Lag (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Utfärdad:
Ikraftträdandedatum:
Källa: Regeringskansliets rättsdatabaser m.fl.
SFS nr: 2021:553
Departement: Försvarsdepartementet
Ändring införd: t.o.m. SFS 2021:554
Länk: Länk till register
2021:553
Departement/myndighet:
Försvarsdepartementet
Utfärdad:
2021-06-10
Ändrad:
t.o.m. SFS
2021:554
Ändringsregister:
SFSR (Regeringskansliet)
Källa:
Fulltext (Regeringskansliet)
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäkerhetsakt. Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäkerhetsakt.Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer1. är nationell myndighet för cybersäkerhetscertifiering enligt EU:s cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Ackreditering av organ för bedömning av överensstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cybersäkerhetsakt finns bestämmelser om ackreditering av organ för bedömning av överensstämmelse i fråga om cybersäkerhetscertifiering. I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna bestämmelser om ackreditering av organ för bedömning av överensstämmelse. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt. Lag (2021:554).Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs har den nationella myndigheten för cybersäkerhetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cybersäkerhetsakt. 5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhetsakt, genomförandeakter som har meddelats med stöd av EU:s cybersäkerhetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen ska följas. Ett beslut om föreläggande får förenas med vite.6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära handräckning av Kronofogdemyndigheten för att få tillträde till andra lokaler än bostäder, och där genomföra utredningar i enlighet med artikel 58.8 d i EU:s cybersäkerhetsakt. Vid handräckning tillämpas bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Om den nationella myndigheten för cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i förväg underrätta den som utredningen ska genomföras hos.7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av myndigheten eller av ett organ för bedömning av överensstämmelse i enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för cybersäkerhetscertifiering.Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som1. har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2 i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller IKT-processen inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller innehar ett cybersäkerhetscertifikat och inte lämnar kompletterande säkerhetsinformation i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande eller förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för inskränkning eller utvidgning av tillämpningsområdet för certifiering,
6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud, eller
7. använder ett europeiskt cybersäkerhetscertifikat som har återkallats enligt artikel 58.8 e i EU:s cybersäkerhetsakt.9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst 15 000 000 kronor.10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd av överträdelsen,
2. om den som har begått överträdelsen tidigare begått en överträdelse, och
3. den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är ringa, om det finns särskilda skäl eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges.14 § Sanktionsavgiften tillfaller staten.15 § En sanktionsavgift ska betalas till den nationella myndigheten för cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.16 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat organ för bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes. I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana avgifter.Ändring av beslut av privata organ för bedömning av överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett beslut som det har meddelat, om1. organet anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild.