Svensk Handel har getts möjlighet att yttra sig avseende Nya regler för cybersäkerhet: SOU: 2024:18
Svensk Handel, som är handelsföretagens intresseorganisation och företräder 9000 små, medelstora och stora företag med nära 300 000 medarbetare, får med anledning av remissen anföra följande:
Allmänna synpunkter
Svensk Handel välkomnar initiativet att granska och förbättra säkerhetsskyddet inom ramen för NIS2. Att säkerställa en trygg och stabil digital infrastruktur är av yttersta vikt för näringslivets och samhällets funktion. Svensk Handel beklagar att utredningens begränsade tid har inneburit en avsaknad av näringslivet i expertgruppen, vilket kan ge ett sämre utredningsresultat med sämre konsekvenser för näringslivet.
Behovet av att stärka cybersäkerheten i Europa är akut för att förbättra företagens skydd mot kriminalitet och hackerattacker, samt upprätthålla en stark infrastruktur. Därför välkomnar Svensk Handel Europeiska Kommissionens förslag gällande cybersäkerhet och kritiska entiteters motståndskraft, och vill framföra följande:
Synpunkter på utredningens förslag
1. Konsekvensanalys:
Svensk Handel anser att konsekvensanalysen är bristfällig vad avser företagens kostnader, tidsåtgång och hur konkurrensförhållanden påverkas. Det borde ha gjorts en tydlig analys av förslagets lämplighet och proportionalitet eftersom utredningen lägger förslag som överstiger det ursprungliga direktivet. Utredningen lever inte upp till regeringens direktiv om att förslagen skulle utformas så att regelbördan och administration minimeras. Att i utredningen framhäva att konkurrensförhållandena inte kommer påverkas påvisar att man missat effekterna av vad regelbördor och dess konsekvenser kommer ha för företagen.
2. Syfte:
I förslaget till ny lag om cybersäkerhet (Kap 1 §), föreslås att lagen ska ha som mål att uppnå en hög nivå av cybersäkerhet. Vi anser att den nuvarande formuleringen av syftet inte är tillräckligt tydlig, fokuserad eller i överensstämmelse med avsikten med EU-direktivet. I den nuvarande lag (2018:1174), om informationssäkerhet för samhällsviktiga och digitala tjänster bedömer vi att syftet är mer i linje med avsikten med NIS-direktivet. Därför bör syftet i det föreslagna lagförslaget justeras för att bättre överensstämma med direktivet.
3. Skyldighet för verksamhetsutövare att rapportera betydande incidenter:
Den föreslagna tidsramen för att rapportera betydande incidenter, särskilt 24 timmar för att ge en första varning, kan anses vara opraktiskt kort för flertalet verksamheter. Det kan finnas situationer där det tar längre tid att bedöma omfattningen och allvaret av en incident. Svensk Handel föreslår att den kommande beredningen överväger att förlänga tidsramen för att ge företag tillräcklig tid att utföra en noggrann och välgrundad bedömning. På så vis möjliggörs även en mer noggrann och välgrundad bedömning på den rapporterade incidenten.
4. Använd etablerade begrepp:
För att undvika förvirring och missförstånd hos verksamhetsutövare och andra berörda parter är det centralt att lagtexten använder etablerade begrepp och ett normalt språkbruk. Vi stöder MSB:s förslag att formuleringen ”Systematiskt och riskbaserat informationssäkerhetsarbete”, bör kompletteras med ”Cybersäkerhet” för att återspegla EU:s definitioner och korrekt terminologi. Vidare förslår vi att begreppet ”Säkerhetsscanning” förtydligas och eventuellt ersätta med det mer etablerade begreppet ”Sårbarhetsscanning”
5. Harmoniserad standard för incidenter och revision:
Svensk Handel vill betona vikten av att harmonisera den svenska lagstiftningen och framtida krav med internationella standarder. Det är av stor betydelse att den svenska lagstiftningen och de kommande kraven från tillsynsmyndigheten är i linje med internationella standarder för att säkerställa en enhetlig och standardiserad hantering av cybersäkerhet.
Vidare anser Svensk Handel att incidentrapporteringen bör följa en europeisk standard, och att det bör vara möjligt att rapportera globala incidenter som drabbar flera länder på ett enhetligt sätt. Genom att standardisera rapporteringsprocessen kan transparensen öka inom EU och minska den administrativa bördan för företagen.
På samma sätt bör kraven om framtida revisioner följa en europeisk standard. Genom att ha väldefinierade och standardiserade revisionsprocesser kan företag som är verksamma i flera länder i vart fall undvika en ökad administrativ börda. Det möjliggör även användningen av samma IT-säkerhetsramverk i alla länder där företagen är aktiva, vilket bidrar till en höjd kvalitet och en minskad kostnad för företagen.
Ovan punkter presenteras mer utförligt i Svensk Dagligvaruhandels remissvar, vilket Svensk Handel ansluter sig till i alla delar.
SVENSK HANDEL
Nina Jelver, Säkerhetschef
Johan Hetting, Näringspolitisk expert