NIS2-direktivet (EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148) skulle ha införlivats i svensk lag den 18 oktober 2024 men har försenats av olika anledningar. NIS2-direktivet ersätter därmed det s.k. NIS-direktivet. En särskild utredning (”Utredningen”) har på uppdrag av regeringen arbetat fram ett förslag till cybersäkerhetslag (”Cybersäkerhetslagen”) avseende själva införandet av NIS2-direktivet (se SOU 2024:18 Nya regler om cybersäkerhet samt i vissa delar även 2024:64 Motståndskraft i samhällsviktiga tjänster).
Utredningen har i mångt och mycket gjort en professionell insats och föreslagit en i flera delar lättöverskådlig lagstiftning under den knappa tid de erhöll. Trots detta finns det vissa regleringar som kan behöva analyseras. Jag har valt att endast analysera införlivandet av NIS2-direktivets artikel 21 i Cybersäkerhetslagen. Till viss del har detta redan gjorts i några av de över 160 remissvar Utredningen fick in. För den intresserade hänvisas till Remiss för SOU 2024:18 Nya regler om cybersäkerhet - Regeringen.se.
Artikel 21 får anses vara en av de viktigare reglerna att införliva i svensk rätt då den innehåller de grundläggande kraven på riskhanteringsåtgärder för cybersäkerhet. Dessa krav är avsedda att övergripande säkerställa eller i vart fall förbättra offentliga och privata verksamhetsutövares skydd mot såväl cybersäkerhetsincidenter, antagonistiska såväl som andra, vilka oftast medför en mängd icke önskvärda konsekvenser, såsom förlorat förtroende, förlorade kunder, kostnader för forensisk utredning och återställande av system och data, samt i värsta fall till och med upphörande av hela verksamheten. Utöver konsekvenser för den drabbade verksamhetsutövaren kan dessa incidenter även leda till konsekvenser för nationens ekonomi.
Av utrymmesskäl har jag inte kopierat in hela artikel 21 i denna artikel och heller inte viss övrig text som jag delvis hänvisar till. För den intresserade kan dessa texter läsas i sin helhet i NIS2-direktivet och i SOU 2024:18. Det ska givetvis tilläggas att det kommer att komma föreskrifter från såväl MSB som de utpekade tillsynsmyndigheterna vilket förhoppnings kan tydliggöra vissa av de regleringar jag analyserar men faktum kvarstår, att de tolkningar Utredningen gjort av NIS2-direktivet (och om de blir den faktiska lagstiftningen) ändå kommer att vara avgörande för de kommande föreskrifterna.
Direktivnära eller inte
NIS2-direktivets artikel 21 har av Utredningen i förslaget till Cybersäkerhetslag inte införlivats direktivnära. Detta motiveras med att NIS2-direktivet, enligt regeringens direktiv, inte skulle ”införas direktivnära utan att förslagen ska utformas utifrån den systematik och terminologi som används i svensk rätt. Ett normalt språkbruk ska eftersträvas. Det följer även uttryckligen av regeringens direktiv att den termologi som används i direktiven ska anpassas till vedertagna begrepp i nationell reglering”.
I motsats till Utredningen ansåg PTS i sitt remissvar ”att det är angeläget att cybersäkerhetslagen använder så nära formuleringar från NIS2-direktivet som möjligt”. Till viss del är det svårt att inte instämma i PTS åsikt om att Cybersäkerhetslagen borde vara mer direktivnära, särskilt när det gäller skrivningarna gällande riskhanteringsåtgärder. Detta då dessa regler bör få en så samstämmig reglering som möjligt inom EU, bl.a. för att undvika de skillnader det tidigare NIS-direktivet skapade. Det ska härvid nämnas att NIS2-direktivet, som ersätter NIS-direktivet, tillkom bl.a. för att motverka väsentliga skillnader för ekonomiskt betydelsefulla verksamheter och i princip skapade i vart fall vissa handelshinder inom EU. Det torde heller inte skapa någon större motstridighet mot den systematik och terminologi som används i svensk rätt att införliva artikel 21 och det får nog anses att även vedertagna begrepp hade kunnat användas. Frågan blir därför hur väl ett sådant ”icke-direktivnära införlivande” svarar mot NIS2-direktivets artikel 21, vilket ska tilläggas, innehåller minimikrav på åtgärder för riskhantering och cybersäkerhet, d.v.s. minst de kraven som anges i artikel 21 ska införlivas och det borde göras på ett så tydligt sätt som möjligt.
