Next Advokater


Tydlig specialistkompetens

Aktuellt

Införlivandet av NIS2-direktivets artikel 21 i svensk rätt

26 Mars 2025

Av advokat Roger Hellström

Inledning

NIS2-direktivet (EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148) skulle ha införlivats i svensk lag den 18 oktober 2024 men har försenats av olika anledningar. NIS2-direktivet ersätter därmed det s.k. NIS-direktivet. En särskild utredning (”Utredningen”) har på uppdrag av regeringen arbetat fram ett förslag till cybersäkerhetslag (”Cybersäkerhetslagen”) avseende själva införandet av NIS2-direktivet (se SOU 2024:18 Nya regler om cybersäkerhet samt i vissa delar även 2024:64 Motståndskraft i samhällsviktiga tjänster).

Utredningen har i mångt och mycket gjort en professionell insats och föreslagit en i flera delar lättöverskådlig lagstiftning under den knappa tid de erhöll. Trots detta finns det vissa regleringar som kan behöva analyseras. Jag har valt att endast analysera införlivandet av NIS2-direktivets artikel 21 i Cybersäkerhetslagen. Till viss del har detta redan gjorts i några av de över 160 remissvar Utredningen fick in. För den intresserade hänvisas till Remiss för SOU 2024:18 Nya regler om cybersäkerhet - Regeringen.se.

Artikel 21 får anses vara en av de viktigare reglerna att införliva i svensk rätt då den innehåller de grundläggande kraven på riskhanteringsåtgärder för cybersäkerhet. Dessa krav är avsedda att övergripande säkerställa eller i vart fall förbättra offentliga och privata verksamhetsutövares skydd mot såväl cybersäkerhetsincidenter, antagonistiska såväl som andra, vilka oftast medför en mängd icke önskvärda konsekvenser, såsom förlorat förtroende, förlorade kunder, kostnader för forensisk utredning och återställande av system och data, samt i värsta fall till och med upphörande av hela verksamheten. Utöver konsekvenser för den drabbade verksamhetsutövaren kan dessa incidenter även leda till konsekvenser för nationens ekonomi.

Av utrymmesskäl har jag inte kopierat in hela artikel 21 i denna artikel och heller inte viss övrig text som jag delvis hänvisar till. För den intresserade kan dessa texter läsas i sin helhet i NIS2-direktivet och i SOU 2024:18. Det ska givetvis tilläggas att det kommer att komma föreskrifter från såväl MSB som de utpekade tillsynsmyndigheterna vilket förhoppnings kan tydliggöra vissa av de regleringar jag analyserar men faktum kvarstår, att de tolkningar Utredningen gjort av NIS2-direktivet (och om de blir den faktiska lagstiftningen) ändå kommer att vara avgörande för de kommande föreskrifterna.

Direktivnära eller inte

NIS2-direktivets artikel 21 har av Utredningen i förslaget till Cybersäkerhetslag inte införlivats direktivnära. Detta motiveras med att NIS2-direktivet, enligt regeringens direktiv, inte skulle ”införas direktivnära utan att förslagen ska utformas utifrån den systematik och terminologi som används i svensk rätt. Ett normalt språkbruk ska eftersträvas. Det följer även uttryckligen av regeringens direktiv att den termologi som används i direktiven ska anpassas till vedertagna begrepp i nationell reglering”.

I motsats till Utredningen ansåg PTS i sitt remissvar ”att det är angeläget att cybersäkerhetslagen använder så nära formuleringar från NIS2-direktivet som möjligt”. Till viss del är det svårt att inte instämma i PTS åsikt om att Cybersäkerhetslagen borde vara mer direktivnära, särskilt när det gäller skrivningarna gällande riskhanteringsåtgärder. Detta då dessa regler bör få en så samstämmig reglering som möjligt inom EU, bl.a. för att undvika de skillnader det tidigare NIS-direktivet skapade. Det ska härvid nämnas att NIS2-direktivet, som ersätter NIS-direktivet, tillkom bl.a. för att motverka väsentliga skillnader för ekonomiskt betydelsefulla verksamheter och i princip skapade i vart fall vissa handelshinder inom EU. Det torde heller inte skapa någon större motstridighet mot den systematik och terminologi som används i svensk rätt att införliva artikel 21 och det får nog anses att även vedertagna begrepp hade kunnat användas. Frågan blir därför hur väl ett sådant ”icke-direktivnära införlivande” svarar mot NIS2-direktivets artikel 21, vilket ska tilläggas, innehåller minimikrav på åtgärder för riskhantering och cybersäkerhet, d.v.s. minst de kraven som anges i artikel 21 ska införlivas och det borde göras på ett så tydligt sätt som möjligt.

NIS2-direktivets artikel 21 har införlivats i Cybersäkerhetslagens 3 kap 1 §. En jämförelse mellan dessa två regleringar skapar en viss tveksamhet över hur väl man faktiskt lyckats med införlivandet.

NIS2-direktivets artikel 21.1 jämfört med Cybersäkerhetslagens 3 kap 1 §

Den första frågan är om Utredningen i Cybersäkerhetslagen omfamnar samtliga de krav som anges i NIS2-direktivets artikel 21.1.

NIS2 Artikel 21.1 anger:

Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteter vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster.

Med beaktande av de senaste, och i tillämpliga fall, relevanta europeiska och internationella standarder samt genomförandekostnaderna, ska de åtgärder som avses i första stycket säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till entitetens grad av riskexponering, entitetens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser.

Den inledande texten i Cybersäkerhetslagen 3 kap 1 § anger:

Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:

Vid en jämförande läsning är det uppenbart att NIS2-direktivets artikel 21.1 är mer utförlig än Cybersäkerhetslagens dito. Självklart är inte en mer utförlig text ett bättre sätt att beskriva de åtgärder som ska vidtas, men i Cybersäkerhetslagens 3 kap 1 § har vissa lokutioner fallit bort. De åtgärder som ska vidtas kvalificeras inte till lämpliga. Vidare saknas lokutionerna ”relevanta europeiska och internationella standarder”, ”entitetens storlek” och ”med beaktande av genomförandekostnaderna” vilket knappast omfattas av den sista meningen i Cybersäkerhetslagens 3 kap 1 §, d.v.s. att ”Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken”. Detta kan således ge uppfattningen att innebörden av Cybersäkerhetslagens 3 kap 1 § är mer begränsad.

Begreppet allriskperspektiv som införlivas i Cybersäkerhetslagens 3 kap 1 § får anses vara en något udda fågel i svensk rätt. Begreppet används förvisso i NIS2-direktivets artikel 21.2, men såvitt jag känner till används det inte i svensk lagstiftning och troligtvis inte heller i normalt språkbruk. Man undrar därför varför man valt att använda just det begreppet när man inte, enligt regeringens direktiv, ska införliva direktivet direktivnära. Detta särskilt i portalregleringen avseende riskhanteringsåtgärder för cybersäkerhet. Begreppet allriskperspektiv används förvisso i Regeringens proposition (prop. 2024/25:34) Totalförsvaret 2025-2030 och i Nationellt Cybersäkerhetscentrums (NCSC) skrift En ny era av cybersäkerhet 2025-2029 och får väl möjligen därmed anses att ha kommit, eller i vart fall kommer, att bli ett begrepp som blir mer vanligt i såväl lagstiftning som normalt språkbruk.

Förståelsen av begreppet allriskperspektiv torde vara något osäker. I NIS-direktivets skäl 79, dock där med användandet av begreppet allriskansats, kan man läsa:

Skäl 79:

Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung bör riskhanteringsåtgärder för cybersäkerhet bygga på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö mot händelser såsom stöld, brand, översvämning, telekommunikations- eller elavbrott eller obehörig fysisk åtkomst till och skada eller störning på en väsentlig eller viktig entitets information och informationsbehandlingsresurser, som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Riskhanteringsåtgärderna för cybersäkerhet bör därför också omfatta den fysiska säkerheten och miljösäkerheten i nätverks- och informationssystem genom att inbegripa åtgärder för att skydda sådana system mot systemfel, mänskliga misstag, avsiktligt skadliga handlingar eller naturfenomen i överensstämmelse med europeiska och internationella standarder, såsom de som ingår i ISO/IEC 27000-serien. I detta avseende bör väsentliga och viktiga entiteter som ett led i sina riskhanteringsåtgärder för cybersäkerhet också ägna sig åt personalsäkerhet och inrätta lämpliga strategier för åtkomstkontroll.

Ska man förstå begreppet allriskansats, enligt NIS-direktivet, bör man således vid sin riskanalys utgå från, lite enkelt uttryckt, att nätverks- och informationssystemen ska skyddas mot fysiska angrepp såväl som mot andra angrepp, vilket får anses som själva grunden i ett cybersäkerhetsarbete. Något annat eller mer än så är det svårt att tolka in och man får uppfattningen att det redan anges i Cybersäkerhetslagen 3 kap 1 § första mening.

I Nationellt Cybersäkerhetscentrums (NCSC) skrift En ny era av cybersäkerhet 2025-2029 anges att ”den nationella strategin för cybersäkerhet utgår från nationella behov och från NIS 2-direktivet och dess allriskperspektiv för att hantera en bredd av utmaningar såsom kompetensbrist, komplex reglering, sårbara leveranskedjor och bristande systematiskt cybersäkerhetsarbete”. Det blir möjligtvis inte lättare att förstå vad som avses med allriskperspektiv när man läser detta och tolkningarna kommer sannolikt att bli väldigt olika till dess att det sätts någon form av standard för vad som avses med allriskperspektiv. Notera dock att NSCS använder bristande systematiskt cybersäkerhetsarbete som en av utmaningarna, se mer härom nedan.

Sammanfattningsvis noteras att en direktivnära reglering med användande av normalt språkbruk i den inledande texten nog hade upplevts som mer lämpligt. I synnerhet försvinner de tydliggöranden som NIS2-dirketivets artikel 21.1 andra stycke innehåller. Det kan i sammanhanget även nämnas att NIS2-direktivets artikel 21.1 påminner om sättet man reglerar säkerhet i samband med behandling i GDPR artikel 32 vilket förvisso är en EU-förordning men, i enlighet med vårt medlemskap i EU, ändå svensk lag. Utöver detta ska den inledande texten i Cybersäkerhetslagen, enligt Utredningen, förstås som att det ska upprättas Strategier för riskanalys och informationssystemens säkerhet, se mer härom nedan.

Strategier för riskanalys och informationssystemens säkerhet

I NIS2-direktivets artikel 21.2 räknas i tio punkter upp åtgärder som ska vidtas för att skydda nätverks- och informationssystem. Motsvarande uppräkning i Cybersäkerhetslagen 3 kap 1 § är nio och då har man ändå valt att i paragrafen dela upp en av punkterna från NIS2-direktivet i två punkter, således finns endast 8 punkter kvar från NIS-direktivet i Cybersäkerhetslagen 3 kap 1 §.

En punkt som helt är undantagen i Cybersäkerhetslagen är ”strategier för riskanalys och informationssystemens säkerhet”. Anledningen till att Utredningen valde att inte införa åtgärden som en egen punkt motiveras med att ”När det gäller denna punkt menar utredningen att det inte behöver anges särskilt, eftersom det följer av utredningens förslag till övergripande reglering.” Efter de jämförande texterna av NIS2-direktivet artikel 21.1 och inledningen till Cybersäkerhetslagen 3 kap 1 § (se ovan) kan det diskuteras om det verkligen går att förstå att ”strategier för riskanalys och informationssystems säkerhet” verkligen följer av Utredningens övergripande reglering. En tydligare sådan reglering hade varit önskvärd och det torde heller inte strida mot systematik, terminologi och normalt språkbruk – inte minst hade förståelsen underlättats.

Som nämns i regeringens direktiv angavs att ett normalt språkbruk ska eftersträvas. Enligt Svenska Akademins Ordlista (SAOL) anges att ordet ”strategier” betyder ”ordnad, planmässig”, d.v.s., i det här fallet, en ordnad och planmässig cybersäkerhets- och informationssäkerhetspolicy. Om inte av någon annan anledning hade det varit en fördel för verksamhetsutövaren att på ett mer tydligt sätt ange att strategier ska finnas då man annars (möjligen något onödigt) måste tolka in det i den övergripande regleringen. En lärdom som hade kunnat dras är hur flera företag upprättade ett ”startpaket” med vissa regler och dokumentation över personuppgiftsbehandling vid GDPRs ikraftträdande men inte implementerade en strategi (ordnad och planmässig policy för behandling av personuppgifter) för densamma.

Frånvaron av ett uttryckligt krav på strategi för riskanalys och informationssystemens säkerhet leder inte till en särskilt tydlig reglering. Med tanke på att det som anges i Cybersäkerhetslagen 3 kap 1 § är de krav mot vilka en tillsynsmyndighet kan vidta åtgärder (se nedan) hade det underlättat för både verksamhetsutövare och tillsynsmyndigheter att tydligt ange kravet.

Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet sårbarheter och sårbarhetsinformation

Som femte åtgärd i NIS2-direktivets artikel 21.2 anges ”säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet sårbarheter och sårbarhetsinformation”.

Utredningen har härvid bedömt begreppet förvärv som att det endast avser att ta över något med äganderätt. Denna tolkning ligger givetvis närmast till hands, men i vanligt språkbruk bör man väga in att man kan förvärva kunskaper, förvärva en licens, förvärva ett hyreskontrakt och använda liknande uttryck där inget av det nyssnämnda innebär någon egentlig äganderätt. I den engelska versionen av NIS2-direktivet anges ”security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure”. På samma sätt som i svenskan kan man i engelskan acquire knowledge, acquire a license, acquire a lease där inget innebär en egentlig äganderätt.

MSB föreslog i sitt remissvar att förvärv kunnat ersättas med anskaffning för att signalera att kraven gäller även när något inte köpts, exempelvis vid utkontraktering. Som svar på detta anger Utredningen att när det gäller utkontraktering omhändertas detta till viss del i punkten om säkerhet i leveranskedjan (se Cybersäkerhetslagen 3 kap 1 § p. 3). En sådan osäkerhet känns inte helt önskvärd. Eftersom det är ett minimidirektiv hade Utredningen kunnat täppa till den eventuella osäkerheten med att ”utöka” kravet till att omfatta förvärv för att därmed mer konkret få att även det omfattas. Eftersom Utredningen ändå uppfattar att det i vart fall till viss del redan omfattas av säkerhet i leveranskedjan hade anskaffning istället för förvärv troligtvis inte ens utökat NIS2-direktivets krav och således inte heller krävt någon särskild motivering (vilket en utökning av ett minimidirektiv vanligtvis kräver). Utöver detta torde det innebära att om denna punkt endast ska gälla förvärv som endast avser äganderätt kommer den sannolikt inte att träffa särskilt många då totala nätverks- och informationssystem inte alltför ofta är möjliga att ”köpa med äganderätt” och för många nog inte en realistisk väg att gå. Frågan kan således ställas om NIS2-direktivet endast avsåg en fullständig rättsövergång eller faktiskt även innefattar utkontraktering.

I enlighet med det ovan sagda är jag benägen att instämma i MSBs förslag och innefatta ordet förvärv till att avse anskaffning.

Skyldiga att beakta resultatet av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med artikel 22.1

I NIS2-direktivet artikel 21.3 anges att medlemsstaterna ska säkerställa att entiteter, när de överväger lämpliga åtgärder enligt punken 2 d i artikel 21 (d.v.s. säkerhet i leveranskedjan) är skyldiga att beakta resultatet av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med NIS2-direktivet artikel 22.1. I denna artikel anges att samarbetsgruppen får, i samarbete med kommissionen och Enisa, utföra samordnade säkerhetsriskbedömningar av specifika kritiska leveranskedjor för IKT-tjänster, IKT-system eller IKT-produkter.

Utredningen menar NIS2-direktivets 21.1 – 21.3 genomförts genom Cybersäkerhetslagens 3 kap 1 §. Såvitt jag har kunnat läsa mig till finns ingen skyldighet att beakta resultatet av de samordnade säkerhetsriskbedömningarna angivet, vare sig i Cybersäkerhetslagens 3 kap 1 § eller i någon annan paragraf lagstiftningen, d.v.s. ett ska-krav på att beakta resultaten av dessa bedömningar. Frånvaron av en minimireglering brukar vanligtvis medföra att om man väljer att inte beakta detta krav så ska man motivera varför man inte gör det. Är frånvaron av detta krav ett förbiseende eller är det tänkt att uppfyllas på något annat sätt? Det blir i vart fall inte tydligare när man väljer att utelämna denna skrivning helt i Cybersäkerhetslagen.

Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete

NIS2-direktivet innehåller ingen uttrycklig skrivning om att ett informationssäkerhetsarbete ska bedrivas systematiskt. En sådan reglering finns i den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”), den svenska implementeringen av föregångaren till NIS2-direktivet, d.v.s. NIS-direktivet. MSB anförde i sitt remissvar att det är viktigt att även i Cybersäkerhetslagen föreskriva att informationssäkerhetsarbetet ska ske systematiskt och riskbaserat på samma sätt som i NIS-lagen. Utredningen noterade att detta krav inte följer av NIS2-direktivet men valde ändå att införa det i Cybersäkerhetslagen, dock inte i 3 kap 1 § utan i en egen paragraf, nämligen 3 kap 2 §. Denna senare paragraf omfattas inte bland de paragrafer över vilka tillsynsmyndigheter ska ingripa med tillsyn och eventuella sanktioner (jfr Cybersäkerhetslagen 5 kap 1 § med 3 kap 2 § samt att tillsynsmyndigheters ingripande begränsar sig till åsidosättande av de föreskrifter som meddelats med stöd av bl.a. 3 kap 1 § Cybersäkerhetslagen, men inte 3 kap 2 §).

Ovanstående får därför förstås som att tillsynsmyndigheterna inte kan ingripa vilket gör skyldigheten högst begränsad. En liknelse, kanske inte helt jämförbar men ändå, är att det får ungefär samma effekt som förbudet att gå mot röd gubbe, d.v.s. det är förbjudet men det leder inte till några sanktioner (annat än om ditt gående mot röd gubbe t.ex. leder till en trafikolycka). Sanningen är visserligen att just detta krav inte uttryckligen och ordagrant anges i NIS2-direktivet som en av punkterna i NIS-direktivets artikel 21 men frågan är om det ändå får anses omfattas av artikel 21.

Som jag tidigare skrivit (se ovan) anser Utredningen att strategier för riskanalys och informationssäkerhetsarbete omfattas av den inledande texten i Cybersäkerhetslagen 3 kap 1 § medan jag anser att det uttryckligen borde skrivits in som en av punkterna. Oavsett vilken väg man väljer omfattar paragrafen ett strategiarbete. Om man, som jag tidigare gjort, då använder sig av SAOL för att förstå det normala språkbruket och dess angivna betydelse av orden Strategi och Systematisk får man förklaringarna att strategi betyder konsten att föra ett krig; plan i stort medan systematisk betyder ordnad, planmässig. Redan detta bör leda tanken till att det strategiska arbetet bör vara ett systematiskt arbete, hur blir det annars strategiskt. Vidare stadgar NIS2-direktivet i artikel 21.2 krav på strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet samt anger i samma artikel grundläggande praxis för cyberhygien (praxis har något tveksamt i den svenska versionen av NIS2-direktivet översatts från det engelska ordet practices och borde nog översatts med ord som metoder eller rutiner). Den senare punkten valde Utredningen att inte skriva in i Cybersäkerhetslagen med motiveringen att ”praxis för cyberhygien är enligt utredningens bedömning onödig, eftersom cyberhygien är ett samlingsbegrepp för det som följer av artikeln i dess helhet”, d.v.s. det krävs en (ganska avancerad) tolkning av verksamhetsutövare för förstå Cybersäkerhetslagens 3 kap 1 § som helhet och för att förstå vad som åligger dem. En tolkning som jag, måste jag erkänna, möjligen inte hade lyckats med om jag inte läst NIS2-direktivet. Det ska återigen påminnas om att Cybersäkerhetslagens 3 kap 1 § innehåller de åtgärder över vilka tillsynsmyndigheter kan ingripa mot.

