Hoppa till innehåll

Yttrande avseende säkerhetsåtgärder och utbildning enligt ny cybersäkerhetslag

Vi bedömer sammanfattningsvis att föreskrifterna riskerar att –

  • Hämma innovation och konkurrenskraft
  • Skapa administrativ börda utan motsvarande säkerhetseffekt
  • Ge svenska företag strängare och mer detaljerade krav än konkurrenter i andra EU-länder

Föreningarna förordar att föreskrifterna i större utsträckning utformas som riskbaserade effektkrav, medan detaljer i stället bör anges i vägledande allmänna råd.

Konsekvensutredning och ekonomiska effekter
SOFF och Teknikföretagen bedömer att konsekvensutredningen inte fullt ut beaktar de samlade icke-förringbara kostnaderna som följer av förslaget. Många av kraven förutsätter i praktiken nya organisatoriska funktioner, permanent bemanning för regelefterlevnad samt omfattande dokumentationsinsatser.

Detta innebär i realiteten behov av halv- eller heltidstjänster, vilket är särskilt betungande för små och medelstora företag. Kostnaderna är inte proportionella i förhållande till företagens storlek eller faktiska riskbild.

SOFF och Teknikföretagen efterfrågar en tydligare proportionalitetsavvägning i föreskrifterna samt en uttrycklig möjlighet att anpassa åtgärder efter verksamhetens art, komplexitet och riskexponering.

Riskbaserat angreppssätt framför för detaljstyrning
Vi konstaterar vidare att flera delar av föreskrifterna präglas av detaljerade processkrav, specifika organisatoriska lösningar samt tekniskt styrande kravformuleringar.

Detta riskerar att styra bort fokus från faktisk säkerhet, låsa verksamheter vid specifika arbetssätt samt riskerar att motverka teknikneutralitet.

SOFF och Teknikföretagen föreslår att –

  • Kraven i 2 kap. 3–5 §§ bör ges större flexibilitet för att undvika att dokumentation blir ett mål i sig i stället för ett stöd för faktisk säkerhet.
  • 2 kap. 9 § bör utformas mer funktionsbaserat, där utbildningens innehåll anpassas efter verksamhetens faktiska behov.
  • 2 kap. 13–16 §§ bör justeras så att uppföljning och omprövning sker vid förändring i riskbild, verksamhet eller teknik, och inte som ett tvingande årligt krav.

Föreskrifterna bör i större utsträckning utformas som effektmål, där verksamhetsutövaren ges handlingsutrymme att välja ändamålsenliga metoder.

Ledningens och styrelsens ansvar
SOFF och Teknikföretagen noterar att föreskrifterna i nuvarande utformning riskerar att tilldela styrelsen ett operativt ansvar som är mer långtgående jämfört med de krav som följer av NIS2-direktivet. Enligt föreningarna bör styrelsens ansvar fortsatt ligga på en strategisk och övergripande nivå.

Mot denna bakgrund bör –

  • 2 kap. 6–8 §§ justeras så att ansvarsfördelningen mellan styrelse, ledning och operativa funktioner tydliggörs.

Vidare efterfrågas att ansvarig myndighet tar fram tydligt informationsmaterial riktat till styrelser och verkställande ledningar, gärna även med internationella exempel.

Utbildningskrav
SOFF och Teknikföretagen instämmer i vikten av utbildning för ledning och nyckelfunktioner, men avstyrker att utbildningens exakta innehåll detaljregleras i föreskrift. Utbildningens omfattning och utformning måste kunna anpassas till verksamhetens art samt justeras efter riskprofil och mognadsgrad.

Sammanfattning
Sammanfattningsvis föreslår SOFF och Teknikföretagen att MSB –

  • Anpassar riktlinjerna med utgångspunkt i riskbaserat förhållningssätt och proportionalitet genomgående i föreskriften
  • Flyttar detaljkrav från bindande föreskrift till allmänna råd
  • Ser över styrelsens ansvar
  • Ser över krav på årlig uppföljning till förmån för krav på uppföljning vid faktisk förändring