Remissvar5 december 2025

Remiss: Förslag till nya föreskrifter om säkerhetsåtgärder och utbildning enligt ny cybersäkerhetslag

MottagareMyndigheten för samhällsskydd och beredskap
Externt diarienummerMSB 2025-13269
Svnekst Näringslivs diarienummer2025-253

Stärk cybersäkerheten och konkurrenskraften

MSB:s förslag till föreskrifter om säkerhetsåtgärder och utbildning syftar till att klargöra vilka organisatoriska, tekniska, driftrelaterade och fysiska åtgärder som krävs för att uppfylla cybersäkerhetslagen samt vilken utbildning ledningen ska genomgå. Enligt lagen ska verksamhetsutövare vidta lämpliga och proportionella säkerhetsåtgärder utifrån riskbedömning. För att uppnå detta krävs ett riskbaserat förhållningssätt.

Svenskt Näringsliv anser att MSB:s förslag går längre än vad NIS2-direktivet och cybersäkerhetslagen kräver, både i omfattning och detaljnivå vilket är en överimplementering som missgynnar verksamheter i Sverige. Risken är stor att företag får svårigheter att klara regelefterlevnaden, men också att konkurrera på lika villkor på den inre marknaden.

MSB-föreskrifterna styr mot byråkrati och formalia oavsett risknivå. Denna typ av myndighetsföreskrifter leder till oproportionerliga kostnader för cybersäkerhetsarbetet utan att ge den nytta som regelverket syftar till. Detaljkraven i föreskrifterna försvårar tillämpningen i företagen, som är olika till storlek, kapacitet och verksamhet.

Ledningens ansvar

I propositionen 2025/26:28 framgår tydligt att regeringen inte anser att det behövs någon särskild reglering om att ”ledningen” ska godkänna säkerhetsåtgärder och övervaka genomförandet av dem. För ett aktiebolag avses i detta sammanhang med ”ledningen” styrelse, VD och vice VD. Detta är principiellt viktig från ett bolagsstyrningsperspektiv och för att säkerställa att styrelse och VD har frihet att själva avgöra vad som är en lämplig form för verksamhetsutövarens organisation och förvaltning. MSB:s föreslagna föreskrifter innebär dock att ledningens skyldigheter utökas. Även om styrelse och VD är ytterst ansvarig för förvaltningen och organisationen av bolagets angelägenheter är det ytterst olämpligt att i detalj precisera och ålägga ledningen operativa uppgifter på sätt som föreslås.

Cybersäkerhet
Ansvarig handläggareCarolina BrånbyMaria Althin