Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 4 nov 2025 • Stockholm
    • Praxisdagen • 11 nov 2025 • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Efterlängtad lagrådsremiss om cybersäkerhet

ExpertkommentarJag har i en tidigare expertkommentar skrivit om utredningen ”Nya regler om cybersäkerhet” (SOU 2024:18) med förslag på hur NIS2-direktivet ska införlivas i lag. Den 12 juni kom så den efterlängtade uppföljningen i form av en lagrådsremiss från regeringen. I likhet med utredningen föreslår regeringen att NIS2-direktivet ska införlivas genom en ny lag, cybersäkerhetslagen, vilken föreslås träda i kraft den 15 januari 2026.

| 2025-07-02
Peter Nordbeck, advokatfirman Delphi, NIS2-direktivet ska införlivas i lag. Den 12 juni kom så den skriver om den nya lagrådsremissen gällande införlivandet av NIS2-direktivet.

Regeringen delar många av utredningens bedömningar. I vissa viktiga delar avviker dock regeringens uppfattning från vad utredningen kommit fram till. Det gäller bland annat beträffande kravet på säkerhet i leveranskedjan. 

I denna expertkommentar kommer jag att fördjupa mig i kravet på kontroll av säkerheten i leveranskedjan från ett utkontrakteringsperspektiv med fokus på den bedömning som regeringen gör i lagrådsremissen. För fullständighetens skull inleder jag med en bakgrundsbeskrivning och avslutar med en checklista med några punkter som man bör tänka på vid upphandlingen.

Kontroll av säkerhet i leveranskedjan

Som jag nämnt i en tidigare expertkommentar omfattas offentliga verksamhetsutövare, som statliga myndigheter, regioner och kommuner med vissa undantag, av den nya lagen. Vidare omfattas många it-leverantörer, som leverantörer av utlokaliserade driftstjänster (i utredningen benämnt hanterade tjänster) och molntjänstleverantörer. Även it-leverantörer som inte är etablerade inom EU/EES omfattas om de erbjuder tjänster inom EES.

STORLEKSKRAV PÅ IT-LEVERANTÖRERNA

För att it-leverantörerna ska omfattas av den nya lagen krävs dock, som huvudregel, att de är av tillräcklig storlek. Enkelt uttryckt är en verksamhet av tillräcklig storlek om den minst kan betecknas som ett medelstort företag. Som medelstort räknas företag som sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.

SÄKERHETSÅTGÄRDER – SÄKERHET I LEVERANSKEDJAN

Kravet på kontroll av säkerhet i leveranskedjan finns i 2 kap. 3 §. Bestämmelsen har en delvis annan lydelse än utredningens förslag:

”Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken.

 Säkerhetsåtgärderna ska åtminstone avse

/…/

4. säkerhet i leveranskedjan,

/…/   

NIS2-direktivets bestämmelser om säkerhet i leveranskedjan avser säkerhetsaspekter som rör förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer. Utredningen tolkade detta som att varje verksamhetsutövare endast ansvarar för ett led i leveranskedjan och alltså inte för de underleverantörer som kan finnas i nästa led. I min expertkommentar om utredningens förslag kom jag fram till att denna tillämpning av kravet riskerar att leda till olämpliga glapp i kravet på säkerhet i leveranskedjan. Det är därför bra att regeringen gör en annan bedömning av hur kravet ska tillämpas.

Regeringen instämmer i uppfattningen att kravet på säkerhet i leveranskedjan endast omfattar säkerhetsaspekter i förhållande till direkta leverantörer och tjänsteleverantörer. Regeringen anser dock att verksamhetsutövare även bör beakta risker som härrör från leverantörer på andra nivåer. Bland annat kan en verksamhetsutövare behöva vidta åtgärder med anledning av kända brister hos underleverantörer. Den närmare innebörden av kravet på säkerhet i leveranskedjan, inklusive vilka krav som finns på ett avtals innehåll och hur kraven gäller i förhållande till befintliga avtalsförhållanden, bör dock enligt regeringen inte anges i lag. Det får avgöras i varje enskilt fall om en verksamhetsutövare har vidtagit tillräckliga åtgärder i detta avseende, inbegripet åtgärder för att revidera befintliga avtal.

Om den it-leverantör som verksamhetsutövaren anlitar också omfattas av lagens krav, ansvarar it-leverantören, enligt lagen, för att säkerställa att säkerhetsåtgärderna implementeras även hos sina underleverantörer. Den nya bedömningen kommer därför få störst betydelse i de fall verksamhetsutövaren använder sig av en it-leverantör som inte själv omfattas av lagens krav, till exempel en it-leverantör som inte uppfyller storlekskravet.  

Lagen innebär alltså, enligt regeringen, att verksamhetsutövaren har en skyldighet att också beakta risker som härrör från it-leverantörens underleverantörer. Som angetts ovan, framgår det inte tydligt hur verksamhetsutövaren ska göra för att uppfylla denna skyldighet. Samtidigt är det normalt att i avtalet ta höjd för risker förknippade inte enbart med den direkta leverantören, utan även med dess underleverantörer. De risker som är förbundna med användningen av underliggande plattformar från bland annat Microsoft eller AWS brukar till exempel regelmässigt beaktas. En riskbedömning avseende hela leveranskedjan görs således ofta redan idag, inte minst i förhållande till GDPR:s krav, och kravet kommer därför inte som en nyhet.

Däremot kan det vara svårt att bedöma hur avtalet ska utformas för att uppfylla kravet på att beakta risker som härrör från leverantörer på andra nivåer än den direkta leverantören. Det står klart att kända risker hos underleverantörer måste hanteras – den mest ingripande åtgärden är att inte anlita en it-leverantör med sådana underleverantörer. Men om det inte finns den typen av kända risker? Och behöver befintliga avtal revideras före den 15 januari 2026, då cybersäkerhetslagen är tänkt att träda i kraft?

Det är under alla förhållanden lämpligt med en avtalsreglering som innebär att it-leverantören i första ledet ansvarar för att säkerställa att de cybersäkerhetskrav som uppställs tillämpas i hela leveranskedjan, det vill säga även för de underleverantörer som anlitas. Enligt allmänna principer ansvarar it-leverantören gentemot verksamhetsutövaren om det skulle förekomma brister i underleverantörernas hantering av cybersäkerhetskraven, men denna princip bör också avtalsregleras. Beroende på vilka tjänster som respektive underleverantör utför kan cybersäkerhetskraven komma att skilja sig åt från fall till fall, varför det även kan finnas behov av att göra individuella bedömningar av vilka cybersäkerhetskrav som ska tillämpas i avtalet.   

Skrivningen i lagrådsremissen om ”hur kraven gäller i förhållande till befintliga avtalsförhållanden” är lite kryptisk. Den naturliga utgångspunkten borde vara att befintliga avtal ska uppfylla de krav som uppställs i cybersäkerhetslagen per den 15 januari 2026.

Efter att lagrådet har sagt sitt kommer regeringen lägga fram en proposition för riksdagen. Jag återkommer då.

TEXT: Peter Nordbeck, advokat, Advokatfirman Delphi

ATT TÄNKA PÅ:

Några viktiga punkter för att uppfylla kraven i cybersäkerhetslagen är:

  • Process för att utvärdera och välja leverantör
    • Upphandlingskrav på vilken säkerhetsnivå som ska gälla. Krav på att följa utveckling
    • Referenser
    • Due Diligence?
  • Överväg olika former av certifieringar och rapporter om säkerhet – exempelvis ISO 27001 och SOC2
  • Säkerställ att avtalet hanterar informationssäkerhet, bland annat:
    • Spegla relevanta delar av den obligatoriska listan i 2 kap. 3 § cybersäkerhetslagen
    • Reglering av hur ändringar genomförs
    • Säkerställ kontroll av underleverantörer
    • Exit
    • Servicenivåer
    • Möjliggör utvärdering och uppföljning. Rapporteringskrav
    • Revisionsmöjlighet 

TEXT: Peter Nordbeck, advokat, Advokatfirman Delphi

Annons

Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar ”Fortsättningskurs IT-upphandling” Läs mer här!

Läs mer: IT

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

  • Rekrytera rätt kompetens med Inköpsrådet

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • AI för upphandlare | 19 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • Robusta IT-avtal | 26 november
  • LOU på två dagar | 2-3 december
  • Säkerhetsskyddad upphandling | 4 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Efterlängtad lagrådsremiss om cybersäkerhetEfterlängtad lagrådsremiss om cybersäkerhet
Förslag till ändrat LUFS-direktivFörslag till ändrat LUFS-direktiv
Om vikten av det kontradiktoriska förfarandetOm vikten av det kontradiktoriska förfarandet
Förslag 4: Förbättra för näringslivet att delta i totalförsvaretFörslag 4: Förbättra för näringslivet att delta i totalförsvaret
Tillämpat krav som inte uttryckligen framgåttTillämpat krav som inte uttryckligen framgått
Hetaste rättsfallen från första kvartaletHetaste rättsfallen från första kvartalet
Mer restriktiv bedömning av avvikelser?Mer restriktiv bedömning av avvikelser?
Bakläxa om utredningsansvarBakläxa om utredningsansvar

Nytt från Upphandling24

  • Leder FMV i ny tid
  • Nytt stöd för hållbar upphandling
  • Så avslöjar du AI-bluffarna
  • Målkonflikter i offentlig upphandling – en balansakt i EU
  • Slottner bemöter Bolt-kritiken
  • Bygger assistent för upphandling
  • Standardiserade fordonskrav ger mer trafik för pengarna

Kommentarer från läsarna

Björn : Tillämpat krav som inte uttryckligen framgått
Otroligt intressant mål i sin enkelhet (tack vare sin enkelhet). Korrekt utfall ska ha varit given för vem som helst…
Fredrik : Hetaste rättsfallen från första kvartalet
Tack för bra "Reader's Digest".
Björn : Förtroendet för rättskipningen riskerar att urholkas
Jag instämmer med slutsatserna. Inte bara att KR tar upp väldigt få mål trots att det svämmar över av domstolsbeslut…
Louise Bylund : Följa upp avtal – en cirkulär process
Hej! Jag har en fundering om den cirkulära modellen har något specifikt namn? Med vänliga hälsningar, Louise, Offentlig upphandlare student.
Marianne Hammarström : Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Mycket bra. Tack för att ni driver detta och håller med att det är mycket svårtolkat.
Annika S : Hur allvarligt fel krävs för uteslutning?
Hej! Kan ni reda ut den här meningen lite - jag går vilse i olika "inte". Vidare har det förhållandet…
Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…

Senaste inläggen

  • Efterlängtad lagrådsremiss om cybersäkerhet
  • Förslag till ändrat LUFS-direktiv
  • Om vikten av det kontradiktoriska förfarandet
  • Förslag 4: Förbättra för näringslivet att delta i totalförsvaret
  • Tillämpat krav som inte uttryckligen framgått
  • Hetaste rättsfallen från första kvartalet
  • Mer restriktiv bedömning av avvikelser?
  • Bakläxa om utredningsansvar
  • Juridisk rapport om miljömärkning i upphandling
  • Förtroendet för rättskipningen riskerar att urholkas
  • Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
  • Inga krav som inte uttryckligen följer dokument
  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna