2 kap. Verksamhetsutövares skyldigheter
Ur Cybersäkerhetslag (2025:1506)
Sammanfattning
Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (3 §).
De personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder (4 §).
Verksamhetsutövare ska upplysa den myndighet som regeringen bestämmer om en betydande incident så snart det kan ske, dock senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om incidenten (5 §).
Vid ett betydande cyberhot ska verksamhetsutövare så snart det kan ske informera mottagarna av deras tjänster som kan påverkas av hotet om skydds- och motåtgärder som mottagarna kan vidta (10 §).
Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.
Vanliga frågor
Vilka åtgärder ska en verksamhetsutövare vidta för att skydda sina system?
Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter. Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken. Åtgärderna ska åtminstone avse strategier för riskanalys, incidenthantering, kontinuitetshantering, säkerhet i leveranskedjan, säkerhet vid förvärv, strategier för att bedöma effektiviteten, praxis för cyberhygien, strategier för kryptografi, personalsäkerhet samt vid behov lösningar för autentisering. (3 §)
När ska en verksamhetsutövare informera myndigheten om en betydande incident?
Verksamhetsutövare ska upplysa den myndighet som regeringen bestämmer om en betydande incident så snart det kan ske. Detta ska ske senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om incidenten. En incident ska anses vara betydande om den har orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren. Den ska även anses vara betydande om den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande skada. (5 §)
Finns det krav på utbildning för personer i ledningen?
De personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder. (4 §)
Lagtext
1 §
Sådana verksamhetsutövare som saknar etablering inom Europeiska ekonomiska samarbetsområdet (EES), men som i övrigt uppfyller kraven i 1 kap. 7 § och erbjuder tjänster i Sverige, ska utse en företrädare med etablering i Sverige eller i något annat land inom EES där tjänsterna erbjuds.
2 §
Verksamhetsutövare ska så snart det kan ske anmäla sig till den myndighet som regeringen bestämmer. Om de förhållanden som har redovisats i en anmälan har ändrats ska verksamhetsutövare anmäla förändringen så snart det kan ske, dock senast 14 dagar efter det att förändringen ägde rum.
1 paragraf refererar hit
3 §
Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken. Säkerhetsåtgärderna ska åtminstone avse 1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet, 2. incidenthantering, 3. kontinuitetshantering och krishantering, 4. säkerhet i leveranskedjan, 5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, 6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna, 7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet, 8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering, 9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och 10. vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
2 paragrafer refererar hit
Från Cybersäkerhetsförordningen (2)
4 §
De personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder.
5 §
Verksamhetsutövare ska upplysa den myndighet som regeringen bestämmer om en betydande incident så snart det kan ske, dock senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om incidenten. En incident ska anses vara betydande om den har orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller om den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande skada.
6 §
Verksamhetsutövare ska till samma myndighet som avses i 5 § göra en incidentanmälan om den betydande incidenten så snart det kan ske. Verksamhetsutövare som tillhandahåller betrodda tjänster ska göra anmälan senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om incidenten och övriga verksamhetsutövare senast 72 timmar efter sådan kännedom.
7 §
På begäran av samma myndighet som avses i 5 § ska verksamhetsutövare lämna en delrapport med relevanta statusuppdateringar för den betydande incidenten.
8 §
Senast en månad efter incidentanmälan enligt 6 § ska verksamhetsutövare lämna en slutrapport till samma myndighet. Om den betydande incidenten fortfarande är pågående ska i stället en lägesrapport lämnas vid denna tidpunkt och därefter en slutrapport inom en månad efter det att incidenten har hanterats.
9 §
Om det är lämpligt ska verksamhetsutövare så snart det kan ske informera mottagarna av deras tjänster om en betydande incident som sannolikt inverkar negativt på tillhandahållandet av tjänsterna.
10 §
Vid ett betydande cyberhot ska verksamhetsutövare så snart det kan ske informera mottagarna av deras tjänster som kan påverkas av hotet om skydds- och motåtgärder som mottagarna kan vidta. Om det är lämpligt ska verksamhetsutövare även informera om själva hotet. Ett cyberhot ska anses vara betydande om det, på grund av dess tekniska egenskaper, kan antas ha potential att ha en allvarlig påverkan på en verksamhetsutövares nätverks- och informationssystem eller användarna av verksamhetsutövarens tjänster genom att vålla betydande skada.
11 §
En verksamhetsutövare som är en registreringsenhet för toppdomäner eller som erbjuder domännamnsregistreringstjänster ska föra ett register över tilldelade domännamn under toppdomänen och löpande upprätta säkerhetskopior av registeruppgifterna. Registret ska innehålla 1. domännamnet, 2. namnet på domännamnsinnehavaren och dennes telefonnummer och e-postadress, 3. namnet på den som tekniskt administrerar domännamnet och dennes telefonnummer och e-postadress, och 4. registreringsdatum.
12 §
Uppgifterna i det register som avses i 11 § ska kunna hämtas utan avgift via internet. Personuppgifter får dock göras tillgängliga på internet endast om den registrerade har samtyckt till det. Därutöver ska uppgifter lämnas ut till den som gör en lagligen grundad och motiverad begäran. Uppgifterna ska då lämnas ut skyndsamt och senast 72 timmar från mottagandet av begäran. En sådan verksamhetsutövare som avses i 11 § är personuppgiftsansvarig för behandling av personuppgifter i registret.
13 §
De skyldigheter som följer av 11 och 12 §§ gäller inte för den som är domänadministratör enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet. För en sådan domänadministratör gäller skyldighet att föra register enligt 6 § den lagen.
14 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsåtgärder enligt 3 § och om vad som utgör en betydande incident enligt 5 § andra stycket. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om utbildning, incidentrapportering, informationsskyldighet och register enligt 4-12 §§.