Läs hela remissyttrandet som pdf.
Utredningens uppgift har varit att föreslå anpassningar av svensk lagstiftning och svenska myndigheter till de krav som följer av EU:s cyberresiliensförordning (2024/2847). Förordningen är direkt gällande och utredningens förslag handlar således inte om innehållet i förordningen. De kompletterande nationella bestämmelser till förordningen som krävs föreslås samlas i en ny lag, lagen med kompletterande bestämmelser till EU:s cyberresiliensförordning, samt i en ny nationell förordning. Till det föreslås också ändringar av processuella regler, sekretessregler och regeringens bemyndigande till myndigheter att meddela relevanta föreskrifter. Swedac föreslås vara anmälande myndighet, MCF vara CSIRT-enhet och PTS vara marknadskontrollmyndighet. PTS och MCF föreslås ansvara för de stödåtgärder till företag som behövs.
Utredningens förslag föreslås träda i kraft i steg, den 11 juni och den 11 september 2026 och i övrigt den 11 december 2027.
Företagarna framhåller att cyberresiliensförordningens bestämmelser är komplexa och berör områden som är under konstant utveckling. Det kommer därför, för många företag som reglerna berör, att innebära en utökad och betungande regelbörda. Sett till EU-kommissionens ambition att minska regelbördan för europeiska företag, särskilt små och medelstora företag, kommer förordningen att ha motsatt effekt.
I utredningens konsekvensbedömning anges att 99,6 procent av berörda tillverkande företag är små och medelstora företag. Det konstateras också att kostnaderna för regelefterlevnad kommer att bli relativt sett större för dessa företag. Av denna anledning är det viktigt att ansvariga myndigheter ger stöd till främst mindre företag, i synnerhet genom tydlig och lättillgänglig vägledning.