Det ovan angivna leder i vart fall mig till att uppfatta det strategiska arbetet till att omfatta även ett systematiskt arbete. I regeringens proposition 2024/25:34, sid 129, används begreppet i betydelsen ”Lärdomarna från Ukraina visar på betydelsen av ett systematiskt cybersäkerhetsarbete, tillgång till redundanta och diversifierade kommunikationsvägar, hög robusthet i de elektroniska kommunikationsnätens centrala system och ett väl fungerande samarbete mellan privata och offentliga aktörer” och i NCSCs skrift En ny era av cybersäkerhet 2025-2029 används Systematiskt och effektivt cybersäkerhetsarbete som en av de tre viktigaste åtgärderna som krävs för en nationell cybersäkerhetsstrategi (se bl.a. sid 26 ff i nämnda skrift).

Som bekant kan inte ett direktiv tolkas enbart på dess artiklar och en analys av skälen ger ofta en tydligare bild av en artikel och dess avsedda innehåll. Det finns därför anledning att kontrollera vad som skrivs i två av skälen till NIS2-direktivet, nämligen skäl 49 och skäl 122. I skäl 49 anges vad gäller cyberhygien följande.

Riktlinjer för cyberhygien utgör grunden för att skydda nätverks- och informationssystemens infrastruktur, maskinvara, programvara och säkerhet för onlinetillämpningar samt affärs-eller slutanvändardata som entiteter förlitar sig på. Riktlinjer för cyberhygien som omfattar en gemensam grundläggande uppsättning rutiner, bland annat uppdateringar av programvara och maskinvara, byte av lösenord, hantering av nya installationer, begränsning av användarkonton på administratörsnivå och säkerhetskopiering av data, möjliggör en proaktiv ram för beredskap samt övergripande säkerhet och trygghet i händelse av incidenter eller cyberhot. Enisa bör övervaka och analysera medlemsstaternas riktlinjer för cyberhygien.

I synnerhet andra meningen leder mig till tanken att cyberhygien innebär att det krävs ett systematiskt, eller som SAOL uttrycker det, ordnat och planmässigt arbete.

I skäl 122, som i och för sig rör tillsyn, anges följande (jag kopierar bara in delar av skäl 122, d.v.s. de delar jag anser relevanta).

[……..]. Väsentliga entiteter bör därför omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga entiteter bör omfattas av enklare tillsyn, endast i efterhand. Viktiga entiteter bör därför inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna för cybersäkerhet, medan de behöriga myndigheterna bör tillämpa en reaktiv efterhandstillsyn och därmed inte ha någon allmän skyldighet att utöva tillsyn över dessa entiteter. […..]

I skäl 122 skiljer NIS2-direktivet på väsentliga och viktiga entiteter. De viktiga entiteterna bör inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna. Även om motsatsslut inte alltid är att föredra ägnar jag mig åt just ett sådant här, d.v.s. min uppfattning är då att de väsentliga entiteterna är skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna. Detta är samstämmigt med att tillsyn över viktiga entiteter endast får ske om tillsynsmyndigheten har befogad anledning att anta att Cybersäkerhetslagen eller föreskrifter inte följs (se Cybersäkerhetslagen 4 kap 3 §) medan tillsyn över väsentliga entiteter kan ske oavsett om det finns befogad anledning till det. Innebär att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna detsamma som att bedriva ett systematiskt informationssäkerhetsarbete? Jag är benägen att anse det, om än möjligen endast för de väsentliga verksamhetsutövarna.

Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är ett krav i Cybersäkerhetslagen som inte omfattas av NIS2-direktivet enligt Utredningen och har därför inte belagts med möjligheter till tillsyn eller sanktioner (se ovan). Enligt min uppfattning bör ett bristande eller icke-existerande systematiskt och riskbaserat informationssäkerhetsarbete vara något som faktiskt kan anses följa av NIS2-direktivet och kunna leda till tillsyn och/eller sanktioner, om inte annat så i vart fall för väsentliga verksamhetsutövare. Det ska sägas att det finns möjligheter för tillsynsmyndigheterna att utöva tillsyn och ingripa mot verksamhetsutövare genom att verksamhetsutövaren har brustit i riskhanteringsåtgärderna (se Cybersäkerhetslagen 5 kap 1 §), men en sådan brist innefattar inte i sig ett bristande eller icke-existerande systematiskt och riskbaserat informationssäkerhetsarbete utan måste baseras på något annat i Cybersäkerhetslagen 5 kap 1 §.

Avslutningsvis vill jag nämna att Kommissionens genomförandeförordning (EU) 2024/2690 (”Genomförandeförordningen”), en s.k. delegerad förordning/akt vilket kommissionen ges rätt att anta enligt NIS2-direktivet, vilken trädde ikraft den 7 november 2024, i bilagan om Tekniska och metodologiska specifikationer i punkt 1.1.2 (under rubriken Strategi för säkerhet i nätverks- och informationssystem) stadgar att säkerhetsstrategin ska ses över och när så är tillämpligt uppdateras av ledningsorganen minst en gång om året samt när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar. Resultatet av dessa översyner ska dokumenteras. Genomförandeförordningen gäller inte för alla verksamhetsutövare utan endast de som bedriver tjänster av gränsöverskridande art (t.ex. leverantörer av molntjänster) och som därför anses särskilt viktiga för Europas säkerhet. Är vad som stadgas i Genomförandeförordningen ett uttryck för ett systematiskt och riskbaserat informationssäkerhetsarbete. Jag låter frågan hänga i luften, men systematiskt behöver inte nödvändigtvis betyda dagligen, månadsvis eller någon annan tidsrymd, men det torde medföra ett ordnat och planmässigt arbete.

Några slutord

När lagstiftningen väl trätt ikraft kommer det sannolikt inte bli en hel hoper advokater som tolkar den, utan CISO, IT-chefer m.fl. som ska införliva regleringen i det praktiska arbetet. Med de, enligt min mening, otydligheter Utredningens förslag innehåller kommer dessa personer ha minst samma problem med tolkningen som jag har. Förutsebarheten för vad en verksamhetsutövare faktiskt ska vidta för åtgärder blir därmed oklar. Därtill ska tillsynsmyndigheterna vidta åtgärder om en verksamhetsutövare bryter mot Cybersäkerhetslagens 3 kap 1 §. Sammanfattningsvis är det därför min uppfattning att införlivandet av NIS-direktivets artikel 21 skulle kunna skett på ett tydligare sätt. Med den osäkerhet jag vill visa ovan inväntar jag lagrådsremissen och propositionen för att se om den slutliga lagstiftningen kommer att förändras från Utredningens förslag.

Läs mer

Slutet för företag med bakgrundskontroller som verksamhet…

19 Mars 2025

Av advokat Roger Hellström och advokat Erik Danhard

Inledning

EU:s Dataskyddsförordning (GDPR; fortsättningsvis dataskyddsförordningen) föreskriver mer eller mindre ett förbud mot behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Sådan behandling får endast utföras under kontroll av myndighet eller om det är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt. I Sverige har dataskyddsförordningens ”förbud” på sitt sätt åsidosatts av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”datasskyddslagen”). Dataskyddslagens 1 kap 7 § föreskriver att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelsen kan läsas på det sättet att om man hamnar under grundlagarna – eftersom man är ett massmedieföretag eller har skaffat sig ett utgivningsbevis för databaser – gäller inte alls förbudet. Särskilt utgivningsbeviset för databaser får bedömas vara en udda figur. Utgivningsbeviset kan erhållas efter en summarisk process som inte kostar särskilt mycket. När det väl finns på plats ger det samma skydd som ett massmediums webbplats. Det presumeras således finnas ett syfte som ska omfattas av grundlagarnas skydd för yttrandefrihet och intresset av en obunden debatt.

Dataskyddslagens reglering har under lång tid – av myndigheter och rådgivare – tolkats som ett verkligt hinder mot att ens snegla på dataskyddsförordningen och dess syfte att skydda den personliga integriteten. Debatten har främst gällt bakgrundskontroller och olika företags publiceringar av fällande brottmålsdomar. I två beslut har nu HD satt stopp för den tolkningen och därmed också den typen av verksamhet.

HD, mål nr Ä 3169-24 och mål nr 3457-24

HD har i två mål om myndighets utlämnande av brottmålsdomar (även innefattande beslut, dagboksblad och stämningsansökningar) till företag som bedriver bakgrundskontroller beslutat att sådant utlämnande endast kan ske med förbehåll. Förbehållen från de två målen innebär:
- att handlingarna inte får tillhandahållas allmänheten eller betalande kunder om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer,
- att bolag inte heller på annat sätt får erbjuda allmänheten eller betalande kunder sökmöjligheter i handlingarna på ett sätt som ger tillgång till personnamn, personnummer eller adress för enskilda personer, och
- att handlingarna inte heller får användas för att avisera allmänheten eller betalande kunder på så sätt att möjlighet ges att bevaka om en viss person förekommer i handlingarna (detta gällde bara det ena bolaget då de hade en tjänst som gjorde bevakning möjlig).

Det ena bolaget driver en rättsdatabas med bland annat brottmålsdomar och strafförelägganden medan det andra bolaget är en nyhetsbyrå. Båda bolagens databaser skyddas av grundlagen, det ena på grund av ett utgivningsbevis och det andra för att de är en nyhetsbyrå.

Frågan om utlämnande av brottmålsdomar har tidigare aktualiserats i ett antal mål från lägre domstolar och två av dessa mål prövades alltså i HD.

Målen gällde frågan om det föreligger sekretess för de begärda uppgifterna, och i så fall, om uppgifterna bör lämnas ut med förbehåll. I målen aktualiseras förhållandet mellan 21 kap 7 § offentlighets- och sekretesslagen, 1 kap 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och reglerna i dataskyddsförordningen.

HD redogör för förhållandena bl.a. enligt följande.

Enligt 21 kap 7 § offentlighets- och sekretesslagen (”OSL”) gäller sekretess för en uppgift om det kan antas att uppgiften efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Enligt detta ska alltså en utlämnande myndighet ta hänsyn till vad som kan antas ske efter utlämnandet.

I dataskyddsförordningens artikel 10, som tar sikte på behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser (detta ska enligt EU-domstolen även innefatta trafikförseelser, se EU-domstolens mål Latvijas Republicas Saeima, C-439/19), regleras att sådan behandling endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Vidare regleras att ett fullständigt register över fällande domar i brottmål endast får föras under kontroll av myndighet.

I dataskyddslagens 1 kap 7 § första stycke anges att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetslagen. I paragrafens andra stycke anges att artiklarna 5–30 och 35–50 i dataskyddsförordningen samt 2–5 kap. i dataskyddslagen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Enligt HD får det anses att lagstiftarens avsikt med dataskyddslagens 1 kap 7 § första stycke har varit att dataskyddsförordningen och dataskyddslagen över huvud taget inte ska tillämpas på det grundlagsskyddade området. Detta innebär i så fall, enligt HD, att verksamhet som omfattas av TF eller YGL över huvud taget inte behöver följa dataskyddsförordningen. Eftersom dataskyddsförordningen då inte behöver följas skulle dataskyddsförordningen heller inte inskränka myndigheters skyldigheter att lämna ut uppgifter då någon sekretess inte skulle föreligga enligt 21 kap. 7 § OSL eftersom den bestämmelsen förutsätter en bedömning av vad som kan antas om den kommande behandlingens förenlighet med dataskyddsförordningen. HD uttalar härvid att en sådan tolkning inte kan anses förenlig med unionsrätten då en sådan ordning undergräver närmast helt det skydd vid behandling av uppgifter om lagöverträdelser som dataskyddsförordningen syftar till att ge och kan inte anses innebära att det har fastställts lämpliga skyddsåtgärder för de registrerades rättigheter och friheter på det sätt som förutsätts enligt artikel 10 i dataskyddsförordningen.

HD menar istället att dataskyddslagen 1 kap. 7 § inte hindrar att dataskyddsförordningen beaktas vid tillämpningen av 21 kap. 7 § OSL då det, som HD menar, endast är om det råder konflikt mellan TF eller YGL å ena sidan och dataskyddsförordningen å andra sidan som dataskyddsförordningen får vika. Mot denna bakgrund finns det utrymme att tolka dataskyddslagens 1 kap. 7 § första stycke så att bestämmelsen inte hindrar att dataskyddsförordningens krav vid tillämpningen av 21 kap. 7 § OSL även på det grundlagsskyddade området. Härigenom har alltså en myndighet att ta ställning till om det föreligger sekretess för uppgifter om det kan antas att uppgiften efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

Enligt 10 kap. 14 § OSL ska en myndighet om den finner att det föreligger risk för skada, men eller annan olägenhet och om den risken kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare, göra ett sådant förbehåll och sådana förbehåll uppställs av HD i besluten.

Avslutande ord

Det, som man får uppfatta det, kategoriska och svepande undantaget från tillämpningen av dataskyddsförordningen som föreskrivs i dataskyddslagen 1 kap. 7 § första stycket har kritiserats av många. Det har enligt dessa personer varit verklighetsfrämmande att dataskyddsförordningen över huvud taget inte ska tillämpas i den utsträckning en fråga skulle vara berörd av TFL eller YGL. Dessa talespersoner har fått en bekräftelse genom HDs beslut. Besluten kommer att begränsa, sannolikt omöjliggöra, för företag att bedriva en verksamhet som består i att tillhandahålla bakgrundskontroller. Detta samtidigt som intresset för bakgrundskontroller nog aldrig varit så stort.

Avslutningsvis kan nämnas att i ovan nämnda EU-dom (C-439/19) samt i EU-dom (C-740/22) uttalas att den som begär uppgifter som faller under dataskyddsförordningens artikel 10 behöver visa att man har ett särskilt intresse av att få uppgifterna. Denna fråga – vad som gäller om enskilda personer begär ut brottmålsdomar – är en ytterligare fråga som HD behöver klargöra. Hur ska en myndighet agera om en fysisk person begär ut uppgifter som normalt faller under dataskyddsförordningens artikel 10? Denne omfattas inte av dataskyddsförordningen om det sker som ett led i hägn av privatlivet. Hur ska myndigheten agera; det råder ju i princip ett efterfrågandeförbud för myndigheter när handlingar begärs utlämnade.

Läs mer

Frukostseminarium i arbetsrätt

19 Februari 2025

Välkomna till NEXT Advokaters frukostseminarium! Denna gång handlar det om Nya LAS – De sakliga skälen och Konsultregeln samt Nyheter 2024/25

Seminariet leds av Erik Danhard, Pia Nyblaeus, Jenny Jilmstad och Oskar Lodin.

Seminariet hålls dels digitalt, dels fysiskt. För er som vill ta del av Power-presentationen i förväg finns här en länk till den.

Läs presentationen här:

Next Advokater ser fram emot att fortsätta erbjuda liknande evenemang som ger insikter och praktisk kunskap om viktiga frågor inom arbetsrätt och andra rättsområden.

NEXT ADVOKATER HAR BITRÄTT ORAL CARE VID YTTERLIGARE FÖRVÄRV UNDER 2024

3 December 2024

Next Advokater har genom advokaterna Thérèse Zinn (ansvarig delägare), Jenny Jilmstad och Victor Holmberg biträtt tandvårdskedjan Oral Care AB i samband med flertalet förvärv av tandkliniker. Oral Care har under 2024 expanderat genom förvärven av:

• White Tandvård (fyra kliniker i Malmö, Lund och Helsingborg)

• Citytandläkarna (Jönköping)

• Tandläkarna på hörnet (Katrineholm)

• Thule Tandvård (Umeå)

• Compassen Tandläkarna (Sundsvall)

NEXT ADVOKATER HAR BITRÄTT AXCEL OCH XPARTNERS VID YTTERLIGARE FÖRVÄRV UNDER 2024

3 December 2024

Next Advokater har genom advokaterna Thérèse Zinn (ansvarig delägare), Jenny Jilmstad, Joacim Öhlund och Victor Holmberg agerat legal rådgivare åt riskkapitalbolaget Axcel och dess portföljbolag XPartners Samhällsbyggnad vid ytterligare tilläggsförvärv under 2024. XPartners har under 2024 expanderat på den svenska marknaden genom:

• Förvärv av XER Management AB och XER Projekt AB. Läs mer

• Förvärv av EnSuCon AB. Läs mer

• Förvärv av AceRail Consulting AB och AceRail Engineering AB. Läs mer

• Förvärv av Consultive Västerås AB. Läs mer

• Etablering av dotterbolaget NordArk VVS Byrå AB och dess förvärv av inkråmet i Umia Teknikkonsult AB

NEXT ADVOKATER HAR AGERAT LEGAL RÅDGIVARE ÅT RISKKAPITALBOLAGET AXCEL OCH DESS PORTFÖLJBOLAG XPARTNERS SAMHÄLLSBYGGNAD

19 Juni 2024

Next Advokater, genom advokaterna Thérèse Zinn (ansvarig delägare), Jenny Jilmstad och Victor Holmberg, har agerat legal rådgivare åt riskkapitalbolaget Axcel och dess portföljbolag XPartners Samhällsbyggnad vid XPartners förvärv av Teknikkonsulterna i Sundsvall AB.

Läs mer

NEXT ADVOKATER HAR BITRÄTT AXCEL OCH XPARTNERS VID FÖRVÄRV AV NET SOLUTION PARTNER SWEDEN AB

24 Maj 2024

NSP logga

Next Advokater, genom advokaterna Thérèse Zinn (ansvarig delägare) och Victor Holmberg, har agerat legal rådgivare åt riskkapitalbolaget Axcel och dess portföljbolag XPartners Samhällsbyggnad vid XPartners förvärv av Net Solution Partner Sweden AB.

XPartners Samhällsbyggnad omfattar sedan tidigare 17 bolag med närvaro i stora delar av Sverige. Gruppen generar idag cirka 950 miljoner kronor i omsättning och har cirka 600 anställda. I april 2023 tillträdde investeringsfonden Axcel som ny kapitalstark huvudägare i XPartners för att stötta XPartners till att driva tillväxt, inklusive genom att addera ytterligare teknikkonsultföretag till XPartners.

Axcel grundades år 1994 och är ett nordiskt private equity-bolag som fokuserar på medelstora företag inom fyra sektorer: teknologi, industri och tjänster, hälsovård och konsument. Axcel har en bred bas av både nordiska och internationella investerare och har rest sex fonder med totala kapitalåtaganden om 3 miljarder euro. Dessa fonder har gjort 70 plattformsinvesteringar, fler än 300 tilläggsförvärv och 49 avyttringar. Axcel äger för närvarande 21 bolag och är i färd med att resa sin sjunde fond.

Läs mer

NEXT HAR BITRÄTT ORAL CARE AB VID FÖRVÄRV AV COMPASSEN TANDLÄKARNA

13 Mar 2024

Next Advokater har genom advokaterna Thérèse Zinn (ansvarig delägare) och Victor Holmberg biträtt Oral Care AB i samband med förvärv av Compassen Tandläkarna AB. Genom förvärvet av kliniken i Sundsvall förstärks Oral Cares erbjudande i området.

Oral Care är en växande tandvårdskedja med klinikmottagningar i Sverige och utomlands. Utöver klinikerna erbjuder Oral Care mobil hemtandvård i ett antal regioner för dem som omfattas av det särskilda tandvårdsstödet. Bolaget ägs av ledningen och av Axcel, ett nordiskt riskkapitalbolag som fokuserar på medelstora företag med stor tillväxtpotential.

Next Advokater riktar ett stort tack till Oral Care för förtroendet samt till samtliga parter och rådgivare för en bra process.

NEXT HAR BITRÄTT ORAL CARE AB VID FÖRVÄRV AV TANDGRUPPEN KUNGSBACKA

4 Okt 2023

En person blir undersökt av en tandläkare

Next Advokater har genom advokaterna Thérèse Dolck Zinn (ansvarig delägare) och Victor Holmberg biträtt Oral Care AB i samband med förvärv av Tandgruppen Kungsbacka AB.

Oral Care är en växande svensk tandvårdskedja med 23 klinikmottagningar i Sverige och Norge. Utöver klinikerna erbjuder Oral Care mobil hemtandvård i ett antal regioner för dem som omfattas av det särskilda tandvårdsstödet. Bolaget ägs av ledningen och av investeringsfonden Axcel, ett nordiskt investeringsbolag som fokuserar på medelstora företag med stor tillväxtpotential.

Tandgruppen Kungsbacka med ett 30-tal medarbetare är en av Västsveriges största privata tandläkarkliniker som utför allmän- och specialisttandvård för både barn och vuxna.

Next Advokater riktar ett stort tack till Oral Care för förtroendet samt till samtliga parter och rådgivare för en bra process.

NEXT HAR BITRÄTT ECOCLIME VID FÖRVÄRV AV ELPRODUKTBOLAG

3 Feb 2022

Glödlampa med ett grönt blad i.

Next har genom Joacim Öhlund och Victor Holmberg biträtt Ecoclime Group AB vid förvärv av Miljöbelysning Sweden AB.

Miljöbelysning utvecklar och tillhandahåller elprodukter och mjukvara som ger effektivare energiutnyttjande i fastighetsbranschen som minskar klimatpåverkan.

Ecoclime erbjuder avancerade lösningar inom fastighetsteknologi för återvinning, laddning, lagring, utvinning och distribution av återvunnen och förnybar termisk energi och är noterat på Nasdaq First North Premier.

NEXT BITRÄDER SNEK AKTIEBOLAG

24 Nov 2021

Snek AB

Den norrbottniska kökstillverkaren Snek Aktiebolag har tagit in nytt kapital för att expandera och har samtidigt tagit in nya ägare, bland annat Lundqvist Trävaru AB. Snek tillverkar kvalitetskök med alla delar i trä från leverantörer i Norrbotten och har en unik it-plattform för kundens egen design av sitt kök. Next Advokater har, genom Mikael von Schedvin (ansvarig delägare) och Ann-Christine Kankaanranta på Next Advokaters Luleåkontor, biträtt Sneks grundare Sandrine Peraldi och Fredrik Karlsson Peraldi i ärendet.

JOACIM ÖHLUND HAR BITRÄTT PALISANDERGRUPPEN

6 Apr 2021

Next har genom Joacim Öhlund biträtt Palisandergruppen vid ingående av avtal om fastighetsförsäljning till börsnoterade K-Fast Holding AB. Transaktionen sker genom överlåtelse av samtliga aktier i Palisander Förvaltning AB. Det underliggande totala fastighetsvärdet uppgår till ca 122 miljoner kronor och beräknad tillträdesdag är preliminärt den 30 oktober 2021.

https://www.fastighetsvarlden.se/notiser/k-fastigheter-koper-byggratt-for-122-mkr-i-gavle/

WORLD TRADEMARK REVIEW

19 feb 2021

https://www.worldtrademarkreview.com/directories/wtr1000/rankings/sweden

Nexts IP-avdelning har blivit topprankade av World Trademark Review vilket vi är mycket stolta över.

In the words of one foreign associate: “Recommending local counsel in Sweden is never a challenge, as the answer is always immediately Next.” The commercial set breaks into the WTR 1000 this year as “a high-class provider of IP services, from prosecution to complex litigation and everything in between”. Department co-leads Magnus Tonell and Tom Kronhöffer set the tone for the troop. Thanks to his knowledge in ancillary disciplines such as IT and marketing law and trade secrets, Magnus “has made a name for himself as a fantastic litigator and one of the leading experts in the country”. Fellow all-rounder Kronhöffer “has a great business sense, is quick to respond and offers creative solutions to various problems. Anti-counterfeiting is one of his core specialities and his clients all love him as he is super-friendly, great to work with and achieves superb results at a reasonable cost”.

FÖRSTÄRKNING TILL NEXT ADVOKATERS LULEÅKONTOR

29 Jan 2021

Next Advokater välkomnar Ann-Christine Kankaanranta. Ann-Christine kommer att tillsammans med övriga på byrån utveckla verksamheten i Norrbotten och på Luleåkontoret. Ann-Christine har mer än 25 års erfarenhet inom affärsjuridisk verksamhet och kommer närmast från PwC Legal i Luleå.

SOMMARNOTARIE

29 Jan 2021

Våra tjänster för sommaren 2021 är nu tillsatta.

NEXT BITRÄDER VID FÖRSÄLJNING AV SENDOLINE AB TILL LIFCO-GRUPPEN

9 Dec 2020

Next har genom Joacim Öhlund biträtt ägaren till Sendoline AB vid försäljning av samtliga aktier i bolaget till Lifco-gruppen. Sendoline som är en nischtillverkare av dentalprodukter omsatte 2019 cirka 38 MSEK. Verksamheten kommer att konsolideras i Lifcos affärsområde Dental.

NEXT SLUTER AVTAL MED FASTIGHETSMÄKLARFÖRBUNDET

9 Sep 2020

Next sluter avtal med Fastighetsmäklarförbundet, med uppdrag att lämna juridisk rådgivning åt förbundets ca 1000 anslutna fastighetsmäklare. Uppdraget påbörjas 2021 och parternas förhoppning är att samarbetet ska bli långsiktigt. Pressmeddelande om samarbetet finns här:

PRESSMEDDELANDE - 03 SEPTEMBER 2020 12:58

VI HAR NU ÖPPNAT VÅRT KONTOR I LULEÅ

20 Augusti 2020

Vi har nu öppnat vårt kontor i Kurirenhuset på Stationsgatan 36 i Luleå. Vi ser med spänning fram emot denna möjlighet att på plats kunna erbjuda kvalificerade affärsjuridiska tjänster till företagen i Norrbotten.

NEXT BITRÄDER SPIFFBET VID FÖRVÄRV AV METAL CASINO

10 Juni 2020

Next har genom Joacim Öhlund biträtt Spiffbet AB vid förvärv av drygt 90 % av aktierna i Vrtcl Gaming Group Sweden AB som bl.a. driver online casino och sportspel under namnet Metal Casino, med fokus på bl.a. Sverige, Storbritannien, Tyskland och Finland. Sedan starten hösten 2017 har Metal Casino lyckats etablera sig som ett av spelbranschens mest unika varumärken med världskända galjonsfigurer som t.ex. Ozzy Osbourne. Transaktionen ger påtagliga synergieffekter på kort och lång sikt och bedöms väsentligt öka omsättningen i Spiffbet samt ge en positiv resultateffekt från och med 2021.

Spiffbet är noterat på Nasdaq First North Growth Market och utvecklar onlinespel för kasino och betting som marknadsförs under varumärkena Spiffbet Casino, STHLMGAMING och Spiffbet Sports.

HANS SCHEDIN UTSEDD TILL ORDFÖRANDE I SWEDSECS DISCIPLINUTSKOTT

8 Apr 2020

Hans Schedin, verksam som special counsel på Next, har blivit utsedd till ordförande i SwedSecs disciplinutskott som förbereder ärenden för SwedSecs disciplinnämnd. Grattis Hans!

