Efterlängtad lagrådsremiss om cybersäkerhet

Regeringen delar många av utredningens bedömningar. I vissa viktiga delar avviker dock regeringens uppfattning från vad utredningen kommit fram till. Det gäller bland annat beträffande kravet på säkerhet i leveranskedjan. 

I denna expertkommentar kommer jag att fördjupa mig i kravet på kontroll av säkerheten i leveranskedjan från ett utkontrakteringsperspektiv med fokus på den bedömning som regeringen gör i lagrådsremissen. För fullständighetens skull inleder jag med en bakgrundsbeskrivning och avslutar med en checklista med några punkter som man bör tänka på vid upphandlingen.

Kontroll av säkerhet i leveranskedjan

Som jag nämnt i en tidigare expertkommentar omfattas offentliga verksamhetsutövare, som statliga myndigheter, regioner och kommuner med vissa undantag, av den nya lagen. Vidare omfattas många it-leverantörer, som leverantörer av utlokaliserade driftstjänster (i utredningen benämnt hanterade tjänster) och molntjänstleverantörer. Även it-leverantörer som inte är etablerade inom EU/EES omfattas om de erbjuder tjänster inom EES.

STORLEKSKRAV PÅ IT-LEVERANTÖRERNA

För att it-leverantörerna ska omfattas av den nya lagen krävs dock, som huvudregel, att de är av tillräcklig storlek. Enkelt uttryckt är en verksamhet av tillräcklig storlek om den minst kan betecknas som ett medelstort företag. Som medelstort räknas företag som sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.

SÄKERHETSÅTGÄRDER – SÄKERHET I LEVERANSKEDJAN

Kravet på kontroll av säkerhet i leveranskedjan finns i 2 kap. 3 §. Bestämmelsen har en delvis annan lydelse än utredningens förslag:

”Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken.

 Säkerhetsåtgärderna ska åtminstone avse

/…/

4. säkerhet i leveranskedjan,

/…/   

NIS2-direktivets bestämmelser om säkerhet i leveranskedjan avser säkerhetsaspekter som rör förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer. Utredningen tolkade detta som att varje verksamhetsutövare endast ansvarar för ett led i leveranskedjan och alltså inte för de underleverantörer som kan finnas i nästa led. I min expertkommentar om utredningens förslag kom jag fram till att denna tillämpning av kravet riskerar att leda till olämpliga glapp i kravet på säkerhet i leveranskedjan. Det är därför bra att regeringen gör en annan bedömning av hur kravet ska tillämpas.

Regeringen instämmer i uppfattningen att kravet på säkerhet i leveranskedjan endast omfattar säkerhetsaspekter i förhållande till direkta leverantörer och tjänsteleverantörer. Regeringen anser dock att verksamhetsutövare även bör beakta risker som härrör från leverantörer på andra nivåer. Bland annat kan en verksamhetsutövare behöva vidta åtgärder med anledning av kända brister hos underleverantörer. Den närmare innebörden av kravet på säkerhet i leveranskedjan, inklusive vilka krav som finns på ett avtals innehåll och hur kraven gäller i förhållande till befintliga avtalsförhållanden, bör dock enligt regeringen inte anges i lag. Det får avgöras i varje enskilt fall om en verksamhetsutövare har vidtagit tillräckliga åtgärder i detta avseende, inbegripet åtgärder för att revidera befintliga avtal.

Om den it-leverantör som verksamhetsutövaren anlitar också omfattas av lagens krav, ansvarar it-leverantören, enligt lagen, för att säkerställa att säkerhetsåtgärderna implementeras även hos sina underleverantörer. Den nya bedömningen kommer därför få störst betydelse i de fall verksamhetsutövaren använder sig av en it-leverantör som inte själv omfattas av lagens krav, till exempel en it-leverantör som inte uppfyller storlekskravet.  

Lagen innebär alltså, enligt regeringen, att verksamhetsutövaren har en skyldighet att också beakta risker som härrör från it-leverantörens underleverantörer. Som angetts ovan, framgår det inte tydligt hur verksamhetsutövaren ska göra för att uppfylla denna skyldighet. Samtidigt är det normalt att i avtalet ta höjd för risker förknippade inte enbart med den direkta leverantören, utan även med dess underleverantörer. De risker som är förbundna med användningen av underliggande plattformar från bland annat Microsoft eller AWS brukar till exempel regelmässigt beaktas. En riskbedömning avseende hela leveranskedjan görs således ofta redan idag, inte minst i förhållande till GDPR:s krav, och kravet kommer därför inte som en nyhet.

Däremot kan det vara svårt att bedöma hur avtalet ska utformas för att uppfylla kravet på att beakta risker som härrör från leverantörer på andra nivåer än den direkta leverantören. Det står klart att kända risker hos underleverantörer måste hanteras – den mest ingripande åtgärden är att inte anlita en it-leverantör med sådana underleverantörer. Men om det inte finns den typen av kända risker? Och behöver befintliga avtal revideras före den 15 januari 2026, då cybersäkerhetslagen är tänkt att träda i kraft?

Det är under alla förhållanden lämpligt med en avtalsreglering som innebär att it-leverantören i första ledet ansvarar för att säkerställa att de cybersäkerhetskrav som uppställs tillämpas i hela leveranskedjan, det vill säga även för de underleverantörer som anlitas. Enligt allmänna principer ansvarar it-leverantören gentemot verksamhetsutövaren om det skulle förekomma brister i underleverantörernas hantering av cybersäkerhetskraven, men denna princip bör också avtalsregleras. Beroende på vilka tjänster som respektive underleverantör utför kan cybersäkerhetskraven komma att skilja sig åt från fall till fall, varför det även kan finnas behov av att göra individuella bedömningar av vilka cybersäkerhetskrav som ska tillämpas i avtalet.   

Skrivningen i lagrådsremissen om ”hur kraven gäller i förhållande till befintliga avtalsförhållanden” är lite kryptisk. Den naturliga utgångspunkten borde vara att befintliga avtal ska uppfylla de krav som uppställs i cybersäkerhetslagen per den 15 januari 2026.

Efter att lagrådet har sagt sitt kommer regeringen lägga fram en proposition för riksdagen. Jag återkommer då.

TEXT: Peter Nordbeck, advokat, Advokatfirman Delphi

ATT TÄNKA PÅ:

Några viktiga punkter för att uppfylla kraven i cybersäkerhetslagen är:

• Process för att utvärdera och välja leverantör
  • Upphandlingskrav på vilken säkerhetsnivå som ska gälla. Krav på att följa utveckling
  • Referenser
  • Due Diligence?
• Överväg olika former av certifieringar och rapporter om säkerhet – exempelvis ISO 27001 och SOC2
• Säkerställ att avtalet hanterar informationssäkerhet, bland annat:
  • Spegla relevanta delar av den obligatoriska listan i 2 kap. 3 § cybersäkerhetslagen
  • Reglering av hur ändringar genomförs
  • Säkerställ kontroll av underleverantörer
  • Exit
  • Servicenivåer
  • Möjliggör utvärdering och uppföljning. Rapporteringskrav
  • Revisionsmöjlighet 

TEXT: Peter Nordbeck, advokat, Advokatfirman Delphi