Yttrande över EU:s cyberhetssäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58)

Regelrådets ställningstagande:

Konsekvensutredning är ej godtagbar

Innehåll förslaget

Cybersäkerhetsutredningen föreslår kompletterande nationella bestämmelser till förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (cybersäkerhetsakten) i en ny lag och förordning. Försvarets materielverk (FMV) föreslås utses till nationell myndighet och tillsynsmyndighet för cybersäkerhetscertifiering och det nationella certifieringsorganet vid myndigheten, CSEC, föreslås som ackrediterat organ för bedömning av överensstämmelse. FMV ska fullgöra de uppgifter som följer av EU-förordningen, däribland tillsyn. Myndigheten ska behandla klagomål som rör utfärdade EU-försäkran om överensstämmelse eller europeiska cybersäkerhetscertifikat. Myndigheten ska också kontrollera att tillverkare eller leverantörer som genomför självbedömning av överensstämmelse av IKT-produkter, IKT-tjänster och IKT-processer fullgör sina skyldigheter och att ett europeiskt cybersäkerhetscertifikat som utfärdas överensstämmer med kraven i den europeiska ordningen för cybersäkerhetscertifiering. Myndigheten ska även bistå det nationella ackrediteringsorganet (Styrelsen för ackreditering och teknisk kontroll, Swedac) med övervakning och kontroll av verksamhet som bedrivs av organen för bedömning av överensstämmelse. Utredningen föreslår att sanktionsavgifter, lägst 10 000 kronor och högst 15 miljoner, får påföras den som utfärdar en EU-försäkran om överensstämmelse utan att fastställda krav på cybersäkerhet är uppfyllda, lämnar oriktiga eller ofullständiga uppgifter vid ansökan om certifiering, underlåter att informera om sårbarheter och oriktigheter eller att lämna kompletterande säkerhetsinformation. FMV får vidare meddela de föreskrifter som behövs. Det föreslås även en ändring i offentlighets- och sekretessförordningen (2009:641). Den nya lagen och övriga författningsändringar föreslås träda i kraft den 28 juni 2021.

Det bakomliggande förslaget

Förslag ()