Den nyfikne kan läsa mer om delbetänkandet här. I dagarna släpptes även slutbetänkandet, en tegelsten på över 400 sidor som framför allt handlar om införandet av systerdirektivet om motståndskraft hos kritiska entiteter. Mer om det som en liten bonus nästan längst ner.
Så vad tyckte egentligen remissinsanserna om den föreslagna cybersäkerhetslagen? Och vad händer sannolikt nu då? Ta´t lugnt en stund och låt oss reda ut detta.
Talande tystnad
Föga förvånande tyckte inte alla 213 remissinstanser att de hade någonting att säga. Tystnad talar också, och tystnaden kring nya och ingripande krav kring cybersäkerhet kan indikera att beredskapen inte är särskild god. De som faktiskt hade någonting att säga var dock tack och lov ganska många. Och de hade väldigt mycket att säga. För enkelhets skull har vi här delat upp synpunkterna i fyra kategorier, naturligtvis på tema Superhjältar (stort tack till bland annat Copilot!)
Kategori 1: X-perterna
Den största och mest dominanta gruppen, med stora expertmyndigheter och organisationer i spetsen, var riktigt ordentligt kritiska till förslaget att ett helt gäng myndigheter skulle få besluta föreskrifter och bedriva tillsynsverksamhet. Den uppmärksamme kommer ihåg att även vi på Forefront lyfte detta när delbetänkandet publicerades i våras. Det är helt enkelt sällan en bra idé att bygga ut ett system för efterlevnad och tillsyn när man inte har undersökt hur det nuvarande systemet fungerar. Att upprätthålla en hög nivå vad gäller cybersäkerhet kommer bli en gigantisk utmaning för alla berörda aktörer. Nästan ännu mer så för alla tillsynsmyndigheter, som hela tiden måste se till att de har den mängd olika och eftertraktade kompetenser som kommer att behövas för att klara uppdraget. Dessutom kommer alla dessa olika tillsynsmyndigheter behöva samordna sig sinsemellan – och vissa kan till och med hamna i en sits där de ska tillsyna varandra och/eller tillsyna gemensamma IT-system.
Som om inte det var nog; med utredningens förslag kommer vissa aktörer att drabbas av tillsyn från flera tillsynsmyndigheter kring en och samma lagstiftning. En effektiv, rättsäker och pragmatisk krav- och tillsynsverksamhet är alltså svår att få till när den är tänkt att spridas ut på det föreslagna sättet. Man behöver helt enkelt inte vara jurist för att klura ut att utredningens förslag kring tillsyn och föreskrifter riskerar att bli… bökig.
Kategori 2: Professor X-Allvetarna
I denna kategori av remissinstanser återfinns de som lyft blicken och konstaterat att det finns en mängd olika nuvarande och kommande regelverk att förhålla sig till, och att det är oklart hur dessa ska fungera samtidigt. Det är inte bara fråga om hur den föreslagna cybersäkerhetslagen ska förhålla sig till direktivet om kritiska enheters motståndskraft (CER), det är även fråga om säkerhetsskyddslagen, DORA-förordningen som gäller för bank- och finanssektorn och en mängd andra nya och kommande regleringar.
Flera tunga remissinstanser påpekar att det i princip samtidigt som denna utredning färdigställdes remitterades ut en promemoria vid namn ”Ett nytt nationellt cybersäkerhetscenter – ändamålsenliga och effektiva former för ledning, organisering och styrning”. I den promemorian, från april 2024, föreslås Försvarets radioanstalt (FRA) få i uppdrag att utveckla Nationellt Cybersäkerhetscenter (NSCS) som inrättades år 2020, vilket även basunerades ut från Försvardsdepartementet den 23 september 2024. FRA och näraliggande myndigheter samt Skatteverket ifrågasätter därför varför inte NSCS kan vara Sveriges sambandscentral för cybersäkerhetslagen i stället för Myndigheten för samhällsskydd och beredskap (MSB). Precis som X-perterna påpekar alltså Allvetarna att Sverige är ett litet land med mycket myndigheter, och att det finns ett stort behov av samla ihop vissa kritiska områden under ett och samma tak. Och nä, man behöver inte vara jurist för att klura ut att ett utspritt cybersäkerhetsansvar riskerar att bli… du gissade rätt… bökigt.
Kategori 3: Regelväktarna
Denna kategori av synpunkter rör lagstiftningens utformning (eftersom regler är till för att följas enligt Batman). Det har exempelvis lyfts att uttrycket ”riskhanteringsåtgärder” bör bytas ut mot ”säkerhetsåtgärder” som finns i liknande lagstiftning. Några vill att det tydligare ska regleras vad som är en ”incident”. Flera efterfrågar större tydlighet kring vilka som ska omfattas, respektive inte omfattas av lagkraven. Även om man ska vara ödmjuk inför det faktum att det är svårt att författa lag- och föreskriftstext, så är synpunkterna i dessa delar så pass iögonfallande att man kan misstänka att utredningen inte riktigt hunnit med att arbeta igenom den föreslagna texten ordentligt. Men det är ju det remisser delvis är till för, att många ögon ska se till så att lagtexten inte blir… vad heter det nu igen... bökig.
Kategori 4: Tidshanterarna!
Den sista kategorin synpunkter har framförts av väldigt många remissinstanser, nämligen de tidsmässiga och ekonomiska utmaningarna (och som följer av att det bara är Doctor Strange som kan manipulera tid). En snudd på omöjilg tidsram är dock vanligt vad gäller lagstiftning, särskilt sådan som i sin tur bygger på EU-lagstiftning med skarpa tidsramar – annars väntar böter från EU-kommissionen. De som varit med i några år, och särskilt vad gäller andra områden, vet att Sverige sällan är tidiga ute att genomföra EU-regelverk. Och det ställer i sin tur till det, inte bara för de myndigheter som ska få det att fungera i praktiken utan även för de som berörs.
Men ärligt talat kan inte bara utredningen lastas för förslaget att cybersäkerhetslagen föreslås börja gälla redan den 1 januari 2025. Oavsett så verkar det datumet inte vara det som Försvarsdepartementet siktar på, utan snarare augusti 2025, men även det är ju mindre än ett år bort. Frågan om tidsramar är i sin tur otvivelaktigt kopplad till den om ekonomi. Flera remissinstanser påtalar att denna utredning, liksom många andra utredningsförslag, remitteras ut med analysen att de förändringar som föreslås inte kommer leda till några större kostnader för de som berörs. Utredare och lagstiftare hoppar alltså regelmässigt över den verklighet som innebär att nya eller förändrade regelverk – inte minst på totalen – definitivt är kostnadsdrivande. Så att landa i att ett förslag som detta, som kommer kräva mycket resurser även av de aktörer som redan ligger i framkant, i allt väsentligt inte kommer vara kostnadsdrivande är inte bara bökigt, det är… jättebökigt?
Den utlovade bonusen om CER
Men CER då? När man knappt hunnit plöja remissvaren kring NIS 2 så damp den ner, slutbetäkandet kring framför allt införandet av direktivet om kritiska enheters motståndskraft (CER), men även hur dessa båda direktiv - och så småningom lagar - ska förhålla sig till bland annat säkerhetsskyddslagen (SOU 2024:64). Förslagen kring CER ser dock, föga förvånande, ungefär likadana ut som de som redan lagts fram kring NIS 2. För CER och NIS 2 är delvis överlappande regelverk, även om det är tänkt så att NIS 2 ska ha företräde. Men det gäller inte alltid. Samma sak gäller tillsynen kring CER, den föreslås genomföras av samma myndigheter som ska tillsyna NIS 2 - fast inte alltid. Även CER föreslås genomföras genom en ny lag: lagen om motståndskraft hos kritiska verksamhetsutövare. Den lagen föreslås börja gälla den 1 augusti 2025. Så hur ska de här båda regelverken funka och hur kommer det att påverka min och din verksamhet? Ummm…ja, det är nog hög tid att börja undersöka det så det blir lite mindre… superbökigt.
Så vad händer nu då?
Ja, det återstår att se om lagstiftaren har tänkt göra något åt remissinstansernas invändningar kring lagen som ska genomföra NIS 2. Och så måste lagstiftaren skicka ut förslagen kring CER på remiss, en väldigt kvalificerad gissning är att remissinstanserna kommer lämna ungefär samma svar som kring NIS 2 i retur. För som det ser ut just nu tänker lagstiftaren fälla ner visiret och göra ett superhopp rakt in i 2025 – och båda lagförslagen kommer förmodligen att tryckas igenom trots alla invändningar. Och då är det upp till alla myndigheter och berörda verksamhetsutövare att förbereda sig på att det blir en skakig resa framöver. Detta är naturligtvis bekymrande både ur cybersäkerhets- och lagstiftningssynpunkt. Men det kommer inte funka att sitta som åskådare med popcornskålen och tänka att det alltid brukar sluta lyckligt, eller att det snart kommer en uppföljare som rätar ut alla frågetecken.
Det är alltså hög tid att inse att semestern är slut och att compliance-arbetet måste öka takten. Men det finns hjälp att få! Vi på Legal Services, våra grymma kollegor på Security Management och resten av superhjältarna på Forefront står utvilade och startklara för att se till att det hela blir lite mer… förlåt, men nu är det för sista gången… o-bökigt!