Livsmedelsverket svarar på remiss om den föreslagna cybersäkerhetslagen
2024-05-22
Syftet med det så kallade NIS2-direktivet är att uppnå en gemensam nivå för cybersäkerhet i EU. Nu lämnar Livsmedelsverket sitt remissvar på utredningsförslagen om hur regelverket ska införlivas i svensk lagstiftning. Livsmedelsverket konstaterar att förslagen till stora delar är bra. Samtidigt behöver vissa områden bli tydligare, till exempel gränsdragningen mellan olika tillsynsmyndigheter och verksamhetsledningars ansvar för cybersäkerhet.
Den svenska utredningen av direktivet föreslår att Livsmedelverket fortsatt ska vara tillsynsmyndighet för dricksvattenproducenter. Livsmedelverket föreslås även få tillsynsansvar för leverantörer av avloppstjänster samt aktörer inom produktion, bearbetning och distribution av livsmedel. Livsmedelsverket välkomnar ett fortsatt och utökat uppdrag.
– Informationssäkerheten hos de leverantörer som omfattas av dagens NIS-lag bedömer vi har förbättrats sedan vi inledde vårt tillsynsarbete 2018 och vi ser fram emot att fortsätta arbetet tillsammans med fler aktörer, säger Katarina Sunnegårdh, informationssäkerhetsspecialist på Livsmedelsverket.
Verksamhetsutövare som omfattas av den nya cybersäkerhetslagen kommer att behöva anmäla sig oavsett om de omfattats av nuvarande NIS-lag eller inte. Enligt förslaget ska den ske till respektive tillsynsmyndighet men Livsmedelsverket kommer att meddela hur anmälan ska gå till baserat på den färdiga lagen när den beslutas.
Viktigt att klargöra cybersäkerhetslagens syfte och omfattning
Utredningen föreslår en ganska långtgående utvidgning för cybersäkerhetslagen. Bland annat ska nästan alla statliga myndigheter, samtliga kommuner och regioner omfattas av den nya regleringen. Samtliga krav föreslås också gälla alla delar i en verksamhet, även de som inte levererar sådana tjänster som tas upp i direktivets bilagor.
Livsmedelsverket menar att utvidgningen kan få stora konsekvenser, både för de som omfattas och för tillsynsarbetet. Exempelvis kan det bli svårt för kommuner som levererar tjänster som omfattas i flera sektorer, att förhålla sig till flera tillsynsmyndigheter. Eftersom utredningen även föreslår en föreskriftsrätt för alla tillsynsmyndigheter blir det i praktiken så att föreskrifter från olika myndigheter kan komma att ställa krav på samma verksamhetsutövare. En sådan utökning av lagstiftningen kan vara relevant men behöver vara tydligt kopplad till lagens syfte.
Därför föreslår Livsmedelsverket att syftet med cybersäkerhetslagen ses över så att det blir tydligt om lagen ska bidra till beredskapssystem eller om huvudsyftet är att – i linje med NIS2-direktivet – stärka EU:s inre marknad.
Ledningens ansvar borde förtydligas
NIS2-direktivet ställer höga krav på att en verksamhetsledning tar ansvar för riskhanteringsåtgärder från beslut till införande. Utredningen föreslår dock inte något uttryckligt lagkrav på ledningens ansvar för cybersäkerhetsfrågor. Livsmedelsverket menar att det är olyckligt och rekommenderar att alla verksamhetsutövare involverar ledningen i informationssäkerhetsarbetet, oavsett vilka krav som ställs i den färdiga lagen.
– Vi vet att säkerhetsarbetet redan har hög prioritet hos många av de verksamheter som kan omfattas av den nya lagen. Men vår erfarenhet visar att ledningens engagemang i cybersäkerhetsfrågor är centralt och något som samtliga verksamheter behöver arbeta för, säger Katarina Sunnegårdh.
Du kan också svara på remissen
Remissvar kan lämnas även av de som inte är utpekade remissinstanser fram till och med den 28 maj. Länk till mer information om samt Livsmedelsverkets remisssvar finns nedan. Den nya lagen ska enligt förslaget träda i kraft den 1 januari 2025.
Nu fortsätter arbetet med att utreda hur CER-direktivet ska införas i svensk lag, se länk nedan. Livsmedelsverket deltar med en representant i expertgruppen.