WTR 1000 2020 EDITION

18 Feb 2020

Tom Kronhöffer har fått en utmärkelse i the World Trademark Review WTR 1000 2020 avseende bl a processer. Läs mer om detta här.

NEXT I SAMARBETE MED SVERIGES BOLAGSJURISTER

14 Feb 2020

I samarbete med Sveriges Bolagsjurister kommer Next under året att hålla flera seminarier i immaterialrättsliga frågeställningar för medlemmar i Sveriges Bolagsjurister.
Se gärna kalendariet på Sveriges Bolagsjurister.

NU SÖKER VI EN ERFAREN BITRÄDANDE JURIST INOM M&A, BOLAGSRÄTT OCH AKTIEMARKNADSRÄTT!

11 Nov 2019

Läs mer om tjänsten och ansök här.

VILL DU BLI EN DEL AV NEXTS STUDENTPOOL?

8 Nov 2019

Vi söker nu juriststudenter till vår studentpool. I studentpoolen arbetar man främst med administrativa uppgifter men även med vissa juridiska uppgifter. Vi söker dig som är noggrann, flexibel och ansvarsfull med möjlighet att jobba heldagar.

Välkommen att skicka en ansökan med personligt brev, CV och betyg, samt övriga frågor om tjänsten, till amanda.persson@nextlaw.se.

NEXT HAR BITRÄTT HÄSTKÄLLAREN RID TRAV & WESTERN AB

17 Jul 2019

Next har biträtt Hästkällaren Rid Trav & Western AB i samband med bolagets notering på NGM Nordic MTF. Hästkällaren är en svensk återförsäljare av utrustning till hästar och ryttare, samt kringprodukter till hästar, skötsel av hästar och ridsport. Första dag för handel med bolagets aktier är idag, den 17 juli 2019. Nexts team har bestått av Joacim Öhlund (ansvarig delägare) och biträdande juristen Nejra Poljo.

ARE YOU NEXT?

17 Jun 2019

Är du en erfaren jurist som funderar på nästa steg i karriären? Arbetar du eller har du arbetat med aktiemarknadsrätt, bolagsrätt och/eller M&A?

Då kan du bli en del av vår verksamhetsgrupp inom bolagsrätt, aktiemarknadsrätt och M&A där vi i huvudsak arbetar med frågor relaterade till företagsförvärv, kapitalanskaffningar, börsnoteringar, regelefterlevnad, bolagsstämmor och övriga bolags- och aktiemarknadsrättsliga frågor.

Hör av dig till Joacim Öhlund så får du veta mer.

NEXT RÅDGIVARE VID FÖRETRÄDESEMISSION PÅ SPOTLIGHT STOCK MARKET

17 Jun 2019

Cleantech-bolaget Enrad som utvecklar energisnåla och miljövänliga kyl- & värmepumpsystem har beslutat om en företrädesemission av units bestående av aktier och teckningsoptioner med företrädesrätt för bolagets befintliga aktieägare. Emissionen är säkerställd till 100 procent genom teckningsförbindelser och garantiåtaganden.

Vid full teckning tillförs Enrad cirka 11,1 miljoner kronor före emissionskostnader. Företrädesemissionen omfattar högst 2.317.155 units.

Ansvarige delägaren Joacim Öhlund och biträdande juristen Nejra Poljo är Enrads legala rådgivare i samband med företrädesemissionen.

AFFÄRSVÄRLDENS ÅRLIGA RANKNING AV ADVOKATBYRÅER

4 Apr 2019

I Affärsvärldens årliga ranking av advokatbyråer noterade Next (under dåvarande firmanamnet ADN Law) landets femte största omsättningsökning procentuellt 2018, efter en ökning med nästan 80 % från föregående år.

NEXT BITRÄDER VID KÖPET AV FÅFÄNGAN RESTAURANG OCH EVENEMANG

14 Sep 2018

Next, genom delägarna Kristoffer Sparring och Joacim Öhlund samt biträdande juristen Nejra Poljo, har biträtt köparna i samband med köpet av Fåfängan Restaurang och Evenemang från Nordic Trade Network AB. Köpet genomfördes genom förvärvet av samtliga aktier i Vanitybar AB som äger och driver restaurangrörelsen belägen på Södermalm i Stockholm.

NEXT BITRÄDER VID CARLYLE GROUPS FÖRVÄRV AV AKZO NOBELS AFFÄRSOMRÅDE SPECIALTY CHEMICALS

26 Jun 2018

Next, genom delägarna Pia Nyblaeus och Joacim Öhlund samt biträdande juristen Nejra Poljo, har biträtt Carlyle Group med rådgivning i arbetsrättsliga och bolagsrättsliga frågor inför Carlyle Groups och GICs förvärv av hela affärsområdet Specialty Chemicals från Akzo Nobel för 10, 2 miljarder euro, motsvarande ca 100 miljarder kronor. Transaktionen beräknas slutföras före utgången av 2018.

MARKNADSFÖRINGSRÄTTEN OCH ''INFLUENCERS''

25 Jun 2018

Magnus Tonell och Pia Järvengren Gerner har skrivit utförligt om reglerna som influencers behöver följa i gränslandet till reklam, med utgångspunkt i den sk KISSIE-domen och avgöranden i RON, i senaste numret av BrandNews.

NEXT BITRÄDER VID FÖRSÄLJNING AV MYSEC SWEDEN AB

21 Jun 2018

Mysec utvecklar, installerar, driftar och underhåller avancerade säkerhetssystem till företag och den offentliga sektorn. Med en stark position i Stockholmsregionen har företaget byggt långvariga kundrelationer med dokumenterat hög leveranskvalitet. Mysec, som 2017 utsågs till DI Gasell, har under de tre senaste åren levererat 25 % i tillväxt på årsbasis och omsättningen från maj 2017 till februari 2018 uppgick till ca 29 MSEK.

Viktiga större kunder är Arla, ICA, Botkyrka kommun, Stockholms Stad, SATS, och en större svensk klädkedja.

NEXT EXPANDERAR MED TRE NYA DELÄGARE

9 Jan 2018

Next välkomnar tre nya delägare - Claes Lood, Kristoffer Sparring och Joacim Öhlund - från och med årsskiftet. Tillskottet förstärker byråns erbjudande av M&A, aktiemarknadsrätt, fastighetsrätt och kommersiell avtals- och tvistlösning vilket ger en ökad bredd att erbjuda våra klienter. Claes Lood och Kristoffer Sparring har lång erfarenhet av kommersiell tvistlösning. Claes Lood medför även stor kompetens inom mäklarrelaterad juridik och ekonomiska föreningar. Kristoffer Sparring har lång erfarenhet från kommersiell avtalsrätt och idrottsjuridik. Joacim Öhlund tar med sig en bred spetskompetens och lång erfarenhet inom M&A, aktiemarknadsrätt och bolagsrätt.