats är alltså en webbplats där kunden kan ta del av flera näringsidkares utbud på samma ställe. Marknadsplatsen kan på detta sätt jämföras med ett köpcentrum. Som exempel på internetbaserade marknadsplatser kan nämnas amazon.com, etsy.com och blocket.se. Applikationsbutiker, som fungerar som onlinebutiker och möjliggör digital distribution av applikationer eller programvara från tredje part, ska enligt NIS-direktivet betraktas som en internetbaserad marknadsplats. Onlinetjänster som jämför priset på vissa varor eller tjänster från olika näringsidkare och sedan leder användaren vidare till den näringsidkare som valts för köp av varan omfattas inte av begreppet internetbaserad marknadsplats. Sådana onlinetjänster, t.ex. pricerunner.se och prisjakt.nu, fungerar endast som mellanhand för tredjepartstjänster genom vilka ett avtal slutligen kan ingås (skäl 15). När en aktör tillhandahåller egna varor eller tjänster genom en e-butik är det inte heller fråga om tillhandahållande av en digital tjänst i form av en internetbaserad marknadsplats. Näringsidkaren tillhandahåller i sådana fall inte en digital tjänst i direktivets mening, utan använder webbplatsen i syfte att tillhandahålla andra varor och tjänster än digitala tjänster. En internetbaserad sökmotor är enligt NIS-direktivet en digital tjänst som gör det möjligt för användaren att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk eller på grundval av en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet (artikel 4.18). Exempel på internetbaserade sökmotorer är google.com, yahoo.com och bing.com. Jämförelsesajter och sökfunktioner som begränsas till innehållet på en särskild webbplats anses inte utgöra internetbaserade sökmotorer (skäl 16). Molntjänster definieras i NIS-direktivet som en digital tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser (artikel 4.19). I skäl 17 till direktivet anges följande. Sådana dataresurser som molntjänster kan möjliggöra tillgång till är exempelvis nätverk, servrar eller annan infrastruktur, lagring, applikationer och tjänster. Termen skalbar avser dataresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva dataresurser som avsätts och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva dataresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. GoogleApps, iCloud och Dropbox är exempel på molntjänster. En användare av privata moln tillhandahåller inte en molntjänst och är således inte en leverantör av digitala tjänster enligt direktivet. För att en juridisk person som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster ska omfattas av NIS-direktivet krävs även att leverantören har sitt huvudsakliga etableringsställe i EU eller har utsett en företrädare som är etablerad i unionen. En leverantör av digitala tjänster ska omfattas av jurisdiktionen i den medlemsstat där leverantören har sitt huvudsakliga etableringsställe eller där den utsedde företrädaren är etablerad (artikel 18.1 och 18.2). En leverantör av digitala tjänster som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här ska alltså omfattas av den svenska reglering som genomför NIS-direktivet. Det huvudsakliga etableringsstället är i princip där leverantören har sitt huvudkontor. Att nätverk och informationssystem är fysiskt belägna på en viss plats innebär inte att det är fråga om ett huvudsakligt etableringsställe (skäl 64). I avsnitt 5.5 behandlas närmare när leverantörer av digitala tjänster ska utse en företrädare. Den nya lagen ska endast gälla de leverantörer som omfattas av NIS-direktivet Det tillhandahålls samhällsviktiga tjänster av leverantörer som inte omfattas av NIS-direktivet. Ett exempel är leverantörer som tillhandahåller fjärrvärme. Direktivet omfattar som nämnts endast sådana slags leverantörer som tas upp i bilaga 2 till direktivet och leverantörer som tillhandahåller fjärrvärme tas inte upp där. Ett antal remissinstanser, däribland E-hälsomyndigheten och Affärsverket Svenska kraftnät, anser att den nya lagen även bör omfatta leverantörer av samhällsviktiga tjänster som inte omfattas av direktivet. Enligt regeringens mening kan det finnas behov av tydligare kravställning rörande informationssäkerhet även för samhällsviktiga verksamheter som inte omfattas av NIS-direktivet. En mer övergripande lag skulle, som bl.a. Affärsverket Svenska kraftnät påpekar, kunna vara till fördel för enhetligheten på området, ge mindre utrymme för olika tolkningar och skapa bättre förutsättningar för leverantörerna att överblicka regelverket. Det finns emellertid inte möjlighet att inom ramen för detta lagstiftningsärende ta ställning till hur all samhällsviktig verksamhets informationssäkerhet bör regleras. Den nya lagen bör därför omfatta endast sådana leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster som omfattas av NIS-direktivet. Föreskrifter om vad som utgör en betydande störning Som framgår ovan är ett krav för att en leverantör ska anses vara en sådan leverantör av samhällsviktiga tjänster som omfattas av NIS-direktivet - och följaktligen den nya lagen - att leverantören tillhandahåller en samhällsviktig tjänst. Enligt regeringens förslag i avsnitt 6.2 ska regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om vilka tjänster som ska anses som samhällsviktiga enligt den nya lagen. Ett annat krav är att en incident skulle medföra en betydande störning vid tillhandahållandet av den samhällsviktiga tjänsten. Vid bedömningen av vad som är en betydande störning ska enligt artikel 6 i NIS-direktivet ett antal olika faktorer beaktas. Dessa faktorer är det antal användare som är beroende av den tjänst som den berörda leverantören tillhandahåller, hur beroende andra sektorer enligt bilaga 2 till direktivet är av den tjänst som leverantören tillhandahåller, vilken inverkan incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet, leverantörens marknadsandel, hur stort geografiskt område som skulle kunna påverkas av en incident och leverantörens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med beaktande av tillgången till alternativa sätt för att tillhandahålla tjänsten. När det gäller faktorn antalet användare som är beroende av tjänsten, kan användningen av tjänsten vara direkt, indirekt eller ske genom förmedling. Vid bedömningen av en incidents eventuella inverkan på ekonomisk och samhällelig verksamhet eller allmän säkerhet, bör medlemsstaterna också bedöma hur länge det sannolikt skulle dröja tills avbrottet skulle få en oacceptabel inverkan (skäl 27). I lämpliga fall ska även sektorsspecifika faktorer beaktas. När det gäller energileverantörer kan sådana faktorer omfatta mängden eller andelen producerad nationell el, för oljeleverantörer mängden olja per dag, för lufttransport, järnvägstransport och kusthamnar andelen nationell trafikmängd och antalet passagerare eller lastningar per år, för bankverksamhet eller finansmarknadsinfrastrukturer deras betydelse för systemet på grundval av samlade tillgångar eller förhållandet mellan dessa tillgångar och BNP, och för hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år (skäl 28). Artikel 6 ger tillämparen en begränsad vägledning vid bedömningen av vad som utgör en betydande störning och vänder sig snarare till de nationella lagstiftarna. Såsom flera remissinstanser påpekar, t.ex. Energiföretagen och Sveriges Hamnar, behövs därför föreskrifter som ger närmare vägledning. Till skillnad från utredningen anser regeringen att samtliga bestämmelser om vad som utgör en betydande störning vid tillhandahållandet av en samhällsviktig tjänst bör meddelas i förordning eller myndighetsföreskrifter. Enligt regeringens mening kan föreskrifterna behöva gå utöver vad regeringen eller den myndighet som regeringen bestämmer kan meddela med stöd av 8 kap. 7 § regeringsformen. Det bör därför införas ett bemyndigande i den nya lagen som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vad som utgör en betydande störning. Personuppgiftsbehandling Enligt artikel 2 i NIS-direktivet ska personuppgiftsbehandling enligt direktivet ske i enlighet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, kallat dataskyddsdirektivet. Dataskyddsdirektivet ersätts från och med den 25 maj 2018 av dataskyddsförordningen. Datainspektionen anser att den nya lagen bör innehålla en upplysningsbestämmelse med samma innebörd som artikel 2 i NIS-direktivet. En upplysningsbestämmelse skulle enligt Datainspektionen understryka vikten av att dataskyddsbestämmelserna tillämpas när åtgärder enligt NIS-direktivet ger upphov till personuppgiftsbehandling. Regeringen instämmer i att det är viktigt att personuppgiftsbehandling vid tillämpning av den nya lagen sker i enlighet med gällande dataskyddsreglering. Däremot ser regeringen inte behov av att i den nya lagen införa en bestämmelse som upplyser om gällande personuppgiftsreglering. 5.4 Undantag från lagens tillämpningsområde 5.4.1 Elektroniska kommunikationstjänster, betrodda tjänster och mikroföretag eller små företag Regeringens förslag: Den nya lagen ska inte gälla för - vissa leverantörer av elektroniska kommunikationsnät och kommunikationstjänster - vissa leverantörer av betrodda tjänster - leverantörer av digitala tjänster som är mikroföretag eller små företag. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har föreslagit att undantaget för leverantörer av elektroniska kommunikationstjänster inte ska omfatta företag som tillhandahåller internetknutpunkter. Remissinstanserna: IT & Telekomföretagen och Svenskt Näringsliv tillstyrker att mikro- och småföretag undantas från den nya lagens tillämpningsområde. Netnod, Svenska Stadsnätsföreningen och Föreningen Swedish Network Users Society anser inte att företag som tillhandahåller internetknutpunkter i Sverige ska omfattas av den nya lagen. Skälen för regeringens förslag Leverantörer av elektroniska kommunikationstjänster Enligt artikel 1.3 i NIS-direktivet ska bestämmelserna i direktivet inte tillämpas på företag som omfattas av kraven i artiklarna 13a och 13b i Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv), i lydelsen enligt direktiv 2009/140/EG. Artikel 13a ställer krav på tillhandahållare av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster att dels vidta lämpliga tekniska och organisatoriska åtgärder för att på ett tillfredsställande sätt skydda säkerheten för sina nät eller tjänster, dels meddela överträdelser av säkerheten eller integriteten som i betydande omfattning påverkade driften av nät och tjänster. Artikel 13b innehåller bestämmelser om tillämpning och genomförande. Artiklarna 13a och 13b har genomförts i svensk rätt genom 5 kap. 6 b och c §§ LEK. Den nya lagen bör liksom direktivet inte vara tillämplig på företag som omfattas av kraven i nämnda artiklar i ramdirektivet. För att underlätta för dem som ska tillämpa lagen anser regeringen att undantaget bör avse företag som omfattas av de svenska bestämmelserna som genomför artikeln i fråga. Internetknutpunkter anses i svensk rätt utgöra sådana allmänna kommunikationsnät som omfattas av 5 kap. 6 b och c §§ LEK. Företag som tillhandahåller internetknutpunkter är samtidigt en av de typer av leverantörer inom sektorn digital infrastruktur som uttryckligen omfattas av NIS-direktivet (bilaga 2). Utredningen har därför föreslagit att undantaget för företag som omfattas av kraven i LEK inte ska gälla internetknutpunkter. För att förhindra att företag som tillhandahåller internetknutpunkter omfattas av två motsvarande regleringar om säkerhetsåtgärder och incidentrapportering anser regeringen dock, liksom Netnod, Svenska Stadsnätsföreningen och Föreningen Swedish Network Users Society, att undantaget även bör omfatta företag som tillhandahåller internetknutpunkter. Leverantörer av betrodda tjänster Enligt artikel 1.3 i NIS-direktivet ska direktivet inte heller tillämpas på leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, kallad eIDAS-förordningen. Med betrodda tjänster avses enligt eIDAS-förordningen bl.a. elektroniska underskrifter och stämplar, validering och bevarande av elektroniska underskrifter och stämplar, tjänster för rekommenderad elektronisk leverans och utfärdande av certifikat för autentisering av webbplatser. Bestämmelserna i artikel 19 i eIDAS-förordningen innebär att alla tillhandahållare av betrodda tjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som de tillhandahåller. Tillhandahållarna ska också underrätta tillsynsorganet om alla säkerhetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller de personuppgifter som ingår i denna. Den nya lagen bör liksom direktivet inte vara tillämplig på leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i eIDAS-förordningen. Hänvisningar till EU-rättsakter i författningar kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Utredningen har föreslagit en statisk hänvisning, närmare bestämt att undantaget i den nya lagen ska gälla för dem som omfattas av artikel 19 i eIDAS-förordningens ursprungliga lydelse. För att säkerställa att eventuella ändringar i eIDAS-förordningen kan få genomslag utan en ändring i den nya lagen anser regeringen dock att hänvisningen bör vara dynamisk, dvs. avse den vid var tid gällande lydelsen av artikeln. Leverantörer av digitala tjänster som är mikroföretag eller små företag Beträffande leverantörer av digitala tjänster ska NIS-direktivets bestämmelser inte tillämpas på små företag eller mikroföretag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (artikel 16.11). Enligt rekommendationen är ett mikroföretag ett företag med färre än 10 anställda och en årsomsättning eller balansomslutning som understiger 2 miljoner euro. Små företag definieras i rekommendationen som företag med färre än 50 anställda och en årsomsättning eller balansomslutning som inte överstiger 10 miljoner euro. Det bör införas ett undantag i den nya lagen som innebär att lagen inte ska tillämpas på leverantörer av digitala tjänster som utgör små företag eller mikroföretag. 5.4.2 Säkerhetskänslig verksamhet Regeringens förslag: Den nya lagen ska inte gälla för säkerhetskänslig verksamhet. Utredningens förslag stämmer i sak överens med regeringens. Utredningen har föreslagit att undantaget ska avse verksamhet som är av betydelse för Sveriges säkerhet. Remissinstanserna: Säkerhetspolisen och Försvarsmakten tillstyrker att verksamhet av betydelse för Sveriges säkerhet undantas från den nya lagens tillämpningsområde. Flera remissinstanser efterfrågar klargöranden om vad undantaget för verksamhet som är av betydelse för Sveriges säkerhet innebär. Stockholms universitet och Affärsverket Svenska kraftnät anser inte att verksamhet av betydelse för Sveriges säkerhet bör undantas från tillämpningsområdet. Skälen för regeringens förslag: Enligt artikel 1.6 påverkar NIS-direktivet inte medlemsstaternas åtgärder för att skydda sina väsentliga statliga funktioner. Det gäller särskilt åtgärder för att skydda den nationella säkerheten, inklusive åtgärder för skydd av information vars avslöjande medlemsstaterna anser strida mot sina väsentliga säkerhetsintressen och åtgärder för att upprätthålla lag och ordning, särskilt för att möjliggöra utredning, upptäckt och lagföring av brott. Säkerhetspolisen och Försvarsmakten anser, i likhet med utredningen, att verksamhet av betydelse för Sveriges säkerhet bör undantas från den nya lagens tillämpningsområde. Säkerhetspolisen framhåller särskilt att det är viktigt att incidenter som ska rapporteras enligt säkerhetsskyddsregleringen inte rapporteras enligt det föreslagna nya regelverket. Med beaktande av att begreppet samhällsviktig tjänst ofta kan ligga nära begreppet Sveriges säkerhet pekar Säkerhetspolisen dock på att det finns en risk att tillämpningsområdet för den nya lagen blir mindre än vad som är syftet med NIS-direktivet. Stockholms universitet och Affärsverket Svenska kraftnät anser inte att verksamhet som är av betydelse för Sveriges säkerhet bör undantas från den nya lagens tillämpningsområde. Som skäl anför Stockholms universitet bl.a. att ett sådant undantag skulle motverka syftet med lagen; att säkra samhällsviktiga tjänster till gagn för Sveriges säkerhet. Med hänsyn till behovet av skydd för verksamhet av betydelse för Sveriges säkerhet anser regeringen liksom utredningen att det är motiverat att undanta verksamhet som omfattas av säkerhetsskyddsregleringen, dvs. säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), från den nya lagens tillämpningsområde. Regeringen anser alltså att behovet av skydd för säkerhetskänslig verksamhet väger tyngre än behovet av att skydda kontinuiteten i samhällsviktiga och digitala tjänster. Det kan dock poängteras att säkerhetsskyddsåtgärderna i säkerhetsskyddsregleringen i många fall indirekt även skyddar kontinuiteten i aktuella verksamheter. Utredningen har föreslagit att undantaget bör formuleras på så sätt att den nya lagen inte ska gälla för verksamhet med betydelse för Sveriges säkerhet. Flera remissinstanser, bland dem Försvarsmakten, Linköpings kommun, Luftfartsverket, Netnod, SJ AB, Skåne läns landsting, Affärsverket Svenska kraftnät, Svenska Stadsnätsföreningen och Skåne läns landsting, önskar klargörande av vilka som omfattas av undantaget. Säkerhetspolisen pekar på att otydlig gränsdragning mot säkerhetsskyddet bl.a. kan leda till tillämpningsproblem som i sin tur kan göra att incidentrapporter skickas till fel myndighet. Försvarsmakten anser att den nuvarande säkerhetsskyddsregleringen inte ensamt kan anses utgöra det undantagna området, utan att även system som inte innehåller hemliga uppgifter men vars funktion eller tillgänglighet är av avgörande betydelse för totalförsvaret eller det militära försvaret bör ingå. Vidare pekar Försvarsmakten på att Utredningen om säkerhetsskyddslagen i sitt betänkande, SOU 2015:25, föreslår en ny säkerhetsskyddslag som kommer omfatta sådana system. Som ovan anförts anser regeringen att undantaget bör avse verksamhet som omfattas av säkerhetsskyddsregleringen. Som remissinstanserna påpekar är det viktigt att undantaget är tydligt för att undvika tillämpningsproblem. Med hänsyn till det bör undantagsbestämmelsen uttryckligen hänvisa till säkerhetsskyddsregleringen. Bestämmelsen bör formuleras på så sätt att den nya lagen inte ska gälla för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Det innebär bl.a. att kraven på säkerhetsåtgärder och incidentrapportering enligt den nya lagen inte ska gälla för offentlig och enskild verksamhet som omfattas av krav på säkerhetsskydd. Det innebär också att incidenter som i dag ska rapporteras enligt 10 a § säkerhetsskyddsförordningen även fortsättningsvis ska rapporteras enligt den förordningen. Som ovan nämnts har regeringen i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet (prop. 2017/18:89) lämnat förslag på en ny säkerhetsskyddslag som ska träda i kraft den 1 april 2019. När den träder i kraft bör undantaget från den nya lagen anpassas till att avse verksamhet som omfattas av den nya säkerhetsskyddslagen. Det bör poängteras att den omständigheten att en leverantör av samhällsviktiga eller digitala tjänster bedriver viss verksamhet som omfattas av säkerhetsskyddsregleringen inte nödvändigtvis innebär att hela leverantörens verksamhet är undantagen. Om en annan del av leverantörens verksamhet inte är säkerhetskänslig kan den nya lagen vara tillämplig i de delarna. En leverantör av samhällsviktiga eller digitala tjänster kan därför, såsom vissa remissinstanser också påpekar, behöva tillämpa säkerhetsskyddsregleringen i en del av sin verksamhet och den nya lagen i en annan del av verksamheten. 5.4.3 Bestämmelser om informationssäkerhet i andra författningar Regeringens förslag: Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt den nya lagen. Vid bedömningen ska bestämmelsernas omfattning beaktas samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen inte föreslagit att det i den nya lagen ska anges vad som ska beaktas vid bedömningen av om bestämmelser i annan författning motsvarar verkan av skyldigheterna i den nya lagen. Vidare har utredningen föreslagit att enskilda bestämmelser om säkerhetsåtgärder eller incidentrapportering ska tillämpas framför motsvarande bestämmelser i den nya lagen om de minst har motsvarande verkan. Remissinstanserna: Netnod, Svenska Stadsnätsföreningen och Föreningen Swedish Network Users Society anser att de leverantörer som redan omfattas av adekvata krav på säkerhetsåtgärder och incidentrapportering uttryckligen bör undantas från den nya lagens tillämpningsområde. Skälen för regeringens förslag: Vissa sektorer, t.ex. sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur, regleras redan av sektorsspecifika EU-rättsakter som innehåller bestämmelser om säkerhetsåtgärder och incidentrapportering. Enligt artikel 1.7 i NIS-direktivet ska bestämmelser i sektorsspecifika EU-rättsakter, som innehåller krav på leverantörer av samhällsviktiga eller digitala tjänster att säkerställa säkerheten i sina nätverk och informationssystem eller att rapportera incidenter, tillämpas i stället för bestämmelserna i direktivet förutsatt att verkan av kraven i fråga minst motsvarar verkan av skyldigheterna enligt direktivet. I den nya lagen bör det införas en motsvarande bestämmelse om att den nya lagens bestämmelser inte ska tillämpas när det i annan författning finns bestämmelser om säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar skyldigheterna enligt den nya lagen. Undantaget bör gälla oavsett om bestämmelserna finns i EU-rättsakter eller i nationella författningar. Netnod, Svenska Stadsnätsföreningen och Föreningen Swedish Network Users Society anser att organisationer som redan i dag täcks av adekvata krav på säkerhetsåtgärder och incidentrapportering uttryckligen bör undantas från den nya lagens tillämpningsområde. Regeringen anser dock inte att det är lämpligt att införa fler uttryckliga undantag från lagens tillämpningsområde än de som finns i direktivet. Vid bedömningen av om bestämmelser om säkerhetsåtgärder och incidentrapportering motsvarar verkan av skyldigheterna enligt den nya lagen, bör man bl.a. beakta bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Som Lagrådet anför bör detta framgå av lagtexten. Exempel på bestämmelser om säkerhetsåtgärder och incidentrapportering som inte kan anses ha motsvarande verkan är bestämmelserna i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt dataskyddsförordningen. Leverantörer kan således behöva tillämpa dessa regelverk parallellt. Till skillnad från utredningen anser regeringen inte att enstaka bestämmelser som innehåller krav på säkerhetsåtgärder eller incidentrapportering ska gälla i stället för motsvarande bestämmelser i den nya lagen. En sådan ordning vore inte ändamålsenlig. Dessutom finns det endast i mycket begränsad omfattning nationella bestämmelser som innehåller krav som kan anses motsvara kraven enligt NIS-direktivet. 5.5 Leverantörer av digitala tjänster ska i vissa fall utse en företrädare Regeringens förslag: En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom EU ska utse en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningens förslag innefattar inte krav på att företrädaren måste vara etablerad i en medlemsstat där tjänsterna erbjuds. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag: Den nya lagen ska enligt regeringens förslag i avsnitt 5.3 omfatta leverantörer av digitala tjänster som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här. En leverantör av digitala tjänster som inte är etablerad inom EU men erbjuder tjänster inom unionen ska, enligt artikel 18.2 i NIS-direktivet, utse en företrädare som är etablerad i någon av de medlemsstater där tjänsterna erbjuds. En motsvarande bestämmelse bör införas i den nya lagen. Eftersom begreppet leverantör av digitala tjänster i den nya lagen, enligt regeringens förslag i avsnitt 5.3, avser leverantörer som har sitt huvudsakliga etableringsställe i Sverige eller som har utsett en företrädare som är etablerad här, bör bestämmelsen utformas så att skyldigheten avser juridiska personer som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom EU. Skyldigheten att utse en företrädare bör i enlighet med direktivet endast gälla för dem som inte har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, och förutsatt att något undantag från lagens tillämpningsområde inte är tillämpligt. En leverantör kan i enlighet med artikel 4.10 i direktivet utse en juridisk eller fysisk person som företrädare. Företrädaren ska utses uttryckligen och kunna agera på leverantörens vägnar i frågor som gäller de skyldigheter som leverantören har enligt NIS-direktivet. För att fastställa om en leverantör erbjuder digitala tjänster inom EU bör i enlighet med skälen till direktivet det avgörande vara om det är uppenbart att leverantören har för avsikt att erbjuda tjänster till personer i en eller flera medlemsstater (skäl 65). Enbart den omständigheten att en leverantör använder sig av en webbplats som är tillgänglig inom EU är inte tillräckligt för att fastställa en sådan avsikt. I enlighet med skälen till direktivet kan dock faktorer som att en leverantör använder sig av ett annat språk än det som används allmänt där leverantören är etablerad, men som används i en eller flera medlemsstater, och att det finns möjlighet att beställa tjänster på detta andra språk göra det uppenbart att leverantören planerar att erbjuda tjänster inom unionen. Om en juridisk person erbjuder digitala tjänster i Sverige men inte har sitt huvudsakliga etableringsställe inom EU, ska denne alltså uttryckligen utse en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds. Om leverantören utser en företrädare som är etablerad i Sverige innebär det att leverantören är en sådan leverantör av digitala tjänster som omfattas av övriga bestämmelser i den nya lagen. 5.6 Uttryck i lagen Regeringens förslag: Vissa uttryck som används i den nya lagen ska definieras. Definitionerna ska motsvara de som finns i NIS-direktivet. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen har till skillnad från regeringen föreslagit att uttryck som inte används i den nya lagen ska definieras. Remissinstanserna: Några remissinstanser anser att den nya lagen bör innehålla definitioner som är bättre anpassade till svenska förhållanden än motsvarande definitioner i NIS-direktivet. Skälen för regeringens förslag: I artikel 4 i NIS-direktivet finns en lista med definitioner av uttryck som direkt eller indirekt används i direktivet. Motsvarande uttryck bör även definieras i den nya lagen under förutsättning att de ska användas i lagen. Till skillnad från vad utredningen har föreslagit anser regeringen alltså inte att uttryck som enbart ska finnas i förordning bör definieras i den nya lagen. Ett antal remissinstanser, t.ex. Finansinspektionen, anser att den nya lagen bör innehålla definitioner som i någon mån avviker från motsvarande definitioner i direktivet för att harmonisera med befintliga begrepp på nationell nivå. För att säkerställa att begreppen i den nya lagen vid tillämpningen får samma betydelse som i direktivet anser regeringen att definitionerna som utgångspunkt inte bör avvika från motsvarande definitioner i direktivet för att passa in i en nationell kontext. När det gäller direktivets definition av uttrycket "säkerhet i nätverk och informationssystem" ("nätverks- och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter [...]") bör dock ordet integritet ersättas med ordet autenticitet för att stämma överens med etablerad svensk terminologi. Av den engelska versionen av NIS-direktivet ("ability of network and information systems to resist, at a given level of confidence, any action that compromises the availability, authenticity, integrity or confidentiality [...]") framgår också att det utöver grundbegreppen som definierar informationssäkerhet - tillgänglighet, riktighet och konfidentialitet - inte är integritet som avses utan autenticitet. 6 Identifiering av leverantörer av samhällsviktiga tjänster 6.1 Inledande om NIS-direktivets krav på identifiering av leverantörer av samhällsviktiga tjänster Medlemsstaterna ska, för varje sektor som NIS-direktivet omfattar, identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium. I direktivet påtalas vikten av ett enhetligt tillvägagångssätt och en konsekvent tillämpning i alla medlemsstater. Vid förfarandet för identifiering ska medlemsstaterna först upprätta en förteckning över de tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, dvs. vad som utgör samhällsviktiga tjänster. Därefter ska medlemsstaterna bedöma vilka leverantörer som uppfyller kraven i direktivet för att anses vara leverantörer av samhällsviktiga tjänster. Förteckningen över samhällsviktiga tjänster ska senast den 9 november 2018 och därefter vartannat år tillhandahållas kommissionen som ett led i kommissionens arbete med att bedöma genomförandet av direktivet. Även information om antalet leverantörer som har identifierats i varje sektor och en uppgift om deras betydelse för sektorn ska inom samma tid lämnas till kommissionen. 6.2 Förteckning över samhällsviktiga tjänster Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vilka tjänster som utgör samhällsviktiga tjänster enligt den nya lagen. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har bedömt att det inte krävs ett bemyndigande för föreskrifter om vad som utgör samhällsviktiga tjänster. Remissinstanserna: Stockholms läns landsting anser att det behövs en fördjupad genomgång av vad som kan anses vara samhällsviktigt och skyddsvärt inom hälso- och sjukvården innan någon myndighet får i uppdrag att bedöma vilka tjänster som är samhällsviktiga. Skälen för regeringens förslag NIS-direktivets krav på att upprätta en förteckning Medlemsstaterna ska i ett första steg av identifieringsförfarandet upprätta en förteckning över samhällsviktiga tjänster som tillhandahålls av en sådan typ av leverantör som anges i bilaga 2 till NIS-direktivet (artikel 5.1 och 5.3). Syftet med förteckningen är att hitta de typer av samhällsviktiga tjänster som kan finnas inom en viss sektor och därmed skilja dem från övriga tjänster som sektorn tillhandahåller (skäl 23). Vidare ska förteckningen utgöra grund för bedömningen av om en leverantör tillhandahåller en samhällsviktig tjänst. Vid den bedömningen ska det vara tillräckligt att undersöka om leverantören tillhandahåller en tjänst som finns upptagen i förteckningen (skäl 20). Förteckningen tydliggör även medlemsstaternas respektive praxis när det gäller vad som utgör samhällsviktiga tjänster och kan därför användas för att säkerställa en övergripande enhetlighet i medlemsstaternas tillämpning (skäl 23). Den samarbetsgrupp som har inrättats genom direktivet ska hjälpa medlemsstaterna att tillämpa ett enhetligt tillvägagångssätt i förfarandet för identifieringen av samhällsviktiga tjänster (artiklarna 5.6 och 11.3 l). Samarbetsgruppen består av företrädare för medlemsstaterna, kommissionen och Enisa (EU:s nätverks- och informationssäkerhetsbyrå, artikel 11.2). Sverige företräds av Myndigheten för samhällsskydd och beredskap (MSB). Vad avses med samhällsviktig tjänst? Uttrycket samhällsviktig tjänst förekommer inte i svensk lagstiftning. I stället används andra närliggande uttryck såsom samhällsviktig verksamhet. Uttrycket samhällsviktig verksamhet används bl.a. i risk- och sårbarhetsanalysarbetet, vilket är en viktig del i statliga myndigheters krisberedskapsarbete. I MSB:s föreskrifter och allmänna råd om risk- och sårbarhetsanalyser (MSBFS 2015:4 och MSBFS 2015:5) definieras uttrycket samhällsviktig verksamhet som en verksamhet som uppfyller minst ett av två villkor. Det första är att ett bortfall av eller en svår störning i verksamheten ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället. Det andra är att verksamheten ska vara nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. I de allmänna råden till ovan nämnda föreskrifter anges att med samhällsviktig verksamhet menas tjänster som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner såsom produktion och distribution av el, produktion och distribution av bränslen och drivmedel, läkemedels- och materielförsörjning, smittskydd för djur och människor, dricksvattenförsörjning, avloppshantering, väghållning och kollektivtrafik. Vid bedömningen av om en tjänst är samhällsviktig kan ledning hämtas i de avvägningar som görs för att bedöma om en verksamhet är samhällsviktig. Det är dock viktigt att vara medveten om de olika regelverkens utgångspunkter. Regelverket om krisberedskap avser att skydda funktioner som absolut behövs för upprätthållandet av viktiga samhällsfunktioner vid allvarliga händelser eller kriser. NIS-direktivets syfte är att förbättra den inre marknadens funktion genom att fastställa åtgärder för säkerhet i nätverk och informationssystem. Det rör sig därför om tjänster som är viktiga för samhällets funktionalitet i sin helhet och där ett avbrott i tjänsten hindrar genomförandet av ekonomisk verksamhet, genererar omfattande ekonomiska förluster, undergräver användarnas förtroende och medför allvarliga konsekvenser för landets och unionens ekonomi. Detta innebär bl.a. att uttrycket samhällsviktig tjänst kan omfatta fler funktioner än uttrycket samhällsviktig verksamhet. Eftersom ett syfte med förteckningen är att säkerställa en övergripande enhetlighet mellan medlemsstaternas bedömning av samhällsviktiga tjänster, bör även beaktas hur andra medlemsstater gör sina bedömningar av vad som utgör samhällsviktiga tjänster. Medlemsstaternas bedömning av vad som utgör samhällsviktiga tjänster diskuteras som nämnts i den samarbetsgrupp som har inrättats genom direktivet och i vilken MSB företräder Sverige. Som exempel på tjänster som kan anses som samhällsviktiga kan nämnas elöverföring, överföring och lagring av naturgas, infrastrukturförvaltning av järnväg, vattenförsörjning och tillhandahållande och förvaltning av internetdomännamn. Utgångspunkten är att MSB ska upprätta en förteckning över samhällsviktiga tjänster Sedan MSB grundades har myndigheten årligen fått uppdrag i regleringsbrev att redovisa en nationell bedömning av samhällets förmågor, risker, sårbarheter samt identifierade och genomförda åtgärder avseende krisberedskapen. I MSB:s uppdrag ingår också att stödja och samordna arbetet med samhällets informationssäkerhet samt att analysera och bedöma omvärldsutvecklingen inom området. Myndigheten har vidare en samordnande roll inom ramen för samhällets krisberedskap och en central funktion i de nätverk som finns inom krisberedskapsområdet. Dessutom har MSB genom sina uppdrag ett etablerat kontaktnät med merparten av de aktörer som kommer att beröras av bestämmelserna i NIS-direktivet. Regeringen bedömer i likhet med utredningen att MSB, genom sitt uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet, är den myndighet som i nuläget är bäst lämpad att identifiera vilka samhällsviktiga tjänster som finns i Sverige inom de sektorer som omfattas av direktivet. Det kan poängteras att ingen remissinstans har uttryckt någon annan uppfattning. Stockholms läns landsting framför dock att det behövs mer precisa beskrivningar, särskilt när det gäller hälso- och sjukvården, för att MSB på ett bra sätt ska kunna identifiera vilka tjänster som kan anses vara samhällsviktiga. Regeringen bedömer emellertid att MSB genom sitt uppdrag har en sådan övergripande kännedom om de sektorer som direktivet omfattar, att MSB i vart fall med stöd av sektorsspecifika myndigheter kan upprätta förteckningen. En förutsättning för att den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ska kunna tillämpas vid ikraftträdandet är att förteckningen över samhällsviktiga tjänster då är sammanställd. Mot denna bakgrund och på inrådan av utredningen gav regeringen i slutet av juni 2017 MSB i uppdrag att upprätta förteckningen med stöd av myndigheter med sektorsspecifik kunskap. MSB redovisade uppdraget den 15 januari 2018. Förteckningen bör meddelas i form av föreskrifter. Enligt regeringens bedömning kommer föreskrifterna att behöva gå utöver vad regeringen eller den myndighet som regeringen bestämmer kan meddela med stöd av 8 kap. 7 § regeringsformen. Det bör därför införas ett bemyndigande i den nya lagen. Även om utgångspunkten är att MSB ska upprätta förteckningen bör det inte slås fast i den nya lagen utan regleras i förordning. Anledningen till det är att regeringen vid behov bör kunna ändra vilken myndighet som ska upprätta förteckningen. I den nya lagen bör det därför införas ett bemyndigande om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster enligt lagen. 6.3 Bedömning av vilka leverantörer av samhällsviktiga tjänster som är etablerade i Sverige Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater inom EU. Det ska i den nya lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om verkställighet av den nya lagen. Regeringens bedömning: Övriga bestämmelser om hur identifieringen av de leverantörer av samhällsviktiga tjänster som är etablerade i Sverige ska fullgöras bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har föreslagit att det i den nya lagen ska införas en bestämmelse om att de som tillhandahåller samhällsviktiga tjänster är skyldiga att undersöka om de omfattas av den nya lagen. Vidare har utredningen föreslagit att Sveriges skyldighet att i vissa fall samråda med andra medlemsstater innan beslut om identifiering fattas till viss del ska regleras i den nya lagen. Utredningen har inte föreslagit att leverantörer av samhällsviktiga tjänster ska anmäla sig till tillsynsmyndigheten och därvid även ange om de tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater. Remissinstanserna: Stiftelsen för internetinfrastruktur och Stockholms universitet instämmer i att det bör åläggas de som tillhandahåller samhällsviktiga tjänster att undersöka om de omfattas av lagen. Livsmedelsverket och MSB anser att det bör införas en skyldighet för leverantörerna att anmäla sig till tillsynsmyndigheten om de anser sig uppfylla kraven för att omfattas av den nya lagen. Skälen för regeringens förslag och bedömning NIS-direktivets krav på bedömningen av vilka som är leverantörer av samhällsviktiga tjänster Som framgår ovan ska medlemsstaterna, i ett första steg för att identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium, upprätta en förteckning över samhällsviktiga tjänster. Det andra steget i identifieringsförfarandet är att bedöma vilka och följaktligen identifiera de leverantörer som uppfyller kraven i direktivet för att anses vara leverantörer av samhällsviktiga tjänster. För Sveriges del kommer det i praktiken handla om att fastställa vilka leverantörer av samhällsviktiga tjänster som omfattas av den nya lagen. Kriterierna för bedömningen är således att det är fråga om en leverantör som tillhandahåller en samhällsviktig tjänst, att leverantören är etablerad i Sverige samt att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (artikel 5.2). Tillhandahålls tjänsten i två eller flera medlemsstater ska berörda medlemsstater samråda med varandra. Detta samråd ska äga rum innan beslut om identifiering fattas (artikel 5.4). Vid bedömningen av om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten ska medlemsstaterna beakta ett antal sektorsöverskridande faktorer och, i lämpliga fall, sektorsspecifika faktorer (artikel 6). Som framgår av avsnitt 5.3 kommer föreskrifter om vad som avses med en betydande störning att meddelas i förordning eller myndighetsföreskrifter. Föreskrifterna kommer i praktiken att utgöra tröskelvärden för vilka som är att anse som leverantörer av samhällsviktiga tjänster. Tröskelvärden för energileverantörer kan exempelvis avse mängden eller andelen av producerad nationell el, och för leverantörer inom hälso- och sjukvårdssektorn antalet patienter som leverantören vårdar per år. Hur ska bedömningen gå till? Medlemsstaterna kan välja att genomföra detta steg av identifieringsförfarandet på olika sätt. Genomförandet kan exempelvis ske genom upprättandet av ytterligare en förteckning som innehåller alla leverantörer av samhällsviktiga tjänster, eller genom antagandet av nationella bestämmelser som gör det möjligt att fastställa vilka leverantörer som omfattas av skyldigheterna i direktivet (skäl 25). Utredningen har föreslagit att leverantörer som tillhandahåller samhällsviktiga tjänster ska åläggas att undersöka om de omfattas av den nya lagen och följaktligen om de bör identifieras som en leverantör av samhällsviktiga tjänster. Utredningen framhåller särskilt att bedömningen av vilka som är att anse som leverantörer av samhällsviktiga tjänster kräver verksamhetskunskap och att de flesta offentliga leverantörer inom de sektorer och delsektorer som anges i NIS-direktivet redan gör analyser utifrån liknande krav. Regeringen konstaterar dock att en sådan skyldighet som utredningen har föreslagit indirekt redan kommer att finnas genom den nya lagen. Leverantörer som tillhandahåller samhällsviktiga tjänster måste undersöka om de omfattas av den nya lagen för att få klarhet i om de har en skyldighet att vidta säkerhetsåtgärder och rapportera incidenter. Vidare skulle en sådan undersökningsskyldighet som utredningen har föreslagit innebära att ett stort antal leverantörer som tillhandahåller samhällsviktiga tjänster men som uppenbarligen inte är leverantörer av samhällsviktiga tjänster, exempelvis för att det står klart att en incident inte skulle medföra en betydande störning enligt de tröskelvärden som antagits, måste genomföra undersökningen. Regeringen anser mot den bakgrunden inte att det bör införas en skyldighet för dem som tillhandahåller samhällsviktiga tjänster att undersöka om de omfattas av den nya lagen. Däremot bör det övervägas om de som omfattas av den nya lagen ska åläggas att anmäla sig till tillsynsmyndigheten. Livsmedelsverket och MSB anser att det bör införas en anmälningsplikt, bl.a. för att det underlättar identifieringen. Myndigheterna anser också att en anmälningsplikt är nödvändig för att tillsynsmyndigheten ska veta vilka tillsynsobjekt den har. Med hänsyn både till behovet av att underlätta identifieringen av de leverantörer av samhällsviktiga tjänster som är etablerade i Sverige och till att tillsynsmyndigheten ska kunna utföra sitt tillsynsuppdrag på ett fullgott sätt, anser regeringen att det i den nya lagen bör införas en bestämmelse om att leverantörer av samhällsviktiga tjänster utan dröjsmål ska anmäla sig till tillsynsmyndigheten. I bestämmelsen bör även anges att det av anmälan ska framgå om leverantören tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater, för att på så sätt underlätta bedömningen av om ett samråd med andra medlemsstater enligt artikel 5.4 ska ske innan ett beslut om identifiering fattas. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilken information som en anmälan ska innehålla liksom föreskrifter om de närmare formerna för fullgörandet av anmälningsskyldigheten. För att upplysa om att det i anslutning till den nya lagen kan komma att meddelas verkställighetsföreskrifter, såsom bl.a. föreskrifter om anmälningsskyldigheten, bör den nya lagen innehålla en bestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om verkställighet av lagen. Det behövs även andra föreskrifter för att fullgöra skyldigheten att bedöma och följaktligen identifiera vilka leverantörer av samhällsviktiga tjänster som är etablerade i Sverige. Det kan t.ex. vara fråga om bestämmelser om vilken eller vilka myndigheter som ska ansvara för identifieringen, hur processen närmare ska gå till och hur uppgifterna om vilka leverantörer som är identifierade ska hållas aktuella och läggas till grund för information till kommissionen. Vidare krävs att identifieringsprocessen genomför skyldigheten att enligt artikel 5.4 samråda med andra medlemsstater i vissa fall innan beslut om identifiering fattas. Utredningen har föreslagit att sistnämnda skyldighet bör regleras i den nya lagen. Regeringen anser dock att sådana bestämmelser, liksom andra föreskrifter som behövs för att fullgöra kraven på identifiering enligt direktivet, bör meddelas i förordning eller myndighetsföreskrifter. 7 Säkerhetsåtgärder och incidentrapportering för leverantörer av samhällsviktiga tjänster NIS-direktivet ställer krav på leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster att vidta vissa säkerhetsåtgärder och att rapportera vissa incidenter. I detta avsnitt behandlas kraven på leverantörer av samhällsviktiga tjänster. Kraven på leverantörer av digitala tjänster behandlas i avsnitt 8. 7.1 Säkerhetsåtgärder 7.1.1 Befintliga bestämmelser om säkerhetsåtgärder är inte tillräckliga Regeringens bedömning: NIS-direktivet kräver nya bestämmelser om säkerhetsåtgärder. Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen. Skälen för regeringens bedömning: Enligt NIS-direktivet ska leverantörer av samhällsviktiga tjänster vidta säkerhetsåtgärder till skydd för säkerheten i nätverk och informationssystem. Vissa leverantörer av samhällsviktiga tjänster som omfattats av NIS-direktivet omfattas redan i dag av rättsliga krav på säkerhetsåtgärder i nätverk och informationssystem. Exempelvis ska statliga myndigheter enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap se till att deras informationssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. För verksamhet som är av betydelse för Sveriges säkerhet finns i säkerhetsskyddsregleringen krav på att förebygga att uppgifter som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Vidare finns mer sektorsspecifika bestämmelser i vissa av de sektorer som omfattas av NIS-direktivet. Inom sektorn finansmarknadsinfrastruktur finns exempelvis krav i lagen (2007:528) om värdepappersmarknaden, enligt vilka börser ska identifiera och hantera de risker som kan uppstå i verksamheten och ha säkra tekniska system. För samtliga leverantörer som omfattas av NIS-direktivet finns även krav i personuppgiftsregleringen på tekniska och organisatoriska åtgärder när det gäller personuppgiftsbehandling. Befintlig reglering är inte heltäckande och i vissa fall är syftet med säkerhetsåtgärderna ett annat än det som anges i NIS-direktivet. Regeringens bedömning är därför att det måste införas bestämmelser med krav på säkerhetsåtgärder i den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. 7.1.2 Ett systematiskt arbete Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandhålla samhällsviktiga tjänster. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag: Regeringen anser att en förutsättning för en väl anpassad säkerhet i nätverk och informationssystem är att det bedrivs ett systematiskt och riskbaserat informationssäkerhetsarbete. Föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete finns i dag för statliga myndigheter i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Ett systematiskt informationssäkerhetsarbete innebär bl.a. att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar. På så vis kan verksamhetens ledning på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. En del i detta arbete är olika typer av analyser, t.ex. verksamhetsanalys, riskanalys och GAP-analys (analys som jämför nuvarande säkerhetsnivå med den önskade). Mot denna bakgrund anser regeringen liksom utredningen att det bör införas krav på leverantörer av samhällsviktiga tjänster att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Till skillnad från utredningen anser regeringen dock att lagbestämmelsen bör utformas på så sätt att det tydligt framgår att kravet endast avser sådana nätverk och informationssystem som en leverantör använder för att tillhandahålla samhällsviktiga tjänster. 7.1.3 Riskanalys Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen. Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Norrköpings kommun och Svenskt vatten tillstyrker förslaget. Stockholms universitet avstyrker förslaget och anser i stället att leverantörerna bör få välja vilken sorts analys som är lämplig att göra och om en åtgärdsplan ska ingå i analysen. Jönköpings läns landsting anser inte att riskanalyser ska behöva uppdateras så ofta som årligen. Skälen för regeringens förslag: NIS-direktivets krav på säkerhetsåtgärder innebär i stort att leverantörer av samhällsviktiga tjänster ska vidta vissa ändamålsenliga och proportionella åtgärder för att hantera säkerhetsrisker i nätverk och informationssystem, se avsnitt 7.1.4 och 7.1.5. För att en leverantör ska kunna identifiera vilka åtgärder som är relevanta anser regeringen liksom utredningen att det är nödvändigt att leverantören genomför en riskanalys. Stockholms universitet anser att en leverantör ska få välja vilken sorts analys som är lämplig att göra i leverantörens verksamhet. Eftersom de säkerhetsåtgärder som NIS-direktivet ålägger leverantörer att vidta har till syfte att hantera risker är det emellertid en riskanalys som är relevant för att åstadkomma kvalitativa bedömningar av vilka säkerhetsåtgärder som är lämpliga. Leverantörer av samhällsviktiga tjänster bör därför åläggas att göra en sådan analys som ska ligga till grund för valet av säkerhetsåtgärder. För att riskanalysen ska bli ett beslutsstöd för prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder bör den innehålla beskrivningar och bedömningar av relevanta hot och risker. Den bör även innehålla bedömningar av hur effektiva befintliga säkerhetsåtgärder är i förhållande till riskerna. Dessutom bör det av analysen framgå vilka negativa konsekvenser en incident skulle kunna medföra. Som Säkerhetspolisen påpekar finns det inget som hindrar att arbetet med riskanalysen samordnas och integreras med sådant riskanalysarbete som sker enligt annan lagstiftning. Stockholms universitet anser att leverantören bör få välja om en åtgärdsplan ska ingå i riskanalysen. Jönköpings läns landsting anser inte att leverantörer ska åläggas att uppdatera riskanalysen årligen utan vid behov. För att riskanalysen ska bli ett reellt och levande verktyg i arbetet med att vidta lämpliga säkerhetsåtgärder anser regeringen dock att analysen bör dokumenteras, innehålla en åtgärdsplan och uppdateras årligen. Ett sådant åliggande bör därför också föras in i den nya lagen. 7.1.4 Tekniska och organisatoriska åtgärder Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: E-hälsomyndigheten och Stockholms universitet tillstyrker förslaget. Göteborgs kommun vill att det tydliggörs vad syftet med säkerhetsåtgärder enligt NIS-direktivet är. Vissa remissinstanser pekar på att förslaget kan innebära omfattande åligganden för leverantörerna. Skälen för regeringens förslag: Enligt artikel 14.1 i NIS-direktivet ska leverantörer av samhällsviktiga tjänster vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder i sin verksamhet. Åtgärderna ska, med beaktande av den senaste tekniska utvecklingen, säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken. Göteborgs kommun efterfrågar ett tydliggörande av vad syftet med säkerhetsåtgärderna enligt direktivet är. Syftet med åtgärderna är att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken. Med säkerhet i nätverk och informationssystem avses systemens förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem (artikel 4.2). Med risk avses en rimlig identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk och informationssystem (artikel 4.9). För säkerhetsåtgärden incidenthantering, se avsnitt 7.1.5, är syftet att säkerställa kontinuiteten i de tillhandahållna tjänsterna. En bestämmelse som motsvarar artikel 14.1 i NIS-direktivet bör införas i den nya lagen. Att en sådan bestämmelse, såsom bl.a. Tågoperatörerna påpekar, kommer att innebära åligganden för leverantörerna kan inte föranleda någon annan bedömning. I kravet på att vidta tekniska åtgärder kan ingå bl.a. skydd mot oönskad förändring, skydd mot obehörig insyn, skydd av personer, lokaler och utrustning av betydelse för informationssäkerhet samt skydd vid överföring av data. I organisatoriska åtgärder kan bl.a. ingå att upprätta styrdokument, utforma rutiner, och genomföra uppföljningar. Att leverantörens skyldighet att vidta åtgärder avser nätverk och informationssystem som leverantören använder, innebär i enlighet med skälen till direktivet att säkerhetskraven gäller oavsett om leverantören sköter underhållet av sina nätverk och informationssystem internt eller lägger ut uppgifterna på entreprenad (skäl 52). Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska enligt NIS-direktivet bl.a. den senaste tekniska utvecklingen beaktas. Det innebär att leverantören ska beakta samtliga tekniska lösningar som vid var tid finns tillgängliga på marknaden. Teknisk utveckling kan därför dels medföra att behovet av säkerhetsåtgärder förändras, dels innebära nya möjligheter att vidta effektiva säkerhetsåtgärder. Kravet på att beakta den tekniska utvecklingen behöver enligt regeringens mening inte uttryckas i den nya lagen, utan ingår i att säkerhetsåtgärderna ska uppnå en lämplig säkerhetsnivå. Med hänsyn till att vad som utgör en lämplig nivå på säkerheten i nätverk och informationssystem kan ändras över tid, exempelvis genom förändringar i den föreliggande risken eller genom nya tekniska lösningar, behöver leverantörer av samhällsviktiga tjänster regelbundet och vid behov se över vilka säkerhetsåtgärder som är lämpliga att vidta. 7.1.5 Incidenthantering Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Skälen för regeringens förslag: Enligt artikel 14.2 i NIS-direktivet ska leverantörer av samhällsviktiga tjänster vidta lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverk och informationssystem som används för att tillhandahålla sådana samhällsviktiga tjänster, i syfte att säkerställa kontinuiteten i dessa tjänster. En motsvarande bestämmelse bör införas i den nya lagen. Det innebär att leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga incidenter och dess verkningar och för att begränsa en inträffad incidents verkan, i syfte att säkerställa kontinuiteten i de tillhandahållna tjänsterna. I arbetet med incidenthantering är det viktigt att dra lärdom av inträffade incidenter. Om en incident har inträffat bör det som regel medföra att säkerhetsåtgärderna skyndsamt ses över. 7.1.6 Ytterligare föreskrifter om säkerhetsåtgärder Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster för att de ska uppfylla kraven på säkerhetsåtgärder. Regeringens bedömning: Bestämmelser som främjar användningen av europeiska eller internationellt accepterade standarder och specifikationer av relevans för säkerhetsåtgärder bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har till skillnad från regeringen endast föreslagit ett bemyndigande för föreskrifter om ett systematiskt och riskbaserat informationssäkerhetsarbete. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag och bedömning: Det krävs relativt omfattande och detaljerade föreskrifter om vad leverantörer av samhällsviktiga tjänster ska göra för att fullgöra de ovan föreslagna kraven på säkerhetsåtgärder. Sådana föreskrifter bör meddelas i förordning eller myndighetsföreskrifter. Regeringen bedömer att det utöver möjligheten att meddela verkställighetsföreskrifter behövs ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer. Till skillnad från utredningen anser regeringen att ett bemyndigande behövs inte bara för föreskrifter om kravet på ett systematiskt och riskbaserat informationssäkerhetsarbete, utan även för övriga krav på säkerhetsåtgärder. Anledningen till det är att föreskrifter om exempelvis tekniska och organisatoriska säkerhetsåtgärder avses mer i detalj innehålla skyldigheter för dem som träffas av lagen. Den nya lagen bör därför innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om kraven på ett systematiskt och riskbaserat informationssäkerhetsarbete, riskanalys, tekniska och organisatoriska åtgärder och incidenthantering. Enligt artikel 19 i NIS-direktivet ska medlemsstaterna, med hänsyn till behovet av en enhetlig tillämpning av säkerhetsåtgärder inom EU, uppmuntra användningen av europeiska eller internationellt accepterade standarder och specifikationer av relevans för säkerheten i nätverk och informationssystem. Bestämmelser som främjar användningen av sådana standarder och specifikationer bör enligt regeringens bedömning meddelas i förordning eller myndighetsföreskrifter. 7.2 Incidentrapportering 7.2.1 Befintliga bestämmelser om incidentrapportering är inte tillräckliga Regeringens bedömning: NIS-direktivet kräver nya bestämmelser om incidentrapportering. Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen. Skälen för regeringens bedömning: Enligt NIS-direktivet ska leverantörer av samhällsviktiga tjänster, utan onödigt dröjsmål, till den behöriga myndigheten eller CSIRT-enheten rapportera incidenter som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller (artikel 14.3). Leverantörer som omfattas av NIS-direktivet kan även omfattas av andra krav på rapportering av incidenter. Exempelvis är statliga myndigheter enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap skyldiga att till MSB skyndsamt rapportera incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. Vidare ska vissa incidenter enligt 10 a § säkerhetsskyddsförordningen (1996:633) anmälas till den myndighet som utövar tillsyn över säkerhetsskyddet. Det finns även sektorsspecifika krav på rapportering av incidenter i vissa av de sektorer som omfattas av NIS-direktivet. Exempelvis finns inom sektorn finansmarknadsinfrastruktur krav i lagen om värdepappersmarknaden om att rapportera händelser av väsentlig betydelse. Från och med den 25 maj 2018 när dataskyddsförordningen ska börja tillämpas finns även en skyldighet enligt artikel 33 i den förordningen att anmäla s.k. personuppgiftsincidenter, dvs. säkerhetsincidenter som oavsiktligt påverkar behandlingen av personuppgifter. Den befintliga regleringen om incidentrapportering är inte heltäckande och motsvarar i vissa fall inte de krav som NIS-direktivet ställer. Regeringens bedömning är därför att det i den nya lagen måste införas bestämmelser med krav på incidentrapportering enligt NIS-direktivet. 7.2.2 Vilka incidenter ska rapporteras? Regeringens förslag: Leverantörer av samhällsviktiga tjänster ska rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst de tillhandahåller. Regeringens bedömning: Bestämmelser om vilka faktorer som ska beaktas vid bedömningen av om en incident har en betydande inverkan på kontinuiteten i en samhällsviktig tjänst, och därför medför krav på rapportering, bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har föreslagit en bestämmelse om att leverantörer av samhällsviktiga tjänster ska rapportera varje inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller på grund av en incident som även har påverkat en tredjepartsleverantör av digitala tjänster. Vidare har utredningen föreslagit att vissa faktorer som ska beaktas för att bedöma om en incident har en betydande inverkan på kontinuiteten ska regleras i den nya lagen. Remissinstanserna: Post- och telestyrelsen och Stockholms universitet tillstyrker förslaget. Säkerhetspolisen och Försvarsmakten anser att fler incidenter än vad som har föreslagits bör omfattas av krav på rapportering. Energiföretagen Sverige och Jönköpings läns landsting anser att kravet på att rapportera incidenter, oavsett om de har skett hos en tredjepartsleverantör av digitala tjänster, kan innebära att ett orimligt ansvar läggs på leverantörer av samhällsviktiga tjänster. Flera remissinstanser, bl.a. Netnod, efterfrågar tydliggörande av när rapportering ska ske enligt den nya lagen och enligt andra regelverk. Säkerhetspolisen anser att det bör klargöras vilken myndighet som ska avgöra enligt vilket regelverk en leverantör ska rapportera en incident om det inte råder konsensus mellan myndigheter. Göteborgs kommun och Sveriges Kommuner och Landsting påpekar att det är viktigt med tydliga skrivningar om vilka incidenter som ska rapporteras. Skälen för regeringens förslag och bedömning Incidenter som har en betydande inverkan på kontinuiteten ska rapporteras Enligt artikel 14.3 i NIS-direktivet ska leverantörer av samhällsviktiga tjänster rapportera incidenter som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller. Om leverantörer av samhällsviktiga tjänster är beroende av en tredjepartsleverantör av digitala tjänster för att tillhandahålla en tjänst som är viktig för att upprätthålla kritisk samhällelig och ekonomisk verksamhet, ska leverantörerna av samhällsviktiga tjänster rapportera varje betydande inverkan på kontinuiteten i de samhällsviktiga tjänsterna till följd av en incident som påverkar leverantören av digitala tjänster (artikel 16.5). Med en incident avses en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem (artikel 4.7). Försvarsmakten och Säkerhetspolisen anser att det bör införas krav på att rapportera fler incidenter än vad som krävs enligt NIS-direktivet. Försvarsmakten anser att även incidenter som inte har fått en omedelbar effekt på kontinuiteten i de berörda tjänsterna, men som kan leda till en sådan inverkan, bör omfattas av rapporteringskraven. Säkerhetspolisen anser att även andra incidenter än sådana som påverkar tjänstens kontinuitet bör omfattas av rapporteringsskyldigheten. Regeringen instämmer i att det kan finnas behov av bestämmelser om incidentrapportering med anledning av andra incidenter än de som regleras av NIS-direktivet. Regeringen anser emellertid inte att det finns beredningsunderlag för att hantera sådana mer övergripande frågor om informationssäkerhet inom ramen för detta lagstiftningsärende. Enligt den nya lagen ska alltså incidenter med en betydande inverkan på kontinuiteten i samhällsviktiga tjänster rapporteras. Det innebär att incidenter som inverkar negativt på tjänsterna på andra sätt inte behöver rapporteras enligt den nya lagen. När det gäller sådana incidenter kan det dock finnas rapporteringskrav i andra regelverk. Vad som krävs för att en påverkan på kontinuiteten ska anses vara betydande utvecklas närmare nedan. För att motsvara de krav som ställs i artiklarna 14.3 och 16.5 i NIS-direktivet bör bestämmelsen utformas så att den ålägger leverantörer att rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst de tillhandahåller. En sådan bestämmelse innebär att leverantörer ska rapportera incidenter oavsett var incidenten har skett. Leverantörer av samhällsviktiga tjänster kommer därför även att ha en skyldighet att rapportera incidenter hos exempelvis en tredjepartsleverantör och följdincidenter på grund av en sådan incident, under förutsättning att incidenten har en betydande inverkan på den samhällsviktiga tjänst som leverantören tillhandahåller. Regeringen ser därför inget behov av en sådan särskild bestämmelse om skyldighet att rapportera påverkan på kontinuiteten på grund av en incident som även har påverkat en tredjepartsleverantör av digitala tjänster som utredningen har föreslagit. Energiföretagen Sverige och Jönköpings läns landsting anser att skyldigheten att rapportera incidenter hos tredjepartsleverantörer av digitala tjänster kan innebära att ett orimligt ansvar läggs på leverantörer av samhällsviktiga tjänster. Energiföretagen Sverige menar att kravet innebär att leverantörer av samhällsviktiga tjänster måste stå som garant för tredjepartsleverantörers säkerhet samt ha full överblick över tredjepartsleverantörers risker. Jönköpings läns landsting efterfrågar klargöranden av hur långt ansvaret för tredjepartsleverantörers säkerhet sträcker sig. Med anledning av Energiföretagen Sverige och Jönköpings läns landstings synpunkter finns det anledning att poängtera att leverantörer av samhällsviktiga tjänster inom ramen för det egna säkerhetsarbetet kan ha anledning att beakta eventuella risker som är kopplade till en tredjepartsleverantör som leverantören är beroende av för att tillhandahålla den samhällsviktiga tjänsten. Däremot innebär kravet på att rapportera incidenter som härrör från en tredjepartsleverantör inte att leverantörer av samhällsviktiga tjänster övertar tredjepartsleverantörens eventuella skyldigheter att vidta säkerhetsåtgärder. Det är också naturligt att leverantörer inte alltid kommer att ha förutsättningar att kunna rapportera närmare detaljer kring en incident som har sitt ursprung hos en tredjepartsleverantör. Flera remissinstanser, bl.a. Netnod, vill att det tydliggörs när rapportering ska ske enligt den nya lagen och enligt andra regelverk. Som framgår av avsnitt 5.4 ska vissa leverantörer av betrodda tjänster, vissa leverantörer av elektroniska kommunikationstjänster och leverantörer som omfattas av krav i annan författning som motsvarar skyldigheterna i den nya lagen inte tillämpa den nya lagen alls. Sådana leverantörer ska således inte rapportera incidenter enligt den nya lagen. Rapporteringskraven i den nya lagen ska inte heller gälla för säkerhetskänslig verksamhet. Incidenter i sådan verksamhet ska även fortsättningsvis rapporteras enligt säkerhetsskyddsregleringen. Vidare ska de nu föreslagna rapporteringskraven inte gälla för leverantörer av digitala tjänster som är mikroföretag eller små företag. I övrigt ersätter inte rapporteringskrav i andra regelverk de krav på incidentrapportering som nu föreslås. Vissa leverantörer kan därför, vilket flera remissinstanser såsom Stockholms läns landsting också påpekar, vara tvungna att rapportera samma incident enligt flera regelverk. Om en leverantör av samhällsviktiga tjänster är osäker på vilket eller vilka regelverk som gäller för en inträffad incident bör berörda tillsynsmyndigheter kontaktas. Råder det tveksamhet om en incident ska rapporteras enligt säkerhetsskyddsregleringen bör leverantören i första hand kontakta Säkerhetspolisen eller Försvarsmakten för vägledning. Om en incident som rör Sveriges säkerhet felaktigt rapporteras enligt den nya lagen bör vidare leverantören uppmärksammas på detta. Regeringen förutsätter att berörda myndigheter kan samverka kring vart och enligt vilket regelverk incidentrapportering ska ske och ser därför inget behov av att, såsom Säkerhetspolisen föreslår, reglera att någon myndighet ska ha tolkningsföreträde i det avseendet. Föreskrifter om vad som avses med en betydande inverkan på kontinuiteten Vid bedömningen av om en incident har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten ska, enligt artikel 14.4 i NIS-direktivet, hänsyn framför allt tas till ett antal angivna faktorer. De faktorer som är av betydelse vid bedömningen är det antal användare som påverkas av störningen i den samhällsviktiga tjänsten, hur länge incidenten varar och hur stort geografiskt område som påverkas av incidenten. Som Göteborgs kommun och Sveriges Kommuner och Landsting påpekar är det viktigt med tydlighet i fråga om vilka incidenter som ska rapporteras. Enligt regeringen kan det därför behövas ytterligare vägledning för att berörda leverantörer ska kunna avgöra om en incident kan anses ha en betydande inverkan på kontinuiteten. Förutom de redan angivna faktorerna bör även sektorsspecifika förhållanden kunna beaktas. Utredningen har föreslagit att bestämmelser som motsvarar artikel 14.4 bör införas i den nya lagen och att andra bestämmelser om vilka faktorer som ska beaktas för att avgöra om en incident har betydande inverkan på kontinuiteten bör meddelas i förordning eller myndighetsföreskrifter. För att inte onödigt tynga den nya lagen med detaljerade bestämmelser anser regeringen dock att samtliga bestämmelser om vilka faktorer som ska beaktas bör meddelas i förordning eller myndighetsföreskrifter. Sådana föreskrifter ska, i enlighet med förslaget i avsnitt 7.2.7, få meddelas av regeringen eller den myndighet som regeringen bestämmer. 7.2.3 Till vilken myndighet ska incidentrapporteringen göras? Regeringens förslag: I den nya lagen ska det anges att incidentrapporteringen ska göras till den myndighet som regeringen bestämmer. Regeringens bedömning: Incidentrapporteringen bör göras till den s.k. CSIRT-enheten. Utredningens förslag stämmer i sak överens med regeringens förslag och bedömning. Utredningen har föreslagit att det i den nya lagen ska anges att incidentrapporteringen ska göras till CSIRT-enheten. Remissinstanserna: Livsmedelsverket anser att rapportering bör ske till både CSIRT-enheten och tillsynsmyndigheten. Flera remissinstanser efterfrågar samordning av incidentrapportering enligt olika regelverk. Skälen för regeringens förslag och bedömning: Enligt artikel 14.3 i NIS-direktivet ska incidentrapporteringen ske till den behöriga myndigheten, dvs. tillsynsmyndigheten, eller CSIRT-enheten. Frågan är därför om leverantörer av samhällsviktiga tjänster ska rapportera till tillsynsmyndigheten eller till CSIRT-enheten. I avsnitt 9.1 gör regeringen bedömningen att det som utgångspunkt ska utses en tillsynsmyndighet för varje sektor. Tillsynsmyndigheterna ska utöva tillsyn över tillämpningen av den nya lagen. Information som framkommer vid en incidentrapportering är ett av de viktigaste verktygen i tillsynsmyndigheternas arbete. Det talar för att rapporteringen ska ske till respektive tillsynsmyndighet. I avsnitt 11.2 gör regeringen bedömningen att MSB som utgångspunkt ska vara CSIRT-enhet (Computer Security Incident Response Team). CSIRT-enhetens uppgifter ska enligt direktivet omfatta bl.a. övervakning av incidenter på nationell nivå, tillhandahållande av tidiga varningar, informationsspridning till relevanta aktörer vid incidenter, åtgärder vid incidenter, tillhandahållande av dynamisk risk- och incidentanalys samt deltagande i CSIRT-nätverket (bilaga 1). CSIRT-nätverket är ett nätverk som har inrättats genom direktivet och som består av företrädare för medlemsstaternas CSIRT-enheter och CERT-EU (incidenthanteringsorganisationen för EU:s institutioner, organ och kontor). MSB deltar för närvarande i nätverket för Sveriges räkning. CSIRT-nätverket ska på olika sätt bidra till utveckling av förtroende och tillit mellan medlemsstaterna och främja ett snabbt och effektivt operativt samarbete (artikel 12.1). Mot bakgrund av CSIRT-enhetens roll och uppdrag när det gäller hantering av incidenter är regeringens bedömning att incidentrapportering enligt den nya lagen bör göras till CSIRT-enheten. För att tillgodose tillsynsmyndigheternas behov av information om incidenter bör det dock i förordning införas bestämmelser om att CSIRT-enheten ska överlämna information om incidenter till den tillsynsmyndighet som utövar tillsyn över den rapporterande leverantören, se avsnitt 11.2. Rapporteringen bör inte, som Livsmedelsverket förespråkar, ske även till tillsynsmyndigheten eftersom det skulle innebära att fler myndigheter behöver ta fram och bekosta sådan infrastruktur som behövs för att på ett lämpligt sätt kunna ta emot incidentrapporter. Uttrycket CSIRT-enheten bör inte användas i lagtext. I den nya lagen ska därför anges att rapporteringen ska ske till den myndighet som regeringen bestämmer. Flera remissinstanser, såsom Stockholms läns landsting, Svenska bankföreningen och Sveriges Kommuner och Landsting, efterfrågar samordning av incidentrapportering enligt olika regelverk. Sveriges Kommuner och Landsting menar exempelvis att en myndighet borde ta emot incidentrapporter enligt flera regelverk och sedan skicka vidare till andra berörda myndigheter. Regeringen instämmer i att det - i den mån det är möjligt - kan finnas fördelar med att samordna rapportering enligt olika regelverk. Det finns dock inte beredningsunderlag för att genomföra en sådan samordning som remissinstanserna efterfrågar inom ramen för detta lagstiftningsärende. 7.2.4 När i tiden ska leverantörer rapportera incidenter? Regeringens förslag: Rapporteringen ska göras utan onödigt dröjsmål. Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Energigas Sverige och Swedegas AB tillstyrker förslaget. Nasdaq Stockholm AB anser att det bör klargöras vad som menas med utan onödigt dröjsmål. Bodens kommun och Luleå kommun anser att det bör sättas en bestämd tidsgräns för när rapportering ska ske. Skälen för regeringens förslag: Enligt artikel 14.3 i NIS-direktivet ska rapportering av incidenter ske utan onödigt dröjsmål. I den nya lagen bör det införas en motsvarande bestämmelse. Nasdaq Stockholm AB anser att det bör klargöras vad som menas med utan onödigt dröjsmål. Någon närmare precisering anges inte i direktivet. Att CSIRT-enheten ska underrättas utan onödigt dröjsmål när en incident som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten har inträffat bör dock innebära att den berörda leverantören ska rapportera så snart de uppgifter som ska lämnas finns tillgängliga. Mot bakgrund av direktivets syfte att säkerställa kontinuiteten i de samhällsviktiga tjänsterna är det dock inte rimligt att leverantören, för att fullgöra sin rapporteringsskyldighet, tvingas att prioritera ned arbetet med att hantera den inträffade incidenten. Rapporteringen bör därför ske efter att de första kritiska åtgärderna för att avhjälpa incidenten har vidtagits. Om en incident påverkar fler leverantörer eller om en incident är gränsöverskridande bör dock rapporteringen ske snarast för att konsekvenserna ska kunna begränsas. Med hänsyn till att innebörden av utan onödigt dröjsmål kan variera kraftigt bör någon absolut tidsgräns - såsom Bodens kommun och Luleå kommun efterfrågar - inte införas i den nya lagen. Närmare bestämmelser om när i tiden rapportering ska ske kan meddelas av regeringen eller den myndighet som regeringen bestämmer. 7.2.5 Vilken information ska en incidentrapport innehålla? Regeringens bedömning: Bestämmelser om vilken information en incidentrapport ska innehålla bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer delvis överens med regeringens bedömning. Utredningen har föreslagit att vissa bestämmelser om vilken information som en incidentrapport ska innehålla ska tas in i den nya lagen. Vidare har utredningen föreslagit att det i den nya lagen ska införas en bestämmelse om att incidentrapportering inte ska medföra ökat ansvar för den rapporterande parten. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens bedömning: Enligt artikel 14.3 i NIS-direktivet ska en incidentrapport innehålla uppgifter som gör det möjligt för CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar. Några andra uttryckliga krav på vad en incidentrapport ska innehålla ställs inte i NIS-direktivet. För att uppfylla syftet med incidentrapporteringen bör dock en rapport innehålla information som gör att tillsynsmyndigheterna och den nationella kontaktpunkten kan fullgöra sina uppgifter, se avsnitt 9.2 och 11.1. Det innebär att en incidentrapport behöver innehålla bl.a. en beskrivning av incidenten och de åtgärder som har vidtagits för att hantera den. Utredningen har föreslagit att kravet på att incidentrapporter ska innehålla information som gör det möjligt för CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar bör meddelas i lag och att andra bestämmelser om t.ex. vad rapporterna ska innehålla och de närmare formerna för rapporteringen ska meddelas i förordning eller myndighetsföreskrifter. Regeringen anser emellertid att det är lämpligare att meddela samtliga sådana bestämmelser i förordning eller myndighetsföreskrifter. I avsnitt 7.2.7 föreslår regeringen ett bemyndigande om att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om incidentrapportering. I artikel 14.3 anges vidare att incidentrapportering inte ska medföra ett utökat ansvar för den rapporterande parten, dvs. ett ansvar utöver det som följer av NIS-direktivet. Det innebär bl.a. att det inte går att ställa krav på leverantören att utreda händelsen åt CSIRT-enheten. Utredningen har föreslagit en uttrycklig bestämmelse om att incidentrapporteringen inte får medföra utökat ansvar för den rapporterande parten. Regeringen anser emellertid att en sådan bestämmelse är obehövlig eftersom de av regeringen ovan föreslagna bestämmelserna om incidentrapportering inte innebär att den rapporterande parten åläggs ett ansvar utöver det som följer av NIS-direktivet. Med andra ord uppfyller den nya lagen även utan en sådan bestämmelse som utredningen har föreslagit kraven i artikel 14.3. 7.2.6 Frivillig rapportering av incidenter Regeringens bedömning: Bestämmelser om frivillig rapportering av incidenter bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer i sak överens med regeringens bedömning. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens bedömning: Enligt artikel 20 i NIS-direktivet ska leverantörer som inte har identifierats som leverantörer av samhällsviktiga tjänster och som inte är leverantörer av digitala tjänster ges möjlighet att på frivillig grund rapportera incidenter som har en betydande inverkan på kontinuiteten i de tjänster som de tillhandahåller. Vid behandlingen av sådana rapporter ska medlemsstaterna enligt samma artikel agera i enlighet med det förfarande som fastställs för incidentrapportering för leverantörer av samhällsviktiga tjänster. Medlemsstaterna får ge behandling av obligatoriska rapporter företräde framför behandling av frivilliga rapporter. Bestämmelser om frivillig rapportering av incidenter bör enligt regeringens bedömning meddelas i förordning eller myndighetsföreskrifter. 7.2.7 Bemyndigande Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster för att uppfylla kravet på incidentrapportering. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag: Utöver de övergripande bestämmelser om skyldigheten för leverantörer av samhällsviktiga tjänster att rapportera incidenter som regeringen föreslår, krävs det ytterligare föreskrifter om vad skyldigheten innebär. Regeringen bedömer att det utöver verkställighetsföreskrifter, såsom närmare bestämmelser om när i tiden incidentrapportering ska ske och de närmare formerna för rapporteringen, finns behov av ett bemyndigande när det gäller t.ex. vilka faktorer som ska beaktas vid bedömningen av om en incident ska rapporteras, se avsnitt 7.2.2. Sådana föreskrifter avses nämligen mer i detalj specificera skyldigheten att rapporterna en incident som har en betydande inverkan. Den som inte fullgör skyldigheten kan dessutom bli skyldig att betala en sanktionsavgift. Mot denna bakgrund bör den nya lagen innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om skyldigheten för leverantörer av samhällsviktiga tjänster att rapportera incidenter. Det bör poängteras att den samarbetsgrupp som inrättats genom NIS-direktivet får utarbeta och anta riktlinjer om under vilka omständigheter som leverantörer av samhällsviktiga tjänster ska rapportera incidenter (artikel 14.7). I den utsträckning samarbetsgruppen utarbetar och antar sådana riktlinjer bör dessa beaktas i föreskriftsarbetet. 8 Säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster Enligt NIS-direktivet ska medlemsstaterna säkerställa att leverantörer av digitala tjänster vidtar vissa säkerhetsåtgärder och att de rapporterar incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten. Leverantörer av digitala tjänster omfattas i dag inte av någon nationell lagstiftning motsvarande bestämmelserna i direktivet. Det måste därför införas bestämmelser med krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster i den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. NIS-direktivets krav på säkerhetsåtgärder och incidentrapportering är i viss mån mer begränsade för leverantörer av digitala tjänster än för leverantörer av samhällsviktiga tjänster. Anledningen till skillnaden är enligt skälen till direktivet att risken för samhällspåverkan i praktiken är lägre för leverantörer av digitala tjänster än för leverantörer av samhällsviktiga tjänster (skäl 49). Medlemsstaterna får enligt artikel 16.10 i NIS-direktivet inte heller införa ytterligare säkerhets- eller rapporteringskrav för leverantörer av digitala tjänster utöver de som anges i direktivet. Kraven på leverantörer av digitala tjänster att vidta säkerhetsåtgärder och att rapportera incidenter har i enlighet med artikel 16.8 specificerats i kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för NIS-direktivet, kallad genomförandeförordningen. Kommissionen får enligt artikel 16.9 också anta genomförandeakter för att reglera format och förfaranden för incidentrapporteringen. 8.1 Säkerhetsåtgärder Regeringens förslag: Leverantörer av digitala tjänster ska vidta de tekniska och organisatoriska åtgärder som de anser ändamålsenliga och proportionella och som hanterar risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller digitala tjänster inom EU. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder. Skyldigheten gäller endast i förhållande till verkningar som sådana incidenter har på digitala tjänster som leverantören erbjuder inom EU. Syftet med åtgärderna ska vara att säkerställa kontinuiteten i tjänsterna. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om kraven på tekniska och organisatoriska åtgärder och incidenthantering. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen inte föreslagit något bemyndigande. Remissinstanserna: Endast Stockholms universitet har yttrat sig, och tillstyrker förslaget. Skälen för regeringens förslag Tekniska och organisatoriska åtgärder Enligt artikel 16.1 i NIS-direktivet ska leverantörer av digitala tjänster utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller digitala tjänster inom EU. Åtgärderna ska, med beaktande av den senaste tekniska utvecklingen, säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till a) säkerheten i system och anläggningar b) incidenthantering c) hantering av driftskontinuitet d) övervakning, revision och testning e) efterlevnad av internationella standarder. Faktorerna som anges i artikel 16.1 a-e specificeras i artikel 2 i genomförandeförordningen. Leverantörer av digitala tjänster ska alltså vidta tekniska och organisatoriska säkerhetsåtgärder. Vad som avses med begreppet tekniska och organisatoriska åtgärder behandlas i avsnitt 7.1.4. Åtgärderna ska hantera säkerhetsrisker i nätverk och informationssystem och säkerställa en nivå på säkerheten som är lämplig i förhållande till den föreliggande risken. Vad som avses med uttrycken säkerhet i nätverk och informationssystem och risk behandlas också i avsnitt 7.1.4. En bestämmelse som motsvarar artikel 16.1 bör införas i den nya lagen. Leverantörens skyldighet omfattar åtgärder för nätverk och informationssystem som leverantören använder vid tillhandahållet av digitala tjänster inom EU. Det innebär bl.a. att säkerhetskraven gäller oavsett om leverantören sköter underhållet av sina nätverk och informationssystem internt eller lägger ut uppgifterna på entreprenad (skäl 52). Till skillnad från vad som gäller för leverantörer av samhällsviktiga tjänster anges i direktivet att leverantörer av digitala tjänster ska "utarbeta" ändamålsenliga och proportionella tekniska och organisatoriska åtgärder. Det innebär bl.a. att medlemsstaterna inte får reglera närmare på vilket sätt säkerhetsarbetet ska bedrivas. Vidare innebär det att leverantören avgör vilka tekniska och organisatoriska åtgärder som är ändamålsenliga och proportionella, dvs. vilka konkreta åtgärder som ska vidtas, under förutsättning att åtgärderna hanterar säkerhetsrisker och, med beaktande av de särskilt angivna faktorerna, säkerställer en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken (skäl 49). Bestämmelsen i den nya lagen bör utformas på ett sätt som klargör detta. Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska enligt NIS-direktivet hänsyn tas till den senaste tekniska utvecklingen. Det innebär att leverantören ska beakta samtliga tekniska lösningar som vid var tid finns tillgängliga på marknaden. I enlighet med bedömningen i avsnitt 7.1.4, avseende motsvarande krav på leverantörer av samhällsviktiga tjänster, behöver kravet på att beakta den tekniska utvecklingen enligt regeringens mening inte uttryckas i den nya lagen, utan ingår i att säkerhetsåtgärderna ska uppnå en lämplig säkerhetsnivå. När det gäller de övriga uttryckliga faktorerna som leverantörerna ska beakta, som anges i artikel 16.1 a-e, anser regeringen - till skillnad från utredningen - att de bör meddelas i förordning eller myndighetsföreskrifter. Anledningen till det är att den nya lagen inte bör tyngas med alltför många detaljföreskrifter. Incidenthantering Enligt artikel 16.2 i NIS-direktivet ska leverantörer av digitala tjänster vidta åtgärder för att förebygga och minimera den inverkan som incidenter som påverkar säkerheten i deras nätverk och informationssystem har på de digitala tjänster som erbjuds inom unionen, i syfte att säkerställa kontinuiteten i dessa tjänster. En bestämmelse som motsvarar artikel 16.2 bör införas i den nya lagen. Det innebär att leverantörer av digitala tjänster ska vidta åtgärder för att förebygga den inverkan som potentiella incidenter har och för att begränsa en inträffad incidents inverkan, i syfte att säkerställa kontinuiteten i de tillhandahållna tjänsterna. Skyldigheten gäller endast åtgärder som motverkar incidenters verkningar på digitala tjänster som leverantören erbjuder inom EU. Om en leverantör av digitala tjänster t.ex. tillhandahåller molntjänster till användare över hela världen, gäller skyldigheten således endast åtgärder som motverkar sådan inverkan som en incident har eller kan ha på molntjänster som erbjuds inom EU. Bemyndigande Som framgår ovan bör de övriga uttryckliga faktorerna som leverantörer av digitala tjänster enligt artikel 16.1 a-e ska beakta vid utformningen av tekniska och organisatoriska åtgärder meddelas i förordning eller myndighetsföreskrifter. Det kan även behövas ytterligare föreskrifter om kravet på incidenthantering. I likhet med regeringens bedömning i avsnitt 7.1.6 beträffande motsvarande krav på samhällsviktiga tjänster, anser regeringen att det behövs ett bemyndigande i den nya lagen om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tekniska och organisatoriska åtgärder och incidenthantering. 8.2 Incidentrapportering Regeringens förslag: Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom EU. I den nya lagen ska det anges att incidentrapporteringen ska göras till den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vad som krävs av leverantörer av digitala tjänster för att uppfylla kravet på incidentrapportering. Regeringens bedömning: Incidentrapporteringen bör göras till den s.k. CSIRT-enheten. Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har till skillnad från regeringen föreslagit att vissa faktorer som ska beaktas för att bedöma om en incident har en avsevärd inverkan på tillhandahållandet av en digital tjänst ska regleras i den nya lagen. Utredningen har även föreslagit att det i den nya lagen ska anges att incidentrapporteringen ska göras till CSIRT-enheten och att rapporteringen inte ska medföra ett ökat ansvar för den rapporterande parten. Vidare har utredningen föreslagit att vissa bestämmelser om vilken information som en incidentrapport ska innehålla ska tas in i den nya lagen. Utredningen har dessutom inte föreslagit något bemyndigande. Remissinstanserna: Stockholms universitet tillstyrker förslaget. Försvarsmakten och Säkerhets- och försvarsföretagen anser att leverantörer av digitala tjänster bör åläggas att rapportera fler incidenter än vad som krävs enligt NIS-direktivet. Skälen för regeringens förslag och bedömning Vilka incidenter ska rapporteras? I artikel 16.3 i NIS-direktivet stadgas att leverantörer av digitala tjänster ska rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom unionen. Försvarsmakten anser att leverantörer av digitala tjänster även bör rapportera incidenter som endast riskerar att påverka tillhandahållandet av en digital tjänst. Säkerhets- och försvarsföretagen är av uppfattningen att leverantörer av digitala tjänster bör ha samma krav på att incidentrapportera som leverantörer av samhällsviktiga tjänster. Enligt artikel 16.10 i NIS-direktivet får medlemsstaterna inte införa ytterligare säkerhets- eller rapporteringskrav för leverantörer av digitala tjänster än vad som anges i direktivet. En bestämmelse som motsvarar artikel 16.3 i direktivet bör därför införas i den nya lagen. För att fastställa om en incident har en avsevärd inverkan ska, enligt artikel 16.4 i NIS-direktivet, hänsyn framför allt tas till vissa angivna faktorer, bl.a. det antal användare som påverkas av incidenten, hur länge incidenten varar, hur stort geografiskt område som påverkas och i vilken utsträckning incidenten inverkar på den ekonomiska och samhälleliga verksamheten. Skyldigheten att rapportera incidenter gäller enligt artikel 16.4 endast om leverantören har tillgång till den information som behövs för att bedöma en incidents verkningar mot bakgrund av de angivna faktorerna. Faktorerna som ska beaktas vid bedömningen av vad som utgör en avsevärd inverkan specificeras i artikel 3 i genomförandeförordningen. I artikel 4 i genomförandeförordningen anges vidare ett antal situationer då en incident ska anses ha en avsevärd inverkan, t.ex. när incidenten gör att den digitala tjänst som tillhandahålls är otillgänglig under mer än 5 000 000 användartimmar eller när incidenten orsakar materiella skador som uppgår till över 1 000 000 euro. Utredningen har föreslagit att bestämmelser som motsvarar artikel 16.4 ska införas i den nya lagen. För att inte tynga den nya lagen med alltför många detaljföreskrifter anser regeringen dock att sådana bestämmelser bör meddelas i förordning eller myndighetsföreskrifter. Till vilken myndighet ska incidentrapporteringen göras? Enligt artikel 16.3 i NIS-direktivet ska leverantörer av digitala tjänster rapportera incidenter till tillsynsmyndigheten eller CSIRT-enheten. Rapporteringen bör, i enlighet med förslaget i avsnitt 7.2.3 om incidentrapportering när det gäller leverantörer av samhällsviktiga tjänster, göras till CSIRT-enheten. Uttrycket CSIRT-enheten bör inte användas i lagtext. I den nya lagen ska därför anges att rapporteringen ska göras till den myndighet som regeringen bestämmer. När i tiden ska leverantörer rapportera incidenter? Enligt artikel 16.3 i NIS-direktivet ska rapportering av incidenter ske utan onödigt dröjsmål. Med hänsyn till att innebörden av uttrycket utan onödigt dröjsmål kan variera kraftigt bör någon fast tidsgräns inte införas i den nya lagen. I den nya lagen bör följaktligen anges att rapportering ska ske utan onödigt dröjsmål. Vilken information ska en incidentrapport innehålla? Artikel 16.3 i NIS-direktivet stadgar att en incidentrapport ska innehålla information som gör det möjligt för den behöriga myndigheten eller CSIRT-enheten att fastställa vilken betydelse eventuell gränsöverskridande inverkan har. Utredningen har föreslagit att det i den nya lagen ska införas en bestämmelse om att incidentrapporter ska innehålla sådan information och att andra bestämmelser om vad rapporterna ska innehålla och om de närmare formerna för rapporteringen ska meddelas i förordning eller myndighetsföreskrifter. Liksom beträffande leverantörer av samhällsviktiga tjänster, se avsnitt 7.2.5, anser regeringen att bestämmelser om vilken information som rapporterna ska innehålla och om de närmare formerna för fullgörandet av skyldigheten att rapportera incidenter, bör meddelas i förordning eller myndighetsföreskrifter. I artikel 16.3 stadgas vidare att rapportering inte ska medföra ökat ansvar för den rapporterande parten, dvs. ett ansvar utöver vad som följer av NIS-direktivet. Utredningen har föreslagit en uttrycklig bestämmelse om att incidentrapporteringen inte får medföra ökat ansvar för den rapporterande parten. Regeringen anser emellertid inte att en sådan bestämmelse behövs eftersom de föreslagna bestämmelserna om incidentrapportering inte innebär att den rapporterande parten åläggs ett ansvar utöver det som följer av NIS-direktivet. Ytterligare föreskrifter om incidentrapportering Utöver de övergripande bestämmelser om skyldigheten att rapportera incidenter som regeringen föreslår, krävs det ytterligare bestämmelser om vad skyldigheten innebär. Föreskrifter med sådant innehåll kan till viss del meddelas av regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen. Det gäller t.ex. föreskrifter om de närmare formerna för rapporteringen. Till skillnad från utredningen anser regeringens dock även att det finns behov av föreskrifter som går utöver denna normgivningskompetens. Exempelvis behövs ett bemyndigande när det gäller bestämmelser motsvarande artikel 16.4 i NIS-direktivet om vilka faktorer som ska beaktas vid bedömningen av om en incident ska rapporteras och om begränsningar i skyldigheten att rapportera med hänsyn till den information som en leverantör har tillgång till. Bestämmelser om vilka faktorer som ska beaktas bör inte meddelas med stöd av 8 kap. 7 § regeringsformen eftersom de mer i detalj kommer att specificera skyldigheten för leverantörer att rapportera en incident som har en avsevärd inverkan. Den som inte fullgör skyldigheten att rapportera incidenter kan dessutom bli skyldig att betala en sanktionsavgift. Föreskrifter om begränsningar av skyldigheten att rapportera med hänsyn till den information som en leverantör har tillgång till bör inte meddelas med stöd av 8 kap. 7 § eftersom sådana föreskrifter kan innebära en begränsning av en lagstadgad skyldighet. Mot denna bakgrund bör den nya lagen innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om skyldigheten för leverantörer av digitala tjänster att rapportera incidenter. 9 Tillsyn 9.1 Tillsynens övergripande utformning Regeringens förslag: Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Regeringens bedömning: Bestämmelser om vilken eller vilka myndigheter som ska vara tillsynsmyndighet bör meddelas i förordning. Utredningens förslag stämmer i sak överens med regeringens förslag och bedömning. Remissinstanserna: Ingen remissinstans uttalar sig om förslaget att regeringen ska utse vilken eller vilka myndigheter som ska vara tillsynsmyndighet. Flera remissinstanser har emellertid synpunkter på om regeringen bör utse en eller flera tillsynsmyndigheter. Svea hovrätt har synpunkter på lagbestämmelsens utformning. Skälen för regeringens förslag och bedömning Utgångspunkten är en tillsynsmyndighet för varje sektor Varje medlemsstat ska enligt artikel 8.1 och 8.2 i NIS-direktivet utse en eller flera myndigheter som ska övervaka tillämpningen av direktivet på nationell nivå. I skälen till direktivet anges att medlemsstaterna vid behov bör kunna använda eller anpassa befintliga organisationsstrukturer vid tillämpningen av direktivet (skäl 37). NIS-direktivet omfattar tre typer av leverantörer av digitala tjänster och leverantörer av samhällsviktiga tjänster inom sju olika sektorer. I detta avsnitt benämns för enkelhetens skull även de tre typerna av digitala tjänster som en sektor. Det finns i dag flera olika system för tillsyn inom de sektorer som omfattas av NIS-direktivet. Verksamheterna inom sektorerna har i många fall flera olika tillsynsmyndigheter att förhålla sig till. I de flesta fall avser tillsynen inte säkerhet i nätverk och informationssystem. Vid genomförandet av NIS-direktivets bestämmelser om tillsyn bör man utgå från de förutsättningar som gäller för det specifika tillsynsområdet. Det går inte att bortse ifrån att många tillsynsområden har väsentligen olika förutsättningar som påverkar hur tillsynsregelverket bör utformas för en ändamålsenlig och effektiv tillsyn. NIS-direktivet omfattar verksamheter av vitt skilda slag, såsom vårdgivare, kreditinstitut och registreringsenheter för toppdomäner. Detta talar för att ha olika tillsynsmyndigheter för respektive sektor. Ett system med en tillsynsmyndighet per sektor har vidare fördelen att sådana tillsynsmyndigheter har kunskap om verksamhet i sektorn. Verksamhetskunskap är av betydelse t.ex. för vilka säkerhetsåtgärder som är lämpliga att vidta. Vidare minskar verksamhetskunskap risken för att de krav på säkerhetsåtgärder som finns i olika regelverk kommer att motverka varandra. Inom de olika sektorerna finns dessutom stora skillnader i omfattning och utformning av det regelverk som tillsynen utövas utifrån. I dag saknas reglering avseende informationssäkerhet i vissa fall och i andra fall finns tydliga EU-rättsakter på området. Även om den nu föreslagna lagstiftningen utformas på ett enhetligt sätt kommer kraven på säkerhetsåtgärder och incidentrapportering inom de olika sektorerna att se olika ut beroende på vilken verksamhet som regleras, vilket också kommer att påverka utformningen av tillsynen. Även detta talar för att utse en tillsynsmyndighet för varje sektor. Det som främst talar för att utse en tillsynsmyndighet för samtliga sektorer är, såsom flera remissinstanser påpekar, att tillsyn när det gäller säkerhet i nätverk och informationssystem kräver särskild kunskap. Det finns i dag inte myndigheter inom alla sektorer med sådan kompetens som krävs. Flera remissinstanser, däribland Advenica, Inspektionen för vård och omsorg, Kiruna kommun och Sveriges advokatsamfund, föreslår också med hänsyn till detta att det endast utses en tillsynsmyndighet för samtliga sektorer. Regeringen anser emellertid att det inom de nu berörda sektorerna är viktigt att höja kompetensen när det gäller informationssäkerhet. Det är därför inte orimligt att kräva att tillsynsmyndigheterna skaffar den kompetens som krävs. Med hänsyn särskilt till de skilda förhållanden som råder inom sektorerna och att förutsättningarna för en effektiv tillsyn förbättras om tillsynsmyndigheten har kunskap om den verksamhet som är föremål för tillsynen och om annan närliggande reglering, anser regeringen att utgångspunkten för tillsynens utformning bör vara att det ska finnas en tillsynsmyndighet för varje sektor. Ett sådant tillsynssystem bidrar enligt regeringen till en ändamålsenlig tillsyn som höjer nivån på säkerheten i nätverk och informationssystem. Flera remissinstanser, såsom Energigas Sverige, Förvaltningsrätten i Stockholm, Statskontoret, Stiftelsen för internetinfrastruktur, Svea hovrätt, Swedegas AB och Sveriges Kommuner och Landsting, delar denna uppfattning. Bestämmelser om vilken eller vilka myndigheter som ska vara tillsynsmyndighet bör meddelas i förordning. Det möjliggör för regeringen att kunna ändra både antalet tillsynsmyndigheter och vilka myndigheter som ska utses. I den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster bör det därför endast införas en bestämmelse om att den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Svea hovrätt anser att lagbestämmelsen bör utformas i plural, dvs. att de myndigheter som regeringen bestämmer ska vara nationell behörig myndighet, med hänsyn till att tanken är att flera tillsynsmyndigheter ska utses. Den föreslagna skrivningen i singular innebär emellertid att regeringen kan utse en eller flera tillsynsmyndigheter. Med hänsyn till det anser regeringen inte att det finns skäl att utforma bestämmelsen på något annat sätt än vad utredningen har föreslagit. Samordning mellan tillsynsmyndigheterna Mot bakgrund av att tanken är att utse flera tillsynsmyndigheter och att kunskapen om informationssäkerhet i nätverk och informationssystem ibland är låg, anser flera remissinstanser, såsom Kungliga tekniska högskolan, Malmö kommun, SJ AB, SME-D, Swedish Association of Civil Security, Sveriges Kommuner och Landsting och Trafikverket, att det finns ett stort behov av samordning mellan tillsynsmyndigheterna. Utredningen har föreslagit att Myndigheten för samhällsskydd och beredskap (MSB) inom ramen för sitt nuvarande uppdrag ska leda ett samarbetsforum där samtliga tillsynsmyndigheter ingår. I uppdraget att leda samarbetsforumet bör enligt utredningen ingå att uppmärksamma frågor kring tillsynsmetoder och annat som forumet finner viktigt att samordna när det gäller säkerhet i nätverk och informationssystem. Forumet kan enligt utredningen också t.ex. identifiera behovet av vägledningar och diskutera gemensamma frågor om föreskrifter, säkerhetsåtgärder och incidentrapporter. Vidare anser utredningen att MSB inom ramen för forumet bör tillhandahålla metodstöd i syfte att tillsynsmyndigheterna så långt det är möjligt ska använda samma tillsynsmetoder. Utredningen har inte ansett att uppdraget ska författningsregleras. Flera remissinstanser, t.ex. Advenica, E-hälsomyndigheten, MSB, Statskontoret, Stiftelsen för internetinfrastruktur och Säkerhets- och försvarsföretagen, anser att ett sådant samarbetsforum som utredningen har föreslagit är viktigt för en effektiv och enhetlig tillsyn. För att samarbetsforumet ska fungera anser MSB att det är väsentligt att myndigheten ges ett tydligt uppdrag att leda och inrikta arbetet samt att det i respektive tillsynsmyndighets instruktion införs krav på deltagande. Som remissinstanserna anför kan samordning i någon form vara viktigt för en effektiv och enhetlig tillsyn. En brist på samordning kan i förlängningen leda till en ojämn nivå på informationssäkerheten i samhället. För att säkerställa att syftet med NIS-direktivet uppfylls, dvs. en hög gemensam nivå på säkerheten i nätverk och informationssystem, bör det i det fortsatta förordningsarbetet övervägas om och i så fall hur samordningen bör regleras. 