4 kap. Ingripanden
Ur Cybersäkerhetslag (2025:1506)
Lagtext
1 §
En tillsynsmyndighet ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt 2 kap. 1-10 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna eller enligt sådana rättsakter som har antagits med stöd av artiklarna 21.5 och 23.11 i NIS 2-direktivet, i den ursprungliga lydelsen. Ett ingripande sker genom ett beslut om föreläggande enligt 4 §, en ansökan om förbud att inneha ledningsfunktion enligt 7 §, ett beslut om sanktionsavgift enligt 9 § eller, om det inte finns skäl att ingripa mot en överträdelse på något annat sätt, genom en anmärkning. Tillsynsmyndigheten får avstå från ett ingripande om någon annan tillsynsmyndighet har vidtagit åtgärder mot verksamhetsutövaren med anledning av överträdelsen och dessa åtgärder bedöms tillräckliga.
2 §
Vid valet av ingripande ska hänsyn tas till hur allvarlig överträdelsen är, hur länge den har pågått och den skada eller risk för skada som uppstått till följd av överträdelsen. Vid bedömningen ska särskilt beaktas 1. om verksamhetsutövaren tidigare har gjort sig skyldig till en överträdelse, 2. vad verksamhetsutövaren har gjort för att förhindra eller minska skadan, 3. om överträdelsen har varit uppsåtlig eller berott på oaktsamhet, och 4. den ekonomiska fördel som överträdelsen har inneburit för verksamhetsutövaren.
3 §
En överträdelse ska betraktas som allvarlig om verksamhetsutövaren 1. har begått upprepade överträdelser, 2. inte har fullgjort sin skyldighet att rapportera eller informera enligt 2 kap. 5-9 §§, 3. inte har avhjälpt en betydande incident, 4. inte har följt ett föreläggande enligt 4 § första stycket, 5. har hindrat en tillsynsåtgärd enligt 3 kap. 3-7 §§, eller 6. har lämnat falska eller andra grovt oriktiga uppgifter i fråga om säkerhetsåtgärder enligt 2 kap. 3 § eller i samband med incidentrapportering eller fullgörande av informationsskyldighet enligt 2 kap. 5-10 §§.
4 §
En tillsynsmyndighet får besluta de förelägganden som behövs för att en verksamhetsutövare ska fullgöra skyldigheterna som avses i 1 § första stycket. Tillsynsmyndigheten får också förelägga en verksamhetsutövare att offentliggöra information om överträdelser av sådana skyldigheter som avses i första stycket. Ett föreläggande får förenas med vite. Ett vitesföreläggande får även riktas mot staten.
5 §
En tillsynsmyndighet får besluta de förelägganden som behövs för att en verksamhetsutövare ska fullgöra skyldigheterna enligt 2 kap. 11 och 12 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna. Ett föreläggande får förenas med vite. Ett vitesföreläggande får även riktas mot staten.
6 §
Den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud hos en enskild verksamhetsutövare får förbjudas att inneha en ledningsfunktion hos verksamhetsutövaren, om 1. verksamhetsutövaren är väsentlig, 2. det tidigare har riktats ett föreläggande mot verksamhetsutövaren enligt 4 § första stycket och föreläggandet inte har följts, 3. den överträdelse som har legat till grund för föreläggandet har varit allvarlig, och 4. befattningshavaren har orsakat överträdelsen uppsåtligen eller av grov oaktsamhet.
1 paragraf refererar hit
7 §
Förbud enligt 6 § meddelas av allmän förvaltningsdomstol på ansökan av en tillsynsmyndighet. Ansökan om förbud ska innehålla uppgifter om den person, befattning och verksamhetsutövare som ansökan avser. Den ska också innehålla uppgift om överträdelsen och de omständigheter som behövs för att känneteckna den samt de bestämmelser som är tillämpliga på överträdelsen. Ansökan ska lämnas in till den förvaltningsrätt inom vars domkrets tillsynsmyndigheten är belägen. Domstolen ska pröva målet skyndsamt.
8 §
Ett förbud enligt 6 § ska meddelas för en viss tid, lägst ett och högst tre år, och gäller från det att beslutet om förbud får laga kraft. På ansökan av tillsynsmyndigheten eller den enskilde ska den domstol som avses i 7 § upphäva förbudet, om det inte längre finns förutsättningar för det enligt 6 §. Ett beslut om upphävande gäller omedelbart. Den enskilde ska vid ett beslut om förbud upplysas om sin rätt att ansöka om att förbudet upphävs enligt andra stycket. Tillsynsmyndigheten ska så snart det kan ske ansöka om upphävande av förbudet, om den bedömer att det inte längre finns förutsättningar för förbudet.
9 §
En tillsynsmyndighet får besluta att ta ut en sanktionsavgift av en verksamhetsutövare till följd av en överträdelse av de skyldigheter som avses i 1 § första stycket.
10 §
Sanktionsavgiften ska bestämmas till lägst 5 000 kronor och högst till 1. det högsta av 2 procent av den totala globala årsomsättningen närmast föregående räkenskapsår eller ett belopp i kronor motsvarande 10 000 000 euro för en enskild verksamhetsutövare som är väsentlig, 2. det högsta av 1,4 procent av den totala globala årsomsättningen närmast föregående räkenskapsår eller ett belopp i kronor motsvarande 7 000 000 euro för en enskild verksamhetsutövare som är viktig, eller 3. 10 000 000 kronor för en offentlig verksamhetsutövare.
11 §
En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
12 §
En sanktionsavgift får beslutas endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges.
13 §
En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas i rätt tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Sanktionsavgiften tillfaller staten.
14 §
En sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.