SFS 2021:553 Lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt
Källa Regeringskansliets rättsdatabaser m.fl.
1
Svensk författningssamling
Lag
med kompletterande bestämmelser till EU:s
cybersäkerhetsakt
Utfärdad den 10 juni 2021
Enligt riksdagens beslut1 föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning
(EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens
cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och
kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013
(cybersäkerhetsakten).
Förordningen (EU) 2019/881 benämns i denna lag EU:s cybersäker-
hetsakt.
Ord och uttryck i denna lag har samma betydelse som i EU:s cybersäker-
hetsakt.
Nationell myndighet för cybersäkerhetscertifiering
2 § Den myndighet som regeringen bestämmer
1. är nationell myndighet för cybersäkerhetscertifiering enligt EU:s
cybersäkerhetsakt, och
2. utövar tillsyn över att denna lag och föreskrifter som har meddelats i
anslutning till lagen följs.
Ackreditering av organ för bedömning av överensstämmelse
3 § I artikel 60.1 i EU:s cybersäkerhetsakt och i bilagan till EU:s cyber-
säkerhetsakt finns bestämmelser om ackreditering av organ för bedömning
av överensstämmelse i fråga om cybersäkerhetscertifiering.
I Europaparlamentets och rådets förordning (EG) nr 765/2008 av den
9 juli 2008 om krav för ackreditering och marknadskontroll i samband med
saluföring av produkter och upphävande av förordning (EEG) nr 339/93 och
i lagen (2011:791) om ackreditering och teknisk kontroll finns allmänna
bestämmelser om ackreditering av organ för bedömning av
överensstämmelse.
Regeringen eller den myndighet som regeringen bestämmer får meddela
föreskrifter om krav för ackreditering av organ för bedömning av
överensstämmelse enligt artikel 60 i EU:s cybersäkerhetsakt.
1 Prop. 2020/21:186, bet. 2020/21:FöU6, rskr. 2020/21:351.
SFS
2021:553
Publicerad
den
11 juni 2021
SFS
2021:553
2
Tillsynsbefogenheter
4 § Vid tillsyn över att denna lag och föreskrifter som har meddelats i
anslutning till lagen följs har den nationella myndigheten för cybersäker-
hetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cyber-
säkerhetsakt.
5 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta
de förelägganden som behövs för tillsynen och för att EU:s cybersäkerhets-
akt, genomförandeakter som har meddelats med stöd av EU:s cybersäker-
hetsakt, denna lag och föreskrifter som har meddelats i anslutning till lagen
ska följas.
Ett beslut om föreläggande får förenas med vite.
6 § Den nationella myndigheten för cybersäkerhetscertifiering får begära
handräckning av Kronofogdemyndigheten för att få tillträde till andra
lokaler än bostäder, och där genomföra utredningar i enlighet med
artikel 58.8 d i EU:s cybersäkerhetsakt.
Vid handräckning tillämpas bestämmelserna i utsökningsbalken om
verkställighet av förpliktelser som inte avser betalningsskyldighet,
avhysning eller avlägsnande. Om den nationella myndigheten för
cybersäkerhetscertifiering begär det, ska Kronofogdemyndigheten inte i
förväg underrätta den som utredningen ska genomföras hos.
7 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta
att återkalla ett europeiskt cybersäkerhetscertifikat som har utfärdats av
myndigheten eller av ett organ för bedömning av överensstämmelse i
enlighet med artikel 56.6 i EU:s cybersäkerhetsakt, om certifikatet inte
uppfyller kraven i cybersäkerhetsakten eller en europeisk ordning för
cybersäkerhetscertifiering.
