Remissvar av delbetänkandet Nya regler om cybersäkerhet (SOU2024:18)

Ett antal nya regelverk inom datarätt, digitalisering, AI och cybersäkerhet ger företag en stor regel- och kostnadsbörda att hantera. Svenskt Näringsliv noterar att den omfattande regleringsvågen starkt påverkar företagens kostnadsläge, innovation och konkurrenskraft. Verksamhet och investeringar står på vänt tills företagen hunnit överblicka, förstå och finansiera den nya regelbördan. I den mån de nya reglerna består av direktiv är det av stor vikt att svensk implementering ger våra företag den bästa möjliga lagstiftningen utan att reglera mer än vad som ansetts proportionerligt och lämpligt inom övriga EU. Därför utgår vi ifrån att regeringens uppdrag till utredningen att förslagen ska utformas så att regelbördan och administrationen minimeras respekteras och säkerställs av lagstiftaren, särskilt i de delar utredningens förslag inte lever upp till instruktionen.

Att samarbeta och dela kunskap är avgörande för att stärka vår gemensamma cybersäkerhet. Privat-offentligt samarbete utgör en mycket viktig del i cybersäkerhetsarbetet för att förhindra, hantera och följa upp och dra erfarenheter. Betänkandet tar dock inte upp denna aspekt, vilket är beklagligt. Ett närmare samarbete mellan tillsynsmyndigheter och företag inom de sektorer som omfattas av reglerna bör prioriteras. Dessutom är det nödvändigt att ge stöd och vägledning till de verksamheter som tidigare inte har varit föremål för NIS- reglerna, särskilt små och medelstora företag. Mot bakgrund av det stora behovet av stöd och vägledning blir det också viktigt att behöriga myndigheter samarbetar för att säkerställa en enhetlig tolkning, tillämpning och undvika oklarheter för företagen. Det blir särskilt viktigt när företag står under tillsyn av flera myndigheter.

Svenskt Näringsliv

• anser att konsekvensanalysen är undermålig vad avser företagens kostnader, tidsåtgång och hur konkurrensförhållanden påverkas
• avstyrker att hela verksamheten som huvudregel ska omfattas av kraven i cybersäkerhetslagen (CSL) då det inte är vår tolkning av NIS2
• tillstyrker att inte civilrättsligt specifikt reglera styrelsens ansvar för riskhanteringsåtgärder, eftersom det redan följer av aktiebolagslagen att styrelsen svarar för bolagets organisation och förvaltningen av dess angelägenheter
• tillstyrker att utbildning för ledningen om riskhanteringsåtgärder följer av direktivet
• avstyrker utredningens förslag att kräva utbildning för anställda eftersom det är en överimplementering av direktivet
• tillstyrker att förbud mot att utöva ledningsfunktion förutsätter allvarliga överträdelser och endast får ske i händelse av uppsåt eller grov oaktsamhet
• avstyrker förslaget att styrelsen ska ingå i den ledningskrets som är relevant för förbud att utöva ledningsfunktion eftersom det är en överimplementering av direktivet och oproportionerligt
• tillstyrker att förbud att utöva ledningsfunktion ska kräva domstolsbeslut och att dessa ärenden ska vara förtursärenden
• avstyrker att förbudsärenden hanteras av förvaltningsdomstol och förespråkar i stället allmän domstol
• anser att verksamhetsutövare och person som ska avregistreras som befattningshavare måste informeras i förväg och att en rimlig tidsfrist införs innan avregistrering sker
• anser att behovet av bakgrundskontroller av personal sannolikhet kommer öka, oavsett om det rör säkerhetskänslig verksamhet, föreslagen CSL eller kommande implementering av CER-direktivet
• avstyrker skyldighet att rapportera potentiella incidenter till myndigheter och kunder
• avstyrker inrapportering av tillbud då det är ett oproportionerligt krav utifrån nytta och administrativ börda
• anser att företagens uppgifter behöver skyddas genom sekretess vid incidentrapportering för att inte hämma incidentrapporteringen eller öka antagonistiska angrepp
• anser att incidentrapportering behöver hanteras enhetligt i medlemsstaterna
• avstyrker den från direktivet avvikande begränsningen att endast myndigheter och andra med offentligrättsliga uppgifter kan vara legitima åtkomstsökare enligt lagen om nationella toppdomäner för Sverige på internet.