SFS 2021:553 Lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

EU-rätt och internationell rätt Ordning och säkerhet

Start / EU-rätt och internationell rätt / Lag (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt / SFS 2021:553 Lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

SFS2021-553.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css">     </style> <div id="page1-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 1 Svensk f�rfattningssamling Lag med kompletterande best�mmelser till EU:s cybers�kerhetsakt Utf�rdad den 10 juni 2021 Enligt riksdagens beslut1 f�reskrivs f�ljande. Inledande best�mmelse 1 � Denna lag kompletterar Europaparlamentets och r�dets f�rordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybers�kerhetsbyr�) och om cybers�kerhetscertifiering av informations- och kommunikationsteknik och om upph�vande av f�rordning (EU) nr 526/2013 (cybers�kerhetsakten). F�rordningen (EU) 2019/881 ben�mns i denna lag EU:s cybers�ker- hetsakt. Ord och uttryck i denna lag har samma betydelse som i EU:s cybers�ker- hetsakt. Nationell myndighet f�r cybers�kerhetscertifiering 2 � Den myndighet som regeringen best�mmer 1. �r nationell myndighet f�r cybers�kerhetscertifiering enligt EU:s cybers�kerhetsakt, och 2. ut�var tillsyn �ver att denna lag och f�reskrifter som har meddelats i anslutning till lagen f�ljs. Ackreditering av organ f�r bed�mning av �verensst�mmelse 3 � I artikel 60.1 i EU:s cybers�kerhetsakt och i bilagan till EU:s cyber- s�kerhetsakt finns best�mmelser om ackreditering av organ f�r bed�mning av �verensst�mmelse i fr�ga om cybers�kerhetscertifiering. I Europaparlamentets och r�dets f�rordning (EG) nr 765/2008 av den 9 juli 2008 om krav f�r ackreditering och marknadskontroll i samband med saluf�ring av produkter och upph�vande av f�rordning (EEG) nr 339/93 och i lagen (2011:791) om ackreditering och teknisk kontroll finns allm�nna best�mmelser om ackreditering av organ f�r bed�mning av �verensst�mmelse. Regeringen eller den myndighet som regeringen best�mmer f�r meddela f�reskrifter om krav f�r ackreditering av organ f�r bed�mning av �verensst�mmelse enligt artikel 60 i EU:s cybers�kerhetsakt. 1 Prop. 2020/21:186, bet. 2020/21:F�U6, rskr. 2020/21:351. SFS 2021:553 Publicerad den 11 juni 2021 </div> <div id="page2-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 2021:553 2 Tillsynsbefogenheter 4 � Vid tillsyn �ver att denna lag och f�reskrifter som har meddelats i anslutning till lagen f�ljs har den nationella myndigheten f�r cybers�ker- hetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cyber- s�kerhetsakt. 5 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta de f�rel�gganden som beh�vs f�r tillsynen och f�r att EU:s cybers�kerhets- akt, genomf�randeakter som har meddelats med st�d av EU:s cybers�ker- hetsakt, denna lag och f�reskrifter som har meddelats i anslutning till lagen ska f�ljas. Ett beslut om f�rel�ggande f�r f�renas med vite. 6 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r beg�ra handr�ckning av Kronofogdemyndigheten f�r att f� tilltr�de till andra lokaler �n bost�der, och d�r genomf�ra utredningar i enlighet med artikel 58.8 d i EU:s cybers�kerhetsakt. Vid handr�ckning till�mpas best�mmelserna i uts�kningsbalken om verkst�llighet av f�rpliktelser som inte avser betalningsskyldighet, avhysning eller avl�gsnande. Om den nationella myndigheten f�r cybers�kerhetscertifiering beg�r det, ska Kronofogdemyndigheten inte i f�rv�g underr�tta den som utredningen ska genomf�ras hos. 7 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta att �terkalla ett europeiskt cybers�kerhetscertifikat som har utf�rdats av myndigheten eller av ett organ f�r bed�mning av �verensst�mmelse i enlighet med artikel 56.6 i EU:s cybers�kerhetsakt, om certifikatet inte uppfyller kraven i cybers�kerhetsakten eller en europeisk ordning f�r cybers�kerhetscertifiering. Administrativa sanktionsavgifter 8 � Den nationella myndigheten f�r cybers�kerhetscertifiering ska besluta att ta ut en sanktionsavgift av den som 1. har utf�rdat en EU-f�rs�kran om �verensst�mmelse enligt artikel 53.2 i EU:s cybers�kerhetsakt trots att kraven enligt den europeiska ordning f�r cybers�kerhetscertifiering som g�ller f�r IKT-produkten, IKT-tj�nsten eller IKT-processen inte �r uppfyllda, 2. har l�mnat oriktiga eller ofullst�ndiga uppgifter av betydelse vid ans�kan om cybers�kerhetscertifiering, 3. innehar ett europeiskt cybers�kerhetscertifikat och inte informerar, i enlighet med artikel 56.8 i EU:s cybers�kerhetsakt, den myndighet eller det organ som avses i artikel 56.7 om alla s�rbarheter eller oriktigheter som uppt�cks och som kan p�verka �verensst�mmelsen med de s�kerhetskrav som g�ller f�r den certifierade IKT-produkten, IKT-tj�nsten eller IKT- processen, 4. har utf�rdat en EU-f�rs�kran om �verensst�mmelse eller innehar ett cybers�kerhetscertifikat och inte l�mnar kompletterande s�kerhets- information i enlighet med artikel 55 i EU:s cybers�kerhetsakt, om detta medf�r en �kad risk f�r s�rbarhet eller skada, 5. bryter mot villkor f�r utf�rdande, bibeh�llande, forts�ttande eller f�rnyelse av europeiska cybers�kerhetscertifikat eller mot villkor f�r inskr�nkning eller utvidgning av till�mpningsomr�det f�r certifiering, </div> <div id="page3-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 2021:553 3 6. �vertr�der ett beslut om f�rel�ggande enligt 5 � som inneb�r ett f�rbud, eller 7. anv�nder ett europeiskt cybers�kerhetscertifikat som har �terkallats enligt artikel 58.8 e i EU:s cybers�kerhetsakt. 9 � En sanktionsavgift ska best�mmas till l�gst 10 000 kronor och h�gst 15 000 000 kronor. 10 � N�r sanktionsavgiftens storlek best�ms ska s�rskild h�nsyn tas till 1. den skada eller risk f�r skada som har uppkommit till f�ljd av �vertr�delsen, 2. om den som har beg�tt �vertr�delsen tidigare beg�tt en �vertr�delse, och 3. den vinst som den avgiftsskyldige har gjort till f�ljd av �vertr�delsen. 11 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta att s�tta ned eller avst� fr�n att ta ut en sanktionsavgift om �vertr�delsen �r ringa, om det finns s�rskilda sk�l eller om det annars med h�nsyn till omst�ndigheterna skulle vara osk�ligt att ta ut avgiften. 12 � En sanktionsavgift f�r inte beslutas om �vertr�delsen omfattas av ett f�rel�ggande om vite och �vertr�delsen ligger till grund f�r en ans�kan om utd�mande av vitet. 13 � En sanktionsavgift f�r endast beslutas om den som avgiften ska tas ut av har f�tt tillf�lle att yttra sig inom tv� �r fr�n det att �vertr�delsen �gde rum. Ett beslut om sanktionsavgift ska delges. 14 � Sanktionsavgiften tillfaller staten. 15 � En sanktionsavgift ska betalas till den nationella myndigheten f�r cybers�kerhetscertifiering inom 30 dagar fr�n det att beslutet om att ta ut avgiften har f�tt laga kraft eller inom den l�ngre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom f�reskriven tid, ska myndigheten l�mna den obetalda avgiften f�r indrivning. Best�mmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning f�r verkst�llighet ske enligt uts�kningsbalken. 16 � En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft. Tystnadsplikt 17 � Den som deltar i verksamhet som utf�rs av ett privat organ f�r bed�mning av �verensst�mmelse i enlighet med EU:s cybers�kerhetsakt f�r inte obeh�rigen r�ja eller utnyttja det som han eller hon f�tt k�nnedom om under det att uppgifterna utf�rdes. I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen (2009:400). </div> <div id="page4-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 2021:553 4 Avgifter 18 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r ta ut avgifter f�r sin verksamhet enligt EU:s cybers�kerhetsakt och denna lag. Regeringen eller den myndighet som regeringen best�mmer f�r meddela f�reskrifter om s�dana avgifter. �ndring av beslut av privata organ f�r bed�mning av �verensst�mmelse 19 � Ett privat organ f�r bed�mning av �verensst�mmelse ska �ndra ett beslut som det har meddelat, om 1. organet anser att beslutet �r uppenbart felaktigt i n�got v�sentligt h�nseende p� grund av att det har tillkommit nya omst�ndigheter eller av n�gon annan anledning, och 2. beslutet kan �ndras snabbt och enkelt och utan att det blir till nackdel f�r n�gon enskild. �verklagande 20 � Beslut enligt EU:s cybers�kerhetsakt och enligt denna lag av den nationella myndigheten f�r cybers�kerhetscertifiering eller av organ f�r bed�mning av �verensst�mmelse f�r �verklagas till allm�n f�rvaltningsdomstol. Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten. Denna lag tr�der i kraft den 28 juni 2021. P� regeringens v�gnar STEFAN L�FVEN PETER HULTQVIST (F�rsvarsdepartementet) </div> </div>

Svensk f�rfattningssamling

Lag

med kompletterande best�mmelser till EU:s

cybers�kerhetsakt

Utf�rdad den 10 juni 2021

Enligt riksdagens beslut1 f�reskrivs f�ljande.

Inledande best�mmelse
1 � Denna lag kompletterar Europaparlamentets och r�dets f�rordning
(EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens
cybers�kerhetsbyr�) och om cybers�kerhetscertifiering av informations- och
kommunikationsteknik och om upph�vande av f�rordning (EU) nr 526/2013
(cybers�kerhetsakten).

F�rordningen (EU) 2019/881 ben�mns i denna lag EU:s cybers�ker-

hetsakt.

Ord och uttryck i denna lag har samma betydelse som i EU:s cybers�ker-

hetsakt.

Nationell myndighet f�r cybers�kerhetscertifiering
2 � Den myndighet som regeringen best�mmer

1. �r nationell myndighet f�r cybers�kerhetscertifiering enligt EU:s

cybers�kerhetsakt, och

2. ut�var tillsyn �ver att denna lag och f�reskrifter som har meddelats i

anslutning till lagen f�ljs.

Ackreditering av organ f�r bed�mning av �verensst�mmelse
3 � I artikel 60.1 i EU:s cybers�kerhetsakt och i bilagan till EU:s cyber-
s�kerhetsakt finns best�mmelser om ackreditering av organ f�r bed�mning
av �verensst�mmelse i fr�ga om cybers�kerhetscertifiering.

I Europaparlamentets och r�dets f�rordning (EG) nr 765/2008 av den

9 juli 2008 om krav f�r ackreditering och marknadskontroll i samband med
saluf�ring av produkter och upph�vande av f�rordning (EEG) nr 339/93 och
i lagen (2011:791) om ackreditering och teknisk kontroll finns allm�nna
best�mmelser om ackreditering av organ f�r bed�mning av
�verensst�mmelse.

Regeringen eller den myndighet som regeringen best�mmer f�r meddela

f�reskrifter om krav f�r ackreditering av organ f�r bed�mning av
�verensst�mmelse enligt artikel 60 i EU:s cybers�kerhetsakt.

1 Prop. 2020/21:186, bet. 2020/21:F�U6, rskr. 2020/21:351.

SFS

2021:553

Publicerad
den

11 juni 2021

SFS

2021:553

Tillsynsbefogenheter
4 � Vid tillsyn �ver att denna lag och f�reskrifter som har meddelats i
anslutning till lagen f�ljs har den nationella myndigheten f�r cybers�ker-
hetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cyber-
s�kerhetsakt.

5 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
de f�rel�gganden som beh�vs f�r tillsynen och f�r att EU:s cybers�kerhets-
akt, genomf�randeakter som har meddelats med st�d av EU:s cybers�ker-
hetsakt, denna lag och f�reskrifter som har meddelats i anslutning till lagen
ska f�ljas.

Ett beslut om f�rel�ggande f�r f�renas med vite.

6 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r beg�ra
handr�ckning av Kronofogdemyndigheten f�r att f� tilltr�de till andra
lokaler �n bost�der, och d�r genomf�ra utredningar i enlighet med
artikel 58.8 d i EU:s cybers�kerhetsakt.

Vid handr�ckning till�mpas best�mmelserna i uts�kningsbalken om

verkst�llighet av f�rpliktelser som inte avser betalningsskyldighet,
avhysning eller avl�gsnande. Om den nationella myndigheten f�r
cybers�kerhetscertifiering beg�r det, ska Kronofogdemyndigheten inte i
f�rv�g underr�tta den som utredningen ska genomf�ras hos.

7 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
att �terkalla ett europeiskt cybers�kerhetscertifikat som har utf�rdats av
myndigheten eller av ett organ f�r bed�mning av �verensst�mmelse i
enlighet med artikel 56.6 i EU:s cybers�kerhetsakt, om certifikatet inte
uppfyller kraven i cybers�kerhetsakten eller en europeisk ordning f�r
cybers�kerhetscertifiering.

Administrativa sanktionsavgifter
8 � Den nationella myndigheten f�r cybers�kerhetscertifiering ska besluta
att ta ut en sanktionsavgift av den som

1. har utf�rdat en EU-f�rs�kran om �verensst�mmelse enligt artikel 53.2

i EU:s cybers�kerhetsakt trots att kraven enligt den europeiska ordning f�r
cybers�kerhetscertifiering som g�ller f�r IKT-produkten, IKT-tj�nsten eller
IKT-processen inte �r uppfyllda,

2. har l�mnat oriktiga eller ofullst�ndiga uppgifter av betydelse vid

ans�kan om cybers�kerhetscertifiering,

3. innehar ett europeiskt cybers�kerhetscertifikat och inte informerar, i

enlighet med artikel 56.8 i EU:s cybers�kerhetsakt, den myndighet eller det
organ som avses i artikel 56.7 om alla s�rbarheter eller oriktigheter som
uppt�cks och som kan p�verka �verensst�mmelsen med de s�kerhetskrav
som g�ller f�r den certifierade IKT-produkten, IKT-tj�nsten eller IKT-
processen,

4. har utf�rdat en EU-f�rs�kran om �verensst�mmelse eller innehar ett

cybers�kerhetscertifikat och inte l�mnar kompletterande s�kerhets-
information i enlighet med artikel 55 i EU:s cybers�kerhetsakt, om detta
medf�r en �kad risk f�r s�rbarhet eller skada,

5. bryter mot villkor f�r utf�rdande, bibeh�llande, forts�ttande eller

f�rnyelse av europeiska cybers�kerhetscertifikat eller mot villkor f�r
inskr�nkning eller utvidgning av till�mpningsomr�det f�r certifiering,

SFS

2021:553

6. �vertr�der ett beslut om f�rel�ggande enligt 5 � som inneb�r ett f�rbud,

eller

7. anv�nder ett europeiskt cybers�kerhetscertifikat som har �terkallats

enligt artikel 58.8 e i EU:s cybers�kerhetsakt.

9 � En sanktionsavgift ska best�mmas till l�gst 10 000 kronor och h�gst
15 000 000 kronor.

10 � N�r sanktionsavgiftens storlek best�ms ska s�rskild h�nsyn tas till

1. den skada eller risk f�r skada som har uppkommit till f�ljd av

�vertr�delsen,

2. om den som har beg�tt �vertr�delsen tidigare beg�tt en �vertr�delse,

och

3. den vinst som den avgiftsskyldige har gjort till f�ljd av �vertr�delsen.

11 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
att s�tta ned eller avst� fr�n att ta ut en sanktionsavgift om �vertr�delsen �r
ringa, om det finns s�rskilda sk�l eller om det annars med h�nsyn till
omst�ndigheterna skulle vara osk�ligt att ta ut avgiften.

12 � En sanktionsavgift f�r inte beslutas om �vertr�delsen omfattas av ett
f�rel�ggande om vite och �vertr�delsen ligger till grund f�r en ans�kan om
utd�mande av vitet.

13 � En sanktionsavgift f�r endast beslutas om den som avgiften ska tas ut
av har f�tt tillf�lle att yttra sig inom tv� �r fr�n det att �vertr�delsen �gde
rum.

Ett beslut om sanktionsavgift ska delges.

14 � Sanktionsavgiften tillfaller staten.

15 � En sanktionsavgift ska betalas till den nationella myndigheten f�r
cybers�kerhetscertifiering inom 30 dagar fr�n det att beslutet om att ta ut
avgiften har f�tt laga kraft eller inom den l�ngre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom f�reskriven tid, ska myndigheten

l�mna den obetalda avgiften f�r indrivning.

Best�mmelser om indrivning finns i lagen (1993:891) om indrivning av

statliga fordringar m.m. Vid indrivning f�r verkst�llighet ske enligt
uts�kningsbalken.

16 � En beslutad sanktionsavgift faller bort till den del beslutet om
avgiften inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft.

Tystnadsplikt
17 � Den som deltar i verksamhet som utf�rs av ett privat organ f�r
bed�mning av �verensst�mmelse i enlighet med EU:s cybers�kerhetsakt f�r
inte obeh�rigen r�ja eller utnyttja det som han eller hon f�tt k�nnedom om
under det att uppgifterna utf�rdes.

I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen

(2009:400).

SFS

2021:553

Avgifter
18 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r ta ut
avgifter f�r sin verksamhet enligt EU:s cybers�kerhetsakt och denna lag.

Regeringen eller den myndighet som regeringen best�mmer f�r meddela

f�reskrifter om s�dana avgifter.

�ndring av beslut av privata organ f�r bed�mning av

�verensst�mmelse
19 � Ett privat organ f�r bed�mning av �verensst�mmelse ska �ndra ett
beslut som det har meddelat, om

1. organet anser att beslutet �r uppenbart felaktigt i n�got v�sentligt

h�nseende p� grund av att det har tillkommit nya omst�ndigheter eller av
n�gon annan anledning, och

2. beslutet kan �ndras snabbt och enkelt och utan att det blir till nackdel

f�r n�gon enskild.

�verklagande
20 � Beslut enligt EU:s cybers�kerhetsakt och enligt denna lag av den
nationella myndigheten f�r cybers�kerhetscertifiering eller av organ f�r
bed�mning av �verensst�mmelse f�r �verklagas till allm�n
f�rvaltningsdomstol.

Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten.

Denna lag tr�der i kraft den 28 juni 2021.

P� regeringens v�gnar

STEFAN L�FVEN

PETER HULTQVIST
(F�rsvarsdepartementet)

;

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2021:553 Lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

JP Infonets EU-rättsliga tjänster

Om Lagboken.se