Jag har i en tidigare expertkommentar redogjort för Nis2-direktivet och nyheterna i direktivet i förhållande till nuvarande regler i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, ”Nis-lagen”.
I mars i år kom så utredningen Nya regler om cybersäkerhet (SOU 2024:18) med förslag på hur Nis2-direktivet ska införlivas i lag. Utredningen föreslår att Nis2-direktivet ska införlivas genom en ny lag, lagen om cybersäkerhet, ”cybersäkerhetslagen”.
Utredningen har tidigare kommenterats av flera andra experter här på Inköpsrådet. Jag kommer i min expertkommentar att gå in lite djupare på en av frågorna som aktualiseras, nämligen den om kravet på kontroll av säkerheten i leveranskedjan från ett utkontrakteringsperspektiv.
Sist i min kommentar har jag lagt in en checklista med några punkter som man bör tänka på vid upphandlingen.
Kontroll av säkerhet i leveranskedjan
Ett första steg i att besvara frågan hur kravet påverkar it-upphandlingar som avser utkontraktering är att undersöka i vilken utsträckning som offentlig sektor och it-leverantörer omfattas av den nya lagstiftningen.
Offentlig sektor omfattas
En nyhet i förhållande till Nis-lagen är att offentliga verksamhetsutövare, som statliga myndigheter, regioner och kommuner omfattas med vissa undantag.
Många it-leverantörer omfattas
Det framgår även att företag som tillhandahåller ”Förvaltning av IKT-tjänster (mellan företag)” omfattas. Med en IKT-tjänst avses en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.
Begreppet Förvaltning av IKT-tjänster (mellan företag) specificeras till att avse två typer av verksamhetsutövare. Dessa är leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster.
Leverantörer av hanterade tjänster definieras som verksamhetsutövare som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans. Det är tjänster som normalt förekommer vid utkontraktering.
Lagen gäller dessutom bland annat för leverantörer av digital infrastruktur, däribland leverantörer av molntjänster.
Storlekskrav på it-leverantörerna
För att it-leverantörerna ska omfattas av den nya lagen krävs dock att de är tillräckligt stora. Enkelt uttryckt är en verksamhet av tillräcklig storlek om den minst kan betecknas som ett medelstort företag. Som medelstort räknas företag som sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.
Särskilda undantagsregler finns för bland annat leverantörer av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster. Undantagsreglerna innebär att även sådana leverantörer omfattas av lagen trots att de inte uppfyller kravet på storlek.
Jurisdiktionsfrågor
Huvudregeln är att verksamhetsutövaren ska vara etablerad i Sverige för att lagen ska vara tillämplig. För att gränsöverskridande verksamhetsutövare i form av molntjänstleverantörer och leverantörer av hanterade tjänster med flera ska omfattas av den svenska lagen krävs att Sverige är huvudsakligt etableringsställe eller att företrädaren är etablerad i Sverige.
Nis2-direktivet föreskriver en extraterritorial tillämpning, vilket innebär att även verksamhetsutövare som inte är etablerade inom EU/EES omfattas om de erbjuder tjänster inom EES.
Innebörden av reglerna om jurisdiktion är att den svenska cybersäkerhetslagen inte alltid kommer att bli tillämplig på samtliga verksamhetsutövare i leveranskedjan. De praktiska konsekvenserna av detta förhållande kommer förhoppningsvis att klarna framöver.
Slutsatser kring den föreslagna cybersäkerhetslagens tillämplighet på it-upphandlingar
En slutsats som kan dras från beskrivningen ovan är att många it-leverantörer kommer att omfattas av den nya lagen. Men lagen kommer inte att vara tillämplig på alla it-leverantörer som kan bli aktuella vid en utkontraktering. Vad betydelsen av det kan bli kommer jag att resonera kring nedan.
Riskhanteringsåtgärder – säkerhet i leveranskedjan
Kravet på kontroll av säkerhet i leveranskedjan återfinns i 3 kap. 1 §. Kapitlet har rubriken Riskhanteringsåtgärder och incidentrapportering.
Bestämmelsen är relativt knapphändig:
”Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:
/…/
- säkerhet i leveranskedjan,
/…/
Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om riskhanteringsåtgärder.
Utredningens analys är intressant. Nis2-direktivets bestämmelser om säkerhet i leveranskedjan avser säkerhetsaspekter som rör förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
Utredningen tolkar detta som att varje verksamhetsutövare endast ansvarar för ett led i leveranskedjan. Ansvaret för riskhanteringsåtgärder sträcker sig således inte till de underleverantörer som kan finnas i nästa led.
Innebörden av att ansvaret för säkerhet i leveranskedjan endast gäller i ett led
Utredningens tolkning av hur långt ansvaret för säkerhet i leveranskedjan sträcker sig ställs på sin spets i det fallet den it-leverantör som anlitas i sin tur anlitar en eller flera underleverantörer.
Tolkningen blir begriplig om även it-leverantören omfattas av lagens krav. Innebörden blir i en sådan situation att it-leverantören ansvarar för att säkerställa att riskhanteringsaspekterna implementeras även hos sina underleverantörer. På så sätt täcks hela leveranskedjan.