Administrativa sanktionsavgifter
8 § Den nationella myndigheten för cybersäkerhetscertifiering ska besluta
att ta ut en sanktionsavgift av den som
1. har utfärdat en EU-försäkran om överensstämmelse enligt artikel 53.2
i EU:s cybersäkerhetsakt trots att kraven enligt den europeiska ordning för
cybersäkerhetscertifiering som gäller för IKT-produkten, IKT-tjänsten eller
IKT-processen inte är uppfyllda,
2. har lämnat oriktiga eller ofullständiga uppgifter av betydelse vid
ansökan om cybersäkerhetscertifiering,
3. innehar ett europeiskt cybersäkerhetscertifikat och inte informerar, i
enlighet med artikel 56.8 i EU:s cybersäkerhetsakt, den myndighet eller det
organ som avses i artikel 56.7 om alla sårbarheter eller oriktigheter som
upptäcks och som kan påverka överensstämmelsen med de säkerhetskrav
som gäller för den certifierade IKT-produkten, IKT-tjänsten eller IKT-
processen,
4. har utfärdat en EU-försäkran om överensstämmelse eller innehar ett
cybersäkerhetscertifikat och inte lämnar kompletterande säkerhets-
information i enlighet med artikel 55 i EU:s cybersäkerhetsakt, om detta
medför en ökad risk för sårbarhet eller skada,
5. bryter mot villkor för utfärdande, bibehållande, fortsättande eller
förnyelse av europeiska cybersäkerhetscertifikat eller mot villkor för
inskränkning eller utvidgning av tillämpningsområdet för certifiering,
SFS
2021:553
3
6. överträder ett beslut om föreläggande enligt 5 § som innebär ett förbud,
eller
7. använder ett europeiskt cybersäkerhetscertifikat som har återkallats
enligt artikel 58.8 e i EU:s cybersäkerhetsakt.
9 § En sanktionsavgift ska bestämmas till lägst 10 000 kronor och högst
15 000 000 kronor.
10 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till
1. den skada eller risk för skada som har uppkommit till följd av
överträdelsen,
2. om den som har begått överträdelsen tidigare begått en överträdelse,
och
3. den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
11 § Den nationella myndigheten för cybersäkerhetscertifiering får besluta
att sätta ned eller avstå från att ta ut en sanktionsavgift om överträdelsen är
ringa, om det finns särskilda skäl eller om det annars med hänsyn till
omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett
föreläggande om vite och överträdelsen ligger till grund för en ansökan om
utdömande av vitet.
13 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut
av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde
rum.
Ett beslut om sanktionsavgift ska delges.
14 § Sanktionsavgiften tillfaller staten.
15 § En sanktionsavgift ska betalas till den nationella myndigheten för
cybersäkerhetscertifiering inom 30 dagar från det att beslutet om att ta ut
avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom föreskriven tid, ska myndigheten
lämna den obetalda avgiften för indrivning.
Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av
statliga fordringar m.m. Vid indrivning får verkställighet ske enligt
utsökningsbalken.
16 § En beslutad sanktionsavgift faller bort till den del beslutet om
avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Tystnadsplikt
17 § Den som deltar i verksamhet som utförs av ett privat organ för
bedömning av överensstämmelse i enlighet med EU:s cybersäkerhetsakt får
inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om
under det att uppgifterna utfördes.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen
(2009:400).
SFS
2021:553
4
Avgifter
18 § Den nationella myndigheten för cybersäkerhetscertifiering får ta ut
avgifter för sin verksamhet enligt EU:s cybersäkerhetsakt och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela
föreskrifter om sådana avgifter.
Ändring av beslut av privata organ för bedömning av
överensstämmelse
19 § Ett privat organ för bedömning av överensstämmelse ska ändra ett
beslut som det har meddelat, om
1. organet anser att beslutet är uppenbart felaktigt i något väsentligt
hänseende på grund av att det har tillkommit nya omständigheter eller av
någon annan anledning, och
2. beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel
för någon enskild.
Överklagande
20 § Beslut enligt EU:s cybersäkerhetsakt och enligt denna lag av den
nationella myndigheten för cybersäkerhetscertifiering eller av organ för
bedömning av överensstämmelse får överklagas till allmän
förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 28 juni 2021.
På regeringens vägnar
STEFAN LÖFVEN
PETER HULTQVIST
(Försvarsdepartementet)
