Det var i september som slutbetänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64) kom som har fokus på implementeringen av CER-direktivet (Direktivet om kritiska entiteters motståndskraft). Utredningen föreslår att CER-direktivet införs genom en särskild lag, Lagen om motståndskraft hos kritiska verksamhetsutövare.
Jag kommer att i denna expertkommentar beröra den föreslagna lagstiftningen med ett fokus på utkontraktering inom offentlig sektor.
Lagens tillämpningsområde
Lagen om motståndskraft hos kritiska verksamhetsutövare reglerar säkerhet i andra avseenden än cybersäkerhet (som regleras i cybersäkerhetslagen). Ett område som regleras i den nya lagen är fysiskt skydd av lokaler och kritisk infrastruktur. Den tillämpas på enskilda och offentliga kritiska verksamhetsutövare som tillhandahåller en samhällsviktig tjänst.
Vilka verksamhetsutövare som är kritiska ska identifieras av respektive tillsynsmyndighet. Enligt utredningen kan lagen, med vissa undantag, komma att omfatta samtliga statliga myndigheter. Även kommuner och regioner kan komma att omfattas genom att dessa bedriver till exempel hälso- och sjukvård. Lagstiftningen är därför av stor relevans för offentlig sektor.
Förslaget innehåller bland annat krav på att kritiska verksamhetsutövare ska:
- göra en riskbedömning som ska innehålla en redogörelse för alla relevanta risker som skulle kunna leda till en incident. Riskbedömningen ska uppdateras vid behov men minst vart fjärde år.
- vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa sin motståndskraft. Åtgärderna ska utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. De ska vidtas på grundval av verksamhetsutövarens riskbedömning samt annan relevant information och inkludera åtgärder som är nödvändiga för att
- förhindra incidenter från att uppstå,
- reagera på, stå emot och begränsa konsekvenserna av incidenter,
- återhämta sig från incidenter,
- säkerställa ett tillfredsställande fysiskt skydd av lokaler och kritisk infrastruktur,
- säkerställa en ändamålsenlig hantering av personalsäkerhet,
- öka kunskapen om åtgärderna för motståndskraft hos berörd personal,
- upprätta och tillämpa en plan för motståndskraft eller ett eller flera likvärdiga dokument som beskriver de åtgärder som vidtagits eller ska vidtas, och
- utse en samverkansansvarig som utgör kontaktpunkt för berörda myndigheter.
Dessutom ställer lagen krav på att kritiska verksamhetsutövare ska göra en bakgrundskontroll av sina anställda och externa tjänsteleverantörers personal.
Förhållandet till cybersäkerhetslagen
För samspelet mellan cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare är en central utgångspunkt att direktivens skyddsföremål är olika saker. Nis2-direktivet skyddar nätverks- och informationssystem, medan CER-direktivet ska skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur.
Även om en verksamhetsutövare har vidtagit riskhanteringsåtgärder enligt Nis2-direktivet för att skydda ett visst informationssystem kan man vara skyldig att vidta bredare åtgärder för motståndskraft avseende fysisk säkerhet och kontinuitetsåtgärder enligt CER-direktivet för att säkerställa tillhandahållandet av den samhällsviktiga tjänsten.
För att undvika en eventuell överlappande reglering gäller inte lagen för sådant som regleras i cybersäkerhetslagen. Syftet är att verksamhetsutövaren inte ska behöva genomföra samma åtgärder enligt båda regelverken. Skiljelinjen mellan vad som omfattas av cybersäkerhetslagen respektive lagen om motståndskraft hos kritiska verksamhetsutövare förefaller dock inte helt klar.
Tillämpning på offentlig sektors utkontraktering av it-tjänster
Jag går över till att se på hur lagen om motståndskraft hos kritiska verksamhetsutövare kan komma att tillämpas på offentlig sektors utkontraktering av it-tjänster.
Till skillnad från cybersäkerhetslagen, finns det inte något krav på att säkerställa säkerhet i leveranskedjan, det vill säga en skyldighet att se till att motsvarade säkerhetskrav även tillämpas på leverantörer.
Visserligen omfattas sektorn digital infrastruktur av lagen, men enligt en uttrycklig bestämmelse gäller inte ett flertal krav – inklusive de krav som anges ovan – för kritiska verksamhetsutövare inom sektorn digital infrastruktur.
En tolkning som kan göras är att skyddsföremålet för lagen om motståndskraft hos kritiska verksamhetsutövare är smalare än det som gäller för cybersäkerhetslagen, och inte sträcker sig till exempelvis fysisk infrastruktur som innehas av leverantörer av IT-tjänster till vilka utkontraktering sker.
I endast ett sammanhang nämner utredningen (och CER-direktivet) underleverantörer. Det är i samband med kravet på bakgrundskontroller, där det anges att sådana kan komma att omfatta inte endast den som är anställd, eller övervägs för anställning, hos den kritiska verksamhetsutövaren utan även exempelvis konsulter och underlerverantörer vars deltagande ger motsvarande möjlig påverkan på den samhällsviktiga tjänsten. Att underleverantörer till verksamhetsutövaren inte nämns på flera ställen talar, enligt min uppfattning, för tolkningen i föregående stycke.
Om syftet med CER-direktivet är att skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur, kan det argumenteras för att syftet inte helt uppnås i de fall som offentlig sektor utkontrakterar it-tjänster.
Vid utkontraktering omfattas nätverks- och informationssystem hos outsourcingleverantören av Nis2-direktivet (cybersäkerhetslagen) genom kraven på säkerhet i leveranskedjan. Däremot faller infrastruktur som outsourcingleverantören använder för att leverera it-tjänsten, och som inte omfattas av cybersäkerhetslagen, utanför tillämpningen av CER-direktivet (lagen om motståndskraft hos kritiska verksamhetsutövare). Det riskerar att uppkomma ett ”glapp”, bland annat när det gäller säkerheten i den fysiska infrastruktur som outsourcingleverantören använder vid sin leverans av it-tjänster till den offentliga verksamhetsutövaren.
Konsekvenser för avtalet om utkontraktering
Jämfört med Nis2-direktivet och cybersäkerhetslagen ställer CER-direktivet och den föreslagna lagen om motståndskraft hos kritiska verksamhetsutövare inte lika höga krav på utformningen av avtalet om utkontraktering.
Som jag beskrivit i en tidigare expertkommentar, innebär den föreslagna cybersäkerhetslagen krav på att avtalet speglar ett relativt stort antal bestämmelser som finns i lagen. I lagen om motståndskraft hos kritiska verksamhetsutövare är det endast en sådan bestämmelse som tydligt kan identifieras. Det är kravet på att göra bakgrundskontroller av outsourcingleverantörens personal, vilket kan behöva speglas i avtalet.
Samtidigt befinner vi oss tidigt i lagstiftningsprocessen och det är inte klart hur cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare ska tolkas i ljuset av offentlig sektors utkontraktering. Vi kan förhoppningsvis räkna med att det kommer värdefulla klarlägganden framöver.
Även i den utsträckning det inte följer av den nya föreslagna lagen, är det lämpligt att avtalet om utkontraktering ställer krav på outsourcingleverantören som avser skyddet av den samhällsviktiga tjänsten som helhet, bland annat även krav som tar sikte på leverantörens fysiska infrastruktur. Denna typ av krav hittar man regelmässigt bland de informationssäkerhetskrav som uppställs i avtal om utkontraktering.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer