Bakgrund

Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor och innebär att en allt större andel av aktiviteterna i samhället är be- roende av nätverk och informationssystem som används av myndig- heter, organisationer, företag och privatpersoner. Den digitala utveck- lingen ger stora möjligheter att förbättra och effektivisera människors vardag och olika verksamheter. Digitaliseringen har skapat nya for- mer av kommunikation, datahantering och datalagring. I dag bygger många system för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi (IKT).

Med den tilltagande digitaliseringen och globaliseringen, som ökar beroenden över nations-, sektors- och ansvarsgränser, har följt en ökad betoning på cyberfrågor i samhället. Informations- och cyber- säkerhetsarbete, av såväl offentliga som privata aktörer, ses som nödvändigt vid digitaliseringsprocesser för att samhället ska kunna fungera och utvecklas i linje med de mål som finns inom olika politik- områden.

Samtidigt som allt fler länder utvecklar strategier, doktriner och förmågor inom cyberområdet ökar förekomsten av cyberattacker mot olika intressen och verksamheter. Hoten kan utgöras av poli- tiskt, ekonomiskt och brottsligt motiverade angrepp, men även oav- siktliga incidenter som påverkar cybersäkerheten ökar. Den kraftiga tillväxten av sakernas internet (IoT), molnet (cloud) och stordata (Big Data) medför större utsatthet för säkerhetsbrister.

Cyberincidenterna kan t.ex. störa tillhandahållandet av nödvändiga tjänster, exempelvis vatten, hälso- och sjukvård, elektricitet och mobila tjänster. Möjligheterna till påverkan i informationssystem i demo- kratiska valprocesser och desinformationskampanjer är också en ut- maning. Genom att samhället och människorna blir alltmer beroende

Uppdraget SOU 2020:58

av digital infrastruktur och tjänster genom anslutna enheter och ut- bredd uppkoppling till internet ökar sårbarheten mot cyberattacker till alltmer oroande nivåer. Därutöver syns en ökad hotbild avseende antagonistiska aktörer med hög förmåga till cyberattacker. Vikten av fullgod informations- och cybersäkerhet ökar i motsvarande grad.

Genom att kontrollera och certifiera produkter, tjänster och pro- cesser kan man göra dem säkrare och därigenom även öka förtro- endet för dessa. Det finns certifieringsordningar inom ett stort antal områden, bl.a. inom informationssäkerhetsområdet men även på områden som lednings-, miljö- och trafikledningssystem samt inom hälso- och sjukvård. Motsvarande gäller för provning och kontroll inom dessa områden, som utförs av olika ackrediterade organ för bedömning av överensstämmelse av fastställda krav och standarder. Bedömning av överensstämmelse är det gemensamma begreppet för certifiering, provning och kontroll som görs av tredje part för att visa att en produkt, tjänst eller process uppfyller ställda krav. Före- tag som certifierar, provar och kontrollerar granskas med hänsyn till opartiskhet och kompetens av ett ackrediteringsorgan. Certifieringar, prov och kontroller som utförs av ackrediterade organ för bedöm- ning grundas i stor utsträckning på internationella standarder.

Avtal om ömsesidigt erkännande av certifikat inom EU har in- gåtts mellan några av medlemsstaterna (se avsnitt 3.5.1). Eftersom avtalen inte omfattar alla medlemsstater begränsas dess tillämplighet och genomslag samt effektiviteten på den inre marknaden. Ett certi- fikat utfärdat av en nationell myndighet för cybersäkerhetscerti- fiering erkänns dessutom i begränsad omfattning av andra medlems- stater. Det medför att inom EU är cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer begränsad och frag- menterad. I de fall de förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Företag kan därför be- höva certifiera sina IKT-produkter, IKT-tjänster och IKT-processer i flera medlemsstater där de bedriver verksamhet.

I syfte att uppnå en hög nivå av cybersäkerhet, cyberresiliens och förtroende inom EU och sträva efter att säkerställa en väl fungerande inre marknad antogs den 17 april 2019 Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cyber- säkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). Cybersäkerhetsakten är en EU-

SOU 2020:58 Uppdraget

förordning vars bestämmelser har direkt effekt och tillämpning i med- lemsstaten samt ger utrymme för medlemsstaten att besluta om kom- pletterande nationell lagstiftning och annan författningsreglering. EU:s cybersäkerhetsakt är uppdelad i två delar, där den första delen reglerar Enisa:s mandat och uppgifter i byråns arbete med att stärka informations- och cybersäkerheten i unionen och dess medlemsstater. Genom den andra delen av akten införs ett europeiskt ramverk för cybersäkerhetscertifiering som bl.a. ålägger medlemsstaterna att utse nationella myndigheter med ansvar för certifierings- och tillsyns- verksamheten samt i de nationella rättsordningarna införa sanktions- system och effektiva rättsmedel i syfte att säkerställa en ändamålsenlig och effektiv tillämpning av cybersäkerhetsakten i medlemsstaterna. Dessa bestämmelser i akten träder i kraft den 28 juni 2021.

2.2

Uppdraget

Utredningens uppdrag i denna del av utredningsarbetet är att föreslå de anpassningar och kompletterande författningsbestämmelser som EU:s cybersäkerhetsakt ger anledning till på nationell nivå. Syftet är att säkerställa att den kompletterande nationella reglering som be- hövs finns på plats när cybersäkerhetsakten börjar tillämpas i sin hel- het den 28 juni 2021.

Utredningen ska bl.a.

– analysera om kompletterande bestämmelser behöver införas i den svenska regleringen när det gäller utfärdande av EU-försäkran om överensstämmelse respektive europeiska cybersäkerhetscertifikat, – analysera om kompletterande bestämmelser behöver införas i den svenska regleringen för organ för bedömning av överensstämmelse, – föreslå vilken befintlig nationell myndighet som ska få i uppdrag

att ansvara för certifierings- respektive tillsynsverksamhet, och – analysera och föreslå vilka övriga kompletterande nationella be-

stämmelser, bl.a. vad avser handläggning av ärenden, effektiva rätts- medel och sanktioner, som cybersäkerhetsakten kräver eller Sverige bör införa.

Uppdraget SOU 2020:58

Utredningen ska i nästa fas av utredningsarbetet överväga om det finns anledning att införa krav på certifiering och godkännande av produkter, tjänster och processer inom nätverks- och informations- system som ska användas i säkerhetskänslig verksamhet. Arbetet i den delen ska redovisas i ett slutbetänkande under 2021.

Direktiven finns i sin helhet i bilagorna 1 och 2.