9.2 Tillsynsmyndighetens uppdrag Regeringens förslag: Tillsynsmyndigheten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs. Tillsynsåtgärder i förhållande till leverantörer av digitala tjänster ska få vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en sådan leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer. Regeringens bedömning: Bestämmelser om att tillsynsmyndigheten i vissa fall ska samarbeta med tillsynsmyndigheter i andra medlemsstater och Datainspektionen samt lämna stöd till Sveriges representant i den samarbetsgrupp som inrättats genom NIS-direktivet bör meddelas i förordning. Utredningens förslag stämmer i huvudsak överens med regeringens förslag och bedömning. Utredningen har föreslagit att tillsynsåtgärder i förhållande till leverantörer av digitala tjänster ska få vidtas endast när tillsynsmyndigheten har fått kännedom om att leverantören inte uppfyller den nya lagens krav. Remissinstanserna: Säkerhetspolisen anser inte att tillsynsuppdraget beträffande leverantörer av digitala tjänster bör vara mer begränsat än uppdraget för leverantörer av samhällsviktiga tjänster. Skälen för regeringens förslag och bedömning Tillsyn över att den nya lagen följs Enligt artikel 8.2 i NIS-direktivet ska den eller de tillsynsmyndigheter som en medlemsstat har utsett övervaka tillämpningen av direktivet på nationell nivå. En bestämmelse om att tillsynsmyndigheteten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs bör därför införas. Det innebär bl.a. att tillsynsmyndigheten ska utöva tillsyn över att leverantörer uppfyller kraven på säkerhetsåtgärder och incidentrapportering. När det gäller tillsyn över leverantörer av digitala tjänster ska tillsynsmyndigheten enligt NIS-direktivet inte ha någon allmän skyldighet att utöva tillsyn. Medlemsstaterna ska i stället enligt artikel 17 säkerställa att tillsynsmyndigheterna vid behov vidtar åtgärder genom tillsynsåtgärder i efterhand, när de har mottagit bevis på att en leverantör av digitala tjänster inte uppfyller kraven i NIS-direktivet. Bakgrunden till skillnaderna i tillsynsuppdragen enligt NIS-direktivet är enligt skälen att leverantörer av digitala tjänster bör omfattas av mindre ingripande, reaktiv efterhandstillsyn som är anpassad till deras tjänsters och verksamheters art (skäl 60). Säkerhetspolisen anser inte att tillsynsuppdraget avseende leverantörer av digitala tjänster ska begränsas i enlighet med direktivet, utan att tillsynsmyndigheten ska ha ett allmänt tillsynsuppdrag även när det gäller sådana leverantörer. Regeringen anser inte att det i nuläget finns skäl att frångå direktivet i detta avseende. En bestämmelse som motsvarar artikel 17 bör därför införas i den nya lagen. Utredningen har föreslagit att tillsynsmyndigheten måste ha fått kännedom om en överträdelse innan den får vidta tillsynsåtgärder. Enligt regeringens uppfattning bör det dock inte krävas full vetskap om en överträdelse för att tillsynsmyndigheten ska få vidta tillsynsåtgärder. Regeringen anser att bestämmelsen, för att motsvara artikel 17, bör utformas på så sätt att tillsynsåtgärder i förhållande till leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att leverantören inte uppfyller de krav som lagen ställer. Det innebär att tillsynsmyndigheten måste ha uppgifter som ger stöd för att en leverantör inte följer den nya lagen. Sådana uppgifter kan tillsynsmyndigheten få t.ex. av leverantören av digitala tjänster själv, från en annan tillsynsmyndighet eller från en tjänsteanvändare, särskilt efter en incident. Även incidentrapporteringen kan innehålla information som gör att tillsynsmyndigheten har befogad anledning att anta att den nya lagen inte följs. Samarbete på nationell nivå I NIS-direktivet finns vissa krav på att tillsynsmyndigheterna ska samarbeta med andra nationella aktörer. Enligt artikel 8.6 i NIS-direktivet ska tillsynsmyndigheterna, när så är lämpligt och i överensstämmelse med nationell rätt, samråda och samarbeta med dataskyddsmyndigheterna. I artikel 15.4 finns dessutom ett krav på samarbete med dataskyddsmyndigheterna när tillsynsmyndigheterna åtgärdar incidenter som medför personuppgiftsincidenter. Bakgrunden till båda kraven om samarbete med dataskyddsmyndigheterna är att säkerheten för personuppgifter ofta undergrävs till följd av incidenter (skäl 63). För att genomföra direktivet i dessa delar anser regeringen att det i förordning bör införas bestämmelser om att tillsynsmyndigheten ska samarbeta med Datainspektionen när den handlägger incidenter som också utgör personuppgiftsincidenter. Vidare finns det anledning att införa krav på tillsynsmyndigheten att samverka med Datainspektionen innan den utfärdar förelägganden. Den frågan behandlas i avsnitt 10.2. Enligt artikel 8.5 i NIS-direktivet ska medlemsstaterna se till att företrädarna i den samarbetsgrupp som inrättats genom direktivet, se avsnitt 11.3, samarbetar på ett effektivt och säkert sätt. Regeringen anser därför att det i förordning bör införas bestämmelser om att tillsynsmyndigheten ska ha i uppgift att lämna stöd till Sveriges representant i samarbetsgruppen, dvs. MSB. I artikel 8.6 stadgas vidare att tillsynsmyndigheterna när så är lämpligt och i överensstämmelse med nationell rätt, ska samråda och samarbeta med de relevanta nationella rättsvårdande myndigheterna. Dessutom ska de, enligt artikel 10.1, samarbeta med CSIRT-enheterna när det gäller fullgörandet av NIS-direktivet. Skyldigheter motsvarande artiklarna 8.6 och 10.1 finns redan genom ett generellt krav på myndigheters samverkan i förvaltningslagen (2017:900). Enligt 8 § förvaltningslagen ska en myndighet inom sitt verksamhetsområde samverka med andra myndigheter. Regeringens uppfattning är mot den bakgrunden att det inte behöver införas bestämmelser i svensk rätt för att genomföra artiklarna 8.6 och 10.1 i NIS-direktivet. Samarbete med tillsynsmyndigheter i andra medlemsstater när det gäller leverantörer av digitala tjänster I artikel 17.3 i NIS-direktivet finns krav på att tillsynsmyndigheter i olika medlemsstater ska ha ett visst samarbete i fråga om leverantörer av digitala tjänster. Det gäller när en leverantör av digitala tjänster har sitt huvudsakliga etableringsställe eller en företrädare i en medlemsstat, men dess nätverk och informationssystem är belägna i en eller flera andra medlemsstater. Tillsynsmyndigheten i den medlemsstat där det huvudsakliga etableringsstället eller företrädaren finns och tillsynsmyndigheterna i dessa andra medlemsstater ska då samarbeta och vid behov bistå varandra. Detta bistånd och samarbete kan bl.a. omfatta informationsutbyte mellan tillsynsmyndigheterna och begäran om att leverantören av digitala tjänster ska tillhandahålla information eller åtgärda underlåtenhet att incidentrapportera. Tillsynsmyndighetens uppgift i detta avseende bör regleras i förordning. 9.3 Tillsynsmyndighetens undersökningsbefogenheter I detta avsnitt behandlas befogenheter som tillsynsmyndigheten ska ha för att kunna utöva en effektiv tillsyn, närmare bestämt rätt att få information och tillträde till lokaler, samt åtgärder som tillsynsmyndigheten ska kunna vidta om leverantören inte samarbetar. Tillsynsmyndighetens befogenheter att besluta om åtgärdsförelägganden och sanktionsavgift vid överträdelse av den nya lagens bestämmelser behandlas i avsnitt 10. 9.3.1 Tillgång till information Regeringens förslag: Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen. Regeringens bedömning: Närmare bestämmelser om vilken information som leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster ska vara skyldiga att tillhandahålla tillsynsmyndigheten bör meddelas i förordning eller myndighetsföreskrifter. Utredningens förslag stämmer i sak överens med regeringens förslag och bedömning. Utredningen har föreslagit att närmare bestämmelser om vilken information som leverantörer ska tillhandahålla tillsynsmyndigheten ska införas i den nya lagen. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag och bedömning: Enligt artikel 15.2 i NIS-direktivet ska tillsynsmyndigheterna ha de befogenheter och medel som krävs för att ålägga leverantörer av samhällsviktiga tjänster att tillhandahålla a) den information som är nödvändig för att bedöma säkerheten i deras nätverk och informationssystem, inbegripet dokumenterade säkerhetsprinciper, b) bevis för ett effektivt genomförande av säkerhetsprinciper, såsom resultaten av en säkerhetsrevision utförd av tillsynsmyndigheten eller en auktoriserad revisor och, i det senare fallet, att ge tillsynsmyndigheten tillgång till resultaten, inklusive de underliggande bevisen. När tillsynsmyndigheten begär sådan information eller sådana bevis ska den enligt samma artikel uppge syftet med begäran och precisera vilken information som krävs. Beträffande leverantörer av digitala tjänster ska de behöriga myndigheterna, enligt artikel 17.2 a i NIS-direktivet, ha de befogenheter och medel som krävs för att ålägga leverantörer av digitala tjänster att tillhandahålla den information som behövs för en bedömning av säkerheten i deras nätverk och informationssystem, inbegripet dokumenterade säkerhetsprinciper. Nämnda artiklar innebär enligt regeringens uppfattning att medlemsstaterna ska ålägga leverantörer att på begäran av tillsynsmyndigheten tillhandahålla sådan information som behövs för tillsynen. Detta bör regleras i den nya lagen. Till skillnad från utredningen anser regeringen emellertid att närmare bestämmelser om vilken information som leverantörer ska vara skyldiga att tillhandahålla och krav på hur tillsynsmyndigheten ska framställa sin begäran lämpligen bör meddelas i förordning. Syftet är att inte tynga den nya lagen med alltför mycket detaljföreskrifter. För att en tillsynsmyndighet ska kunna utöva en effektiv tillsyn behöver den även ha tillgång till information från incidentrapporter för sin sektor. CSIRT-enheten bör därför ansvara för att överlämna sådan information till respektive tillsynsmyndighet, se avsnitt 11.2. 9.3.2 Tillträdesrätt till lokaler Regeringens förslag: Om det behövs för tillsynen ska tillsynsmyndigheten ha rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av den nya lagen. Tillträdesrätten ska dock inte omfatta bostäder. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens förslag: Enligt artikel 15.1 i NIS-direktivet ska tillsynsmyndigheterna ha de befogenheter och medel som de behöver för att bedöma om leverantörer av samhällsviktiga tjänster uppfyller sina skyldigheter enligt direktivet. För att kunna utöva en effektiv tillsyn kan tillsynsmyndigheten behöva tillträde till lokaler och liknande. Exempelvis kan tillsynsmyndigheten behöva tillträde för att kontrollera att en leverantör har vidtagit erforderliga tekniska säkerhetsåtgärder. Med hänsyn till behovet av en effektiv tillsyn anser regeringen att tillsynsmyndigheten, i den utsträckning det behövs för tillsynen, ska ha rätt att få tillträde till områden, lokaler och andra utrymmen där verksamhet som omfattas av lagen bedrivs. Tillträdesrätten bör dock av integritetsskäl inte omfatta bostäder. I detta avseende finns det inte anledning att göra skillnad mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Behovet av tillträde vid tillsyn finns avseende båda typer av leverantörer. I avsnitt 9.2 ovan föreslås att tillsynsmyndigheten när det gäller leverantörer av digitala tjänster endast ska få vidta tillsynsåtgärder när den har befogad anledning att anta att en leverantör inte uppfyller den nya lagens krav. Det är alltså först då som tillträdesrätten uppkommer när det gäller sådana leverantörer. 9.3.3 Förelägganden och handräckning Regeringens förslag: Tillsynsmyndigheten ska få förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande ska få förenas med vite. Tillsynsmyndigheten ska få begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Svea hovrätt anser att det inte framgår klart av utredningens förslag till lagtext att tillsynsmyndigheten ska kunna förelägga en leverantör att ge tillträde till lokaler och liknande. Skälen för regeringens förslag: I avsnitt 9.3.1 och 9.3.2 föreslår regeringen att tillsynsmyndigheten ska ha rätt att få tillgång till viss information och tillträdesrätt till lokaler och liknande. I linje med de förslagen bör tillsynsmyndigheten även kunna meddela de förelägganden som behövs för att förmå leverantörer som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen. Som Svea hovrätt anför bör det av lagtexten tydligt framgå vad tillsynsmyndigheten får meddela förelägganden om. Ett beslut om föreläggande bör kunna förenas med vite. Om en leverantör ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Att vidta sådana åtgärder ligger inte inom tillsynsmyndighetens befogenheter. Det finns inte anledning att anta att det kommer finnas risk för hot eller handgripligheter i samband med tillsynen enligt de aktuella bestämmelserna. De eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten. 10 Ingripanden och sanktioner 10.1 Straffbestämmelser bör inte införas Regeringens bedömning: Överträdelser av bestämmelser i den nya lagen bör inte vara straffsanktionerade. Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: De remissinstanser som yttrar sig delar bedömningen, däribland Förvaltningsrätten i Stockholm, Skåne läns landsting, Statskontoret, Stockholms universitet och Svea hovrätt. Skälen för regeringens bedömning: Enligt artikel 21 i NIS-direktivet ska medlemsstaterna fastställa regler om sanktioner för överträdelse av bestämmelser som har antagits enligt direktivet. Det anges inte vilka sanktioner som ska införas, mer än att sanktionerna ska säkerställa efterlevnaden och vara effektiva, proportionella och avskräckande. De sanktionsverktyg som normalt står till buds för staten är straff och sanktionsavgifter samt vite, förbud och återkallelse av tillstånd. Kriminalisering som metod för att försöka hindra överträdelser av olika normer i samhället bör användas med försiktighet. Ett skäl till detta är att en alltför omfattande kriminalisering riskerar att undergräva straffsystemets brottsavhållande verkan, särskilt om rättsväsendet inte kan beivra alla brott på ett effektivt sätt. Ett annat skäl är att kriminalisering innebär påtagliga inskränkningar i medborgarnas valfrihet och ingripande tvångsåtgärder mot dem som begår brott. När det gäller överträdelser av bestämmelserna i den nya lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster kan straff inte heller anses vara den mest effektiva sanktionen. De leverantörer som ska tillämpa den nya lagen utgörs av statliga myndigheter, kommuner, landsting och företag. Straffansvar kan enligt svensk rätt endast träffa fysiska personer. Om straff införs skulle det i många fall vara svårt att identifiera en fysisk person som ansvarig för överträdelsen och att leda i bevis att denne haft uppsåt eller varit oaktsam på det sätt som krävs för straffbarhet. För att nå syftet med NIS-direktivets sanktionsbestämmelser, dvs. att säkerställa att leverantörer vidtar säkerhetsåtgärder och rapporterar incidenter enligt direktivet, är det enligt regeringens bedömning effektivare och även i övrigt lämpligare med administrativa sanktioner än med straff. De sanktioner som bör komma i fråga för överträdelser av den nya lagens bestämmelser bör därför vara av administrativt slag. Någon straffbestämmelse bör alltså inte tas in i den nya lagen. 10.2 Vilka administrativa sanktioner och andra möjligheter till ingripande ska införas? Regeringens förslag: Tillsynsmyndigheten ska få meddela de förelägganden som behövs för att leverantörerna ska uppfylla kraven på utseende av företrädare, vissa säkerhetsåtgärder och incidentrapportering enligt den nya lagen och enligt föreskrifter som har meddelats i anslutning till lagen. Ett sådant föreläggande ska få förenas med vite. Tillsynsmyndigheten ska även kunna besluta om sanktionsavgift för vissa överträdelser. Regeringens bedömning: Bestämmelser om att tillsynsmyndigheten ska samverka med Datainspektionen innan ett åtgärdsföreläggande beslutas bör meddelas i förordning. Utredningens förslag stämmer delvis överens med regeringens förslag och bedömning. Utredningen har även föreslagit en bestämmelse om att tillsynsmyndigheten - om det finns skäl att misstänka att en leverantör av samhällsviktiga tjänster inte följer den nya lagen eller föreskrifter som har meddelats i anslutning till den - ska underrätta leverantören om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid. Vidare har utredningen föreslagit att tillsynsmyndigheten - vid sidan av möjligheten att besluta om åtgärdsföreläggande och sanktionsavgift - genom påpekanden och liknande ska försöka förmå leverantörer som inte följer den nya lagen eller föreskrifter som har meddelats i anslutning till den att vidta rättelse. Utredningen har till skillnad från regeringen inte föreslagit att tillsynsmyndigheten ska få meddela åtgärdsföreläggande avseende kravet på att utse en företrädare. Remissinstanserna: E-hälsomyndigheten, Statskontoret, Stiftelsen för internetinfrastruktur och Stockholms universitet tillstyrker förslaget. Skåne läns landsting tillstyrker att tillsynsmyndigheten ska kunna besluta om sanktionsavgift. Skälen för regeringens förslag och bedömning Förutom kravet i NIS-direktivet att medlemsstaterna ska införa sanktioner finns i artikel 15.3 krav på att tillsynsmyndigheter ska ha befogenhet att utfärda bindande anvisningar till leverantörer av samhällsviktiga tjänster om hur de ska avhjälpa identifierade brister. Vidare ska, enligt artikel 17.2, tillsynsmyndigheter som utövar tillsyn över leverantörer av digitala tjänster ha de befogenheter som krävs för att ålägga leverantörer av digitala tjänster att åtgärda varje underlåtenhet att uppfylla kraven i direktivet. Frågan är då vilka administrativa sanktioner och andra ingripandemöjligheter som ska införas för att säkerställa den nya lagens efterlevnad. Exempel på ingripande är varning, åtgärdsföreläggande som kan förenas med vite, rättelse på den enskildes bekostnad, återkallelse av tillstånd, förbud mot fortsatt verksamhet och sanktionsavgift. Både sanktionsavgift och återkallelse av tillstånd är i huvudsak tillbakaverkande sanktioner som är handlingsdirigerande genom att verka avskräckande. Återkallelse av tillstånd kan även ses som en framåtriktad sanktion, i den mån återkallelsen syftar till att förhindra fortsatt bristande efterlevnad av ett regelverk. Åtgärdsföreläggande som kan förenas med vite är däremot alltid framåtsyftande. Det syftar till att tvinga fram ett önskat agerande eller att få ett pågående oönskat agerande att upphöra. Först om den vitesålagde inte uppfyller en specificerad skyldighet döms vitet ut. Merparten av de aktörer som omfattas av bestämmelserna i den nya lagen är inte beroende av tillstånd för att bedriva sin verksamhet. Varning eller återkallelse av tillstånd är alltså inte användbara ingripanden i de flesta fall. Med hänsyn till att ett övergripande syfte med bestämmelserna är att säkerställa kontinuiteten i samhällsviktiga tjänster är inte heller förbud mot fortsatt verksamhet ett lämpligt alternativ. Mot den bakgrunden är de ingripanden som bör övervägas enligt regeringens mening åtgärdsföreläggande och sanktionsavgifter. Tillsynsmyndigheten ska kunna besluta om åtgärdsföreläggande i förening med vite Åtgärdsföreläggande är ett effektivt och flexibelt ingripande som finns i de flesta tillsynssystem. Regeringen anser även att åtgärdsföreläggande uppfyller kraven i artiklarna 15.3 och 17.2 i NIS-direktivet om att tillsynsmyndigheterna ska ha befogenhet att utfärda bindande anvisningar gentemot leverantörer av samhällsviktiga tjänster och att de ska ha de befogenheter som krävs för att ålägga leverantörer av digitala tjänster att åtgärda underlåtenhet att uppfylla direktivets krav. Enligt regeringen bör tillsynsmyndigheten därför kunna meddela åtgärdsförelägganden. Till skillnad från utredningen anser regeringen att förelägganden inte bara bör kunna utfärdas för att säkerställa att kraven på riskanalys, tekniska och organisatoriska åtgärder, incidenthantering och incidentrapportering är uppfyllda. För att tillsynsmyndigheten ska ha effektiva befogenheter behöver den även kunna utfärda bindande förelägganden som tar sikte på skyldigheten för juridiska personer som erbjuder digitala tjänster i Sverige att i vissa fall utse en företrädare. Åtgärdsföreläggande brukar som regel få förenas med vite. Behovet av att åtgärdsförelägganden enligt den nya lagen ska vara tillräckligt handlingsdirigerande och bindande talar för att de ska få förenas med vite. Enligt regeringen tillgodoser sanktionen vite NIS-direktivets krav på effektiva, proportionella och avskräckande sanktioner. Vitets storlek kan anpassas efter vilken typ av åsidosättande det är fråga om så att det kan utgöra ett tillräckligt påtryckningsmedel mot aktören i fråga. Åtgärdsförelägganden bör därför få förenas med vite. När vite föreläggs ska det enligt 3 § lagen (1985:206) om viten, kallad viteslagen, fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekonomiska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet. Med omständigheterna i övrigt avses bl.a. kostnaderna för föreläggandets fullgörande och omfattningen av de åtgärder som krävs. Beloppet bör vidare bestämmas med hänsyn till hur angeläget det är att föreläggandet följs. Om föreläggandet avser att tillgodose ett betydelsefullt samhällsintresse kan ett högre belopp vara motiverat. Myndigheterna kan inom ramen för 3 § viteslagen bestämma hur högt eller lågt belopp som helst. Vitet ska som huvudregel fastställas till ett bestämt belopp. Om det är lämpligt med hänsyn till omständigheterna, får vite dock enligt 4 § viteslagen föreläggas som löpande vite. Vitet bestäms då till ett visst belopp för varje tidsperiod av viss längd under vilken föreläggandet inte har följts eller, om föreläggandet avser en återkommande förpliktelse, för varje gång adressaten underlåter att fullgöra denna. Om ett föreläggande inte följs kan tillsynsmyndigheten behöva upprepa föreläggandet. Det kan i dessa fall vara lämpligt att höja vitesbeloppet. Samarbete med Datainspektionen innan ett föreläggande meddelas Enligt artikel 15.4 i NIS-direktivet ska tillsynsmyndigheten samarbeta med dataskyddsmyndigheter när den hanterar incidenter hos leverantörer av samhällsviktiga tjänster som medför personuppgiftsincidenter. Innan ett föreläggande mot en leverantör meddelas ska tillsynsmyndigheten därför samverka med Datainspektionen. Det bör t.ex. kontrolleras att ett krav på att vidta en viss säkerhetsåtgärd inte motverkar åtgärder till stöd för en säker personuppgiftsbehandling. En bestämmelse som reglerar denna samverkan bör tas in i förordning. Tillsynsmyndigheten ska kunna besluta om sanktionsavgift Sanktionsavgift är en ekonomisk sanktion som vanligen riktar sig mot en konstaterad överträdelse av en författningsbestämmelse. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. Sanktionsavgifter finns inom en rad rättsområden. De har olika syfte och utformning. Tillämpningsområdet varierar också. I vissa fall är sanktionsavgift den enda sanktionen för en överträdelse, men i andra fall kan avgift tas ut vid sidan av eller i stället för straff. I vissa fall är sanktionsavgift ett komplement till andra åtgärder och kan användas för att i enskilda fall nyansera ingripandet. Sanktionsavgift har ofta använts för att genomföra unionsrättsliga krav på sanktioner. Enbart möjligheten att utfärda åtgärdsföreläggande är enligt regeringens bedömning inte tillräckligt för att sanktionssystemet som helhet ska kunna anses effektivt och avskräckande på det sätt som NIS-direktivet kräver. Enligt regeringens bedömning skulle risken att som leverantör drabbas av sanktionsavgift verka avskräckande på ett annat sätt än åtgärdsföreläggande. Risken att drabbas av sanktionsavgift borde också öka incitamenten för ansvariga verksamhetsutövare att satsa på förebyggande åtgärder och att avsätta tillräckliga resurser för att säkerställa att säkerhetskraven och kraven på incidentrapportering tillgodoses. Sanktionsavgift bör därför införas som ett komplement till möjligheten att meddela åtgärdsföreläggande i förening med vite. Det bör påpekas att det finns både för- och nackdelar med en sådan reglering som ger tillsynsmyndigheten möjlighet att välja mellan att genomdriva en åtgärd med vite eller att i efterhand påföra sanktionsavgift. En nackdel är att sanktionssystemet inte blir så förutsägbart som man kan önska. Det är dock av stor vikt att tillsynsmyndigheten kan använda en ändamålsenlig och effektiv sanktion i varje enskilt fall för att uppnå de krav som ställs. Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyndighet eller av en domstol efter ansökan från tillsynsmyndigheten. Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva rekvisit eller andra svårbedömda rekvisit. En fördel med att tillsynsmyndigheten fattar beslutet är att handläggningen blir snabbare eftersom inte flera myndigheter måste involveras i hanteringen. Det är vidare tillsynsmyndigheten som har bäst förutsättningar att bedöma om en leverantör har underlåtit att följa den nya lagen eller föreskrifter som har meddelats i anslutning till den. Det bör därför vara tillsynsmyndigheten som beslutar om sanktionsavgift. Med hänsyn till att bestämmelser om sanktionsavgift reglerar förhållandet mellan enskilda och det allmänna och avser ingrepp i enskildas ekonomiska förhållanden, bör bestämmelserna som utgångspunkt tas in den nya lagen. 10.3 Sanktionsavgift 10.3.1 Ett sanktionsavgiftssystem med strikt ansvar Regeringens förslag: En sanktionsavgift ska tas ut av den som underlåter att göra en anmälan till tillsynsmyndigheten, vidta vissa säkerhetsåtgärder eller incidentrapportera enligt den nya lagen eller föreskrifter som har meddelats i anslutning till den. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har inte föreslagit att sanktionsavgift ska tas ut av leverantörer av samhällsviktiga tjänster som underlåter att anmäla sig till tillsynsmyndigheten. Remissinstanserna: Några remissinstanser, bl.a. Svea hovrätt och Sveriges Kommuner och Landsting, anser inte att den föreslagna lagtexten är tillräckligt tydlig och förutsebar när det gäller vilka åtgärder som leverantörer ska vidta för att inte påföras sanktionsavgift. Livsmedelsverket anser att regeringen bör överväga att införa sanktionsavgift även för leverantörer av samhällsviktiga tjänster som underlåter att anmäla sig till tillsynsmyndigheten. Skälen för regeringens förslag Överträdelser som ska kunna föranleda sanktionsavgift Kraven på säkerhetsåtgärder och incidentrapportering i NIS-direktivet är centrala för att uppnå syftet med direktivet, vilket talar för att överträdelser av bestämmelserna i den nya lagen som genomför kraven bör kunna föranleda sanktionsavgift. Svea hovrätt och Sveriges Kommuner och Landsting anser dock att bestämmelserna i den nya lagen inte är tillräckligt tydliga för att kunna föranleda sanktionsavgift. Sanktionsavgifter bör som regel endast införas för överträdelser som är relativt lätta att bedöma. Underlåtenhet att incidentrapportera är förhållandevis lätt att konstatera, även om det krävs en bedömning av om en incident har haft en betydande inverkan på kontinuiteten i den tillhandahållna tjänsten. Även en underlåtenhet att göra en riskanalys är i de flesta fall enkel att fastställa. När det gäller kraven på tekniska och organisatoriska åtgärder och incidenthantering kan det vara svårare att bedöma en eventuell underlåtenhet, bl.a. eftersom en aktörs skyldighet att vidta dessa säkerhetsåtgärder är kopplad till den risk som hotar säkerheten. Säkerhetskraven kommer dock att preciseras genom bestämmelser i förordning och föreskrifter. Utan en sanktion såsom sanktionsavgift för överträdelser av bestämmelser som genomför NIS-direktivets säkerhetskrav är det vidare tveksamt om syftet med NIS-direktivet och dess krav på ändamålsenliga och avskräckande sanktioner uppfylls. Mot denna bakgrund anser regeringen att sanktionsavgift ska kunna beslutas för överträdelser av kraven på riskanalys, tekniska och organisatoriska åtgärder, incidenthantering och incidentrapportering. I likhet med utredningen anser regeringen inte att kravet på leverantörer av samhällsviktiga tjänster att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är av sådan karaktär att en överträdelse bör kunna föranleda sanktionsavgift. Vidare anser regeringen, liksom Livsmedelsverket, att leverantörer av samhällsviktiga tjänster som underlåter att enligt förslaget i avsnitt 6.3 anmäla sig till tillsynsmyndigheten bör kunna påföras sanktionsavgift. Om leverantörer av samhällsviktiga tjänster inte riskerar sanktionsavgift vid sådan underlåtelse kan skyldigheten i praktiken bli verkningslös. Ska sanktionsavgift alltid tas ut? Bestämmelser om sanktionsavgift är oftast obligatoriska, dvs. utformade så att sanktionsavgift ska tas ut när förutsättningarna för det är uppfyllda. Med hänsyn till behovet av likabehandling, objektivitet och proportionalitet bör tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt vara begränsade. Behovet av att säkerställa likabehandling är särskilt starkt när det gäller sanktionsavgifter enligt den nya lagen eftersom utgångspunkten är att flera tillsynsmyndigheter ska tillämpa bestämmelserna. Bestämmelserna om sanktionsavgift bör därför formuleras på så sätt att sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Tillsynsmyndigheten bör dock ha möjlighet att i vissa fall helt eller delvis efterge sanktionsavgiften, se avsnitt 10.3.3. Sanktionsavgiftssystemet ska bygga på strikt ansvar Huvudregeln är att sanktionsavgift bygger på strikt ansvar, dvs. att avgiften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Beträffande de aktuella överträdelserna finns det ett starkt stöd för en presumtion om att överträdelser inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Regeringen anser därför att det inte finns anledning att frångå huvudregeln om strikt ansvar i den nya lagen. Skrivningar om att avgiftsskyldigheten bygger på strikt ansvar bör inte tas med i lagtexten. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift. Det bör därför inte i lagtext upplysas om att sanktionsavgift får tas ut även om en överträdelse inte har skett uppsåtligen eller av oaktsamhet. 10.3.2 Sanktionsavgiftens storlek Regeringens förslag: Sanktionsavgiften ska bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor. Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Statskontoret tillstyrker förslaget. Skälen för regeringens förslag: Sanktionsavgifter kan vara utformade som på förhand bestämda belopp, oavsett vem som begått överträdelsen, eller vara kopplade till årsomsättning i näringsverksamhet. Med hänsyn främst till att vissa aktörer som kommer omfattas av den nya lagen är myndigheter är det inte lämpligt att koppla sanktionsavgiften till omsättning. Ett system med bestämda beloppsintervall är därför att föredra. För att uppfylla kravet på effektiva, proportionella och avskräckande sanktioner bör intervallet för sanktionsavgiften vara förhållandevis stort. Tillsynsmyndigheten får då möjlighet att göra en nyanserad bedömning när avgiftens storlek ska bestämmas. Vid bestämmandet av vilka beloppsintervall som bör gälla finns det skäl att titta på vad som gäller enligt andra regelverk. Inom svensk lagstiftning finns i dag sanktionsavgifter på bl.a. miljöområdet och arbetsmiljöområdet. På dessa områden är det lägsta belopp som kan beslutas vid en överträdelse 1 000 kronor och det högsta beloppet 1 miljon kronor. För upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling är det lägsta beloppet 10 000 kronor och det högsta 10 miljoner kronor. Avgiften får dock aldrig överstiga en viss andel av upphandlingens värde. Även dataskyddsförordningen innehåller bestämmelser om sanktionsavgifter för överträdelser av förordningens bestämmer. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt dataskyddsförordningen kan sanktionsavgifter tas ut för överträdelse enligt två nivåer - en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser. För de olika nivåerna gäller maximibelopp på 10 miljoner euro respektive 20 miljoner euro. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att sanktionsavgifter även ska kunna tas ut av statliga och kommunala myndigheter. Avgifterna ska enligt förslaget uppgå till högst 5 miljoner kronor för mindre allvarliga överträdelser och till högst 10 miljoner kronor för allvarligare överträdelser. Regeringen bedömer att det är rimligt att det lägsta belopp som ska kunna beslutas i sanktionsavgift är 5 000 kronor. För att sanktionsavgiften ska få en tillräckligt avskräckande effekt för alla aktörer som kommer att omfattas av den nya lagens bestämmelser krävs att maximibeloppet sätts relativt högt. Enligt regeringens bedömning skulle en avgift om 10 miljoner kronor utgöra en effektiv, proportionell och avskräckande sanktion också mot allvarliga överträdelser. Det högsta belopp som ska kunna beslutas i sanktionsavgift bör därför bestämmas till 10 miljoner kronor. 10.3.3 Hur sanktionsavgiften ska bestämmas i det enskilda fallet Regeringens förslag: När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, till om leverantören tidigare begått en överträdelse och till de kostnader som leverantören undvikit till följd av överträdelsen. Sanktionsavgiften ska få sättas ned helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Utredningens förslag stämmer i sak överens med regeringens. Remissinstanserna: Statskontoret och Stockholms universitet tillstyrker förslaget. Svea hovrätt har synpunkter på bestämmelsens utformning. Skälen för regeringens förslag: När storleken på sanktionsavgiften ska bestämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. Det är inte möjligt att i den nya lagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Däremot bör den nya lagen innehålla en bestämmelse som anger omständigheter som särskilt ska beaktas. De omständigheter som är särskilt viktiga att beakta och som bör anges i den nya lagen är enligt regeringens mening den skada eller risk för skada som uppstått till följd av överträdelsen, om aktören tidigare begått en överträdelse och de kostnader som aktören undvikit till följd av regelöverträdelsen. Dessa omständigheter kan påverka beloppets storlek både i försvårande och förmildrande riktning. Någon anledning att särskilt ange omständigheter som ska verka försvårande respektive förmildrande, som Svea hovrätt föreslår, finns därför inte enligt regeringens mening. Som exempel på andra relevanta omständigheter som kan påverka beloppets storlek men som inte behöver tas in i den nya lagen kan nämnas hur länge överträdelsen pågått. Om aktören tidigare har gjort sig skyldig till en överträdelse kan det bli aktuellt att beakta om överträdelserna är likartade och den tid som gått mellan överträdelserna. Det kan också vara relevant att beakta bestämmelsens betydelse för tillsynsområdet. Att en aktör samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet som ska påverka beloppets storlek i mildrande riktning. Att avgiftsskyldigheten bygger på strikt ansvar gör att det behöver finnas utrymme för att jämka eller helt sätta ned sanktionsavgiften. Det bör därför införas en bestämmelse som ger tillsynsmyndigheten utrymme att jämka eller helt efterge avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Sanktionsavgiften bör kunna sättas ned helt eller delvis om exempelvis en aktör drabbas av sanktionsavgift enligt något annat regelverk för i princip samma brist. Bestämmelser om säkerhetsåtgärder och sanktionsavgifter för den som bryter mot dessa bestämmelser finns t.ex. i den tidigare nämnda dataskyddsförordningen. Den samlade reaktionen skulle, beroende på överträdelsens art, totalt sett kunna bli alltför betungande. En annan situation som kan innebära att det framstår som oskäligt att besluta om sanktionsavgift är om en leverantör, på grund av avtal med t.ex. en underleverantör, är skyldig att betala skadestånd för samma brist. Om regelverket överträtts på ett sådant sätt att det har varit närmast omöjligt för leverantören att upptäcka överträdelsen skulle överträdelsen kunna anses ursäktlig och det därför finnas grund för jämkning. Möjligheten att sätta ner avgiften bör tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften. 10.3.4 Hinder mot sanktionsavgift Regeringens förslag: Tillsynsmyndigheten ska inte få besluta om sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Statskontoret och Stockholms universitet tillstyrker förslaget. Skälen för regeringens förslag: Enligt Europakonventionen och EU:s stadga om de grundläggande rättigheterna finns en rätt att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelprövningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69). Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion - administrativ eller straffrättslig - för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer bör anses vara när det inleds en domstolsprocess angående frågan om utdömande av vite (jfr prop. 2016/17:22 s. 228). Ett föreläggande om vite bör därför inte hindra ett senare ingripande med sanktionsavgift så länge som tillsynsmyndigheten inte har ansökt om utdömande av vitet. När tillsynsmyndigheten har ansökt om utdömande av vitet bör tillsynsmyndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i den nya lagen. 10.3.5 Förfarandebestämmelser Regeringens förslag: En sanktionsavgift ska endast få tas ut om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har inte föreslagit någon bestämmelse om att beslut om sanktionsavgift ska delges. Utredningen har till skillnad från regeringen föreslagit bestämmelser om att den som ett sanktionsbeslut kommer att riktas mot ska få tillfälle att yttra sig och att ett beslut ska vara skriftligt och innehålla skälen för beslutet. Remissinstanserna: Stockholms universitet och Statskontoret tillstyrker förslaget. Förvaltningsrätten i Stockholm pekar på att utredningens förslag om att den som ett sanktionsbeslut kommer att riktas mot ska få tillfälle att yttra sig och att ett sanktionsbeslut ska vara skriftligt och innehålla skäl behöver motiveras med tanke på att förvaltningslagen (2017:900) innehåller bestämmelser om kommunicering och motiveringsskyldighet. Svea hovrätt anser att den föreslagna bestämmelsen om att sanktionsavgift endast ska få tas ut om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år är otydlig. Skälen för regeringens förslag: Utredningen har föreslagit att det ska införas bestämmelser om att tillsynsmyndigheten ska bereda den som ett sanktionsbeslut kommer att riktas mot tillfälle att yttra sig och att ett beslut ska vara skriftlig och innehålla skälen för beslutet. Som Förvaltningsrätten i Stockholm påpekar framgår det dock av 25 § förvaltningslagen att en myndighet - innan den fattar ett beslut i ett ärende - ska underrätta den som är part om allt material av betydelse och ge parten tillfälle att yttra sig över materialet, om det inte är uppenbart obehövligt. Av 9 och 32 §§ i samma lag framgår vidare att handläggningen som utgångspunkt ska vara skriftlig och att ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Dessa bestämmelser fyller i allt väsentligt samma funktion som utredningens förslag. Några bestämmelser med den innebörd som utredningen har föreslagit bör därför inte införas i den nya lagen. Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). En bestämmelse om detta bör tas in i den nya lagen. På grund av sanktionsavgiftens ingripande natur bör det finnas en bortre tidsgräns för när en sanktionsavgift får beslutas. Utredningen har föreslagit att sanktionsavgift inte ska få tas ut om den som anspråket riktas mot inte inom två år från det att överträdelsen ägde rum har getts tillfälle att yttra sig. Svea hovrätt anser att det inte står klart från vilken tidpunkt tvåårsfristen ska räknas. Hovrätten anser att ett alternativ skulle kunna vara en bestämmelse i linje med 5 kap. 14 § lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning, enligt vilken ingripande inte får ske med mindre än att den som ingripandet riktas mot har delgetts upplysning härom inom två år från det att överträdelsen ägt rum. Regeringen anser emellertid att bestämmelsen som utredningen har föreslagit är tillräckligt tydlig. Den innebär att om kommunikation enligt 25 § förvaltningslagen med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Tidsfristen ska räknas från när överträdelsen ägde rum, i likhet med vad som gäller enligt den av hovrätten nämnda lagen. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten. Någon anledning att frångå förvaltningslagens bestämmelser och kräva delgivning av underrättelse finns inte. Regeringen anser liksom utredningen att sanktionsavgift endast ska få tas ut om den som anspråket riktas mot har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Betalning av sanktionsavgift bör ske till tillsynsmyndigheten inom trettio dagar från det att beslutet om sanktionsavgift vunnit laga kraft eller annars inom den längre tid som anges i beslutet. Om avgiften inte betalas inom denna tid bör tillsynsmyndigheten vara skyldig att lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv bör den avgift som tillsynsmyndigheten beslutat kunna drivas in utan att det krävs något domstolsavgörande. Av 3 kap. 1 § första stycket 6 utsökningsbalken (1981:774) följer att en förvaltningsmyndighets beslut får verkställas om det finns en särskild föreskrift om detta. Det bör alltså införas en bestämmelse i den nya lagen om att en sanktionsavgift som inte betalats inom angiven tid får verkställas enligt utsökningsbalken. Sanktionsavgifter bör som brukligt tillfalla staten, vilket bör framgå av den nya lagen. I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Regeringen bedömer att det saknas anledning att införa någon annan preskriptionstid än den som i allmänhet används. En bestämmelse om att en beslutad sanktionsavgift faller bort om avgiften inte har verkställts inom fem år från det att beslutet fått laga kraft bör därför införas. 10.4 Omedelbar verkställbarhet av förelägganden Regeringens förslag: Tillsynsmyndigheten ska få bestämma att ett beslut om föreläggande ska gälla omedelbart. Utredningens förslag stämmer överens med regeringens. Remissinstanserna: Statskontoret tillstyrker förslaget. Skälen för regeringens förslag: Om tillsynsmyndigheten har konstaterat att det finns skäl för att ingripa genom beslut om åtgärdsföreläggande kan det i många fall finnas behov av att beslutet blir gällande genast. Vidare kan det ofta vara angeläget att tillsynsmyndighetens beslut om tillträde till lokaler eller om utlämnande av information som behövs för tillsynen inte förhalas genom ett överklagande. Mot denna bakgrund bör tillsynsmyndigheten ha möjlighet att bestämma att dess beslut om föreläggande ska gälla omedelbart. En domstol som ska pröva ett överklagande av ett förvaltningsbeslut som gäller omedelbart kan förordna att det överklagade beslutet tills vidare inte ska gälla (s.k. inhibition). Möjligheten till inhibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av en tillsynsmyndighet minimeras. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291) och behöver inte tas in i den nya lagen. 10.5 Överklagande Regeringens förslag: Tillsynsmyndighetens beslut enligt den nya lagen ska kunna överklagas till allmän förvaltningsdomstol. I den nya lagen ska det anges att tillsynsmyndigheten vid ett sådant överklagande är motpart i domstolen. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Utredningens förslag stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen förslagit att kammarrättens avgörande i ett mål enligt den nya lagen inte ska få överklagas. Remissinstanserna: Statskontoret tillstyrker förslaget. Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm ifrågasätter om det är en lämplig ordning att ha kammarrätt som slutinstans med tanke på att det - i avsaknad av forumregler - kommer innebära att flera kammarrätter blir slutinstanser för mål enligt den nya lagen. Skälen för regeringens förslag: En tillsynsmyndighets beslut om föreläggande och sanktionsavgift måste kunna överklagas. Eftersom det är fråga om förvaltningsbeslut bör besluten kunna överklagas till allmän förvaltningsdomstol. Av tydlighetsskäl bör det framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett mål hos domstolen som gäller överklagande av tillsynsmyndighetens beslut. Vidare bör det anges att prövningstillstånd krävs vid överklagande till kammarrätten. Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, vem som har talerätt m.m., bör inte avvika från förvaltningslagens bestämmelser. Regeringen föreslår därför inte några särskilda bestämmelser om detta. Utredningen har föreslagit att kammarrättens avgörande inte ska få överklagas. Förutsatt att inga forumregler införs i den nya lagen skulle det - som Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm påpekar - innebära att de allmänna bestämmelserna i 14 § lagen (1971:289) om allmänna förvaltningsdomstolar blir tillämpliga. Enligt den paragrafen ska beslut överklagas till den förvaltningsrätt inom vars domkrets ärendet först har prövats. Om flera tillsynsmyndigheter utses, i enlighet med utgångspunkten i avsnitt 9.1, kommer det innebära att beslut enligt den nya lagen kommer att prövas i olika förvaltningsrätter runt om i landet med följd att flera kammarrätter blir slutinstanser för mål enligt lagen. Det är inte en lämplig ordning. För att avsteg ska göras från den normala instansordningen bör det vidare krävas att det finns särskilda skäl. Några sådana har enligt regeringens uppfattning inte framkommit. Mot denna bakgrund bör det inte göras avsteg från den normala instansordningen. Kammarrättens avgörande bör således kunna överklagas. 11 Nationell kontaktpunkt, CSIRT-enhet och samarbetsgrupp 11.1 Nationell kontaktpunkt Regeringens bedömning: Bestämmelser om vilken myndighet som ska vara nationell kontaktpunkt och vilka uppgifter som den nationella kontaktpunkten ska ha bör meddelas i förordning. Utredningens förslag stämmer i sak överens med regeringens bedömning. Utredningen har föreslagit att det i den nya lagen ska anges att den myndighet som regeringen bestämmer ska vara nationell kontaktpunkt. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens bedömning: Medlemsstaterna ska enligt artikel 8.3 i NIS-direktivet utse en gemensam nationell kontaktpunkt för säkerhet i nätverk och informationssystem. Den nationella kontaktpunkten har flera uppgifter enligt direktivet. Enligt artikel 8.4 ska den nationella kontaktpunkten utgöra en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter samt med den samarbetsgrupp som inrättas genom NIS-direktivet och CSIRT-nätverket. Den nationella kontaktpunkten ska även på begäran av CSIRT-enheten vidarebefordra incidentrapporter till nationella kontaktpunkter i andra medlemsstater som påverkats av en incident hos en leverantör av samhällsviktiga tjänster (artikel 14.5). Vidare ska den nationella kontaktpunkten senast den 9 augusti 2018, och därefter en gång om året, lämna en sammanfattande rapport till samarbetsgruppen om de incidentrapporter som mottagits (artikel 10.3). Förutom nämnda uppgifter ska den nationella kontaktpunkten enligt artikel 8.6, när så är lämpligt och i överensstämmelse med nationell rätt, samråda och samarbeta med de relevanta nationella rättsvårdande myndigheterna. I skälen till direktivet anges att medlemsstaterna bör uppmuntra leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster att rapportera incidenter som misstänks ha samband med brottslighet till de relevanta rättsvårdande myndigheterna (skäl 62). I 8 § förvaltningslagen (2017:900) finns redan en skyldighet för myndigheter att inom sitt verksamhetsområde samverka med andra myndigheter. Det bör dock övervägas om det ska införas en skyldighet för den myndighet som är nationell kontaktpunkt, CSIRT-enhet eller annan aktör att uppmana leverantörer att anmäla vissa incidenter till Polismyndigheten. Det bör dessutom övervägas om den nationella kontaktpunkten ska ha i uppgift att i vissa fall samråda med andra medlemsstater innan det fattas ett beslut om identifiering av en leverantör av samhällsviktiga tjänster (artikel 5.4). När det gäller vilken myndighet som ska vara nationell kontaktpunkt kan det konstateras att Myndigheten för samhällsskydd och beredskap (MSB) har den struktur och kompetens som krävs både för att samordna frågor angående säkerhet i nätverk och informationssystem och för att ansvara för kommunikation och gränsöverskridande samarbete i anslutning till detta. Utgångspunkten bör därför vara att MSB ska ha rollen som nationell kontaktpunkt. Regeringen anser liksom utredningen att bestämmelser om vilken myndighet som ska vara nationell kontaktpunkt och de uppgifter som myndigheten ska ha bör regleras i förordning. Det möjliggör för regeringen att vid behov ändra vilken myndighet som ska vara nationell kontaktpunkt och vilka uppgifter som myndigheten ska ha i den rollen. Till skillnad från utredningen anser regeringen emellertid inte att det i den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster bör införas en bestämmelse som anger att den myndighet som regeringen bestämmer ska vara nationell kontaktpunkt. Anledningen till det är att regeringen till skillnad från utredningen inte föreslår att någon av de uppgifter som den nationella kontaktpunkten bör ha ska regleras i den nya lagen. 11.2 CSIRT-enhet i Sverige Regeringens bedömning: Bestämmelser om vilken myndighet som ska vara CSIRT-enhet och om vilka befogenheter och uppgifter som CSIRT-enheten ska ha bör meddelas i förordning. Utredningens förslag stämmer i huvudsak överens med regeringens bedömning. Utredningen har till skillnad från regeringen föreslagit att den nya lagen ska innehålla en bestämmelse om att CSIRT-enheten får begära att en leverantör av digitala tjänster informerar allmänheten om en incident. Utredningen har även föreslagit att det i den nya lagen ska anges att den myndighet som regeringen bestämmer ska vara CSIRT-enhet. Remissinstanserna: Ingen remissinstans har synpunkter på vilka bestämmelser som bör meddelas i lag respektive i förordning. Däremot har ett flertal remissinstanser synpunkter på vilken myndighet som bör utses till CSIRT-enhet och vilka uppgifter som CSIRT-enheten ska ha. Skälen för regeringens bedömning CSIRT-enhetens uppgifter enligt NIS-direktivet Varje medlemsstat ska enligt artikel 9.1 i NIS-direktivet utse en eller flera incidenthanteringsorgan, s.k. CSIRT-enheter (Computer Security Incident Response Team). CSIRT-enhetens uppgifter anges bl.a. i punkt 2 i bilaga 1 till NIS-direktivet. Det är uppgifter som rör övervakning av incidenter på nationell nivå, tillhandahållande av varningar om risker och incidenter, åtgärder till följd av incidenter, samverkan med privat sektor och deltagande i CSIRT-nätverket. CSIRT-nätverket består av företrädare för medlemsstaternas CSIRT-enheter och CERT-EU. Nätverket ska bidra till förtroende och tillit mellan medlemsstaterna och främja ett snabbt och effektivt operativt samarbete (artikel 12). I NIS-direktivet finns även bestämmelser om uppgifter som ska åligga antingen CSIRT-enheten eller annan aktör. Enligt artiklarna 14.5 och 16.6 ska CSIRT-enheten eller tillsynsmyndigheten i vissa fall informera den eller de andra medlemsstater som har påverkats av en incident. CSIRT-enheten eller tillsynsmyndigheten ska också i vissa fall förse en leverantör av samhällsviktiga tjänster som har rapporterat en incident med relevant information om uppföljningen av rapporten, såsom information som skulle kunna bidra till effektiv hantering av incidenten (artikel 14.5). Vidare får tillsynsmyndigheten eller CSIRT-enheten informera allmänheten om enskilda incidenter om incidentens avslöjande omfattas av allmänintresset (artiklarna 14.6 och 16.7). Livsmedelsverket anser att tillsynsmyndigheten och inte CSIRT-enheten bör vara den myndighet som informerar allmänheten om incidenter, eftersom det är tillsynsmyndigheten som har den löpande kontakten med tillsynsobjekten. Med hänsyn till CSIRT-enhetens roll i det operativa arbetet kring incidenthantering anser regeringen dock att CSIRT-enheten som utgångspunkt bör vara den myndighet som informerar allmänheten, andra medlemsstater och leverantörer om incidenter. I avsnitt 7.2.3 och 8.2 bedömer regeringen att incidentrapportering ska ske till CSIRT-enheten. Även tillsynsmyndigheten behöver dock tillgång till information i incidentrapporter för att kunna utöva en effektiv tillsyn. I förordning bör därför införas bestämmelser om att CSIRT-enheten ska överlämna information om incidenter till respektive tillsynsmyndighet. MSB bör som utgångspunkt vara CSIRT-enhet Dataskydd.se, Föreningen Swedish Network Users Society, Netnod och Svenska Stadsnätsföreningen anser att Post- och telestyrelsen (PTS) ska vara CSIRT-enhet, bl.a. med hänsyn till att PTS enligt utredningens förslag ska vara tillsynsmyndighet för sektorn digital infrastruktur och för leverantörer av digitala tjänster. Att en myndighet är tilltänkt tillsynsmyndighet för vissa leverantörer är dock inget starkt skäl för att den också ska vara CSIRT-enhet. CSIRT-enheten ska ha uppgifter som rör alla leverantörer som omfattas av den nya lagen. Bedömningen av vilken myndighet som ska vara CSIRT-enhet bör göras utifrån faktorer såsom vilken myndighet som har förutsättningar att på ett bra sätt klara av de uppgifter som CSIRT-enheten ska ha och som till den nya lagens ikraftträdande kan uppfylla de krav som ställs på CSIRT-enheter enligt direktivet. I artikel 9 och i punkt 1 i bilaga 1 till direktivet ställs bl.a. krav på tillgång till lämplig, säker och motståndskraftig kommunikations- och informationsinfrastruktur, säkerhet avseende lokaler och informationssystem, driftskontinuitet och möjligheter att delta i internationella samarbetsnätverk. Utredningen har föreslagit att MSB ska vara CSIRT-enhet. MSB har i uppgift att svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera incidenter. Arbetet sker genom MSB:s CERT-verksamhet (Computer Emergency Response Team) som har benämningen CERT-SE. Till CERT-SE:s uppgifter hör bl.a. att agera skyndsamt vid inträffade incidenter genom att sprida information, vid behov arbeta med samordning av åtgärder, medverka i arbetet med att avhjälpa eller lindra effekter av det inträffade och att samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet. MSB är genom CERT-SE Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder och mot den CERT-organisation som ansvarar för incidenthantering inom EU:s institutioner, CERT-EU, och ska utveckla samarbetet och informationsutbytet med dessa funktioner. Det är också MSB som tar emot de rapporter som statliga myndigheter lämnar med anledning av den obligatoriska incidentrapporteringen enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. I avvaktan på att ett tekniskt rapporteringsverktyg är driftsatt tillhandahåller MSB i dag en kryptolösning för säker kommunikation vid överföring av incidentrapporterna. Rapporteringsverktyget är tänkt att tas i bruk under våren 2018. Mot bakgrund av det uppdrag MSB har på informationssäkerhetsområdet och den kompetens som finns inom myndigheten bedömer regeringen, liksom bl.a. Statskontoret och Affärsverket Svenska kraftnät, att MSB som utgångspunkt ska vara Sveriges CSIRT-enhet. MSB har också tillgång till sådan lämplig, säker och motståndskraftig kommunikations- och informationsinfrastruktur som avses i NIS-direktivet (artikel 9.3). Netnod, Stiftelsen för internetinfrastruktur och Svenska Stadsnätsföreningen anser att det vid sidan av CSIRT-enheten bör inrättas en haverikommission som i vissa fall ska utreda incidenter och ta reda på hur incidenter ska kunna förhindras eller lindras. Det finns dock inte beredningsunderlag för att inrätta en haverikommission inom ramen för detta lagstiftningsärende. Remissinstansernas synpunkter kan därför inte tillgodoses. Normgivningsnivå Utredningen har föreslagit att det i den nya lagen ska tas in en bestämmelse om att den myndighet som regeringen bestämmer ska vara CSIRT-enhet. Vidare har utredningen föreslagit att en bestämmelse som motsvarar delar av artikel 16.7 i NIS-direktivet, om att CSIRT-enheten får begära att en leverantör av digitala tjänster informerar allmänheten om en incident, ska föras in i den nya lagen. Regeringen anser inte att det finns skäl att i den nya lagen föra in en bestämmelse som upplyser om att regeringen får utse CSIRT-enhet. Vidare innebär artikel 16.7 enligt regeringens uppfattning inte någon skyldighet för enskilda. Det finns därför inte heller någon anledning att föra in en bestämmelse i den nya lagen som motsvarar artikel 16.7. Bestämmelser om vilken myndighet som ska vara CSIRT-enhet och CSIRT-enhetens befogenheter och uppgifter bör således enligt regeringens bedömning meddelas i förordning. Flera remissinstanser har synpunkter på hur CSIRT-enhetens uppgifter närmare bör utformas. Dessa synpunkter kommer att beaktas i det fortsatta förordningsarbetet. 11.3 NIS-direktivets samarbetsgrupp Regeringens bedömning: Bestämmelser om vilken myndighet som ska företräda Sverige i den samarbetsgrupp som inrättats genom NIS-direktivet och de uppgifter som företrädaren ska ha bör meddelas i förordning. Utredningens förslag stämmer överens med regeringens bedömning. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget. Skälen för regeringens bedömning: Genom NIS-direktivet inrättades en samarbetsgrupp, bl.a. för att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna (artikel 1.2 b). Samarbetsgruppen består av företrädare för medlemsstaterna, kommissionen och Enisa (Europeiska unionens byrå för nät- och informationssäkerhet). När det är lämpligt får samarbetsgruppen bjuda in företrädare för de berörda parterna att delta i arbetet (artikel 11.2). Samarbetsgruppen har de uppgifter som följer av artikel 11.3 i direktivet. Det rör sig om uppgifter såsom att utbyta information och bästa praxis om forskning och utveckling vad gäller säkerhet i nätverk och informationssystem, årligen diskutera de sammanfattande rapporter om incidenter som de nationella kontaktpunkterna ska ge till samarbetsgruppen och att hjälpa medlemsstaterna att tillämpa ett enhetligt tillvägagångssätt i förfarandet för identifiering av leverantörer av samhällsviktiga tjänster. MSB företräder för närvarande Sverige i samarbetsgruppen. Med hänsyn till det och mot bakgrund av det uppdrag som MSB har i dag på informationssäkerhetsområdet, bör MSB som utgångspunkt företräda Sverige i samarbetsgruppen även fortsättningsvis. Utredningen har inte föreslagit någon författningsreglering avseende vilken myndighet som ska vara Sveriges företrädare och de uppgifter som företrädaren ska ha. I det fortsatta förordningsarbetet bör det dock övervägas om uppgiften bör regleras i myndighetsinstruktion eller i annan förordning. 12 Sekretess 12.1 Behövs ett starkare skydd för uppgifter som leverantörer ska rapportera vid en incident och tillhandahålla vid tillsyn? Regeringens bedömning: Befintliga bestämmelser om sekretess i offentlighets- och sekretesslagen utgör ett tillräckligt skydd för uppgifter som leverantörer ska rapportera med anledning av en incident och tillhandahålla vid tillsyn. Någon förändring av bestämmelserna behövs därför inte. Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Några remissinstanser, såsom Dataskydd.net, Journalistförbundet och Utgivarna, delar utredningens bedömning eller anser att befintligt sekretesskydd bör vara svagare. Ett flertal remissinstanser, bland dem Datainspektionen, Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd- och beredskap (MSB) och Sveriges advokatsamfund menar att befintligt sekretesskydd, särskilt sekretessen enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400), förkortad OSL, bör vara starkare. Skälen för regeringens bedömning Uppgifter som leverantörer ska överlämna till myndigheter vid en incident och vid tillsyn Leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster kommer enligt den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster vara skyldiga att rapportera incidenter till den myndighet som regeringen bestämmer. Utgångspunkten är att rapporteringen ska ske till CSIRT-enheten vid MSB och att CSIRT-enheten sedan ska överlämna information om incidenter till aktuell tillsynsmyndighet. Det kan röra sig om uppgifter om namn och kontaktuppgifter på den som rapporterat, beskrivning av incidenten, uppgift om incidenten är pågående eller avslutad och en bedömning av incidentens konsekvenser. Som framgår av avsnitt 9.3.1 kommer leverantörer även att till tillsynsmyndigheten behöva tillhandahålla information som är nödvändig för tillsynen, såsom uppgifter om säkerhets- och bevakningsåtgärder, styrande dokument och resultat av genomförda säkerhetsrevisioner. Med anledning av att den information som leverantörer kommer vara skyldiga att överlämna till olika myndigheter kan vara skyddsvärd, finns det anledning att överväga om de sekretessbestämmelser som kan bli tillämpliga ger ett väl avvägt skydd eller om någon av dem bör ändras. Befintligt sekretesskydd Den i sammanhanget kanske mest relevanta sekretessbestämmelsen finns i 18 kap. 8 § 3 OSL. Enligt den bestämmelsen gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd som avser system för automatiserad behandling av information, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Bestämmelsen är tillämplig både hos en myndighet som upprättar och skickar in en incidentrapport och hos den myndighet som tar emot en incidentrapport. Motsvarande gäller när sådana uppgifter tillhandahålls i samband med en tillsyn. Som exempel på säkerhets- eller bevakningsåtgärder nämns i förarbetena funktioner för användning av lösenord, loggning och kryptering, installation av brandväggar och antivirusprogram samt administrativa rutiner för t.ex. utdelning av lösenord eller bevakning av loggar och larm. Som exempel på uppgifter som kan bidra till att lämna upplysningar om säkerhets- eller bevakningsåtgärder nämns t.ex. uppgift om vilken typ och version av operativsystem som använts. Sådana uppgifter kan enligt förarbetena hemlighållas om t.ex. en viss version av ett operativsystem har visat sig ha svagheter som gör att det är lätt att olovligen ta sig in i systemet trots de vidtagna skyddsmekanismerna, eftersom en utomstående genom uppgifterna kan få information om hur man kringgår de vidtagna skyddsåtgärderna. Enligt förarbetena kan bestämmelsen också innebära att uppgifter om vem som gett in en incidentrapport avseende säkerhetsbrister i it-system omfattas av sekretess, eftersom det innebär en uppgift om att ingivarens it-system är sårbart (prop. 2003/04:93 s. 82 f.). Förutom uppgifter om säkerhets- och bevakningsåtgärder kan uppgifter om chiffer, kod eller liknande metoder som används av informationssäkerhetsskäl komma att hanteras i samband med en teknisk analys av en incident och i tillsynsarbetet. Enligt 18 kap. 9 § OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att antingen underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts, eller att göra det möjligt att kontrollera om data i elektronisk form har förvanskats. Inom ramen för incidentrapportering och tillsyn kan leverantörer även behöva lämna uppgifter som rör deras ekonomiska verksamhet. Enligt 30 kap. 23 § första stycket 1 OSL gäller sekretess, i den utsträckning regeringen meddelar föreskrifter om det, i en statlig myndighets verksamhet som består i tillsyn eller stödverksamhet med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Det bör noteras att tillsynsbegreppet i OSL är vitt. Det omfattar i stort alla de fall där en myndighet har en övervakande eller styrande funktion i förhållande till näringslivet. Den typ av uppgifter som det i första hand handlar om att sekretessbelägga med stöd av bestämmelsen är uppgifter som typiskt sett kan vara av intresse för konkurrenter och som skulle skada verksamheten om de blev kända. Regeringen har i 9 § offentlighets- och sekretessförordningen (2009:641) och i bilagan till förordningen meddelat föreskrifter om i vilken utsträckning sekretess enligt 30 kap. 23 § första stycket OSL gäller. I bilagan listas bl.a. tillsyn och stödverksamhet hos MSB och tillsyn hos Post- och telestyrelsen och Transportstyrelsen. I det fortsatta förordningsarbetet, i vilket det bl.a. ska fastslås vilka myndigheter som ska vara tillsynsmyndigheter, kommer regeringen att överväga om och hur offentlighets- och sekretessförordningen behöver ändras för att skydd för leverantörers affärs- eller driftförhållanden ska finnas hos samtliga myndigheter som kommer att ta emot incidentrapporter eller utöva tillsyn enligt den nya lagen. Förutom ovan nämnda bestämmelser finns det flera andra sekretessbestämmelser som kan aktualiseras. Bland annat kan bestämmelserna om sekretess för det allmännas ekonomiska intresse i 19 kap. 1 § OSL, utrikessekretess i 15 kap. 1 § OSL, sekretess i det internationella samarbetet i 15 kap. 1 a § OSL och försvarssekretess i 15 kap. 2 § OSL vara tillämpliga i vissa situationer. Försvarssekretess kan exempelvis aktualiseras hos MSB i egenskap av CSIRT-enhet och hos tillsynsmyndigheten. Försvarssekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. MSB kan i egenskap av CSIRT-enhet t.ex. komma att hantera uppgifter om incidenter som sammantaget ger en sådan bild av samhällets infrastruktur att det kan antas utgöra en sådan fara för Sveriges säkerhet om de röjs att försvarssekretess gäller. Är det befintliga sekretesskyddet tillräckligt starkt? Befintliga bestämmelser om sekretess i OSL är enligt regeringens mening tillräckligt omfattande. Frågan är i stället om befintligt sekretesskydd är tillräckligt starkt. Flera remissinstanser, såsom Datainspektionen, Försvarsmakten, Försvarets radioanstalt, MSB, Socialstyrelsen, Stiftelsen för internetinfrastruktur, Svenskt Näringsliv, Svenskt vatten, Sveriges advokatsamfund och Trafikverket, anser att det krävs eller kan finnas behov av ett starkare skydd. De flesta av dessa remissinstanser påtalar särskilt behovet av ett starkare skydd för säkerhets- och bevakningsåtgärder i 18 kap. 8 § OSL. Som skäl för att sekretesskyddet bör vara starkare anför bl.a. Datainspektionen, Försvarsmakten, MSB, Socialstyrelsen och Stiftelsen för internetinfrastruktur att en för svag sekretess kan göra att aktörer väljer att inte incidentrapportera eller att lämna knapphändig information i sina incidentrapporter. Andra remissinstanser, såsom Försvarets radioanstalt och Socialstyrelsen, pekar på svårigheten att i ett tidigt skede bedöma om uppgifter i incidentrapporter är säkerhetskänsliga och att - för det fall en säkerhetskänslig uppgift röjs - skadan är svår att reparera i efterhand. Det finns också ett antal remissinstanser som anser att befintligt skydd är tillräckligt starkt, bland dem Dataskydd.net, Journalistförbundet och Utgivarna. De framhäver i stället behovet av att incidenter och andra sårbarheter offentliggörs, bl.a. för att det finns ett allmänintresse av att it-relaterade hot uppmärksammas och utreds, men också för att främja kunskapsutvecklingen på området och för att skapa incitament till egenkontroll. Sekretessens styrka bestäms i regel med hjälp av s.k. skaderekvisit. Man skiljer mellan raka och omvända skaderekvisit. Samtliga ovan nämnda bestämmelser är, i likhet med flertalet sekretessbestämmelser i OSL, försedda med raka skaderekvisit. Det innebär att utgångspunkten är att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppkommer om uppgiften röjs. Ett rakt skaderekvisit innebär normalt att det är uppgifternas karaktär som får avgöra om sekretess gäller eller inte. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses vara offentlig. Om uppgiften i stället typiskt sett måste betraktas som känslig omfattas den normalt av sekretess. Bestämmelser med omvända skaderekvisit är utformade med utgångspunkt att sekretess gäller, om det inte står klart att uppgiften kan röjas utan att viss skada uppstår. Sekretessen enligt en bestämmelse kan även vara absolut. Vid absolut sekretess ska uppgifter som omfattas av bestämmelsen hemlighållas oavsett skada. Någon skadeprövning ska alltså inte göras i dessa fall. Den omständigheten att samtliga ovan beskrivna sekretessbestämmelser är försedda med ett rakt skaderekvisit innebär inte att sekretesskyddet är svagt. Ett rakt skaderekvisit innebär visserligen att en presumtion för offentlighet gäller. Presumtionen för offentlighet bryts emellertid om det kan antas att en sådan skada som anges i sekretessbestämmelsen uppstår om uppgiften röjs. Uppgiften är då sekretessbelagd och får inte utan särskilt lagstöd lämnas ut eller röjas muntligen. Vad specifikt avser det skydd som det raka skaderekvisitet i 18 kap. 8 § 3 OSL innebär, kan konstateras att en uppgift om vem som har lämnat en incidentrapport i många fall är en upplysning om att ingivarens nätverk och informationssystem är sårbara för attacker. Uppgiften om vem som har lämnat in en sådan rapport utgör alltså i sig en uppgift som kan omfattas av sekretessens föremål enligt 18 kap. 8 § 3 OSL, eftersom den lämnar upplysning om att ingivarens säkerhetsåtgärder har brister. I många fall kan det antas att leverantörens säkerhetsåtgärder motverkas om det framkommer att dessa har brister. Bestämmelsens skaderekvisit är i sådana situationer uppfyllt, varvid sekretess gäller. Som flera remissinstanser påpekar kan det vara svårt att i ett tidigt skede bedöma om uppgifter i incidentrapporter är säkerhetskänsliga. Det är dock en svårighet som de flesta sekretessprövningar är behäftad med och motiverar inte i sig ett starkare skydd. Det har inte heller framkommit exempel på att 18 kap. 8 § 3 OSL har tillämpats på ett sådant sätt att det i sig motiverar en starkare sekretess. Det kan även konstateras att regeringen i propositionen Ny dataskyddslag (prop. 2017/18:105) har bedömt att 18 kap. 8 § 3 OSL ger ett tillräckligt skydd för uppgifter som kommer att rapporteras till Datainspektionen vid en personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Enligt regeringens mening tillgodoser konstruktionen med ett rakt skaderekvisit i de relevanta sekretessbestämmelserna allmänhetens berättigade intresse av insyn i CSIRT-enhetens och tillsynsmyndighetens verksamhet, eftersom harmlösa uppgifter får lämnas ut. Samtidigt tillgodoser bestämmelserna leverantörers berättigade intresse av diskretion, eftersom uppgifter inte får röjas om det kan antas leda till skada. Mot denna bakgrund anser regeringen att befintliga sekretessbestämmelser i OSL ger ett väl avvägt skydd. Remissinstansernas argument om att det finns en risk för att vissa leverantörer kommer att avstå från att rapportera incidenter eller endast lämna knapphändig information föranleder inte någon annan bedömning. Någon förändring av bestämmelserna i OSL behövs därför inte. Det bör dock framhållas att det är viktigt att det görs en noggrann prövning enligt relevanta sekretessbestämmelser innan uppgifter lämnas ut. 12.2 Behövs ytterligare reglering för att tillgodose NIS-direktivets krav på informationsutbyte med andra medlemsstater och kommissionen? Regeringens bedömning: Befintliga bestämmelser i offentlighets- och sekretesslagen tillgodoser NIS-direktivets krav på utlämnande av uppgifter till andra medlemsstater och till kommissionen. Detsamma gäller för kraven på skydd av uppgifter som mottagits från andra medlemsstater. Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans motsätter sig utredningens bedömning. Skälen för regeringens bedömning Utlämnande av information till andra medlemsstater och kommissionen I NIS-direktivet finns bestämmelser om samarbete som innebär att information som helt eller delvis omfattas av sekretess kan behöva lämnas ut till andra medlemsstater. Som framgår av avsnitt 11.1 och 11.2 kommer den svenska regleringen som genomför direktivet bl.a. innebära att den nationella kontaktpunkten ska lämna uppgifter om incidenter till den samarbetsgrupp som inrättats genom direktivet och att CSIRT-enheten ska informera andra medlemsstater om vissa incidenter. Vidare ska Sverige enligt direktivet lämna uppgifter till kommissionen om genomförandet av direktivet. Av 8 kap. 3 § OSL framgår att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om den utlämnas i enlighet med en särskild föreskrift i lag eller förordning. EU-direktiv jämställs med lag vid tillämpningen av OSL. Sekretess utgör således inget hinder för informationsutbyte med andra medlemsstater och kommissionen enligt NIS-direktivet, den nya lagen eller föreskrifter i förordning som meddelats i anslutning till lagen. Något behov av ytterligare reglering i detta avseende finns alltså inte. Innan ett informationsutbyte sker måste dock beaktas att ett utlämnande av uppgifter inte får riskera Sveriges säkerhet. En incident som skulle ha rapporterats enligt säkerhetsskyddsregleringen men som felaktigt rapporterats enligt den nya lagen ska exempelvis inte rapporteras till andra medlemsstater eller kommissionen, eftersom de inte omfattas av NIS-direktivets rapporteringsskyldighet. Detsamma gäller för uppgifter i incidentrapporter som var för sig inte rör Sveriges säkerhet, men som tillsammans utgör en ny uppgift som är av betydelse för Sveriges säkerhet (aggregerad information). Skydd för information från andra medlemsstater Kommissionen, CSIRT-enheter och andra relevanta myndigheter har enligt NIS-direktivet en skyldighet att vid mellanstatligt informationsutbyte enligt direktivet bevara informationens konfidentialitet och att skydda leverantörers säkerhetsintressen och kommersiella intressen (artiklarna 1.5, 14.5 och 16.6). När exempelvis den svenska CSIRT-enheten eller den nationella kontaktpunkten får sekretesskyddad information om en incident från en annan medlemsstat finns alltså krav på att det ska finnas skydd för informationen även i Sverige. Sekretess gäller enligt 15 kap. 1 a § OSL för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs. Med bindande EU-rättsakt avses förordning, direktiv eller beslut. Information som tas emot från en annan medlemsstat till följd av bestämmelserna i NIS-direktivet kan således omfattas av sekretess enligt 15 kap. 1 a § OSL. Med hänsyn till det anser regeringen att befintliga regler tillgodoser kraven på att skydda leverantörers säkerhetsintressen och kommersiella intressen samt att bevara konfidentialiteten hos tillhandahållen information. Något behov av ytterligare reglering finns därför inte. 13 Ikraftträdande Regeringens förslag: Den nya lagen ska träda i kraft den 1 augusti 2018. Ändringen i den nya lagen med anledning av förslaget till ny säkerhetsskyddslag ska träda i kraft den 1 april 2019. Utredningens förslag stämmer inte överens med regeringens. Utredningen har föreslagit att den nya lagen ska träda i kraft den 10 maj 2018. Utredningen har inte föreslagit någon ändring i den nya lagen med anledning av förslaget till ny säkerhetsskyddslag och därför inte heller något ikraftträdande för ändringen. Remissinstanserna: Ett antal remissinstanser påpekar att det av utredningen föreslagna ikraftträdandet endast ger berörda aktörer en mycket kort tid för att anpassa sig efter de krav på säkerhetsåtgärder och incidentrapportering som den nya lagen innebär. Skälen för regeringens förslag: Enligt artikel 25 i NIS-direktivet ska medlemsstaterna senast den 9 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att uppfylla direktivet. Vidare anges att bestämmelserna ska tillämpas från och med den 10 maj 2018. Den nya lagen bör därför, även med beaktande av att ett snabbt ikraftträdande ger berörda aktörer en relativt kort tid att förbereda sig, träda i kraft så snart som lagstiftningsprocessen medger. Med hänsyn till den tid som de olika leden i lagstiftningsprocessen kan förväntas ta, anser regeringen att ett ikraftträdande är möjligt tidigast den 1 augusti 2018. Den nya lagen föreslås således träda i kraft det datumet. Regeringen föreslår även en ändring i den nya lagen med anledning av ett förslag om ny säkerhetsskyddslag (prop. 2017/18:89). Den ändringen bör följaktligen träda i kraft samtidigt som den nya säkerhetsskyddslagen. 14 Konsekvenser Regeringens bedömning: Säkerheten i nätverk och informationssystem stärks genom förslagen vilket medför samhällsekonomiska vinster på kort och lång sikt. Förslagen innebär vissa ökade förvaltningskostnader för de myndigheter som får en särskild roll, t.ex. som CSIRT-enhet, nationell kontaktpunkt eller tillsynsmyndighet. För myndigheter, kommuner, landsting och enskilda som kommer att omfattas av den nya lagens krav på säkerhetsåtgärder och incidentrapportering kan förslagen innebära något ökade kostnader och administrativa bördor. Eventuella kostnader för statliga myndigheter som kommer att omfattas av den nya lagens krav bör rymmas inom befintliga ekonomiska ramar. Förslagen innebär även att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Kostnaderna för de allmänna förvaltningsdomstolarna bör rymmas inom befintliga ekonomiska ramar. Utredningens bedömning stämmer i huvudsak överens med regeringens. Utredningen har till skillnad från regeringen bedömt att förslagen inte får några ekonomiska konsekvenser för de kommuner, landsting och företag som kommer att omfattas av krav på säkerhetsåtgärder och incidentrapportering. Remissinstanserna: Flera remissinstanser instämmer i att förslagen kommer att innebära en stärkt informationssäkerhet med samhällsekonomiska vinster som följd. De flesta remissinstanser som yttrar sig poängterar vikten av att tillräckliga resurser avsätts för genomförandet av NIS-direktivet. Finansinspektionen, Myndigheten för samhällsskydd och beredskap (MSB), Livsmedelsverket och andra myndigheter som av utredningen har pekats ut att ha en särskild roll, poängterar vikten av att de tillförs medel som står i proportion till ökade arbetsuppgifter. Flera remissinstanser, såsom Energiföretagen Sverige, Svenskt Näringsliv, Svenskt vatten, Trafikverket, Tågoperatörerna, Sveriges Kommuner och Landsting och ett antal kommuner och landsting, anser till skillnad från utredningen att förslagen om krav på säkerhetsåtgärder och incidentrapportering kommer att innebära kostnader för statliga myndigheter, kommuner, landsting och företag. Kammarrätten i Stockholm anser att det kan ifrågasättas om de ökade kostnaderna för de allmänna förvaltningsdomstolarna kan finansieras inom befintliga ekonomiska ramar. Skälen för regeringens bedömning Stärkt säkerhet i nätverk och informationssystem Säkerheten i nätverk och informationssystem är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion. Regeringens förslag om krav på bl.a. säkerhetsåtgärder och incidentrapportering bidrar till att öka säkerheten i nätverk och informationssystem. Eftersom åtgärderna har till syfte att säkerställa kontinuiteten i samhällsviktiga och digitala tjänster, kommer de särskilt att öka försörjningstryggheten i tjänsterna. En ökad försörjningstrygghet är till fördel för såväl myndigheter, kommuner och landsting som enskilda. Förslagen har därför samhällsekonomiska vinster på både kort och lång sikt. Ekonomiska konsekvenser för myndigheter som får en särskild roll Som framgår av det föregående kommer ett antal myndigheter att få en särskild roll i genomförandet av NIS-direktivet, såsom CSIRT-enhet, nationell kontaktpunkt eller tillsynsmyndighet. Medlemsstaterna ska enligt NIS-direktivet säkerställa att CSIRT-enheterna, de nationella kontaktpunkterna och tillsynsmyndigheterna har tillräckliga resurser för att på ett effektivt sätt kunna utföra de uppgifter som de tilldelas (artiklarna 8.5, 9.2, 15.2 och 17.2). CSIRT-enheten ska bl.a. ta emot incidentrapporter från leverantörer, övervaka incidenter på nationell nivå och vara en del i hanteringen av inträffade incidenter. Den nationella kontaktpunkten ska vara en sambandsfunktion för gränsöverskridande samarbete. Utgångspunkten är att MSB ska utses till CSIRT-enhet och nationell kontaktpunkt. MSB har redan i dag i uppdrag att ta emot och hantera statliga myndigheters incidentrapportering. I det uppdraget har också ingått att ta fram en säker kommunikations- och informationsstruktur samt att analysera inrapporterade incidenter och vid behov varna andra aktörer. Även om MSB till viss del redan har liknande uppgifter innebär uppdraget som CSIRT-enhet och nationell kontaktpunkt att MSB kommer att få utökade arbetsuppgifter. Vidare kommer regeringen i det fortsatta förordningsarbetet att överväga om MSB även ska ha andra roller, såsom att leda ett samarbetsforum för tillsynsmyndigheter som t.ex. ska bistå med metodstöd i tillsynsfrågor. Som bl.a. MSB påpekar är det viktigt att de medel som tillförs står i proportion till de ökade arbetsuppgifter som myndigheten får genom den nya regleringen. Det är dock förenat med svårigheter att i nuläget bedöma hur stora kostnaderna för MSB kommer att bli. Förslagen kan även komma att innebära ökade kostnader för de tillsynsmyndigheter som ska övervaka att leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster uppfyller sina skyldigheter. Att fastställa de initiala och löpande kostnaderna för tillsyn är förenat med svårigheter. Hur stora kostnaderna blir för respektive tillsynsmyndighet beror t.ex. på om den aktuella tillsynsmyndigheten redan i dag utövar en likartad tillsyn. Vidare beror det på hur många leverantörer som respektive tillsynsmyndighet kommer att ha tillsyn över. Som flera remissinstanser påpekar, bland dem Finansinspektionen och Livsmedelsverket, är det viktigt att tillsynsmyndigheterna ges förutsättningar att fullgöra sina skyldigheter på ett fullgott sätt. Med anledningen av svårigheterna att bedöma de ekonomiska konsekvenserna för tillsynen föreslog utredningen att regeringen skulle ge Statskontoret i uppdrag att utreda frågan. Regeringen gav därför den 19 oktober 2017 Statskontoret i uppdrag att utreda de ekonomiska konsekvenserna av tillsynen. I uppdraget ingick även att utreda MSB:s kostnader. Statskontoret redovisade uppdraget till regeringen den 14 mars 2018. Regeringen avser att återkomma till riksdagen när det gäller kostnaderna för de myndigheter som kommer att få en särskild roll. Ekonomiska konsekvenser för leverantörer Den föreslagna regleringen innebär krav på leverantörer av samhällsviktiga tjänster inom sju olika sektorer och leverantörer av tre typer av digitala tjänster. Det kan röra sig om såväl offentliga aktörer, dvs. statliga myndigheter, kommuner och landsting, som företag. Förslagen om säkerhetsåtgärder medför små förändringar för vissa leverantörer eftersom de redan i dag omfattas av liknande krav, och större förändringar för andra. För de flesta av leverantörerna, med undantag för bl.a. de som är statliga myndigheter, kommer kravet på att rapportera incidenter att vara en ny uppgift. Förslagen kommer vidare att ställa högre krav på dokumentation och administrativ hantering när det gäller bedömning av lämpliga säkerhetsåtgärder samt incidentrapportering. Administrativa kostnader kommer även att uppkomma för leverantörer som blir föremål för tillsyn. Som utredningen har påpekat kan förslagen också i viss mån bidra till minskade kostnader för leverantörer. Information om incidenter kommer bli mer tillgänglig. Vidare kommer de erfarenheter som kan dras från inträffade incidenter både nationellt och inom EU att kunna användas i det förebyggande och systematiska informationssäkerhetsarbetet. Med hänsyn till det och de föreslagna kraven på säkerhetsåtgärder kommer fler incidenter att förhindras och kostnader för och andra konsekvenser av inträffade incidenter att minska. Utredningen har med hänsyn till bl.a. nämnda kostnadsbegränsande faktorer bedömt att förslagen inte kommer att få några ekonomiska konsekvenser för leverantörerna. Regeringen anser dock, liksom bl.a. Energiföretagen Sverige, Svenskt Näringsliv, Svenskt vatten, Trafikverket, Sveriges Kommuner och landsting, Tågoperatörerna och ett antal kommuner och landsting, att förslagen ändå kan innebära vissa kostnader för leverantörer. Kostnaderna för statliga myndigheter bedöms kunna hanteras inom befintliga ekonomiska ramar. För kommuner och landsting bedöms kostnaderna vara begränsade. Ekonomiska konsekvenser för domstolarna Tillsynsmyndighetens beslut om föreläggande och sanktionsavgift får enligt regeringens förslag överklagas till allmän förvaltningsdomstol, vilket kan medföra en ökning av antalet mål där. Hur stor ökningen av antalet mål och följaktligen hur stora kostnaderna kommer bli är svårt att bedöma. Kammarrätten i Stockholm har ifrågasatt om kostnaderna kan finansieras inom befintliga ekonomiska ramar. Regeringen bedömer i nuläget att det kommer vara fråga om ett sådant begränsat antal mål att kostnaderna bör rymmas inom befintliga ekonomiska ramar. Övriga konsekvenser Förslagen innebär att kommuner och landsting kan bli skyldiga att vidta säkerhetsåtgärder och att rapportera incidenter. Dessa nya åligganden för kommuner och landsting innebär enligt regeringens bedömning en viss inskränkning i självstyrelsen. Med hänsyn till det stora intresset av att öka säkerheten i nätverk och informationssystem bedömer regeringen att inskränkningen måste anses nödvändig. Kraven på säkerhetsåtgärder och incidentrapportering förebygger både avsiktliga angrepp och s.k. handhavandefel. Förslagen bör enligt regeringens mening därför leda till att it-relaterade brott förebyggs och förhindras. Regeringen anser inte att förslagen bör medföra konsekvenser för jämställdheten mellan män och kvinnor. 15 Författningskommentar 15.1 Förslaget till lag om informationssäkerhet för samhällsviktiga och digitala tjänster Syftet med lagen 1 § Paragrafen tydliggör lagens syfte. Den behandlas i avsnitt 5.2 och har i allt väsentligt utformats i enlighet med Lagrådets förslag. Uttryck i lagen 2 § Paragrafen genomför artikel 4 i NIS-direktivet. I paragrafen anges vad som avses med vissa ord och uttryck som används i lagen. Paragrafen behandlas i avsnitt 5.3 och 5.6. Lagens tillämpningsområde 3 § Paragrafen, som genomför artiklarna 5.1, 5.2, 18.1 och 18.2 i NIS-direktivet, reglerar lagens tillämpningsområde. Av första stycket 1 framgår att leverantörer av samhällsviktiga tjänster omfattas av lagen. För att en leverantör ska anses vara en leverantör av samhällsviktiga tjänster krävs för det första att leverantören är av det slag som anges under rubriken Typ av enhet i bilaga 2 till NIS-direktivet. I bilagan anges olika typer av leverantörer fördelat på sju sektorer. För det andra krävs att leverantören tillhandahåller en samhällsviktig tjänst. Vilka tjänster som ska anses som samhällsviktiga enligt lagen ska med stöd av 4 § anges i förordning eller myndighetsföreskrifter. Vidare krävs att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Vid bedömningen av om en incident skulle innebära en betydande störning ska bl.a. beaktas det antal användare som är beroende av den samhällsviktiga tjänsten, leverantörens marknadsandel, hur stort geografiskt område som skulle kunna påverkas av en incident och hur beroende andra sektorer är av den samhällsviktiga tjänst som leverantören tillhandahåller. Slutligen krävs att leverantören är etablerad i Sverige. För att en leverantör av samhällsviktiga tjänster ska anses vara etablerad i Sverige krävs att leverantören bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur här. Den rättsliga formen för en sådan struktur är inte en avgörande faktor. Både offentliga aktörer, som statliga myndigheter, landsting och kommuner, och privata aktörer kan utgöra leverantörer av samhällsviktiga tjänster. Enligt första stycket 2 omfattas även leverantörer av digitala tjänster av lagen. Med en leverantör av digitala tjänster avses en juridisk person som tillhandahåller en digital tjänst. Uttrycket digital tjänst definieras i 2 § 4. Näringsidkare som tillhandahåller egna varor och tjänster på en webbplats (e-butik) eller jämförelsesajter är inte leverantörer av digitala tjänster enligt lagen. För att en leverantör av digitala tjänster ska omfattas av lagen krävs att leverantören har sitt huvudsakliga etableringsställe i Sverige, eller har utsett en företrädare som är etablerad här i landet. I vilka fall en leverantör ska utse en företrädare regleras i 10 §. Det huvudsakliga etableringsstället ska anses vara där leverantören har sitt faktiska huvudkontor. Att nätverk och informationssystem är fysiskt belägna på en viss plats innebär inte att det är fråga om ett huvudsakligt etableringsställe. I andra stycket finns en upplysning om att lagen innehåller en bestämmelse som gäller för andra leverantörer än de som uppfyller kriterierna för att vara leverantörer av samhällsviktiga eller digitala tjänster enligt första stycket. Paragrafen behandlas i avsnitt 5.3. 4 § Paragrafen behandlas i avsnitt 5.3 och 6.2. Undantag från lagens tillämpningsområde Leverantörer av elektroniska kommunikationstjänster 5 § Paragrafen genomför första ledet i artikel 1.3 i NIS-direktivet. Genom paragrafen undantas företag som omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elektronisk kommunikation från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 5.4.1. Leverantörer av betrodda tjänster 6 § Paragrafen genomför andra ledet i artikel 1.3 i NIS-direktivet. Genom paragrafen undantas leverantörer av betrodda tjänster som omfattas av kraven i den angivna förordningen från lagens tillämpningsområde. Med betrodda tjänster avses enligt förordningen bl.a. elektroniska underskrifter och stämplar, validering och bevarande av elektroniska underskrifter och stämplar, tjänster för rekommenderad elektronisk leverans och utfärdande av certifikat för autentisering av webbplatser. Paragrafen behandlas i avsnitt 5.4.1. Leverantörer av digitala tjänster som är mikroföretag eller små företag 7 § Paragrafen genomför artikel 16.11 i NIS-direktivet. Genom paragrafen undantas leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG. Enligt rekommendationen är ett mikroföretag ett företag med färre än 10 anställda och en årsomsättning eller balansomslutning som understiger 2 miljoner euro. Små företag definieras i rekommendationen som företag med färre än 50 anställda och en årsomsättning eller balansomslutning som inte överstiger 10 miljoner euro. Paragrafen behandlas i avsnitt 5.4.1. Säkerhetskänslig verksamhet 8 § Paragrafen genomför artikel 1.6 i NIS-direktivet. Genom paragrafen undantas verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627) från lagens tillämpningsområde. Det innebär bl.a. att incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633) inte ska rapporteras enligt lagen. Att en leverantör av samhällsviktiga eller digitala tjänster bedriver verksamhet som omfattas av säkerhetsskyddslagens krav på säkerhetsskydd betyder inte nödvändigtvis att all verksamhet är undantagen från denna lags tillämpningsområde. Om leverantören även bedriver verksamhet som inte är säkerhetskänslig kan lagen bli tillämplig i de delarna. Paragrafen behandlas i avsnitt 5.4.2. Leverantörer som omfattas av krav på informationssäkerhet i andra författningar 9 § Paragrafen genomför artikel 1.7 i NIS-direktivet. Paragrafen innebär att lagen inte ska tillämpas om det i lag eller annan författning finns bestämmelser om krav på säkerhetsåtgärder och incidentrapportering vars verkan minst motsvarar verkan av skyldigheterna enligt lagen. Med lag eller annan författning avses bl.a. EU-förordningar och myndighetsföreskrifter. Vid bedömningen av om bestämmelser i en annan författning motsvarar verkan av skyldigheterna i lagen, ska bl.a. bestämmelsernas omfattning beaktas samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. Motsvarande bestämmelser om säkerhetsåtgärder och incidentrapportering kan finnas t.ex. inom sjöfartssektorn, banksektorn och sektorn för finansmarknadsinfrastruktur. Däremot motsvarar inte kraven enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap eller kraven i Europaparlamentets och rådets förordning (EU) 2016/679, kallad dataskyddsförordningen, skyldigheterna i lagen. Paragrafen behandlas i avsnitt 5.4.3. Den har utformats i enlighet med Lagrådets förslag. Utseende av företrädare 10 § Paragrafen genomför artikel 18.2 i NIS-direktivet. Paragrafen reglerar skyldigheten för juridiska personer att i vissa fall utse en företrädare som är etablerad inom EU. Skyldigheten gäller för de juridiska personer som erbjuder digitala tjänster i Sverige men som inte har huvudkontor inom EU. En företrädare kan enligt definitionen i 2 § 9 vara såväl en fysisk som en juridisk person. Företrädaren ska utses uttryckligen, t.ex. genom en skriftlig fullmakt från leverantören att agera på dess vägnar när det gäller leverantörens skyldigheter enligt lagen eller NIS-direktivet. Om en juridisk person utser en företrädare som är etablerad i Sverige innebär det att den juridiska personen är en sådan leverantör av digitala tjänster som omfattas av lagen. Paragrafen behandlas i avsnitt 5.5. Den har utformats i enlighet med Lagrådets förslag. Säkerhetsåtgärder Skyldigheter för leverantörer av samhällsviktiga tjänster 11 § I paragrafen anges att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete när det gäller sådana nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Det innebär att arbetet ska bedrivas långsiktigt, kontinuerligt och metodiskt samt att arbetet bör ha en tydlig rollfördelning med särskilt utpekat ansvar. I arbetet bör europeiska och internationellt godkända standarder beaktas. Styrande dokument som en leverantör har antagit för det systematiska informationssäkerhetsarbetet utgör sådan information som leverantören ska tillhandahålla tillsynsmyndigheten enligt 24 §. Paragrafen behandlas i avsnitt 7.1.2. 12 § Enligt paragrafen ska leverantörer av samhällsviktiga tjänster göra en riskanalys. Riskanalysen ska ligga till grund för valet av säkerhetsåtgärder, vilket innebär att den ska användas som beslutsstöd för leverantörers prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder. Riskanalysen ska dokumenteras, uppdateras årligen och innehålla en åtgärdsplan. Analysen är exempel på sådan information som leverantören ska tillhandahålla tillsynsmyndigheten enligt 24 §. Paragrafen behandlas i avsnitt 7.1.3. 13 § Paragrafen genomför artikel 14.1 i NIS-direktivet. Enligt paragrafen ska leverantörer av samhällsviktiga tjänster vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem. Vad som avses med uttrycken "säkerhet i nätverk och informationssystem" respektive risk anges i 2 § 2 och 11. Tekniska åtgärder innefattar bl.a. åtgärder till skydd mot oönskad förändring av, obehörig insyn i och åtkomst till nätverk och informationssystem samt skydd av personer, lokaler och utrustning av betydelse för informationssäkerheten. I organisatoriska åtgärder ingår bl.a. att utforma rutiner och att genomföra uppföljningar. Säkerhetskraven gäller de nätverk och informationssystem som leverantören använder vid tillhandahållandet av samhällsviktiga tjänster, oavsett om denne sköter underhållet av sina nätverk och informationssystem internt eller lägger ut uppgifterna på entreprenad. Syftet med säkerhetsåtgärderna ska vara att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken. Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska bl.a. den tekniska utvecklingen beaktas, dvs. de tekniska lösningar som vid var tid finns tillgängliga på marknaden. Teknisk utveckling kan dels medföra att behovet av säkerhetsåtgärder förändras, dels innebära nya möjligheter att vidta effektiva säkerhetsåtgärder. För att säkerställa en lämplig nivå på säkerheten behöver leverantörer av samhällsviktiga tjänster regelbundet och vid behov se över vilka säkerhetsåtgärder som ska vidtas. Paragrafen behandlas i avsnitt 7.1.4. 14 § Paragrafen genomför artikel 14.2 i NIS-direktivet. Enligt paragrafen ska leverantörer av samhällsviktiga tjänster vidta lämpliga åtgärder för att förebygga och minimera incidenters verkningar. Det innefattar åtgärder som stöder upptäckt och analys av incidenter samt åtgärder för att hantera en inträffad incident. Vad som avses med uttrycket incident anges i 2 § 10. Åtgärderna ska ha till syfte att säkerställa kontinuiteten i den samhällsviktiga tjänst som leverantören tillhandahåller. Om en incident inträffar finns det som regel anledning att se över säkerhetsåtgärderna. Paragrafen behandlas i avsnitt 7.1.5. Skyldigheter för leverantörer av digitala tjänster 15 § Paragrafen genomför artikel 16.1 i NIS-direktivet. Paragrafen ålägger leverantörer av digitala tjänster att vidta vissa tekniska och organisatoriska åtgärder. Begreppen tekniska och organisatoriska åtgärder behandlas i kommentaren till 13 §. Det är leverantören av digitala tjänster som avgör vilka konkreta åtgärder som ska vidtas. Åtgärderna ska dock hantera risker som hotar säkerheten i nätverk och informationssystem som leverantören använder när denne tillhandahåller digitala tjänster inom EU och säkerställa en nivå på säkerheten som är lämplig i förhållande till risken. Vad som avses med uttrycken "säkerhet i nätverk och informationssystem" respektive risk anges i 2 § 2 och 11. Vid bedömningen av vad som är en lämplig nivå i förhållande till risken ska bl.a. den tekniska utvecklingen beaktas, dvs. de tekniska lösningar som vid var tid finns tillgängliga på marknaden. För att säkerställa en lämplig nivå på säkerheten behöver leverantörer av digitala tjänster regelbundet och vid behov se över vilka säkerhetsåtgärder som ska vidtas. Paragrafen behandlas i avsnitt 8.1. 16 § Paragrafen genomför artikel 16.2 i NIS-direktivet. Paragrafen innebär att leverantörer av digitala tjänster bl.a. ska vidta åtgärder som stöder upptäckt av incidenter och åtgärder för att hantera en inträffad incident. Vad som avses med uttrycket incident anges i 2 § 10. Skyldigheten avser endast incidenter som påverkar nätverk och informationssystem som leverantören använder och som har verkningar på digitala tjänster som leverantören erbjuder inom EU. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Paragrafen behandlas i avsnitt 8.1. Bemyndigande 17 § I paragrafen finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om vad som krävs av en leverantör för att uppfylla kraven på säkerhetsåtgärder som följer av lagen. Föreskrifter som kan meddelas med stöd av detta bemyndigande är t.ex. sådana som beskriver vad ett systematiskt och riskbaserat informationssäkerhetsarbete enligt 11 § innebär och vilka faktorer som ska beaktas vid bedömningen av vad som utgör en lämplig nivå på säkerheten i nätverken och informationssystemen enligt 15 §. Paragrafen behandlas i avsnitt 7.1.6 och 8.1. Incidentrapportering Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster 18 § Paragrafen genomför artiklarna 14.3 och 16.5 i NIS-direktivet. Enligt paragrafen är leverantörer av samhällsviktiga tjänster skyldiga att rapportera vissa incidenter. Endast incidenter med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem och som har orsakat en betydande inverkan på den samhällsviktiga tjänstens kontinuitet ska rapporteras. Incidenter som endast påverkar den samhällsviktiga tjänsten på andra sätt behöver inte rapporteras enligt denna bestämmelse. När det gäller sådana incidenter kan det dock finnas rapporteringskrav i andra regelverk. Rapporteringskravet gäller oavsett var incidenten har skett. Leverantörer av samhällsviktiga tjänster har därför en skyldighet att rapportera incidenter hos exempelvis en tredjepartsleverantör och följdincidenter på grund av en sådan incident, under förutsättning att incidenten har en betydande inverkan på den samhällsviktiga tjänst som leverantören tillhandahåller. I paragrafen anges också att rapporteringen ska ske utan onödigt dröjsmål. Det innebär att rapporteringen som regel ska ske så snart de första kritiska åtgärderna har vidtagits för att avhjälpa incidenten och de uppgifter som ska lämnas finns tillgängliga. I de fall incidenten påverkar flera leverantörer eller är gränsöverskridande kan det krävas att rapporteringen sker snarast möjligt med följd att rapporten kan behöva kompletteras när incidenten har avhjälpts och de fullständiga uppgifter som ska lämnas finns tillgängliga. För att incidentrapporteringen ska vara ändamålsenlig bör en rapport innehålla en beskrivning av incidenten, de åtgärder som har vidtagits för att hantera incidenten och incidentens gränsöverskridande verkningar. Paragrafen behandlas i avsnitt 7.2. Rapporteringsskyldighet för leverantörer av digitala tjänster 19 § Paragrafen genomför artikel 16.3 i NIS-direktivet. Enligt paragrafen är leverantörer av digitala tjänster skyldiga att rapportera vissa incidenter. Skyldigheten gäller endast incidenter med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem och som orsakat en avsevärd inverkan på tillhandahållandet av en digital tjänst som leverantören erbjuder inom EU. Vad som ska anses vara en avsevärd inverkan på tillhandahållandet av en digital tjänst specificeras i artiklarna 3 och 4 i kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018 om tillämpningsföreskrifter för NIS-direktivet. Angående vad det innebär att incidentrapporteringen ska ske utan onödigt dröjsmål och vilken information en rapport bör innehålla, se kommentaren till 18 §. Paragrafen behandlas i avsnitt 8.2. Bemyndigande 20 § I paragrafen finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om vad som krävs av leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster för att uppfylla kraven på incidentrapportering i lagen. Föreskrifter som kan meddelas med stöd av detta bemyndigande är t.ex. sådana som anger vilka faktorer som ska beaktas vid bedömningen av om en incident har en sådan inverkan på kontinuiteten i en samhällsviktig tjänst att den medför krav på rapportering enligt 18 §. Paragrafen behandlas i avsnitt 7.2.7 och 8.2. Tillsyn Tillsynsmyndighetens uppdrag 21 § Paragrafen genomför artikel 8.1 och 8.2 i NIS-direktivet. Av paragrafen framgår att regeringen i förordning utser vilken eller vilka myndigheter som ska vara tillsynsmyndighet. Vidare regleras att tillsynsmyndighetens uppgift är att utöva tillsyn över lagen och de föreskrifter som har meddelats i anslutning till den. Det innebär att huvudsyftet med tillsynen är att bedöma hur leverantörerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering. Paragrafen behandlas i avsnitt 9.1 och 9.2. 22 § Paragrafen genomför artikel 17.1 i NIS-direktivet. Paragrafen begränsar tillsynsmyndighetens uppdrag i fråga om leverantörer av digitala tjänster. Till skillnad mot vad som gäller för leverantörer av samhällsviktiga tjänster ska tillsynsåtgärder beträffande leverantörer av digitala tjänster vidtas bara när tillsynsmyndigheten har befogad anledning att anta att leverantören inte uppfyller lagens krav. Det innebär att tillsynsmyndigheten måste ha uppgifter som ger objektivt stöd för en överträdelse. Sådana uppgifter kan tillsynsmyndigheten få t.ex. av leverantören av digitala tjänster själv, en annan tillsynsmyndighet eller en tjänsteanvändare. Även incidentrapporteringen kan innehålla information som gör att tillsynsmyndigheten har befogad anledning att anta att lagen inte följs. Paragrafen behandlas i avsnitt 9.2. Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster 23 § Av paragrafen framgår att leverantörer av samhällsviktiga tjänster har en skyldighet att utan dröjsmål anmäla sig till tillsynsmyndigheten. Av anmälan ska det framgå om de tillhandahåller samhällsviktiga tjänster i två eller flera medlemsstater inom EU. Paragrafen behandlas i avsnitt 6.3. Tillsynsmyndighetens undersökningsbefogenheter 24 § Paragrafen genomför artiklarna 15.2 och 17.2 a i NIS-direktivet. I paragrafen behandlas den skyldighet som leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster har att vid tillsyn tillhandahålla tillsynsmyndigheten information. Skyldigheten gäller sådan information som behövs för tillsynen. Det kan t.ex. vara fråga om risk- och säkerhetsanalyser, åtgärdsplaner, styrande dokument och genomförda säkerhetsrevisioner. I enlighet med 22 § uppkommer tillsynsmyndighetens rätt till information när det gäller leverantörer av digitala tjänster först när tillsynsmyndigheten har befogad anledning att anta att sådana leverantörer inte uppfyller lagens krav på säkerhetsåtgärder eller incidentrapportering. Paragrafen behandlas i avsnitt 9.3.1. 25 § Paragrafen genomför artiklarna 15.1, 15.2 och 17.2 a i NIS-direktivet. Paragrafen reglerar tillsynsmyndighetens rätt att få tillträde till områden, lokaler och andra utrymmen i den utsträckning det krävs för att kunna utöva tillsyn. Tillträdesrätten omfattar inte bostäder. Rätten motsvaras av en skyldighet för den som står under tillsyn att tillhandahålla begärt tillträde. Det intrång som tillträdet innebär måste stå i proportion till behovet av tillsynsåtgärden. Tillträdesrätten ger inte tillsynsmyndigheten rätt att bereda sig tillträde med tvång. Om den som står under tillsyn inte samarbetar kan dock tillsynsmyndigheten förelägga leverantören att ge tillträde vid äventyr av vite och i sista hand begära handräckning av Kronofogdemyndigheten, se 26 och 27 §§. Paragrafen behandlas i avsnitt 9.3.2. 26 § Paragrafen genomför artiklarna 15.1, 15.2 och 17.2 i NIS-direktivet. Första stycket reglerar vilka förelägganden som tillsynsmyndigheten får meddela vid tillsyn. Som utgångspunkt ska dock tillsynsmyndigheten i första hand försöka få till stånd frivillig rättelse. Om det inte lyckas får tillsynsmyndigheten förelägga en leverantör att tillhandahålla information och ge tillträde enligt 24 och 25 §§. Ett beslut om föreläggande får enligt andra stycket förenas med vite. När vite föreläggs är lagen (1985:206) om viten tillämplig. Paragrafen behandlas i avsnitt 9.3.3. Den har utformats i enlighet med Lagrådets förslag. 27 § Paragrafen genomför artiklarna 15.1, 15.2 och 17.2 i NIS-direktivet. Paragrafen reglerar tillsynsmyndighetens möjlighet att begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Paragrafen behandlas i avsnitt 9.3.3. Ingripanden och sanktioner Åtgärdsförelägganden 28 § Paragrafen genomför artiklarna 15.3, 17.2 b och 21 i NIS-direktivet. Enligt första stycket får tillsynsmyndigheten utfärda de förelägganden som behövs för att leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster ska uppfylla de krav på riskanalys, tekniska och organisatoriska åtgärder, incidenthantering och incidentrapportering som följer av lagen och av föreskrifter som har meddelats i anslutning till den. Tillsynsmyndigheten får även utfärda förelägganden när det gäller skyldigheten att utse företrädare enligt 10 §. Ett föreläggande får enligt andra stycket förenas med vite. När vite föreläggs är lagen om viten tillämplig. Paragrafen behandlas i avsnitt 10.2. Sanktionsavgift 29 § Paragrafen genomför artikel 21 i NIS-direktivet. Paragrafen reglerar vid vilka överträdelser som tillsynsmyndigheten kan besluta om sanktionsavgift. Avgiftsskyldigheten bygger på strikt ansvar. Det krävs alltså varken uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum. Även statliga myndigheter, kommuner och landsting kan påföras sanktionsavgift. Paragrafen behandlas i avsnitt 10.3.1. 30 § Paragrafen genomför artikel 21 i NIS-direktivet och fastställer minimi- och maxbelopp för sanktionsavgift. Hur avgiften ska bestämmas i det enskilda fallet regleras i 31 §. Paragrafen behandlas i avsnitt 10.3.2. 31 § Paragrafen genomför artikel 21 i NIS-direktivet. I paragrafen anges de omständigheter som särskilt ska beaktas när tillsynsmyndigheten bestämmer sanktionsavgiftens storlek. Uppräkningen är inte uttömmande. Utöver de i paragrafen angivna omständigheterna kan hänsyn behöva tas till hur länge överträdelsen har pågått. Det kan också vara relevant att beakta bestämmelsens betydelse för tillsynsområdet. I mildrande riktning kan det vara aktuellt att beakta om leverantören har samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelsen. Paragrafen behandlas i avsnitt 10.3.3. 32 § Paragrafen genomför artikel 21 i NIS-direktivet. Paragrafen ger tillsynsmyndigheten möjlighet att sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ringa, ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut sanktionsavgift. Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning. Det är däremot inte oskäligt att ta ut en sanktionsavgift när överträdelsen exempelvis berott på att en leverantör inte känt till reglerna eller överträdelsen berott på dålig ekonomi, tidsbrist eller bristande rutiner. Paragrafen behandlas i avsnitt 10.3.3. 33 § Paragrafen genomför artikel 21 i NIS-direktivet. Paragrafen syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner. Om ett vitesföreläggande har meddelats och föreläggandet inte följs, kan tillsynsmyndigheten välja att ansöka om utdömande av vitet eller att besluta om sanktionsavgift om förutsättningarna för det är uppfyllda. När en domstolsprocess inletts om utdömande av vitet är dock tillsynsmyndigheten enligt bestämmelsen förhindrad att besluta om sanktionsavgift för samma överträdelse. Paragrafen behandlas i avsnitt 10.3.4. 34 § Paragrafen genomför artikel 21 i NIS-direktivet. Paragrafen reglerar bl.a. den bortre tidsgränsen för när en sanktionsavgift får beslutas. Första stycket innebär att om kommunikation enligt förvaltningslagen (2017:900) med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten. Tidsfristen räknas från när överträdelsen ägde rum. Av andra stycket framgår att ett beslut om sanktionsavgift ska delges den avgiftsskyldige. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen (2010:1932) för att säkerställa att den som beslutet gäller får del av underrättelsen. Paragrafen behandlas i avsnitt 10.3.5. 35 och 36 §§ Paragraferna genomför artikel 21 i NIS-direktivet och reglerar betalning och indrivning av sanktionsavgifter. Paragraferna behandlas i avsnitt 10.3.5. Föreskrifter om verkställighet 37 § Paragrafen upplyser om att det finns en möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela verkställighetsföreskrifter. Exempelvis kan närmare föreskrifter meddelas om formerna för anmälningsskyldigheten enligt 23 § och när i tiden en sådan anmälan ska ske, formerna för incidentrapportering enligt 18 och 19 §§ och vilken information som en leverantör är skyldig att tillhandahålla tillsynsmyndigheten enligt 24 §. Paragrafen behandlas i avsnitt 6.3. Förordnande om att beslut ska gälla omedelbart 38 § Paragrafen innebär en möjlighet för tillsynsmyndigheten att i enskilda fall bestämma att ett beslut om föreläggande ska gälla omedelbart. Den som beslutet gäller har vid ett överklagande av ett sådant beslut möjlighet att begära att beslutet tills vidare inte ska gälla, s.k. inhibition. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291). Paragrafen behandlas i avsnitt 10.4. Överklagande 39 § Paragrafen reglerar rätten att överklaga beslut enligt lagen och behandlas i avsnitt 10.5. 15.2 Förslaget till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster 8 § Paragrafen innehåller undantag från lagens tillämpningsområde. Hänvisningen i paragrafen ändras till följd av att säkerhetsskyddslagen (1996:627) ersätts av en ny säkerhetsskyddslag. Ändringen behandlas i avsnitt 5.4.2. NIS-direktivet Sammanfattning av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Bakgrund I juli 2016 antog Europaparlamentet och rådet NIS-direktivet. Direktivet fastställer åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion. Direktivet innebär bland annat skyldigheter för vissa leverantörer av samhällsviktiga tjänster och vissa leverantörer av digitala tjänster att vidta säkerhetsåtgärder för att hantera risker samt förebygga och hantera incidenter i nätverk och informationssystem som de är beroende av för att tillhandahålla tjänsterna. Leverantörerna ska också rapportera incidenter som har en betydande respektive avsevärd inverkan på kontinuiteten i tjänsten. För att en leverantör ska anses vara en sådan leverantör av samhällsviktiga tjänster som omfattas av direktivet krävs att leverantören bedriver verksamhet inom någon av de i direktivet särskilt utpekade enheterna. Enheterna finns inom sju angivna sektorer. Sektorerna omfattar energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Dessutom krävs att den tjänst som tillhandahålls är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Medlemsstaterna är skyldiga att dels upprätta en förteckning över de tjänster på medlemsstatens territorium som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, dels identifiera de leverantörer som tillhandahåller sådana tjänster. De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte. Medlemsstaterna ska enligt direktivet utse myndigheter med särskilda uppgifter på området, till exempel tillsynsmyndigheter, nationella kontaktpunkter och enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter). Medlemsstaterna ska också säkerställa att tillsynsmyndigheterna har befogenheter och medel för att kontrollera att leverantörerna uppfyller sina skyldigheter samt fastställa regler om sanktioner för överträdelse av de nationella bestämmelserna som antagits enligt direktivet. Direktivet innehåller vidare en skyldighet för varje medlemsstat att anta en nationell strategi för säkerhet i nätverk och informationssystem. Medlemsstaterna ska senast den 9 maj 2018 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet. Bestämmelserna ska tillämpas från och med den 10 maj 2018. Ett samlat regelverk - en ny lag och en ny förordning Utredningen föreslår en ny lag och en ny förordning som till utformning och innehåll ligger nära NIS-direktivet. Regelverket ska tillämpas endast på sådana leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster som omfattas av direktivet. I den utsträckning det finns bestämmelser om säkerhetskrav eller incidentrapporteringskrav på de aktuella leverantörerna i annan lag som minst motsvarar bestämmelserna i den föreslagna lagen ska emellertid de bestämmelserna tillämpas. Om sådana krav finns i bindande EU-rättsakter (lex specialis) ska den föreslagna lagen inte tillämpas alls. Vissa företag och leverantörer är uttryckligen undantagna från direktivets tillämpningsområde. Dessa omfattas följaktligen inte heller av den föreslagna lagen. Detta innebär att regelverket inte ska tillämpas på företag som omfattas av kraven i artiklarna 13a och 13b i direktiv 2002/21/EG, dvs. tillhandahållare av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst. I NIS-direktivet anges dock internetknutpunkter uttryckligen som en sådan enhet som ska regleras enligt direktivet. Tillhandahållare av internetknutpunkter omfattas därför av den föreslagna lagen trots att de enligt svensk rätt anses som sådana företag som omfattas av artiklarna 13a och 13b. Regelverket ska inte heller tillämpas på leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i förordning (EU) nr 910/2014 (eIDAS). Även verksamhet som är av betydelse för Sveriges säkerhet är undantagen från tillämpningsområdet. Detta innebär till exempel att verksamhet som omfattas av säkerhetsskyddslagen inte omfattas. Incidenter som inträffar i sådan verksamhet ska därmed inte rapporteras enligt bestämmelserna i den föreslagna lagen, utan även fortsättningsvis rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633). Föreskrifter med förteckning över samhällsviktiga tjänster För att leverantörer av samhällsviktiga tjänster ska kunna identifieras ska Myndigheten för samhällsskydd och beredskap meddela föreskrifter (förteckning) om vilka tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet (samhällsviktiga tjänster) för varje sektor som omfattas av NIS-direktivet. Identifiering av leverantörer av samhällsviktiga tjänster Det är i likhet med vad som gäller enligt säkerhetsskyddslagstiftningen verksamhetsutövaren som är ansvarig för att avgöra om denne omfattas av lagen. I detta syfte ska den som är ansvarig för en verksamhet som tillhandahåller en samhällsviktig tjänst som finns upptagen i de föreskrifter (förteckning) som Myndigheten för samhällsskydd och beredskap ska meddela, undersöka om tillhandahållandet av tjänsten är beroende av nätverk eller informationssystem och om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Undersökningen ska dokumenteras. För att avgöra om en störning är betydande ska verksamhetsutövaren beakta vissa särskilda faktorer, bland annat det antal användare som är beroende av den aktuella tjänsten. Tillsynsmyndigheten får meddela föreskrifter om vilka sektorspecifika och sektoröverskridande faktorer som ska beaktas vid bedömningen av om en incident skulle medföra en betydande störning. Säkerhetskrav och incidentrapportering Såväl leverantörer av samhällsviktiga tjänster som leverantörer av digitala tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i deras nätverk och informationssystem. De ska också vidta lämpliga åtgärder för att förebygga och minimera den inverkan som incidenter som påverkar säkerheten i deras nätverk och informationssystem har på de tjänster som tillhandahålls. Syftet med sistnämnda åtgärder är att säkerställa kontinuiteten i tjänsterna. Leverantörer av digitala tjänster ska själva utarbeta åtgärder för att hantera risker. De ska i det arbetet beakta vissa i lagen angivna faktorer. Leverantörer av samhällsviktiga tjänster ska i stället göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. I analysen, som ska dokumenteras och uppdateras årligen, ska en åtgärdsplan ingå. Tillsynsmyndigheten får också meddela föreskrifter om utformningen av säkerhetsåtgärderna. Leverantörer av samhällsviktiga tjänster ska också bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Både leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter till CSIRT-enheten (se nedan) vid Myndigheten för samhällsskydd och beredskap. Leverantörer av samhällsviktiga tjänster ska rapportera incidenter som har en betydande inverkan på kontinuiteten i tjänsten, medan leverantörer av digitala tjänster ska rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av tjänsten. I lagen anges ett antal faktorer som framför allt ska beaktas vid bedömningen av om incidenten har en sådan inverkan att den ska rapporteras. Tillsynsmyndigheten får meddela närmare föreskrifter om faktorer som ska beaktas vid bedömningen av om en incident har betydande inverkan. Myndigheten för samhällsskydd och beredskap får meddela föreskrifter om rapportering av incidenter och om förutsättningarna för frivillig incidentrapportering. Tillsyn För varje sektor och för de digitala tjänster som omfattas av lagen ska en tillsynsmyndighet ansvara för att övervaka att regelverket följs. Följande myndigheter föreslås vara tillsynsmyndigheter. Sektor Tillsynsmyndighet Energi Statens energimyndighet Transporter Transportstyrelsen Bankverksamhet Finansinspektionen Finansmarknadsinfrastruktur Finansinspektionen Hälso- och sjukvård Inspektionen för vård och omsorg Leverans och distribution Livsmedelsverket av dricksvatten Digital infrastruktur Post- och telestyrelsen Digitala tjänster Tillsynsmyndighet Digitala tjänster Post- och telestyrelsen Vid tillsyn ska leverantören tillhandahålla tillsynsmyndigheten den information som behövs för en bedömning av säkerheten i leverantörens nätverk och informationssystem. Leverantörer av samhällsviktiga tjänster är skyldiga att tillhandahålla även bevis för att säkerhetsprinciper har genomförts effektivt. Beträffande leverantörer av digitala tjänster får tillsynsåtgärder vidtas bara i efterhand, när tillsynsmyndigheten har fått kännedom om att leverantören inte uppfyller säkerhetskraven eller kravet att incidentrapportera. Tillsynsmyndigheten ska försöka få en leverantör som inte följer regelverket att rätta sig. Tillsynsmyndigheten får meddela förelägganden, dels i syfte att få tillgång till viss information som behövs för tillsynen, dels för att få leverantören att följa regelverket. Ett föreläggande får förenas med vite. Myndigheten för samhällsskydd och beredskap ska inom ramen för sitt nuvarande uppdrag ha en samlad bild av NIS-direktivets genomförande och tillämpning i Sverige genom att leda ett samarbetsforum där samtliga tillsynsmyndigheter ska ingå samt ta emot tillsynsmyndighetens bedömning av brister i nätverk och informationssystem. I bedömningen bör ingå brister som upptäcks vid tillsyn men även svårigheter vid tillämpning och tolkning av regelverket. Myndigheten för samhällsskydd och beredskap ska vidare tillhandahålla tillsynsmyndigheterna det metodstöd för tillsyn som behövs för en effektiv tillsyn enligt det föreslagna regelverket. Sanktionsavgift Tillsynsmyndigheten ska besluta att sanktionsavgift ska tas ut av den som underlåter att incidentrapportera eller att vidta säkerhetsåtgärder. Vid bedömningen av avgiftens storlek ska tillsynsmyndigheten ta särskild hänsyn till skada eller risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare har begått en överträdelse samt de kostnader som leverantören har undvikit till följd av överträdelsen. Sanktionsavgiften får under vissa förhållanden efterges helt eller delvis. Nationell kontaktpunkt, samarbetsgrupp och CSIRT-enhet För att underlätta gränsöverskridande samarbete och för att möjliggöra ett effektivt genomförande av NIS-direktivet ska det i varje medlemsstat finnas en nationell gemensam kontaktpunkt. Den nationella kontaktpunkten ska ansvara för samordningen av frågor angående nätverk och informationssystem och för gränsöverskridande samarbete på unionsnivå. Den nationella kontaktpunkten ska också lämna en sammanfattande rapport om antalet ingivna incidentrapporter och om de rapporterade incidenternas art till samarbetsgruppen. Samarbetsgruppen syftar till att stödja och underlätta strategiskt samarbete mellan medlemsstaterna vad gäller säkerhet i nätverk och informationssystem. Gruppen ska bland annat utbyta bästa praxis i olika avseenden. Utöver företrädare för medlemsstaterna består gruppen av representanter från kommissionen och från Europeiska unionens byrå för nät- och informationssäkerhet (Enisa). I varje medlemsstat ska det enligt NIS-direktivet också finnas en eller flera enheter för hantering av it-säkerhetsincidenter (CSIRTenheter). CSIRT-enheten ska bland annat övervaka incidenter på nationell nivå och tillhandahålla tidiga varningar m.m. till relevanta aktörer om risker och incidenter. CSIRT-enheten ska också delta i ett CSIRT-nätverk inom unionen. Utredningens förslag innebär att Myndigheten för samhällsskydd och beredskap ska vara både nationell kontaktpunkt och CSIRTenhet samt representera Sverige i samarbetsgruppen. Myndigheten för samhällsskydd och beredskap har redan i dag ett sådant uppdrag samt den struktur och kompetens som krävs för detta. Sekretess Befintliga bestämmelser om sekretess omfattar uppgifter som ska rapporteras och delas med anledning av incidenter samt tillhandahållas i samband med tillsyn. Det har inte framkommit några exempel på att den nuvarande regleringen är otillräcklig. Det finns därmed inte skäl att införa starkare sekretess för uppgifter som lämnas inom ramen för incidentrapporteringen. Till följd av tillsynen kan tillsynsmyndigheterna emellertid få del av känsliga uppgifter om enskilds affärs- eller driftförhållande. För att sistnämnda uppgifter ska kunna skyddas behöver sekretessförordningen ändras så att sekretess för sådana uppgifter gäller i verksamhet som består i tillsyn enligt det föreslagna regelverket. Konsekvenser NIS-direktivets genomförande kommer initialt att innebära kostnader för de föreslagna tillsynsmyndigheterna. Kostnaderna kan till viss del, i vart fall på lång sikt, finansieras genom de samhällsekonomiska vinster som en hög gemensam nivå av säkerhet i nätverk och informationssystem medför. Utredningen föreslår att tillsynsmyndigheternas uppdrag enligt förslagen, i vart fall inledningsvis, ska vara anslagsfinansierade och fördelas på de utgiftsområden som respektive sektor tillhör. När det gäller kostnader för löpande tillsyn samt för kompetensförsörjning föreslår utredningen att Statskontoret ges i uppdrag att lämna ett förslag på genomförande och finansiering. Ikraftträdande Regelverket föreslås träda i kraft den 10 maj 2018, vilket är det datum som medlemsstaterna enligt NIS-direktivet ska tillämpa direktivets bestämmelser. För att lagen ska kunna tillämpas i enlighet med direktivet den dagen föreslår utredningen att vissa myndigheter dessförinnan ges i uppdrag att påbörja arbetet med myndighetsföreskrifter samt att vidta andra behövliga förberedelseåtgärder. Betänkandets lagförslag Förslag till lag om informationssäkerhetför vissa tillhandahållare av samhällsviktiga och digitala tjänster Härigenom föreskrivs följande Inledande bestämmelse 1 § Denna lag syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom den Europeiska unionen, för att förbättra den inre marknadens funktion. Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet), utom vad gäller Sveriges skyldighet att anta en nationell strategi för säkerhet i nätverk och informationssystem. Lagens tillämpningsområde 2 § Denna lag gäller a) leverantörer av samhällsviktiga tjänster enligt definitionen i 7 § 3 som är etablerade på svenskt territorium. b) leverantörer av digitala tjänster enligt definitionerna i 7 § 4 och 5 som har sitt huvudsakliga etableringsställe i Sverige eller har utsett en företrädare som är etablerad här, dock inte mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. Undantag från lagens tillämpningsområde Elektronisk kommunikation 3 § Lagen gäller inte för företag som omfattas av kraven i artiklarna 13a och 13b i Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv), i lydelsen enligt Europaparlamentets och rådets direktiv 2009/140/EG, utom företag som tillhandahåller internetknutpunkter. Betrodda tjänster 4 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, i den ursprungliga lydelsen. Avvikande bestämmelser i EU-rättsakter eller i annan författning 5 § Finns bestämmelser i bindande EU-rättsakter om krav på att leverantörer av samhällsviktiga tjänster eller leverantörer av digitala tjänster ska säkerställa säkerheten i sina nätverk och informationssystem eller rapportera incidenter så ska denna lag inte tillämpas förutsatt att verkan av kraven minst motsvarar verkan av skyldigheterna i denna lag. Finns sådana bestämmelser i annan författning ska de bestämmelserna tillämpas om kraven minst motsvarar verkan av skyldigheterna i denna lag. Sveriges säkerhet 6 § Bestämmelserna i denna lag ska inte tillämpas på verksamhet som är av betydelse för Sveriges säkerhet. Definitioner i lagen 7 § I denna lag avses med 1. nätverk och informationssystem: a) ett elektroniskt kommunikationsnät enligt artikel 2 a i direktiv 2002/21/EG, i lydelsen enligt direktiv 2009/140/EG, b) en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller c) digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas, 2. säkerhet i nätverk och informationssystem: nätverk och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem, 3. leverantör av samhällsviktiga tjänster: en enhet av en typ som avses i bilaga 2 till NIS-direktivet och som tillhandhåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, tillhandhållandet av tjänsten är beroende av nätverk och informationssystem och en incident skulle medföra en betydande störning av tillhandahållandet av tjänsten, 4. digital tjänst: en tjänst i den mening som avses i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster, i den ursprungliga lydelsen, av en typ som anges i bilaga 3 till NIS-direktivet, 5. leverantör av digital tjänst: en juridisk person som tillhandahåller en digital tjänst, 6. incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem, 7. incidenthantering: alla förfaranden som stöder upptäckt, analys och begränsning av en incident och åtgärder mot en incident, 8. risk: en rimligen identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk eller informationssystem, 9. företrädare: en i unionen etablerad fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör av digitala tjänster som inte är etablerad i unionen, till vilken en behörig nationell myndighet eller en CSIRT-enhet kan vända sig, i stället för till leverantören av digitala tjänster, i frågor som gäller de skyldigheter som leverantören av digitala tjänster har enligt denna lag, 10. standard: en standard i den mening som avses i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG, i den ursprungliga lydelsen 11. specifikation: en teknisk specifikation i den mening som avses i artikel 2.4 i förordning (EU) nr 1025/2012, i den ursprungliga lydelsen, 12. internetknutpunkt (IXP): en nätfacilitet som möjliggör sammankoppling av mer än två oberoende autonoma system, främst i syfte att underlätta utbytet av internettrafik. En IXP tillhandahåller sammankoppling enbart för autonoma system och kräver inte att den internettrafik som passerar mellan två deltagande autonoma system passerar genom ett tredje autonomt system och ändrar inte heller trafiken eller påverkar den på något annat sätt, 13. domännamnssystem (DNS): ett hierarkiskt, distribuerat namngivningssystem i ett nätverk som hanterar domännamnsförfrågningar, 14. leverantör av DNS-tjänst: en enhet som tillhandahåller DNS-tjänster på internet, 15. registreringsenhet för toppdomäner: en enhet som administrerar och förvaltar registreringen av internetdomännamn under en specifik toppdomän, 16. internetbaserad marknadsplats: en digital tjänst som gör det möjligt för konsumenter eller näringsidkare enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning), i den ursprungliga lydelsen, att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats tillhörande en näringsidkare där datatjänster som tillhandahålls av en internetbaserad marknadsplats används, 17. internetbaserad sökmotor: en digital tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk på grundval av en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller annan inmatning och som returnerar länkar som innehåller information om det begärda innehållet, 18. molntjänst: en digital tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser, 19. NIS-direktivet: Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, i den ursprungliga lydelsen 20. säkerhetsprinciper: styrande dokument, till exempel föreskrifter och interna riktlinjer, 21. CSIRT-enhet: enhet för it-säkerhetsincidenter (Computer Security Incident Response Team) Identifiering av leverantörer av samhällsviktiga tjänster 8 § Den som är ansvarig för en verksamhet som tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet (samhällsviktig tjänst) ska undersöka om tillhandahållandet av tjänsten är beroende av nätverk eller informationssystem och om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. Följande sektoröverskridande faktorer ska beaktas när leverantören fastställer om en störning är betydande. 1. Det antal användare som är beroende av den tjänst som den berörda enheten tillhandahåller. 2. Hur beroende andra sektorer enligt bilaga 2 till NIS-direktivet är av den tjänst som enheten tillhandahåller. 3. Vilken inverkan incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet. 4. Enhetens marknadsandel. 5. Hur stort geografiskt område som skulle kunna påverkas av en incident. 6. Enhetens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med beaktande av tillgången till alternativa sätt för att tillhandahålla tjänsten. När det är lämpligt ska även sektorspecifika faktorer beaktas. Tillhandahålls tjänsten även i andra länder i den Europeiska unionen ska den nationella kontaktpunkten samråda med motsvarande funktion i andra berörda länder innan beslut om identifiering fattas. Undersökningen ska dokumenteras. Utseende av företrädare för leverantör av digitala tjänster 9 § En leverantör av digitala tjänster som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen ska utse en företrädare i något av de länder i unionen där tjänsterna erbjuds. Säkerhetsåtgärder Leverantörer av samhällsviktiga tjänster 10 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. 11 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder i sin verksamhet. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken. 12 § Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverk och informationssystem som används för att tillhandahålla sådana samhällsviktiga tjänster, i syfte att säkerställa kontinuiteten i dessa tjänster. 13 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder enligt 11 och 12 §§. I analysen ska ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen. Leverantörer av digitala tjänster 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder. 15 § Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga och minimera den inverkan som incidenter som påverkar säkerheten i deras nätverk och informationssystem har på internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster som erbjuds inom unionen, i syfte att säkerställa kontinuiteten i dessa tjänster. Incidentrapportering Leverantörer av samhällsviktiga tjänster 16 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till CSIRT-enheten. Rapporterna ska innehålla information som gör det möjligt för CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar. Rapportering ska inte medföra ökat ansvar för den rapporterande parten. 17 § För att fastställa om en incident har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten ska hänsyn framför allt tas till följande faktorer. 1. Det antal användare som påverkas av störningen av den samhällsviktiga tjänsten. 2. Hur länge incidenten varar. 3. Hur stort geografiskt område som påverkas av incidenten. 18 § Är en leverantör av samhällsviktiga tjänster beroende av en tredjepartsleverantör av digitala tjänster för tillhandahållandet av en tjänst som är viktig för att upprätthålla kritisk samhällelig och ekonomisk verksamhet, ska leverantören av samhällsviktiga tjänster rapportera varje betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten till följd av en incident som påverkar leverantören av digitala tjänster. Leverantörer av digitala tjänster 19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera alla incidenter som har en avsevärd inverkan på tillhandahållandet av en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst som de erbjuder inom unionen. Rapporteringen ska göras till CSIRT-enheten. Rapporterna ska innehålla information som gör det möjligt för CSIRT-enheten att fastställa vilken betydelse eventuell gränsöverskridande inverkan har. Rapportering ska inte medföra ökat ansvar för den rapporterande parten. 20 § För att fastställa om en incident har en avsevärd inverkan ska hänsyn framför allt tas till följande faktorer. 1. Det antal användare som påverkas av incidenten, framför allt användare som är beroende av tjänsten för att kunna tillhandahålla sina egna tjänster. 2. Hur länge incidenten varar. 3. Hur stort geografiskt område som påverkas av incidenten. 4. I vilken utsträckning incidenten stör tjänstens funktion. 5. I vilken utsträckning incidenten inverkar på den ekonomiska och samhälleliga verksamheten. Skyldigheten att rapportera en incident ska endast gälla om leverantören av digitala tjänster har tillgång till den information som behövs för att bedöma en incidents inverkan mot bakgrund av de faktorer som avses i första stycket. Förpliktande att informera allmänheten om en incident 21 § Efter samråd med den berörda leverantören av digitala tjänster får CSIRT-enheten, om det är lämpligt, förplikta leverantören att informera allmänheten om enskilda incidenter. En förutsättning för ett sådant förpliktande är att allmänheten behöver känna till incidenten för att det ska vara möjligt att förhindra en incident eller åtgärda en pågående incident eller om incidentens avslöjande på annat sätt omfattas av allmänintresset. Tillsyn 22 § Den myndighet som regeringen bestämmer ska vara nationell behörig myndighet. Den nationella behöriga myndigheten ska utöva tillsyn över att denna lag och föreskrifter som meddelats i anslutning till lagen följs (tillsynsmyndighet). 23 § Tillsynsmyndigheten har rätt att i den utsträckning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som omfattas av denna lag bedrivs. 24 § Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information i enlighet med 26 och 27 §§. Ett föreläggande får förenas med vite. 25 § Tillsynsmyndigheten har rätt att få verkställighet hos Kronofogdemyndigheten av beslut som avser åtgärder enligt denna lag. Då gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet eller avhysning. Leverantörer av samhällsviktiga tjänster 26 § Vid tillsyn ska en leverantör av samhällsviktiga tjänster tillhandahålla tillsynsmyndigheten 1. den information som är nödvändig för att bedöma säkerheten i leverantörens nätverk och informationssystem, inbegripet dokumenterade säkerhetsprinciper, 2. bevis för ett effektivt genomförande av säkerhetsprinciper, såsom resultaten av en säkerhetsrevision utförd av tillsynsmyndigheten eller en auktoriserad revisor och, i det senare fallet, att ge tillsynsmyndigheten tillgång till resultaten, inklusive de underliggande bevisen, och 3. annan information som behövs vid bedömningen av om leverantören uppfyller sina skyldigheter. När tillsynsmyndigheten begär sådan information eller bevis ska den uppge syftet med begäran och precisera vilken information som krävs. Leverantörer av digitala tjänster 27 § Vid tillsyn ska en leverantör av digitala tjänster tillhandahålla tillsynsmyndigheten den information som behövs för en bedömning av säkerheten i leverantörernas nätverk och informationssystem, inbegripet dokumenterade säkerhetsprinciper. 28 § Tillsynsåtgärder beträffande leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har fått kännedom om att leverantören inte uppfyller kraven i 14, 15 eller 16 §§. Sanktioner och ingripanden Underrättelse m.m. 29 § Om tillsynsmyndigheten finner skäl att misstänka att en leverantör av samhällsviktiga tjänster inte följer lagen eller föreskrifter som har meddelats i anslutning till lagen, ska myndigheten underrätta leverantören om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid. 30 § Om tillsynsmyndigheten konstaterar att en leverantör av samhällsviktiga tjänster eller en leverantör av digitala tjänster inte följer lagen eller föreskrifter som har meddelats i anslutning till lagen, ska tillsynsmyndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Föreläggande m.m. 31 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster ska uppfylla de säkerhetskrav och krav på incidentrapportering som följer av denna lag och av föreskrifter som har meddelats i anslutning till lagen. Ett föreläggande får förenas med vite. Sanktionsavgift 32 § Tillsynsmyndigheten ska besluta att sanktionsavgift ska tas ut av den som 1. underlåter att vidta säkerhetsåtgärder enligt 11, 12, 14 eller 15 §§ eller 2. underlåter att incidentrapportera enligt 16 eller 19 §§. Avgiften tillfaller staten. 33 § Sanktionsavgiften ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 34 § När sanktionsavgiftens storlek bestäms ska hänsyn tas till samtliga relevanta omständigheter. Särskild hänsyn ska tas till den skada eller risk för skada som uppstått till följd av regelöverträdelsen, om leverantören tidigare har begått en överträdelse samt de kostnader som leverantören undvikit till följd av överträdelsen. 35 § Sanktionsavgiften får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. 36 § Tillsynsmyndigheten får inte ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. 37 § Ett beslut om sanktionsavgift ska vara skriftligt och innehålla skälen för beslutet. Innan tillsynsmyndigheten beslutar om sanktionsavgift ska den som beslutet kommer att riktas mot ges tillfälle att yttra sig. 38 § Sanktionsavgift får inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. 39 § Sanktionsavgiften ska betalas till tillsynsmyndigheten inom trettio dagar efter det att beslutet om sanktionsavgiften fått laga kraft eller den längre tid som anges i beslutet. 40 § Ett beslut om sanktionsavgift får verkställas utan föregående dom eller utslag om avgiften inte har betalts inom den tid som anges i 39 §. 41 § Om sanktionsavgiften inte betalas inom den tid som anges i 39 §, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. 42 § En beslutad sanktionsavgift faller bort om beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Gemensam nationell kontaktpunkt 43 § Den myndighet som regeringen bestämmer ska vara gemensam nationell kontaktpunkt. Enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) 44 § Den myndighet som regeringen bestämmer ska vara CSIRT-enhet. Bemyndigande 45 § Regeringen eller den myndighet som regeringen bestämmer får, beträffande leverantörer av samhällsviktiga tjänster, meddela föreskrifter om 1. vilka sektorspecifika och sektoröverskridande faktorer som ska beaktas för att fastställa om en incident medför en betydande störning vid identifiering av leverantörer av samhällsviktiga tjänster enligt 8 §, 2. ett systematiskt och riskbaserat informationssäkerhetsarbete enligt 10 §, och 3. vilka faktorer som ska användas för att avgöra om en incident har en betydande inverkan på kontinuiteten i en samhällsviktig tjänst enligt 17 § och därför medför krav på rapportering. Föreskrifter Leverantörer av samhällsviktiga tjänster 46 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen, beträffande leverantörer av samhällsviktiga tjänster, meddela föreskrifter om 1. vilka tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet (samhällsviktiga tjänster), 2. utformningen av säkerhetsåtgärder som avses i 11 och 12 §§, 3. rapportering av incidenter som avses i 16 §, och 4. förutsättningarna för frivillig rapportering av incidenter. Leverantörer av digitala tjänster 47 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen, beträffande leverantörer av digitala tjänster, meddela föreskrifter om 1. rapportering av incidenter som avses i 19 § och 2. förutsättningarna för frivillig rapportering av incidenter. Överklagande m.m. 48 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart. 49 § En myndighets beslut enligt denna lag eller enligt föreskrifter som meddelats i anslutning till lagen får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Kammarrättens avgörande i ett mål enligt denna lag får inte överklagas. Denna lag träder i kraft den 10 maj 2018. Förteckning över remissinstanserna Remissinstanser som har gett in yttrande Affärsverket Svenska kraftnät, Attunda tingsrätt, Bodens kommun, Datainspektionen, Datskydd.net, Eon AB, E-hälsomyndigheteten, E-legitimationsnämnden, Energiföretagen Sverige, Energigas Sverige, Energimarknadsinspektionen, Finansinspektionen, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarshögskolan, Försvarsmakten, Förvaltningsrätten i Stockholm, Göteborgs kommun, Halmstads kommun, Helsingborgs kommun, Inspektionen för vård och omsorg, It- och telekomföretagen, Journalistförbundet, Justitiekanslern, Jönköpings läns landsting, Kalmar läns landsting, Kammarrätten i Stockholm, Kiruna kommun, Kungl. Tekniska Högskolan, Kustbevakningen, Lantmäteriet, Linköpings kommun, Livsmedelsverket, Luftfartsverket, Luleå kommun, Läkemedelsverket, Länsstyrelsen i Blekinge län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Malmö kommun, Myndigheten för samhällsskydd och beredskap, Nasdaq Stockholm AB, Netnod, Norrköpings kommun, Polismyndigheten, Post- och telestyrelsen, Riksgäldskontoret, Riksrevisionen, Statistiska centralbyrån, SJ AB, Sjöfartsverket, Skåne läns landsting, SME-D, Södermanlands läns landsting, Socialstyrelsen, Statens servicecenter, Statens veterinärmedicinska anstalt, Statens energimyndighet, Statskontoret, Stiftelsen för internetinfrastruktur, Stockholms läns landsting, Stockholms kommun, Stockholms universitet, Strålsäkerhetsmyndigheten, Sveriges advokatsamfund, Svea hovrätt, Swedegas AB, Svenska bankföreningen, Svenska Petroleum och Biodrivmedel Institutet, Svenskt Näringsliv, Svenskt vatten, Sveriges Hamnar, Sveriges Kommuner och Landsting, Säkerhets- och försvarsföretagen, Säkerhetspolisen, Totalförsvarets forskningsinstitut, Trafikverket, Transportstyrelsen, Tågoperatörerna, Vänersborgs kommun, Västra Götalands läns landsting och Östhammars kommun. Övriga som har yttrat sig Advenica, Frobbit AB, Föreningen Swedish Network Users Society, Swedish Association och Civil Security, Svenska Stadsnätsföreningen, och Utgivarna. Remissinstanser som uttryckligen har avstått från att yttra sig Riksdagens ombudsmän, Karlstads kommun och Regelrådet. Remissinstanser som inte har gett in något yttrande Uppsala universitet, Kronobergs läns landsting, Norrbottens läns landsting, Östergötlands läns landsting, Eskilstuna kommun, Flens kommun, Gotlands kommun, Gävle kommun, Karlsborgs kommun, Karlskrona kommun, Leksands kommun, Nynäshamn kommun, Sigtuna kommun, Svedala kommun, Västerås kommun, Älvsbyns kommun, ACR Aviation Capacity Resourses AB, COWI AB, IP-only, Preem AB, Svensk handel, Swedavia, Transportföretagen och Vårdföretagarna. Lagrådsremissens lagförslag Förslag till lag om informationssäkerhet för samhällsviktiga och digitala tjänster Härigenom föreskrivs följande. Syftet med lagen 1 § Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för digitala tjänster samt för samhällsviktiga tjänster inom sektorerna - energi, - transport, - bankverksamhet, - finansmarknadsinfrastruktur, - hälso- och sjukvård, - leverans och distribution av dricksvatten, och - digital infrastruktur. Genom lagen genomförs Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet). Uttryck i lagen 2 § I lagen avses med 1. nätverk och informationssystem: a) ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2003:389) om elektronisk kommunikation, b) en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller c) digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av a och b för att de ska kunna driftas, användas, skyddas och underhållas, 2. säkerhet i nätverk och informationssystem: nätverk och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem, 3. samhällsviktig tjänst: en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, 4. digital tjänst: en tjänst i den mening som avses i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster, och som utgör en internetbaserad marknadsplats, internetbaserad sökmotor eller molntjänst, 5. internetbaserad marknadsplats: en tjänst som gör det möjligt för konsumenter eller näringsidkare enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning) att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används, 6. internetbaserad sökmotor: en tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet, 7. molntjänst: en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser, 8. företrädare: en fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör av digitala tjänster och till vilken myndigheter kan vända sig, i stället för till leverantören av digitala tjänster, i frågor som gäller de skyldigheter som leverantören av digitala tjänster har enligt denna lag, 9. incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem, och 10. risk: en rimligen identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverk och informationssystem. Lagens tillämpningsområde 3 § Lagen gäller för 1. leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en samhällsviktig tjänst, under förutsättning att leverantören är etablerad i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster). 2. juridiska personer som tillhandahåller en digital tjänst och som har sitt huvudsakliga etableringsställe i Sverige eller har utsett en företrädare som är etablerad här (leverantörer av digitala tjänster). I 10 § finns en bestämmelse som gäller för andra leverantörer. 4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka tjänster som är samhällsviktiga tjänster och vad som avses med en betydande störning enligt 3 § första stycket 1. Undantag från lagens tillämpningsområde Leverantörer av elektroniska kommunikationstjänster 5 § Lagen gäller inte för företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av kraven i 5 kap. 6 b och c §§ lagen (2003:389) om elektronisk kommunikation. Leverantörer av betrodda tjänster 6 § Lagen gäller inte för leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Leverantörer av digitala tjänster som är mikroföretag eller små företag 7 § Lagen gäller inte för leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. Säkerhetskänslig verksamhet 8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627). Leverantörer som omfattas av krav på informationssäkerhet i andra författningar 9 § Om det i lag eller annan författning finns bestämmelser som innehåller krav på säkerhetsåtgärder och incidentrapportering, ska de bestämmelserna gälla om verkan av kraven minst motsvarar verkan av skyldigheterna enligt denna lag. Utseende av företrädare 10 § En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen ska, om inte något undantag från lagens tillämpningsområde enligt 5-9 §§ är tillämpligt, utse en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds. Säkerhetsåtgärder Skyldigheter för leverantörer av samhällsviktiga tjänster 11 § Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. 12 § Leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§. I analysen ska det ingå en åtgärdsplan. Analysen ska dokumenteras och uppdateras årligen. 13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. 14 § Leverantörer av samhällsviktiga tjänster ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Skyldigheter för leverantörer av digitala tjänster 15 § Leverantörer av digitala tjänster ska vidta de tekniska och organisatoriska åtgärder som de anser ändamålsenliga och proportionella och som hanterar risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller digitala tjänster inom Europeiska unionen. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken. 16 § Leverantörer av digitala tjänster ska vidta åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem som de använder. Skyldigheten gäller endast i förhållande till verkningar som sådana incidenter har på digitala tjänster som leverantören erbjuder inom Europeiska unionen. Åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna. Bemyndigande 17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om säkerhetsåtgärder enligt 11-16 §§. Incidentrapportering Rapporteringsskyldighet för leverantörer av samhällsviktiga tjänster 18 § Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till den myndighet som regeringen bestämmer. Rapporteringsskyldighet för leverantörer av digitala tjänster 19 § Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras till den myndighet som regeringen bestämmer. Bemyndigande 20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt 18 och 19 §§. Tillsyn Tillsynsmyndighetens uppdrag 21 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. 22 § Tillsynsåtgärder när det gäller leverantörer av digitala tjänster får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att en leverantör inte uppfyller kraven i 15, 16 eller 19 §. Anmälningsskyldighet för leverantörer av samhällsviktiga tjänster 23 § Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören tillhandahåller en samhällsviktig tjänst i två eller flera medlemsstater inom Europeiska unionen. Tillsynsmyndighetens undersökningsbefogenheter 24 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen. 25 § Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av lagen. 26 § Tillsynsmyndigheten får förelägga den som står under tillsyn att ge tillträde och tillhandahålla information enligt 24 och 25 §§. Ett sådant föreläggande får förenas med vite. 27 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 24 och 25 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Ingripanden och sanktioner Åtgärdsförelägganden 28 § Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörer ska uppfylla kraven på utseende av företrädare, säkerhetsåtgärder och incidentrapportering enligt 10, 12-16, 18 och 19 §§ och enligt föreskrifter som har meddelats i anslutning till de paragraferna. Ett sådant föreläggande får förenas med vite. Sanktionsavgift 29 § Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att 1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen, 2. vidta säkerhetsåtgärder enligt någon av 12-16 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna, eller 3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har meddelats i anslutning till de paragraferna. 30 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 31 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare har begått en överträdelse och de kostnader som leverantören har undvikit till följd av överträdelsen. 32 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. 33 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. 34 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges. 35 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken. En sanktionsavgift tillfaller staten. 36 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Föreskrifter om verkställighet 37 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag. Förordnande om att beslut ska gälla omedelbart 38 § Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart. Överklagande 39 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett sådant beslut överklagas är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 1 augusti 2018. Förslag till lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster Härigenom föreskrivs att 8 § lagen (2018:000) om informations-säkerhet för samhällsviktiga och digitala tjänster ska ha följande lydelse. Lydelse enligt SFS 2018:000 Föreslagen lydelse 8 § Lagen gäller inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1996:627). Lagen gäller inte för verksamhet som omfattas av säkerhetsskyddslagen (2018:000). Denna lag träder i kraft den 1 april 2019. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-03-01 Närvarande: F.d. justitieråden Leif Thorsson och Lennart Hamberg samt justitierådet Erik Nymansson Informationssäkerhet för samhällsviktiga och digitala tjänster Enligt en lagrådsremiss den 15 februari 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om informationssäkerhet för samhällsviktiga och digitala tjänster, 2. lag om ändring i lagen (2018:000) om informationssäkerhet för samhällsviktiga och digitala tjänster. Förslagen har inför Lagrådet föredragits av rättssakkunniga Emelie Smiding. Förslagen föranleder följande yttrande av Lagrådet: Förslaget till lag om informationssäkerhet för samhällsviktiga och digitala tjänster Den föreslagna lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/1148, det s.k. NIS-direktivet, som i huvudsak behandlar informationssäkerhet hos leverantörer av samhällsviktiga tjänster. Direktivet innehåller även vissa, mindre långtgående, regler för leverantörer av digitala tjänster. Ett exempel på skillnaden är den reglerade tillsynen, som för de digitala tjänsternas del inte är en fortgående tillsyn utan en momentan som förekommer endast när tillsynsmyndigheten har en "befogad anledning" att anta att lagen, eller med stöd av lagen meddelade föreskrifter, inte följs. 1 § Paragrafen anger lagens syfte. Dess struktur blir lättare tillgänglig om den omformuleras något, exempelvis så: Syftet med denna lag är att uppnå en hög nivå hos säkerheten i nätverk och informationssystem för 1. samhällsviktiga tjänster inom sektorerna - energi, - transport, - -:-:-:- - leverans och distribution av dricksvatten, - digital infrastruktur, samt 2. digitala tjänster. Paragrafens andra stycke torde kunna utgå eftersom informationen anges i fotnot; definitionen "NIS-direktivet" bör i stället tillföras den föreslagna 2 §. 2 § Till de definierade uttrycken bör föras också NIS-direktivet genom att dess fullständiga rubrik anges här. De i punkterna 5-7 definierade uttrycken internetbaserad marknadsplats, internetbaserad sökmotor och molntjänst förekommer inte i lagen annat än i definitionen i punkt 4 av digital tjänst. Det kan övervägas att sammanföra punkterna 5-7 med punkt 4 som underavdelningar av definitionen av digital tjänst. 9 § En förutsättning för att krav på informationssäkerhet i andra författningar ska gälla i stället för den lag som nu föreslås är att de andra kravens verkan minst motsvarar vad som föreskrivs i den nu föreslagna lagen. Vad som därvid ska beaktas behandlas i författningskommentaren men bör tas upp i lagtexten, t.ex. så att paragrafens text avslutas så: ... skyldigheterna enligt denna lag, med beaktande av bestämmelsernas omfattning samt vilken tillsyn och vilka sanktioner som är kopplade till kraven i bestämmelserna. 10 § Ett företag som erbjuder digitala tjänster i Sverige ska under vissa omständigheter utse en företrädare. Det gäller om företaget inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och inte något undantag enligt 5-9 §§ är tillämpligt, men också förutsatt att företaget inte har utsett någon företrädare i en annan medlemsstat. Detta bör komma till uttryck i lagtexten, t.ex. så: En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom Europeiska unionen och inte heller har utsett en företrädare som är etablerad i en medlemsstat där tjänsterna erbjuds, ska, om inte något undantag från lagens tillämpningsområde enligt 5-9 §§ är tillämpligt, utse en sådan företrädare. 24 § Vid föredragningen har erinrats om att uttrycket "den som står under tillsyn" endast kan avse en leverantör av digitala tjänster från det att en befogad anledning uppkommit att anta att leverantören inte uppfyller de i 22 § omnämnda kraven. Tillsynen är alltså inte, till skillnad från vad som gäller leverantörer av samhällsviktiga tjänster, kontinuerlig. 26 § Lagrådet föreslår, med anledning av ordningsföljden mellan de två där nämnda paragraferna, att första stycket får lyda: Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 24 och 25 §§. Övrigt lagförslag Lagrådet lämnar förslaget utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 29 mars 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Hallengren, Hultqvist, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Eriksson, Linde, Skog, Ekström, Eneroth Föredragande: statsrådet Morgan Johansson Regeringen beslutar proposition 2017/18:205 Informationssäkerhet för samhällsviktiga och digitala tjänster