Sammantagen bedömning
Remissen avser förslag till nationella anpassningar till EU:s DORA-förordning. Förordningen innebär nya krav på företag inom den finansiella sektorn om bland annat informations- och kommunikationsteknik, incidentrapportering och testning av företagens digitala motståndskraft.
Regelrådet har funnit att aspekterna alternativa lösningar, effekter om ingen reglering kommer till stånd, förslagets överensstämmelse med EU-rätten, särskild hänsyn till tidpunkt för ikraftträdande, behov av speciella informationsinsatser, berörda företag utifrån bransch och regleringens påverkan på företagen i andra avseende som godtagbara.
Regelrådet har dock funnit att beskrivningen av berörda företag utifrån antal och storlek inte anses vara tillräcklig där bland annat en beskrivning av det storlekskrav som finns för att omfattas av regleringen. Det är också otydligt hur proportionalitetsprincipen ska appliceras i praktiken. Samma bedömningsskäl finns för aspekten särskild hänsyn till små företag och det anses också otydligt vilken bedömning förslagsställaren gjort gällande behov av särskild hänsyn till små företag vid utformningen av reglerna. Vidare anser Regelrådet att det i konsekvensutredningen tydligare skulle beskrivits vilken påverkan förslaget och tillhörande EU-förordning kan komma att innebära på berörda företags kostnader, tidsåtgång och verksamhet. Det som beskrivits gällande detta har därför bedömts vara bristfälligt. Regelrådet anser också att det finns en risk för konkurrenspåverkan som inte beskrivits av förslagsställaren, varför aspekten påverkan på konkurrensförhållandena också bedömts som bristfällig.
Enligt Regelrådet framgår det i remissen att det kan uppstå konsekvenser för företagen med anledning av DORA-förordningen. Regelrådet anser att effekter av betydelse för svenska företag som uppkommer även till följd av EU-lagstiftning bör utredas någonstans i lagstiftningskedjan. Därför rekommenderar Regelrådet att det som komplement till kommissionens konsekvensutredningar görs en nationell konsekvensutredning. Detta bör enligt rådet göras så tidigt som möjligt i processen. Regelrådet kan inte se att förslagsställaren i denna remiss har hänvisat till någon sådan nationell kompletterande konsekvensutredning. Det är dock enligt Regelrådet tydligt att DORA-förordningen kommer innebära både initiala kostnader för företag och återkommande kostnader för bland annat att vara med i de återkommande testerna och för incidentrapportering. Regelrådet anser att konsekvenserna ska tydliggöras i en svensk kontext. Det borde också enligt Regelrådet ha gjorts i större utsträckning i samband med detta förslag.
Regelrådet finner därför att konsekvensutredningen inte uppfyller kraven i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