NIS2-direktivets artikel 21 har införlivats i Cybersäkerhetslagens 3 kap 1 §. En jämförelse mellan dessa två regleringar skapar en viss tveksamhet över hur väl man faktiskt lyckats med införlivandet.
NIS2-direktivets artikel 21.1 jämfört med Cybersäkerhetslagens 3 kap 1 §
Den första frågan är om Utredningen i Cybersäkerhetslagen omfamnar samtliga de krav som anges i NIS2-direktivets artikel 21.1.
NIS2 Artikel 21.1 anger:
Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteter vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster.
Med beaktande av de senaste, och i tillämpliga fall, relevanta europeiska och internationella standarder samt genomförandekostnaderna, ska de åtgärder som avses i första stycket säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till entitetens grad av riskexponering, entitetens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser.
Den inledande texten i Cybersäkerhetslagen 3 kap 1 § anger:
Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:
Vid en jämförande läsning är det uppenbart att NIS2-direktivets artikel 21.1 är mer utförlig än Cybersäkerhetslagens dito. Självklart är inte en mer utförlig text ett bättre sätt att beskriva de åtgärder som ska vidtas, men i Cybersäkerhetslagens 3 kap 1 § har vissa lokutioner fallit bort. De åtgärder som ska vidtas kvalificeras inte till lämpliga. Vidare saknas lokutionerna ”relevanta europeiska och internationella standarder”, ”entitetens storlek” och ”med beaktande av genomförandekostnaderna” vilket knappast omfattas av den sista meningen i Cybersäkerhetslagens 3 kap 1 §, d.v.s. att ”Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken”. Detta kan således ge uppfattningen att innebörden av Cybersäkerhetslagens 3 kap 1 § är mer begränsad.
Begreppet allriskperspektiv som införlivas i Cybersäkerhetslagens 3 kap 1 § får anses vara en något udda fågel i svensk rätt. Begreppet används förvisso i NIS2-direktivets artikel 21.2, men såvitt jag känner till används det inte i svensk lagstiftning och troligtvis inte heller i normalt språkbruk. Man undrar därför varför man valt att använda just det begreppet när man inte, enligt regeringens direktiv, ska införliva direktivet direktivnära. Detta särskilt i portalregleringen avseende riskhanteringsåtgärder för cybersäkerhet. Begreppet allriskperspektiv används förvisso i Regeringens proposition (prop. 2024/25:34) Totalförsvaret 2025-2030 och i Nationellt Cybersäkerhetscentrums (NCSC) skrift En ny era av cybersäkerhet 2025-2029 och får väl möjligen därmed anses att ha kommit, eller i vart fall kommer, att bli ett begrepp som blir mer vanligt i såväl lagstiftning som normalt språkbruk.
Förståelsen av begreppet allriskperspektiv torde vara något osäker. I NIS-direktivets skäl 79, dock där med användandet av begreppet allriskansats, kan man läsa:
Skäl 79:
Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung bör riskhanteringsåtgärder för cybersäkerhet bygga på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö mot händelser såsom stöld, brand, översvämning, telekommunikations- eller elavbrott eller obehörig fysisk åtkomst till och skada eller störning på en väsentlig eller viktig entitets information och informationsbehandlingsresurser, som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Riskhanteringsåtgärderna för cybersäkerhet bör därför också omfatta den fysiska säkerheten och miljösäkerheten i nätverks- och informationssystem genom att inbegripa åtgärder för att skydda sådana system mot systemfel, mänskliga misstag, avsiktligt skadliga handlingar eller naturfenomen i överensstämmelse med europeiska och internationella standarder, såsom de som ingår i ISO/IEC 27000-serien. I detta avseende bör väsentliga och viktiga entiteter som ett led i sina riskhanteringsåtgärder för cybersäkerhet också ägna sig åt personalsäkerhet och inrätta lämpliga strategier för åtkomstkontroll.
Ska man förstå begreppet allriskansats, enligt NIS-direktivet, bör man således vid sin riskanalys utgå från, lite enkelt uttryckt, att nätverks- och informationssystemen ska skyddas mot fysiska angrepp såväl som mot andra angrepp, vilket får anses som själva grunden i ett cybersäkerhetsarbete. Något annat eller mer än så är det svårt att tolka in och man får uppfattningen att det redan anges i Cybersäkerhetslagen 3 kap 1 § första mening.
