Regeringen har nu publicerat SOU 2024:64, slutbetänkandet i utredningen om hur direktivet om kritiska entiteters motståndskraft (CER-direktivet) ska införlivas i svensk rätt. Vi har sammanfattat vad utredningen säger och de ändringar som kommer ske i svensk rätt.
Bakgrund – CER-direktivet i svensk rätt
Europaparlamentet och rådet antog den 14 december 2022 CER-direktivet. Direktivets syfte är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster på den inre marknaden.
Till skillnad från NIS2 så handlar CER-direktivet om organisationer som har identifierats som samhällskritiska aktörer.
Utredningen tillsattes i februari 2023 och utgör den andra delen i ett delbetänkande som klargör hur direktivet ska implementeras i svensk rätt. Dessutom ska utredningen ge förslag till ändringar i andra lagar så som Offentlighets- och sekretesslagen (OSL), Lagen om elektronisk kommunikation (LEK) och Säkerhetsskyddslagen för att överensstämma med CER-direktivet och NIS2.
Huvudpunkter i utredningen
Ny lag
CER-direktivet föreslås införlivas genom en ny lag, Lagen om motståndskraft hos kritiska verksamhetsutövare.
CER-direktivet ska tillämpas på enskilda och offentliga verksamhetsutövare som tillhandahåller en av de samhällsviktiga tjänster som omfattas av bilagan till direktivet.
Tillsynsmyndigheter
Tillsynsmyndigheterna för aktuella sektorer föreslås vara:
Tillsynsmyndigheterna ska genom beslut identifiera kritiska verksamhetsutövare inom sina tillsynsområden.
Vilka omfattas av lagkravet
För att en verksamhetsutövare ska identifieras som kritisk enligt direktivet ska tre kriterier vara uppfyllda.
- För det första ska verksamhetsutövaren tillhandahålla en eller flera samhällsviktiga tjänster inom någon av sektorerna som finns i bilagan till direktivet.
- För det andra ska verksamhetsutövaren ha en kritisk infrastruktur belägen i Sverige.
- Och för det tredje ska en incident få betydande störande effekter för tillhandahållandet av den samhällsviktiga tjänsten.
Utredningen föreslår vidare att MSB ska göra en nationell riskbedömning, samt att MSB ska vara gemensam kontaktpunkt.
Sanktionsavgifter
Sanktionsavgifterna i Säkerhetsskyddslagen föreslås höjas till lägst 25 000 kronor och högst till det högsta av 120 000 000 kronor eller 2 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår.
Nya bestämmelser föreslås införas i Offentlighets- och sekretesslagen (OSL). Dessa bestämmelser innebär att sekretess ska gälla för incidenter/information som rapporteras mellan tillsynsmyndigheter samt när organisationer anmäler en incident.
Lagen och förordningen om motståndskraft hos kritiska verksamhetsutövare (CER-direktivet ) föreslås träda i kraft den 1 augusti 2025.
Vad händer nu?
- Förslagen kommer granskas och diskuteras innan de implementeras.
- Målet är att skapa en robust och säker digital miljö för alla.
Läs mer om SOU 2024:18 och dess betydelse för Sveriges cybersäkerhet här: Regeringen.se
