Förslag till riksdagsbeslut

Centerpartiet välkomnar att regeringen har lämnat förslag om en ny cybersäkerhetslag. Tyvärr har det tagit allt för lång tid att få lagen på plats. Likväl är det positivt att vi nu kan fatta beslut om lagstiftningen.

Även om lagen är efterlängtad vill vi framföra ett antal synpunkter. Centerpartiet efterlyser mer tydlighet vad gäller ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav. Enligt NIS2, som är en av orsakerna till lagen, skulle ledningen inom enskilda verksamheter få ett personligt ansvar för överträdelser av kraven på riskhanteringsåtgärder. Detta saknas i cybersäkerhetslagen och har i praktiken ersatts av ett krav på att ledningen ska utbildas. Denna förändring medför kraftigt minskade krav på ledningen i de utpekade och för samhället kritiska organisationer.

Regeringens proposition behandlar också frågan om sanktionsavgifter. Dessa kan som högst vara 10 miljoner euro för företag och som högst 10 miljoner kronor för offentliga organisationer. Det är en kraftig differens i bötesbelopp som, tillsammans med otydligheten om när sanktioner kan bli aktuella, skapar risk för orimliga skillnader mellan olika organisationsformer. Denna oro delas av MSB.

Centerpartiet vill ha balans mellan att sanktionsavgifterna ska vara avskräckande och att de ska vara rimliga och proportionerliga samt förutsägbara – särskilt för mindre verksamheter.

Centerpartiet delar även kritiken från flera remissinstanser inkl. PTS om att lagen missar att harmonisera sanktionsavgifter mellan cybersäkerhetslagen och säkerhetsskyddslagen vilket kan skapa ojämlik behandling och osäkerhet. Här menar vi att regeringen bör återkomma till riksdagen med förslag i den riktningen.

Det bör vidare klargöras vilka myndigheter som ansvarar för vilket regelverk för att undvika att flera myndigheter har överlappande tillsyn utan samordning samt säkerställas att samma typ av överträdelse inte leder till mycket olika sanktioner beroende på under vilket regelverk den hanteras. Regeringen måste också tydliggöra kravställningar på myndigheter i regleringsbrev och instruktioner för att tydliggöra myndigheters ansvar. Att säkra att insatserna får faktisk effekt och inte enbart blir processplaner som finns på pappret förutsätter tydligt ansvarsutkrävande.

Både Regelrådet och Företagarna samt andra remissinstanser påpekar brister i lagstiftningen kring vilka företag eller aktiviteter som verkligen påverkas. För många aktörer kan lagstiftningen tydligt omfatta en del av verksamheten medan andra delar inte är relevanta. Det bör förtydligas hur lagstiftningen ska tolkas och om det endast är de delar av verksamheten som påverkar säkerheten i relevanta tjänster som ska omfattas. Dagens otydlighet kan skapa stora problem för mindre företag och till exempel inom gröna näringar.

Centerpartiet har återkommande påpekat att regeringens förändringar på cyberområdet inte skapar optimala förutsättningar för att stärka motståndskraften hos Sveriges företag och mindre organisationer.

En majoritet av Sveriges företag påpekar att de behöver ökad stöd och information från myndigheter för att skapa den höga nivån av cybersäkerhet vi alla vill se. Denna lag är inget undantag och riskerar att bidra till ökad osäkerhet. Det behövs en nationellt samordnad tillsynsmodell där roller och ansvar förtydligas. En nationell koordineringsmekanism för tillsyn och kunskapsdelning bör införas, så att om en myndighet utövat tillsyn över en verksamhet kan andra tillsynsmyndigheter ta del av det.

Finansiering och stöd till mindre aktörer som inte tidigare omfattas av liknande lagstiftning behövs om det ska vara möjligt att leva upp till lagen i tid. Alternativt bör en stegvis trappa införas så att det ges mer tid till de organisationer som inte har så stora resurser och kompetens. Det är särskilt relevant för mindre företag och organisationer.

 

Mikael Larsson (C)

Niels Paarup-Petersen (C)