Ändå väcks frågan vad som gäller om det finns brister i underleverantörens leverans. Har verksamhetsutövaren gjort tillräckligt och kan värja sig med att ansvaret för underleverantörens bristande leverans vilar helt på it-leverantören i första ledet?
Typiskt sett brukar de krav på säkerhet som uppställs i it-avtalet gälla för hela leveranskedjan. Således ska även de tjänster som utförs i senare led uppfylla relevanta krav, däribland cybersäkerhetskrav. Om en underleverantör brister i utförandet av sina tjänster ansvarar, enligt allmänna principer, it-leverantören i första ledet gentemot verksamhetsutövaren som om bristerna avsåg it-leverantörens egen leverans.
Om verksamhetsutövaren uppställer cybersäkerhetskrav som gäller för hela leveranskedjan i avtalet, ligger det nära till hands att anse att verksamhetsutövaren under alla förhållanden har uppfyllt kraven enligt cybersäkerhetslagen om det skulle visa sig att det förekommer brister i senare led i leveranskedjan.
En annan situation som kan tänkas uppkomma är att den it-leverantör som verksamhetsutövaren upphandlar inte omfattas av cybersäkerhetslagen. Det kan till exempel röra sig om en molntjänstleverantör som inte uppfyller lagens krav på tillräcklig storlek, men som använder sig av underliggande plattformar från Microsoft eller AWS.
Denna situation är mera komplex. Med tillämpning av den tolkning av direktivet som utredningen gjort, skulle verksamhetsutövaren visserligen behöva vidta riskhanteringsåtgärder i förhållande till molntjänstleverantören i första ledet. Däremot finns det inget krav på att motsvarande riskhanteringsåtgärder ska vidtas i förhållande till underleverantören, till exempel Microsoft eller AWS, eftersom molntjänstleverantören inte omfattas av lagen. Det uppstår ett glapp i kedjan. Detta gap är olyckligt eftersom de största cybersäkerhetsriskerna kan ligga hos underleverantören.
Den brustna länken i kedjan kan överbryggas i praktiken genom att verksamhetsutövaren i avtalet med molntjänstleverantören i första ledet föreskriver att molntjänstleverantören ansvarar för att riskhanteringsåtgärder vidtas i alla delar av leveranskedjan. En annan sak är att syftet med regleringen i cybersäkerhetslagen inte uppnås. Detta beror på att det brister i en länk i leveranskedjan.
Kommer utredningens tolkning av hur långt ansvaret för säkerhet i leveranskedjan sträcker sig att stå sig i det fortsatta lagstiftningsarbetet?
Det är i dagsläget inte möjligt att uttala sig om regeringen kommer att göra samma tolkning som utredningen.
En intressant parallell är hur ansvaret i GDPR har reglerats. I GDPR finns en fullständig transparens som innebär att den personuppgiftsansvarige ansvarar även för brister i senare led i leveranskedjan.
Kravet på riskhanteringsåtgärder enligt den nya cybersäkerhetslagen kan komma att gälla parallellt med GDPR:s krav på att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Det innebär, om utredningens tolkning står sig, att olika principer för cybersäkerhetsansvar kommer att tillämpas för offentliga verksamhetsutövare som utkontrakterar it-tjänster där personuppgifter behandlas.
Enligt den föreslagna cybersäkerhetslagen stannar ansvaret för säkerhet i leveranskedjan vid it-leverantören i första ledet. Det skiljer sig från den offentliga verksamhetsutövaren som enligt GDPR ansvarar för att säkerheten tillgodoses i samtliga led i leveranskedjan. Olika ansvarsprinciper kommer således gälla trots att säkerhetsåtgärderna torde vara likartade enligt de båda lagstiftningarna.
Det blir intressant att följa det fortsatta lagstiftningsarbetet med cybersäkerhetslagen, inte minst hur regeringen hanterar frågan om hur långt ansvaret för säkerhet i leveranskedjan sträcker sig. Lagen kommer att få stor betydelse vid offentlig sektors utkontraktering av it-tjänster och kommer att påverka skrivningarna om säkerhet i leveransen i it-avtalet.
Att tänka på
Några viktiga punkter för att uppfylla kraven i cybersäkerhetslagen är:
- Process för att utvärdera och välja leverantör
- Upphandlingskrav på vilken säkerhetsnivå som ska gälla. Krav på att följa utveckling
- Referenser
- Due Diligence?
- Överväg olika former av certifieringar och rapporter om säkerhet – exempelvis SOC2
- Säkerställ att avtalet hanterar informationssäkerhet, bland annat:
- Spegla relevanta delar av den obligatoriska listan i 3 kap. 1 § cybersäkerhetslagen
- Reglering av hur ändringar genomförs.
- Säkerställ kontroll på underleverantörer
- Exit
- Servicenivåer
- Möjliggör utvärdering och uppföljning. Rapporteringskrav
- Revisionsmöjlighet
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer