SFS 2021:553 Lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt

SFS2021-553.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css"> <!-- p {margin: 0; padding: 0;} .ft10{font-size:17px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft11{font-size:28px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft12{font-size:21px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft13{font-size:11px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft14{font-size:17px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft15{font-size:9px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft16{font-size:13px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft17{font-size:19px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft18{font-size:19px;font-family:YWJTVX+TimesNewRomanPS;color:#000000;} .ft19{font-size:14px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft110{font-size:14px;font-family:YWJTVX+TimesNewRomanPSMT;color:#000000;} .ft111{font-size:17px;line-height:28px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft112{font-size:17px;line-height:20px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft113{font-size:14px;line-height:17px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} --> <!-- p {margin: 0; padding: 0;} .ft20{font-size:16px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft21{font-size:16px;font-family:RWULHL+TimesNewRomanPS;color:#000000;} .ft22{font-size:17px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft23{font-size:17px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft24{font-size:17px;line-height:28px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft25{font-size:17px;line-height:20px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} --> <!-- p {margin: 0; padding: 0;} .ft30{font-size:16px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft31{font-size:16px;font-family:LNJRCX+TimesNewRomanPS;color:#000000;} .ft32{font-size:17px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft33{font-size:17px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft34{font-size:17px;line-height:20px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft35{font-size:17px;line-height:28px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} --> <!-- p {margin: 0; padding: 0;} .ft40{font-size:16px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft41{font-size:16px;font-family:ZYZHWV+TimesNewRomanPS;color:#000000;} .ft42{font-size:17px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} .ft43{font-size:17px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft44{font-size:17px;line-height:28px;font-family:BCDFEE+TimesNewRomanPS;color:#000000;} .ft45{font-size:17px;line-height:20px;font-family:BCDEEE+TimesNewRomanPSMT;color:#000000;} --> </style> <div id="page1-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> <p style="position:absolute;top:1128px;left:794px;white-space:nowrap" class="ft10">1 </p> <p style="position:absolute;top:155px;left:98px;white-space:nowrap" class="ft11"><b>Svensk f�rfattningssamling </b></p> <p style="position:absolute;top:223px;left:98px;white-space:nowrap" class="ft12"><b>Lag </b></p> <p style="position:absolute;top:246px;left:98px;white-space:nowrap" class="ft12"><b>med kompletterande best�mmelser till EU:s </b></p> <p style="position:absolute;top:269px;left:98px;white-space:nowrap" class="ft12"><b>cybers�kerhetsakt </b></p> <p style="position:absolute;top:307px;left:98px;white-space:nowrap" class="ft10">Utf�rdad den 10 juni 2021 </p> <p style="position:absolute;top:348px;left:98px;white-space:nowrap" class="ft10">Enligt riksdagens beslut1 f�reskrivs f�ljande. </p> <p style="position:absolute;top:408px;left:98px;white-space:nowrap" class="ft112"><b>Inledande best�mmelse <br/>1 �</b> Denna lag kompletterar Europaparlamentets och r�dets f�rordning <br/>(EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens <br/>cybers�kerhetsbyr�) och om cybers�kerhetscertifiering av informations- och <br/>kommunikationsteknik och om upph�vande av f�rordning (EU) nr 526/2013 <br/>(cybers�kerhetsakten). </p> <p style="position:absolute;top:538px;left:115px;white-space:nowrap" class="ft10">F�rordningen (EU) 2019/881 ben�mns i denna lag EU:s cybers�ker-</p> <p style="position:absolute;top:559px;left:98px;white-space:nowrap" class="ft10">hetsakt. </p> <p style="position:absolute;top:579px;left:115px;white-space:nowrap" class="ft10">Ord och uttryck i denna lag har samma betydelse som i EU:s cybers�ker-</p> <p style="position:absolute;top:600px;left:98px;white-space:nowrap" class="ft10">hetsakt. </p> <p style="position:absolute;top:639px;left:98px;white-space:nowrap" class="ft111"><b>Nationell myndighet f�r cybers�kerhetscertifiering <br/>2 �</b> Den myndighet som regeringen best�mmer </p> <p style="position:absolute;top:688px;left:115px;white-space:nowrap" class="ft10">1. �r nationell myndighet f�r cybers�kerhetscertifiering enligt EU:s</p> <p style="position:absolute;top:708px;left:98px;white-space:nowrap" class="ft10">cybers�kerhetsakt, och </p> <p style="position:absolute;top:729px;left:115px;white-space:nowrap" class="ft10">2. ut�var tillsyn �ver att denna lag och f�reskrifter som har meddelats i</p> <p style="position:absolute;top:749px;left:98px;white-space:nowrap" class="ft10">anslutning till lagen f�ljs. </p> <p style="position:absolute;top:788px;left:98px;white-space:nowrap" class="ft112"><b>Ackreditering av organ f�r bed�mning av �verensst�mmelse <br/>3 �</b> I artikel 60.1 i EU:s cybers�kerhetsakt och i bilagan till EU:s cyber-<br/>s�kerhetsakt finns best�mmelser om ackreditering av organ f�r bed�mning <br/>av �verensst�mmelse i fr�ga om cybers�kerhetscertifiering. </p> <p style="position:absolute;top:878px;left:115px;white-space:nowrap" class="ft10">I Europaparlamentets och r�dets f�rordning (EG) nr 765/2008 av den </p> <p style="position:absolute;top:898px;left:98px;white-space:nowrap" class="ft112">9 juli 2008 om krav f�r ackreditering och marknadskontroll i samband med <br/>saluf�ring av produkter och upph�vande av f�rordning (EEG) nr 339/93 och <br/>i lagen (2011:791) om ackreditering och teknisk kontroll finns allm�nna <br/>best�mmelser om ackreditering av organ f�r bed�mning av <br/>�verensst�mmelse. </p> <p style="position:absolute;top:1000px;left:115px;white-space:nowrap" class="ft10">Regeringen eller den myndighet som regeringen best�mmer f�r meddela </p> <p style="position:absolute;top:1021px;left:98px;white-space:nowrap" class="ft112">f�reskrifter om krav f�r ackreditering av organ f�r bed�mning av <br/>�verensst�mmelse enligt artikel 60 i EU:s cybers�kerhetsakt. </p> <p style="position:absolute;top:1141px;left:98px;white-space:nowrap" class="ft15">1 Prop. 2020/21:186, bet. 2020/21:F�U6, rskr. 2020/21:351. </p> <p style="position:absolute;top:224px;left:649px;white-space:nowrap" class="ft17"><b>SFS </b></p> <p style="position:absolute;top:221px;left:688px;white-space:nowrap" class="ft18"><b>2021:553</b></p> <p style="position:absolute;top:247px;left:649px;white-space:nowrap" class="ft113">Publicerad <br/>den </p> <p style="position:absolute;top:263px;left:674px;white-space:nowrap" class="ft110">11 juni 2021</p> </div> <div id="page2-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> <p style="position:absolute;top:51px;left:676px;white-space:nowrap" class="ft20"><b>SFS </b></p> <p style="position:absolute;top:49px;left:709px;white-space:nowrap" class="ft21"><b>2021:553</b></p> <p style="position:absolute;top:1128px;left:794px;white-space:nowrap" class="ft22">2 </p> <p style="position:absolute;top:51px;left:98px;white-space:nowrap" class="ft25"><b>Tillsynsbefogenheter <br/>4 �</b> Vid tillsyn �ver att denna lag och f�reskrifter som har meddelats i <br/>anslutning till lagen f�ljs har den nationella myndigheten f�r cybers�ker-<br/>hetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cyber-<br/>s�kerhetsakt. </p> <p style="position:absolute;top:182px;left:98px;white-space:nowrap" class="ft25"><b>5 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta <br/>de f�rel�gganden som beh�vs f�r tillsynen och f�r att EU:s cybers�kerhets-<br/>akt, genomf�randeakter som har meddelats med st�d av EU:s cybers�ker-<br/>hetsakt, denna lag och f�reskrifter som har meddelats i anslutning till lagen <br/>ska f�ljas. </p> <p style="position:absolute;top:284px;left:115px;white-space:nowrap" class="ft22">Ett beslut om f�rel�ggande f�r f�renas med vite. </p> <p style="position:absolute;top:324px;left:98px;white-space:nowrap" class="ft25"><b>6 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering f�r beg�ra <br/>handr�ckning av Kronofogdemyndigheten f�r att f� tilltr�de till andra <br/>lokaler �n bost�der, och d�r genomf�ra utredningar i enlighet med <br/>artikel 58.8 d i EU:s cybers�kerhetsakt. </p> <p style="position:absolute;top:406px;left:115px;white-space:nowrap" class="ft22">Vid handr�ckning till�mpas best�mmelserna i uts�kningsbalken om </p> <p style="position:absolute;top:427px;left:98px;white-space:nowrap" class="ft25">verkst�llighet av f�rpliktelser som inte avser betalningsskyldighet, <br/>avhysning eller avl�gsnande. Om den nationella myndigheten f�r <br/>cybers�kerhetscertifiering beg�r det, ska Kronofogdemyndigheten inte i <br/>f�rv�g underr�tta den som utredningen ska genomf�ras hos. </p> <p style="position:absolute;top:529px;left:98px;white-space:nowrap" class="ft25"><b>7 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta <br/>att �terkalla ett europeiskt cybers�kerhetscertifikat som har utf�rdats av <br/>myndigheten eller av ett organ f�r bed�mning av �verensst�mmelse i <br/>enlighet med artikel 56.6 i EU:s cybers�kerhetsakt, om certifikatet inte <br/>uppfyller kraven i cybers�kerhetsakten eller en europeisk ordning f�r <br/>cybers�kerhetscertifiering. </p> <p style="position:absolute;top:670px;left:98px;white-space:nowrap" class="ft25"><b>Administrativa sanktionsavgifter <br/>8 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering ska besluta <br/>att ta ut en sanktionsavgift av den som </p> <p style="position:absolute;top:739px;left:115px;white-space:nowrap" class="ft22">1. har utf�rdat en EU-f�rs�kran om �verensst�mmelse enligt artikel 53.2</p> <p style="position:absolute;top:760px;left:98px;white-space:nowrap" class="ft25">i EU:s cybers�kerhetsakt trots att kraven enligt den europeiska ordning f�r <br/>cybers�kerhetscertifiering som g�ller f�r IKT-produkten, IKT-tj�nsten eller <br/>IKT-processen inte �r uppfyllda, </p> <p style="position:absolute;top:821px;left:115px;white-space:nowrap" class="ft22">2. har l�mnat oriktiga eller ofullst�ndiga uppgifter av betydelse vid</p> <p style="position:absolute;top:842px;left:98px;white-space:nowrap" class="ft22">ans�kan om cybers�kerhetscertifiering, </p> <p style="position:absolute;top:862px;left:115px;white-space:nowrap" class="ft22">3. innehar ett europeiskt cybers�kerhetscertifikat och inte informerar, i</p> <p style="position:absolute;top:882px;left:98px;white-space:nowrap" class="ft25">enlighet med artikel 56.8 i EU:s cybers�kerhetsakt, den myndighet eller det <br/>organ som avses i artikel 56.7 om alla s�rbarheter eller oriktigheter som <br/>uppt�cks och som kan p�verka �verensst�mmelsen med de s�kerhetskrav <br/>som g�ller f�r den certifierade IKT-produkten, IKT-tj�nsten eller IKT-<br/>processen, </p> <p style="position:absolute;top:984px;left:115px;white-space:nowrap" class="ft22">4. har utf�rdat en EU-f�rs�kran om �verensst�mmelse eller innehar ett</p> <p style="position:absolute;top:1005px;left:98px;white-space:nowrap" class="ft25">cybers�kerhetscertifikat och inte l�mnar kompletterande s�kerhets-<br/>information i enlighet med artikel 55 i EU:s cybers�kerhetsakt, om detta <br/>medf�r en �kad risk f�r s�rbarhet eller skada, </p> <p style="position:absolute;top:1066px;left:115px;white-space:nowrap" class="ft22">5. bryter mot villkor f�r utf�rdande, bibeh�llande, forts�ttande eller</p> <p style="position:absolute;top:1086px;left:98px;white-space:nowrap" class="ft25">f�rnyelse av europeiska cybers�kerhetscertifikat eller mot villkor f�r <br/>inskr�nkning eller utvidgning av till�mpningsomr�det f�r certifiering, </p> </div> <div id="page3-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> <p style="position:absolute;top:51px;left:676px;white-space:nowrap" class="ft30"><b>SFS </b></p> <p style="position:absolute;top:49px;left:709px;white-space:nowrap" class="ft31"><b>2021:553</b></p> <p style="position:absolute;top:1128px;left:794px;white-space:nowrap" class="ft32">3 </p> <p style="position:absolute;top:52px;left:115px;white-space:nowrap" class="ft32">6. �vertr�der ett beslut om f�rel�ggande enligt 5 � som inneb�r ett f�rbud,</p> <p style="position:absolute;top:72px;left:98px;white-space:nowrap" class="ft32">eller </p> <p style="position:absolute;top:92px;left:115px;white-space:nowrap" class="ft32">7. anv�nder ett europeiskt cybers�kerhetscertifikat som har �terkallats</p> <p style="position:absolute;top:113px;left:98px;white-space:nowrap" class="ft32">enligt artikel 58.8 e i EU:s cybers�kerhetsakt. </p> <p style="position:absolute;top:154px;left:98px;white-space:nowrap" class="ft34"><b>9 �</b> En sanktionsavgift ska best�mmas till l�gst 10 000 kronor och h�gst <br/>15 000 000 kronor. </p> <p style="position:absolute;top:215px;left:98px;white-space:nowrap" class="ft33"><b>10 �</b> N�r sanktionsavgiftens storlek best�ms ska s�rskild h�nsyn tas till </p> <p style="position:absolute;top:235px;left:115px;white-space:nowrap" class="ft32">1. den skada eller risk f�r skada som har uppkommit till f�ljd av</p> <p style="position:absolute;top:256px;left:98px;white-space:nowrap" class="ft32">�vertr�delsen, </p> <p style="position:absolute;top:276px;left:115px;white-space:nowrap" class="ft32">2. om den som har beg�tt �vertr�delsen tidigare beg�tt en �vertr�delse,</p> <p style="position:absolute;top:297px;left:98px;white-space:nowrap" class="ft32">och </p> <p style="position:absolute;top:317px;left:115px;white-space:nowrap" class="ft32">3. den vinst som den avgiftsskyldige har gjort till f�ljd av �vertr�delsen.</p> <p style="position:absolute;top:358px;left:98px;white-space:nowrap" class="ft34"><b>11 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta <br/>att s�tta ned eller avst� fr�n att ta ut en sanktionsavgift om �vertr�delsen �r <br/>ringa, om det finns s�rskilda sk�l eller om det annars med h�nsyn till <br/>omst�ndigheterna skulle vara osk�ligt att ta ut avgiften. </p> <p style="position:absolute;top:460px;left:98px;white-space:nowrap" class="ft34"><b>12 �</b> En sanktionsavgift f�r inte beslutas om �vertr�delsen omfattas av ett <br/>f�rel�ggande om vite och �vertr�delsen ligger till grund f�r en ans�kan om <br/>utd�mande av vitet. </p> <p style="position:absolute;top:542px;left:98px;white-space:nowrap" class="ft34"><b>13 �</b> En sanktionsavgift f�r endast beslutas om den som avgiften ska tas ut <br/>av har f�tt tillf�lle att yttra sig inom tv� �r fr�n det att �vertr�delsen �gde <br/>rum. </p> <p style="position:absolute;top:603px;left:115px;white-space:nowrap" class="ft32">Ett beslut om sanktionsavgift ska delges. </p> <p style="position:absolute;top:644px;left:98px;white-space:nowrap" class="ft33"><b>14 �</b> Sanktionsavgiften tillfaller staten. </p> <p style="position:absolute;top:685px;left:98px;white-space:nowrap" class="ft34"><b>15 �</b> En sanktionsavgift ska betalas till den nationella myndigheten f�r <br/>cybers�kerhetscertifiering inom 30 dagar fr�n det att beslutet om att ta ut <br/>avgiften har f�tt laga kraft eller inom den l�ngre tid som anges i beslutet. </p> <p style="position:absolute;top:746px;left:115px;white-space:nowrap" class="ft32">Om sanktionsavgiften inte betalas inom f�reskriven tid, ska myndigheten </p> <p style="position:absolute;top:766px;left:98px;white-space:nowrap" class="ft32">l�mna den obetalda avgiften f�r indrivning. </p> <p style="position:absolute;top:787px;left:115px;white-space:nowrap" class="ft32">Best�mmelser om indrivning finns i lagen (1993:891) om indrivning av </p> <p style="position:absolute;top:807px;left:98px;white-space:nowrap" class="ft34">statliga fordringar m.m. Vid indrivning f�r verkst�llighet ske enligt <br/>uts�kningsbalken. </p> <p style="position:absolute;top:868px;left:98px;white-space:nowrap" class="ft34"><b>16 �</b> En beslutad sanktionsavgift faller bort till den del beslutet om <br/>avgiften inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft. </p> <p style="position:absolute;top:928px;left:98px;white-space:nowrap" class="ft34"><b>Tystnadsplikt <br/>17 �</b> Den som deltar i verksamhet som utf�rs av ett privat organ f�r <br/>bed�mning av �verensst�mmelse i enlighet med EU:s cybers�kerhetsakt f�r <br/>inte obeh�rigen r�ja eller utnyttja det som han eller hon f�tt k�nnedom om <br/>under det att uppgifterna utf�rdes. </p> <p style="position:absolute;top:1038px;left:115px;white-space:nowrap" class="ft32">I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen </p> <p style="position:absolute;top:1059px;left:98px;white-space:nowrap" class="ft32">(2009:400). </p> </div> <div id="page4-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> <p style="position:absolute;top:51px;left:676px;white-space:nowrap" class="ft40"><b>SFS </b></p> <p style="position:absolute;top:49px;left:709px;white-space:nowrap" class="ft41"><b>2021:553</b></p> <p style="position:absolute;top:1128px;left:794px;white-space:nowrap" class="ft42">4 </p> <p style="position:absolute;top:51px;left:98px;white-space:nowrap" class="ft45"><b>Avgifter <br/>18 �</b> Den nationella myndigheten f�r cybers�kerhetscertifiering f�r ta ut <br/>avgifter f�r sin verksamhet enligt EU:s cybers�kerhetsakt och denna lag. </p> <p style="position:absolute;top:120px;left:115px;white-space:nowrap" class="ft42">Regeringen eller den myndighet som regeringen best�mmer f�r meddela </p> <p style="position:absolute;top:141px;left:98px;white-space:nowrap" class="ft42">f�reskrifter om s�dana avgifter. </p> <p style="position:absolute;top:180px;left:98px;white-space:nowrap" class="ft43"><b>�ndring av beslut av privata organ f�r bed�mning av </b></p> <p style="position:absolute;top:199px;left:98px;white-space:nowrap" class="ft45"><b>�verensst�mmelse <br/>19 �</b> Ett privat organ f�r bed�mning av �verensst�mmelse ska �ndra ett <br/>beslut som det har meddelat, om </p> <p style="position:absolute;top:268px;left:115px;white-space:nowrap" class="ft42">1. organet anser att beslutet �r uppenbart felaktigt i n�got v�sentligt</p> <p style="position:absolute;top:289px;left:98px;white-space:nowrap" class="ft45">h�nseende p� grund av att det har tillkommit nya omst�ndigheter eller av <br/>n�gon annan anledning, och </p> <p style="position:absolute;top:329px;left:115px;white-space:nowrap" class="ft42">2. beslutet kan �ndras snabbt och enkelt och utan att det blir till nackdel</p> <p style="position:absolute;top:350px;left:98px;white-space:nowrap" class="ft42">f�r n�gon enskild. </p> <p style="position:absolute;top:389px;left:98px;white-space:nowrap" class="ft45"><b>�verklagande <br/>20 �</b> Beslut enligt EU:s cybers�kerhetsakt och enligt denna lag av den <br/>nationella myndigheten f�r cybers�kerhetscertifiering eller av organ f�r <br/>bed�mning av �verensst�mmelse f�r �verklagas till allm�n <br/>f�rvaltningsdomstol. </p> <p style="position:absolute;top:499px;left:115px;white-space:nowrap" class="ft42">Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten. </p> <p style="position:absolute;top:542px;left:115px;white-space:nowrap" class="ft42">Denna lag tr�der i kraft den 28 juni 2021. </p> <p style="position:absolute;top:582px;left:98px;white-space:nowrap" class="ft42">P� regeringens v�gnar </p> <p style="position:absolute;top:623px;left:98px;white-space:nowrap" class="ft42">STEFAN L�FVEN </p> <p style="position:absolute;top:644px;left:385px;white-space:nowrap" class="ft45">PETER HULTQVIST <br/>(F�rsvarsdepartementet) </p> </div> </div>
background image

1

Svensk f�rfattningssamling

Lag

med kompletterande best�mmelser till EU:s

cybers�kerhetsakt

Utf�rdad den 10 juni 2021

Enligt riksdagens beslut1 f�reskrivs f�ljande.

Inledande best�mmelse
1 �
Denna lag kompletterar Europaparlamentets och r�dets f�rordning
(EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens
cybers�kerhetsbyr�) och om cybers�kerhetscertifiering av informations- och
kommunikationsteknik och om upph�vande av f�rordning (EU) nr 526/2013
(cybers�kerhetsakten).

F�rordningen (EU) 2019/881 ben�mns i denna lag EU:s cybers�ker-

hetsakt.

Ord och uttryck i denna lag har samma betydelse som i EU:s cybers�ker-

hetsakt.

Nationell myndighet f�r cybers�kerhetscertifiering
2 �
Den myndighet som regeringen best�mmer

1. �r nationell myndighet f�r cybers�kerhetscertifiering enligt EU:s

cybers�kerhetsakt, och

2. ut�var tillsyn �ver att denna lag och f�reskrifter som har meddelats i

anslutning till lagen f�ljs.

Ackreditering av organ f�r bed�mning av �verensst�mmelse
3 �
I artikel 60.1 i EU:s cybers�kerhetsakt och i bilagan till EU:s cyber-
s�kerhetsakt finns best�mmelser om ackreditering av organ f�r bed�mning
av �verensst�mmelse i fr�ga om cybers�kerhetscertifiering.

I Europaparlamentets och r�dets f�rordning (EG) nr 765/2008 av den

9 juli 2008 om krav f�r ackreditering och marknadskontroll i samband med
saluf�ring av produkter och upph�vande av f�rordning (EEG) nr 339/93 och
i lagen (2011:791) om ackreditering och teknisk kontroll finns allm�nna
best�mmelser om ackreditering av organ f�r bed�mning av
�verensst�mmelse.

Regeringen eller den myndighet som regeringen best�mmer f�r meddela

f�reskrifter om krav f�r ackreditering av organ f�r bed�mning av
�verensst�mmelse enligt artikel 60 i EU:s cybers�kerhetsakt.

1 Prop. 2020/21:186, bet. 2020/21:F�U6, rskr. 2020/21:351.

SFS

2021:553

Publicerad
den

11 juni 2021

background image

SFS

2021:553

2

Tillsynsbefogenheter
4 �
Vid tillsyn �ver att denna lag och f�reskrifter som har meddelats i
anslutning till lagen f�ljs har den nationella myndigheten f�r cybers�ker-
hetscertifiering de befogenheter som anges i artikel 58.8 i EU:s cyber-
s�kerhetsakt.

5 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
de f�rel�gganden som beh�vs f�r tillsynen och f�r att EU:s cybers�kerhets-
akt, genomf�randeakter som har meddelats med st�d av EU:s cybers�ker-
hetsakt, denna lag och f�reskrifter som har meddelats i anslutning till lagen
ska f�ljas.

Ett beslut om f�rel�ggande f�r f�renas med vite.

6 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r beg�ra
handr�ckning av Kronofogdemyndigheten f�r att f� tilltr�de till andra
lokaler �n bost�der, och d�r genomf�ra utredningar i enlighet med
artikel 58.8 d i EU:s cybers�kerhetsakt.

Vid handr�ckning till�mpas best�mmelserna i uts�kningsbalken om

verkst�llighet av f�rpliktelser som inte avser betalningsskyldighet,
avhysning eller avl�gsnande. Om den nationella myndigheten f�r
cybers�kerhetscertifiering beg�r det, ska Kronofogdemyndigheten inte i
f�rv�g underr�tta den som utredningen ska genomf�ras hos.

7 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
att �terkalla ett europeiskt cybers�kerhetscertifikat som har utf�rdats av
myndigheten eller av ett organ f�r bed�mning av �verensst�mmelse i
enlighet med artikel 56.6 i EU:s cybers�kerhetsakt, om certifikatet inte
uppfyller kraven i cybers�kerhetsakten eller en europeisk ordning f�r
cybers�kerhetscertifiering.

Administrativa sanktionsavgifter
8 �
Den nationella myndigheten f�r cybers�kerhetscertifiering ska besluta
att ta ut en sanktionsavgift av den som

1. har utf�rdat en EU-f�rs�kran om �verensst�mmelse enligt artikel 53.2

i EU:s cybers�kerhetsakt trots att kraven enligt den europeiska ordning f�r
cybers�kerhetscertifiering som g�ller f�r IKT-produkten, IKT-tj�nsten eller
IKT-processen inte �r uppfyllda,

2. har l�mnat oriktiga eller ofullst�ndiga uppgifter av betydelse vid

ans�kan om cybers�kerhetscertifiering,

3. innehar ett europeiskt cybers�kerhetscertifikat och inte informerar, i

enlighet med artikel 56.8 i EU:s cybers�kerhetsakt, den myndighet eller det
organ som avses i artikel 56.7 om alla s�rbarheter eller oriktigheter som
uppt�cks och som kan p�verka �verensst�mmelsen med de s�kerhetskrav
som g�ller f�r den certifierade IKT-produkten, IKT-tj�nsten eller IKT-
processen,

4. har utf�rdat en EU-f�rs�kran om �verensst�mmelse eller innehar ett

cybers�kerhetscertifikat och inte l�mnar kompletterande s�kerhets-
information i enlighet med artikel 55 i EU:s cybers�kerhetsakt, om detta
medf�r en �kad risk f�r s�rbarhet eller skada,

5. bryter mot villkor f�r utf�rdande, bibeh�llande, forts�ttande eller

f�rnyelse av europeiska cybers�kerhetscertifikat eller mot villkor f�r
inskr�nkning eller utvidgning av till�mpningsomr�det f�r certifiering,

background image

SFS

2021:553

3

6. �vertr�der ett beslut om f�rel�ggande enligt 5 � som inneb�r ett f�rbud,

eller

7. anv�nder ett europeiskt cybers�kerhetscertifikat som har �terkallats

enligt artikel 58.8 e i EU:s cybers�kerhetsakt.

9 � En sanktionsavgift ska best�mmas till l�gst 10 000 kronor och h�gst
15 000 000 kronor.

10 � N�r sanktionsavgiftens storlek best�ms ska s�rskild h�nsyn tas till

1. den skada eller risk f�r skada som har uppkommit till f�ljd av

�vertr�delsen,

2. om den som har beg�tt �vertr�delsen tidigare beg�tt en �vertr�delse,

och

3. den vinst som den avgiftsskyldige har gjort till f�ljd av �vertr�delsen.

11 � Den nationella myndigheten f�r cybers�kerhetscertifiering f�r besluta
att s�tta ned eller avst� fr�n att ta ut en sanktionsavgift om �vertr�delsen �r
ringa, om det finns s�rskilda sk�l eller om det annars med h�nsyn till
omst�ndigheterna skulle vara osk�ligt att ta ut avgiften.

12 � En sanktionsavgift f�r inte beslutas om �vertr�delsen omfattas av ett
f�rel�ggande om vite och �vertr�delsen ligger till grund f�r en ans�kan om
utd�mande av vitet.

13 � En sanktionsavgift f�r endast beslutas om den som avgiften ska tas ut
av har f�tt tillf�lle att yttra sig inom tv� �r fr�n det att �vertr�delsen �gde
rum.

Ett beslut om sanktionsavgift ska delges.

14 � Sanktionsavgiften tillfaller staten.

15 � En sanktionsavgift ska betalas till den nationella myndigheten f�r
cybers�kerhetscertifiering inom 30 dagar fr�n det att beslutet om att ta ut
avgiften har f�tt laga kraft eller inom den l�ngre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom f�reskriven tid, ska myndigheten

l�mna den obetalda avgiften f�r indrivning.

Best�mmelser om indrivning finns i lagen (1993:891) om indrivning av

statliga fordringar m.m. Vid indrivning f�r verkst�llighet ske enligt
uts�kningsbalken.

16 � En beslutad sanktionsavgift faller bort till den del beslutet om
avgiften inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft.

Tystnadsplikt
17 �
Den som deltar i verksamhet som utf�rs av ett privat organ f�r
bed�mning av �verensst�mmelse i enlighet med EU:s cybers�kerhetsakt f�r
inte obeh�rigen r�ja eller utnyttja det som han eller hon f�tt k�nnedom om
under det att uppgifterna utf�rdes.

I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen

(2009:400).

background image

SFS

2021:553

4

Avgifter
18 �
Den nationella myndigheten f�r cybers�kerhetscertifiering f�r ta ut
avgifter f�r sin verksamhet enligt EU:s cybers�kerhetsakt och denna lag.

Regeringen eller den myndighet som regeringen best�mmer f�r meddela

f�reskrifter om s�dana avgifter.

�ndring av beslut av privata organ f�r bed�mning av

�verensst�mmelse
19 �
Ett privat organ f�r bed�mning av �verensst�mmelse ska �ndra ett
beslut som det har meddelat, om

1. organet anser att beslutet �r uppenbart felaktigt i n�got v�sentligt

h�nseende p� grund av att det har tillkommit nya omst�ndigheter eller av
n�gon annan anledning, och

2. beslutet kan �ndras snabbt och enkelt och utan att det blir till nackdel

f�r n�gon enskild.

�verklagande
20 �
Beslut enligt EU:s cybers�kerhetsakt och enligt denna lag av den
nationella myndigheten f�r cybers�kerhetscertifiering eller av organ f�r
bed�mning av �verensst�mmelse f�r �verklagas till allm�n
f�rvaltningsdomstol.

Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten.

Denna lag tr�der i kraft den 28 juni 2021.

P� regeringens v�gnar

STEFAN L�FVEN

PETER HULTQVIST
(F�rsvarsdepartementet)

;