Remissvar avseende delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven (SOU 2024:18)
Säkerhets- och försvarsföretagen (SOFF) har inbjudits att lämna synpunkter på förslaget.
SOFF vill framföra följande kommentarer.
Gemensamma grundläggande krav på IT-säkerhet
Föreningen är positivt inställd till att kritisk infrastruktur får gemensamma grundläggande krav på IT-säkerhet. Det bidrar till en högre lägstanivå för cybersäkerhet i hela Sverige. Att NIS2- och CER-direktiven behandlas tillsammans i denna utredning är också bra. En gemensam nationell implementering underlättar för medlemsföretagen.
Tillsyn
SOFF ställer sig frågande till att tillsynsansvaret ska fördelas över ett större antal myndigheter. Denna struktur för tillsyn riskerar att bli ekonomiskt ohållbar och praktiskt svårtillämpad. Föreningen uppmuntrar lagstiftaren att säkerställa att den tillsynsstruktur som skapas inte driver kostnad och ineffektivitet.
Givet att utfallet blir en uppdelad tillsyn understryker föreningen vikten av koordination mellan tillsynsmyndigheterna. Utredningen föreslår att respektive tillsynsmyndighet ges mandat att skriva föreskrifter. Det finns därmed en risk för att de olika tillsynsmyndigheterna föreskriver olika tillsynskrav som kan träffa samma företag om det står under olika myndigheters tillsyn.
SOFF önskar därmed att det säkerställs att tillsynsmyndigheterna samordnar författande av förskrifter. Detta är särskilt viktigt med tanke på principen om en enda kontaktpunkt, som fastställs i NIS2-direktivet, vilket bör bidra till att effektivisera kommunikationen mellan entiteter. Det ger också en effektiv, transparent och säker lösning av problem, särskilt när det gäller incidentrapportering.
Tidsperspektivet
Tidsramen som kvarstår för implementering av NIS2- och CER-direktiven är mycket kort. Därtill finns en risk att samordningen mellan tillsynsmyndigheterna tar tid. Det är därmed en utmaning för företagen att implementera de nödvändiga processer, strukturer och arbetssätt som krävs för att säkerställa regelefterlevnad. Utmaningarna blir särskilt framträdande för små och medelstora företag som har begränsade resurser för att hantera dessa typer av omfattande rättsliga krav. I detta avseende finns ett framträdande behov av vägledningar (se punkt 5 nedan).
Tidsramen för incidentrapportering
Föreningen välkomnar att utredningen föreslår samma tidsfrister för incidentrapportering som framgår av artikel 23.1 i NIS2-direktivet. Det bör finnas möjlighet till automatiserad rapportering för den ska bli effektiv, tillförlitlig och enkel och för att säkerställa att samma incident inte måste rapporteras till olika myndigheter. Lagstiftningen bör också ge den drabbade organisationen tillräckligt med tid för att på ett adekvat sätt undersöka och förstå potentiellt rapporteringspliktiga händelser.
Behovet av vägledningar
Utredningen föreslår att företagen åläggs ett stort ansvar att bland annat bedöma:
- om verksamheten omfattas av lagen och därför är skyldig att lämna uppgifter om verksamheten,
- om verksamheten är en väsentlig eller viktig verksamhet och
- om en incident är betydande eller inte.
Föreningen ser gärna vägledning i dessa och andra frågor som kan hjälpa företagen att säkerställa regelefterlevnad. Föreningen ser även ett behov av en utredning eller översyn för att förhindra fragmentering i samband med relaterade regelverk, som exempelvis säkerhetsskyddslagstiftningen. Detta omfattar även begrepp och terminologi inom området. Vidare önskar vi att det klargörs om det finns andra mekanismer, exempelvis standarder eller certifieringar, som motsvarar kraven i den föreslagna lagen.
Övrigt
Föreningen bifaller utredningens förslag att etablera en gemensam kontaktpunkt, CIRT-enhet och cyberkrishanteringsmyndighet. SOFF ser positivt på det förtydligande som gjorts avseende det ömsesidiga undantaget mellan NIS2- och CER-direktiven. Vi uppmuntrar regeringen att ägna särskild uppmärksamhet åt att se till att nationell lag respekterar artikel 1 och artikel 8 i CER-direktivet gentemot NIS2.
SOFF vill avslutningsvis framföra är en effektiv privat-offentlig samverkan är fundamental för att stärka vår förmåga mot cyberhot. Vi välkomnar de initiativ och projekt som i andra fora har initierats inom området och vi ser fram emot fler samverkansformer. I linje med detta kan vi bara beklaga att den nu aktuella utredningen i stora delar saknar närmare skrivningar om vikten av sådan samverkan.