Lainsäädännön arviointineuvosto
Rådet för bedömning av lagstiftningen har gett utlåtande om propositionen om genomförande av cybersäkerhetsdirektivet: det bör göras en noggrannare bedömning av företagens kostnader
Rådet för bedömning av lagstiftningen har gett kommunikationsministeriet ett utlåtande om lagförslagen om genomförande av cybersäkerhetsdirektivet. Det finns väsentliga brister i bedömningen av vilka konsekvenser propositionen har. Propositionen är svår att förstå, eftersom den är så omfattande och komplex.
Syftet med propositionen om genomförande av cybersäkerhetsdirektivet (NIS 2) är att förbättra nivån på cybersäkerheten genom att ålägga ett stort antal privata och offentliga aktörer riskhanterings- och rapporteringsskyldigheter. Direktivet genomförs genom att det stiftas en ny lag om riskhantering inom cybersäkerhet. I fråga om offentliga sektorn införs bestämmelser om skyldigheterna också i informationshanteringslagen. Tillsynen ordnas sektorsvis. I propositionen finns också bestämmelser om en enhet som undersöker och reagerar på kränkningar av informationssäkerheten, om en nationell strategi för cybersäkerhet och om en ram för hantering av cyberkriser.
I propositionen ingår en uppskattning av vilka kostnader de nya riskhanteringsskyldigheterna medför för livsmedels- och tillverkningssektorerna. Bedömningen gjordes genom en separat utredning och med hjälp av en räknare för regleringsbördan. Propositionen innehåller en omfattande beskrivning av det direktiv som ska genomföras. Av propositionen framgår på ett bra sätt det nationella handlingsutrymmet och förslagen om hur handlingsutrymmet ska användas.
Regleringshelheten är komplex och omfattande och därför bör begripligheten beaktas. Man får ingen uppfattning om det totala antalet aktörer som kommer att omfattas av regleringen. I propositionen bör det göras en riktgivande uppskattning av det totala antalet aktörer och skillnaderna i regleringen mellan olika aktörer bör åskådliggöras.
Propositionen bör behandla de kostnader som skyldigheterna medför för företagen, till exempel genom en noggrannare uppskattning av kostnaderna i förhållande till omsättningen och IT-kostnaderna. I propositionen bör det också göras en uppskattning av kostnaderna för företag av olika storlek. Det bör dessutom ges en beskrivning av rapporteringsskyldigheterna och de kostnader och den administrativa börda som skyldigheterna medför.
De risker och osäkerhetsfaktorer som är förknippade med regleringen kan behandlas i större utsträckning i samband med konsekvensbedömningarna. Om propositionen har väsentliga effekter för allmänheten genom att samhället fungerar störningsfritt, bör dessa effekter behandlas i propositionen.
Rådet för bedömning av lagstiftningen har gett utlåtande om regeringens proposition om att genomföra cybersäkerhetsdirektivet (projektnummer LVM027:00/2023) som kommunikationsministeriet lämnade till rådet per e-post den 13 februari 2024. Utlåtandet är offentligt.
Rådet för bedömning av lagstiftningen anser att utkastet till regeringens proposition följer anvisningarna om konsekvensbedömning vid lagberedning på ett hjälpligt sätt. I utkastet till regeringens proposition finns betydande brister och utkastet ska korrigeras i enlighet med rådets utlåtande innan propositionen lämnas till riksdagen.
Mer information: Birgitta Hämäläinen, specialsakkunnig, sekreterare för rådet för bedömning av lagstiftningen, tfn 0295 160 676
Meri Virolainen, bedömningsråd, generalsekreterare för rådet för bedömning av lagstiftningen, tfn 0295 160 202
Rådet för bedömning av lagstiftningen är ett självständigt och oberoende organ som lämnar utlåtanden om utkast till regeringens propositioner och konsekvensbedömningarna i dem.