I Nationellt Cybersäkerhetscentrums (NCSC) skrift En ny era av cybersäkerhet 2025-2029 anges att ”den nationella strategin för cybersäkerhet utgår från nationella behov och från NIS 2-direktivet och dess allriskperspektiv för att hantera en bredd av utmaningar såsom kompetensbrist, komplex reglering, sårbara leveranskedjor och bristande systematiskt cybersäkerhetsarbete”. Det blir möjligtvis inte lättare att förstå vad som avses med allriskperspektiv när man läser detta och tolkningarna kommer sannolikt att bli väldigt olika till dess att det sätts någon form av standard för vad som avses med allriskperspektiv. Notera dock att NSCS använder bristande systematiskt cybersäkerhetsarbete som en av utmaningarna, se mer härom nedan.
Sammanfattningsvis noteras att en direktivnära reglering med användande av normalt språkbruk i den inledande texten nog hade upplevts som mer lämpligt. I synnerhet försvinner de tydliggöranden som NIS2-dirketivets artikel 21.1 andra stycke innehåller. Det kan i sammanhanget även nämnas att NIS2-direktivets artikel 21.1 påminner om sättet man reglerar säkerhet i samband med behandling i GDPR artikel 32 vilket förvisso är en EU-förordning men, i enlighet med vårt medlemskap i EU, ändå svensk lag. Utöver detta ska den inledande texten i Cybersäkerhetslagen, enligt Utredningen, förstås som att det ska upprättas Strategier för riskanalys och informationssystemens säkerhet, se mer härom nedan.
Strategier för riskanalys och informationssystemens säkerhet
I NIS2-direktivets artikel 21.2 räknas i tio punkter upp åtgärder som ska vidtas för att skydda nätverks- och informationssystem. Motsvarande uppräkning i Cybersäkerhetslagen 3 kap 1 § är nio och då har man ändå valt att i paragrafen dela upp en av punkterna från NIS2-direktivet i två punkter, således finns endast 8 punkter kvar från NIS-direktivet i Cybersäkerhetslagen 3 kap 1 §.
En punkt som helt är undantagen i Cybersäkerhetslagen är ”strategier för riskanalys och informationssystemens säkerhet”. Anledningen till att Utredningen valde att inte införa åtgärden som en egen punkt motiveras med att ”När det gäller denna punkt menar utredningen att det inte behöver anges särskilt, eftersom det följer av utredningens förslag till övergripande reglering.” Efter de jämförande texterna av NIS2-direktivet artikel 21.1 och inledningen till Cybersäkerhetslagen 3 kap 1 § (se ovan) kan det diskuteras om det verkligen går att förstå att ”strategier för riskanalys och informationssystems säkerhet” verkligen följer av Utredningens övergripande reglering. En tydligare sådan reglering hade varit önskvärd och det torde heller inte strida mot systematik, terminologi och normalt språkbruk – inte minst hade förståelsen underlättats.
Som nämns i regeringens direktiv angavs att ett normalt språkbruk ska eftersträvas. Enligt Svenska Akademins Ordlista (SAOL) anges att ordet ”strategier” betyder ”ordnad, planmässig”, d.v.s., i det här fallet, en ordnad och planmässig cybersäkerhets- och informationssäkerhetspolicy. Om inte av någon annan anledning hade det varit en fördel för verksamhetsutövaren att på ett mer tydligt sätt ange att strategier ska finnas då man annars (möjligen något onödigt) måste tolka in det i den övergripande regleringen. En lärdom som hade kunnat dras är hur flera företag upprättade ett ”startpaket” med vissa regler och dokumentation över personuppgiftsbehandling vid GDPRs ikraftträdande men inte implementerade en strategi (ordnad och planmässig policy för behandling av personuppgifter) för densamma.
Frånvaron av ett uttryckligt krav på strategi för riskanalys och informationssystemens säkerhet leder inte till en särskilt tydlig reglering. Med tanke på att det som anges i Cybersäkerhetslagen 3 kap 1 § är de krav mot vilka en tillsynsmyndighet kan vidta åtgärder (se nedan) hade det underlättat för både verksamhetsutövare och tillsynsmyndigheter att tydligt ange kravet.
Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet sårbarheter och sårbarhetsinformation
Som femte åtgärd i NIS2-direktivets artikel 21.2 anges ”säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet sårbarheter och sårbarhetsinformation”.
Utredningen har härvid bedömt begreppet förvärv som att det endast avser att ta över något med äganderätt. Denna tolkning ligger givetvis närmast till hands, men i vanligt språkbruk bör man väga in att man kan förvärva kunskaper, förvärva en licens, förvärva ett hyreskontrakt och använda liknande uttryck där inget av det nyssnämnda innebär någon egentlig äganderätt. I den engelska versionen av NIS2-direktivet anges ”security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure”. På samma sätt som i svenskan kan man i engelskan acquire knowledge, acquire a license, acquire a lease där inget innebär en egentlig äganderätt.
MSB föreslog i sitt remissvar att förvärv kunnat ersättas med anskaffning för att signalera att kraven gäller även när något inte köpts, exempelvis vid utkontraktering. Som svar på detta anger Utredningen att när det gäller utkontraktering omhändertas detta till viss del i punkten om säkerhet i leveranskedjan (se Cybersäkerhetslagen 3 kap 1 § p. 3). En sådan osäkerhet känns inte helt önskvärd. Eftersom det är ett minimidirektiv hade Utredningen kunnat täppa till den eventuella osäkerheten med att ”utöka” kravet till att omfatta förvärv för att därmed mer konkret få att även det omfattas. Eftersom Utredningen ändå uppfattar att det i vart fall till viss del redan omfattas av säkerhet i leveranskedjan hade anskaffning istället för förvärv troligtvis inte ens utökat NIS2-direktivets krav och således inte heller krävt någon särskild motivering (vilket en utökning av ett minimidirektiv vanligtvis kräver). Utöver detta torde det innebära att om denna punkt endast ska gälla förvärv som endast avser äganderätt kommer den sannolikt inte att träffa särskilt många då totala nätverks- och informationssystem inte alltför ofta är möjliga att ”köpa med äganderätt” och för många nog inte en realistisk väg att gå. Frågan kan således ställas om NIS2-direktivet endast avsåg en fullständig rättsövergång eller faktiskt även innefattar utkontraktering.
I enlighet med det ovan sagda är jag benägen att instämma i MSBs förslag och innefatta ordet förvärv till att avse anskaffning.
Skyldiga att beakta resultatet av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med artikel 22.1
I NIS2-direktivet artikel 21.3 anges att medlemsstaterna ska säkerställa att entiteter, när de överväger lämpliga åtgärder enligt punken 2 d i artikel 21 (d.v.s. säkerhet i leveranskedjan) är skyldiga att beakta resultatet av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet med NIS2-direktivet artikel 22.1. I denna artikel anges att samarbetsgruppen får, i samarbete med kommissionen och Enisa, utföra samordnade säkerhetsriskbedömningar av specifika kritiska leveranskedjor för IKT-tjänster, IKT-system eller IKT-produkter.
Utredningen menar NIS2-direktivets 21.1 – 21.3 genomförts genom Cybersäkerhetslagens 3 kap 1 §. Såvitt jag har kunnat läsa mig till finns ingen skyldighet att beakta resultatet av de samordnade säkerhetsriskbedömningarna angivet, vare sig i Cybersäkerhetslagens 3 kap 1 § eller i någon annan paragraf lagstiftningen, d.v.s. ett ska-krav på att beakta resultaten av dessa bedömningar. Frånvaron av en minimireglering brukar vanligtvis medföra att om man väljer att inte beakta detta krav så ska man motivera varför man inte gör det. Är frånvaron av detta krav ett förbiseende eller är det tänkt att uppfyllas på något annat sätt? Det blir i vart fall inte tydligare när man väljer att utelämna denna skrivning helt i Cybersäkerhetslagen.
Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
NIS2-direktivet innehåller ingen uttrycklig skrivning om att ett informationssäkerhetsarbete ska bedrivas systematiskt. En sådan reglering finns i den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”), den svenska implementeringen av föregångaren till NIS2-direktivet, d.v.s. NIS-direktivet. MSB anförde i sitt remissvar att det är viktigt att även i Cybersäkerhetslagen föreskriva att informationssäkerhetsarbetet ska ske systematiskt och riskbaserat på samma sätt som i NIS-lagen. Utredningen noterade att detta krav inte följer av NIS2-direktivet men valde ändå att införa det i Cybersäkerhetslagen, dock inte i 3 kap 1 § utan i en egen paragraf, nämligen 3 kap 2 §. Denna senare paragraf omfattas inte bland de paragrafer över vilka tillsynsmyndigheter ska ingripa med tillsyn och eventuella sanktioner (jfr Cybersäkerhetslagen 5 kap 1 § med 3 kap 2 § samt att tillsynsmyndigheters ingripande begränsar sig till åsidosättande av de föreskrifter som meddelats med stöd av bl.a. 3 kap 1 § Cybersäkerhetslagen, men inte 3 kap 2 §).
Ovanstående får därför förstås som att tillsynsmyndigheterna inte kan ingripa vilket gör skyldigheten högst begränsad. En liknelse, kanske inte helt jämförbar men ändå, är att det får ungefär samma effekt som förbudet att gå mot röd gubbe, d.v.s. det är förbjudet men det leder inte till några sanktioner (annat än om ditt gående mot röd gubbe t.ex. leder till en trafikolycka). Sanningen är visserligen att just detta krav inte uttryckligen och ordagrant anges i NIS2-direktivet som en av punkterna i NIS-direktivets artikel 21 men frågan är om det ändå får anses omfattas av artikel 21.
Som jag tidigare skrivit (se ovan) anser Utredningen att strategier för riskanalys och informationssäkerhetsarbete omfattas av den inledande texten i Cybersäkerhetslagen 3 kap 1 § medan jag anser att det uttryckligen borde skrivits in som en av punkterna. Oavsett vilken väg man väljer omfattar paragrafen ett strategiarbete. Om man, som jag tidigare gjort, då använder sig av SAOL för att förstå det normala språkbruket och dess angivna betydelse av orden Strategi och Systematisk får man förklaringarna att strategi betyder konsten att föra ett krig; plan i stort medan systematisk betyder ordnad, planmässig. Redan detta bör leda tanken till att det strategiska arbetet bör vara ett systematiskt arbete, hur blir det annars strategiskt. Vidare stadgar NIS2-direktivet i artikel 21.2 krav på strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet samt anger i samma artikel grundläggande praxis för cyberhygien (praxis har något tveksamt i den svenska versionen av NIS2-direktivet översatts från det engelska ordet practices och borde nog översatts med ord som metoder eller rutiner). Den senare punkten valde Utredningen att inte skriva in i Cybersäkerhetslagen med motiveringen att ”praxis för cyberhygien är enligt utredningens bedömning onödig, eftersom cyberhygien är ett samlingsbegrepp för det som följer av artikeln i dess helhet”, d.v.s. det krävs en (ganska avancerad) tolkning av verksamhetsutövare för förstå Cybersäkerhetslagens 3 kap 1 § som helhet och för att förstå vad som åligger dem. En tolkning som jag, måste jag erkänna, möjligen inte hade lyckats med om jag inte läst NIS2-direktivet. Det ska återigen påminnas om att Cybersäkerhetslagens 3 kap 1 § innehåller de åtgärder över vilka tillsynsmyndigheter kan ingripa mot.
Det ovan angivna leder i vart fall mig till att uppfatta det strategiska arbetet till att omfatta även ett systematiskt arbete. I regeringens proposition 2024/25:34, sid 129, används begreppet i betydelsen ”Lärdomarna från Ukraina visar på betydelsen av ett systematiskt cybersäkerhetsarbete, tillgång till redundanta och diversifierade kommunikationsvägar, hög robusthet i de elektroniska kommunikationsnätens centrala system och ett väl fungerande samarbete mellan privata och offentliga aktörer” och i NCSCs skrift En ny era av cybersäkerhet 2025-2029 används Systematiskt och effektivt cybersäkerhetsarbete som en av de tre viktigaste åtgärderna som krävs för en nationell cybersäkerhetsstrategi (se bl.a. sid 26 ff i nämnda skrift).
Som bekant kan inte ett direktiv tolkas enbart på dess artiklar och en analys av skälen ger ofta en tydligare bild av en artikel och dess avsedda innehåll. Det finns därför anledning att kontrollera vad som skrivs i två av skälen till NIS2-direktivet, nämligen skäl 49 och skäl 122. I skäl 49 anges vad gäller cyberhygien följande.
Riktlinjer för cyberhygien utgör grunden för att skydda nätverks- och informationssystemens infrastruktur, maskinvara, programvara och säkerhet för onlinetillämpningar samt affärs-eller slutanvändardata som entiteter förlitar sig på. Riktlinjer för cyberhygien som omfattar en gemensam grundläggande uppsättning rutiner, bland annat uppdateringar av programvara och maskinvara, byte av lösenord, hantering av nya installationer, begränsning av användarkonton på administratörsnivå och säkerhetskopiering av data, möjliggör en proaktiv ram för beredskap samt övergripande säkerhet och trygghet i händelse av incidenter eller cyberhot. Enisa bör övervaka och analysera medlemsstaternas riktlinjer för cyberhygien.
I synnerhet andra meningen leder mig till tanken att cyberhygien innebär att det krävs ett systematiskt, eller som SAOL uttrycker det, ordnat och planmässigt arbete.
I skäl 122, som i och för sig rör tillsyn, anges följande (jag kopierar bara in delar av skäl 122, d.v.s. de delar jag anser relevanta).
[……..]. Väsentliga entiteter bör därför omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga entiteter bör omfattas av enklare tillsyn, endast i efterhand. Viktiga entiteter bör därför inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna för cybersäkerhet, medan de behöriga myndigheterna bör tillämpa en reaktiv efterhandstillsyn och därmed inte ha någon allmän skyldighet att utöva tillsyn över dessa entiteter. […..]
I skäl 122 skiljer NIS2-direktivet på väsentliga och viktiga entiteter. De viktiga entiteterna bör inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna. Även om motsatsslut inte alltid är att föredra ägnar jag mig åt just ett sådant här, d.v.s. min uppfattning är då att de väsentliga entiteterna är skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna. Detta är samstämmigt med att tillsyn över viktiga entiteter endast får ske om tillsynsmyndigheten har befogad anledning att anta att Cybersäkerhetslagen eller föreskrifter inte följs (se Cybersäkerhetslagen 4 kap 3 §) medan tillsyn över väsentliga entiteter kan ske oavsett om det finns befogad anledning till det. Innebär att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna detsamma som att bedriva ett systematiskt informationssäkerhetsarbete? Jag är benägen att anse det, om än möjligen endast för de väsentliga verksamhetsutövarna.
Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är ett krav i Cybersäkerhetslagen som inte omfattas av NIS2-direktivet enligt Utredningen och har därför inte belagts med möjligheter till tillsyn eller sanktioner (se ovan). Enligt min uppfattning bör ett bristande eller icke-existerande systematiskt och riskbaserat informationssäkerhetsarbete vara något som faktiskt kan anses följa av NIS2-direktivet och kunna leda till tillsyn och/eller sanktioner, om inte annat så i vart fall för väsentliga verksamhetsutövare. Det ska sägas att det finns möjligheter för tillsynsmyndigheterna att utöva tillsyn och ingripa mot verksamhetsutövare genom att verksamhetsutövaren har brustit i riskhanteringsåtgärderna (se Cybersäkerhetslagen 5 kap 1 §), men en sådan brist innefattar inte i sig ett bristande eller icke-existerande systematiskt och riskbaserat informationssäkerhetsarbete utan måste baseras på något annat i Cybersäkerhetslagen 5 kap 1 §.
Avslutningsvis vill jag nämna att Kommissionens genomförandeförordning (EU) 2024/2690 (”Genomförandeförordningen”), en s.k. delegerad förordning/akt vilket kommissionen ges rätt att anta enligt NIS2-direktivet, vilken trädde ikraft den 7 november 2024, i bilagan om Tekniska och metodologiska specifikationer i punkt 1.1.2 (under rubriken Strategi för säkerhet i nätverks- och informationssystem) stadgar att säkerhetsstrategin ska ses över och när så är tillämpligt uppdateras av ledningsorganen minst en gång om året samt när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar. Resultatet av dessa översyner ska dokumenteras. Genomförandeförordningen gäller inte för alla verksamhetsutövare utan endast de som bedriver tjänster av gränsöverskridande art (t.ex. leverantörer av molntjänster) och som därför anses särskilt viktiga för Europas säkerhet. Är vad som stadgas i Genomförandeförordningen ett uttryck för ett systematiskt och riskbaserat informationssäkerhetsarbete. Jag låter frågan hänga i luften, men systematiskt behöver inte nödvändigtvis betyda dagligen, månadsvis eller någon annan tidsrymd, men det torde medföra ett ordnat och planmässigt arbete.
Några slutord
När lagstiftningen väl trätt ikraft kommer det sannolikt inte bli en hel hoper advokater som tolkar den, utan CISO, IT-chefer m.fl. som ska införliva regleringen i det praktiska arbetet. Med de, enligt min mening, otydligheter Utredningens förslag innehåller kommer dessa personer ha minst samma problem med tolkningen som jag har. Förutsebarheten för vad en verksamhetsutövare faktiskt ska vidta för åtgärder blir därmed oklar. Därtill ska tillsynsmyndigheterna vidta åtgärder om en verksamhetsutövare bryter mot Cybersäkerhetslagens 3 kap 1 §. Sammanfattningsvis är det därför min uppfattning att införlivandet av NIS-direktivets artikel 21 skulle kunna skett på ett tydligare sätt. Med den osäkerhet jag vill visa ovan inväntar jag lagrådsremissen och propositionen för att se om den slutliga lagstiftningen kommer att förändras från Utredningens förslag.
EU:s Dataskyddsförordning (GDPR; fortsättningsvis dataskyddsförordningen) föreskriver mer eller mindre ett förbud mot behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Sådan behandling får endast utföras under kontroll av myndighet eller om det är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt. I Sverige har dataskyddsförordningens ”förbud” på sitt sätt åsidosatts av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”datasskyddslagen”). Dataskyddslagens 1 kap 7 § föreskriver att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelsen kan läsas på det sättet att om man hamnar under grundlagarna – eftersom man är ett massmedieföretag eller har skaffat sig ett utgivningsbevis för databaser – gäller inte alls förbudet. Särskilt utgivningsbeviset för databaser får bedömas vara en udda figur. Utgivningsbeviset kan erhållas efter en summarisk process som inte kostar särskilt mycket. När det väl finns på plats ger det samma skydd som ett massmediums webbplats. Det presumeras således finnas ett syfte som ska omfattas av grundlagarnas skydd för yttrandefrihet och intresset av en obunden debatt.
Dataskyddslagens reglering har under lång tid – av myndigheter och rådgivare – tolkats som ett verkligt hinder mot att ens snegla på dataskyddsförordningen och dess syfte att skydda den personliga integriteten. Debatten har främst gällt bakgrundskontroller och olika företags publiceringar av fällande brottmålsdomar. I två beslut har nu HD satt stopp för den tolkningen och därmed också den typen av verksamhet.
HD, mål nr Ä 3169-24 och mål nr 3457-24
HD har i två mål om myndighets utlämnande av brottmålsdomar (även innefattande beslut, dagboksblad och stämningsansökningar) till företag som bedriver bakgrundskontroller beslutat att sådant utlämnande endast kan ske med förbehåll. Förbehållen från de två målen innebär:
- att handlingarna inte får tillhandahållas allmänheten eller betalande kunder om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer,
- att bolag inte heller på annat sätt får erbjuda allmänheten eller betalande kunder sökmöjligheter i handlingarna på ett sätt som ger tillgång till personnamn, personnummer eller adress för enskilda personer, och
- att handlingarna inte heller får användas för att avisera allmänheten eller betalande kunder på så sätt att möjlighet ges att bevaka om en viss person förekommer i handlingarna (detta gällde bara det ena bolaget då de hade en tjänst som gjorde bevakning möjlig).
Det ena bolaget driver en rättsdatabas med bland annat brottmålsdomar och strafförelägganden medan det andra bolaget är en nyhetsbyrå. Båda bolagens databaser skyddas av grundlagen, det ena på grund av ett utgivningsbevis och det andra för att de är en nyhetsbyrå.
Frågan om utlämnande av brottmålsdomar har tidigare aktualiserats i ett antal mål från lägre domstolar och två av dessa mål prövades alltså i HD.
Målen gällde frågan om det föreligger sekretess för de begärda uppgifterna, och i så fall, om uppgifterna bör lämnas ut med förbehåll. I målen aktualiseras förhållandet mellan 21 kap 7 § offentlighets- och sekretesslagen, 1 kap 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och reglerna i dataskyddsförordningen.
HD redogör för förhållandena bl.a. enligt följande.
Enligt 21 kap 7 § offentlighets- och sekretesslagen (”OSL”) gäller sekretess för en uppgift om det kan antas att uppgiften efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Enligt detta ska alltså en utlämnande myndighet ta hänsyn till vad som kan antas ske efter utlämnandet.
I dataskyddsförordningens artikel 10, som tar sikte på behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser (detta ska enligt EU-domstolen även innefatta trafikförseelser, se EU-domstolens mål Latvijas Republicas Saeima, C-439/19), regleras att sådan behandling endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Vidare regleras att ett fullständigt register över fällande domar i brottmål endast får föras under kontroll av myndighet.
I dataskyddslagens 1 kap 7 § första stycke anges att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetslagen. I paragrafens andra stycke anges att artiklarna 5–30 och 35–50 i dataskyddsförordningen samt 2–5 kap. i dataskyddslagen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Enligt HD får det anses att lagstiftarens avsikt med dataskyddslagens 1 kap 7 § första stycke har varit att dataskyddsförordningen och dataskyddslagen över huvud taget inte ska tillämpas på det grundlagsskyddade området. Detta innebär i så fall, enligt HD, att verksamhet som omfattas av TF eller YGL över huvud taget inte behöver följa dataskyddsförordningen. Eftersom dataskyddsförordningen då inte behöver följas skulle dataskyddsförordningen heller inte inskränka myndigheters skyldigheter att lämna ut uppgifter då någon sekretess inte skulle föreligga enligt 21 kap. 7 § OSL eftersom den bestämmelsen förutsätter en bedömning av vad som kan antas om den kommande behandlingens förenlighet med dataskyddsförordningen. HD uttalar härvid att en sådan tolkning inte kan anses förenlig med unionsrätten då en sådan ordning undergräver närmast helt det skydd vid behandling av uppgifter om lagöverträdelser som dataskyddsförordningen syftar till att ge och kan inte anses innebära att det har fastställts lämpliga skyddsåtgärder för de registrerades rättigheter och friheter på det sätt som förutsätts enligt artikel 10 i dataskyddsförordningen.
HD menar istället att dataskyddslagen 1 kap. 7 § inte hindrar att dataskyddsförordningen beaktas vid tillämpningen av 21 kap. 7 § OSL då det, som HD menar, endast är om det råder konflikt mellan TF eller YGL å ena sidan och dataskyddsförordningen å andra sidan som dataskyddsförordningen får vika. Mot denna bakgrund finns det utrymme att tolka dataskyddslagens 1 kap. 7 § första stycke så att bestämmelsen inte hindrar att dataskyddsförordningens krav vid tillämpningen av 21 kap. 7 § OSL även på det grundlagsskyddade området. Härigenom har alltså en myndighet att ta ställning till om det föreligger sekretess för uppgifter om det kan antas att uppgiften efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.
Enligt 10 kap. 14 § OSL ska en myndighet om den finner att det föreligger risk för skada, men eller annan olägenhet och om den risken kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare, göra ett sådant förbehåll och sådana förbehåll uppställs av HD i besluten.
Avslutande ord
Det, som man får uppfatta det, kategoriska och svepande undantaget från tillämpningen av dataskyddsförordningen som föreskrivs i dataskyddslagen 1 kap. 7 § första stycket har kritiserats av många. Det har enligt dessa personer varit verklighetsfrämmande att dataskyddsförordningen över huvud taget inte ska tillämpas i den utsträckning en fråga skulle vara berörd av TFL eller YGL. Dessa talespersoner har fått en bekräftelse genom HDs beslut. Besluten kommer att begränsa, sannolikt omöjliggöra, för företag att bedriva en verksamhet som består i att tillhandahålla bakgrundskontroller. Detta samtidigt som intresset för bakgrundskontroller nog aldrig varit så stort.
Avslutningsvis kan nämnas att i ovan nämnda EU-dom (C-439/19) samt i EU-dom (C-740/22) uttalas att den som begär uppgifter som faller under dataskyddsförordningens artikel 10 behöver visa att man har ett särskilt intresse av att få uppgifterna. Denna fråga – vad som gäller om enskilda personer begär ut brottmålsdomar – är en ytterligare fråga som HD behöver klargöra. Hur ska en myndighet agera om en fysisk person begär ut uppgifter som normalt faller under dataskyddsförordningens artikel 10? Denne omfattas inte av dataskyddsförordningen om det sker som ett led i hägn av privatlivet. Hur ska myndigheten agera; det råder ju i princip ett efterfrågandeförbud för myndigheter när handlingar begärs utlämnade.
Välkomna till NEXT Advokaters frukostseminarium! Denna gång handlar det om Nya LAS – De sakliga skälen och Konsultregeln samt Nyheter 2024/25
Seminariet leds av Erik Danhard, Pia Nyblaeus, Jenny Jilmstad och Oskar Lodin.
Seminariet hålls dels digitalt, dels fysiskt. För er som vill ta del av Power-presentationen i förväg finns här en länk till den.
Next Advokater ser fram emot att fortsätta erbjuda liknande evenemang som ger insikter och praktisk kunskap om viktiga frågor inom arbetsrätt och andra rättsområden.