Tillsynsmyndigheternas kostnader till följd av NIS2-direktivet

2025:8

Publicerad: 2025-04-11

Statskontoret har analyserat de ekonomiska konsekvenserna av tillsyn till följd av NIS2-direktivet för statsbudgeten och tillsynsmyndigheterna. Vi har identifierat några viktiga slutsatser inför genomförandet av tillsynen. Vi föreslår också att tillsynen för sektorn elektronisk kommunikation ska finansieras med anslag, för att skapa en enhetlig finansieringsmodell för all tillsyn enligt NIS2.

Den 14 december 2022 antogs NIS2-direktivet, som syftar till att höja cybersäkerhetsnivån inom EU. Statskontoret har på uppdrag av regeringen analyserat vilka ekonomiska konsekvenser detta får för statsbudgeten och de myndigheter som ska genomföra tillsynen.

Stora skillnader i både initiala och löpande kostnader mellan tillsynsmyndigheterna

Statskontoret har kartlagt de kostnader som tillsynsmyndigheterna själva uppskattar att de kommer att ha, både initialt och löpande. Vår analys visar att:

Kostnaderna för tillsyn enligt NIS2-direktivet varierar stort mellan de elva tillsynsmyndigheterna. Skillnaderna mellan myndigheternas kostnader beror bland annat på att myndigheterna har olika behov av it-utveckling och olika antal tillsynsobjekt.
De initiala kostnaderna uppgår totalt till cirka 154 miljoner kronor för samtliga tillsynsmyndigheter. Kostnaderna varierar mellan Länsstyrelsen Skånes 2,9 miljoner kronor till Post- och telestyrelsens 41,2 miljoner kronor.
De löpande kostnaderna beräknas uppgå till 185 miljoner kronor per år för samtliga tillsynsmyndigheter. Kostnaderna varierar mellan Länsstyrelsen Norrbottens 5,2 miljoner kronor till Finansinspektionens och Läkemedelsverkets dryga 30 miljoner kronor vardera.

Våra viktigaste slutsatser

I vår analys har vi identifierat flera viktiga slutsatser inför genomförandet av NIS2-direktivet.

Full finansiering

Samtliga tillsynsmyndigheter betonar att för att myndigheterna ska kunna genomföra utredningens förslag och genomföra tillsyn till följd av NIS2-direktivet så måste de få full finansiering för att täcka både initiala och löpande kostnader.

Utmaning i kompetensförsörjning

Flera myndigheter påpekar att kompetensförsörjningen inom cybersäkerhet och tillsyn är en stor utmaning. Det är svårt att hitta och rekrytera rätt expertis, samtidigt som myndigheterna påpekar att löneläget är förhållandevis högt.

Effektivitet och resurser

Flera myndigheter bedömer att de behöver utveckla it-system för att möta de nya behoven, något som kommer medföra stora kostnader. För att hålla nere kostnaderna bör regeringen se till att myndigheterna fokuserar på hur de kan effektivisera sina processer och att resurser används på ett hållbart sätt.

Vi föreslår anslagsfinansiering för elektronisk kommunikation

En del av vårt uppdrag har även varit att föreslå en lämplig finansieringsmodell för tillsynen inom sektorn för elektronisk kommunikation. Vi föreslår att denna tillsyn bör finansieras via anslag, i likhet med övrig tillsyn till följd av NIS2-direktivet.

Om tillsynen i stället finansieras genom avgifter skulle sektorn skilja sig från övriga sektorer, vilket skulle skapa en inkonsekvent finansieringsmodell. Avgiftsfinansiering riskerar också att leda till diskussioner om avgiftsnivåer och motprestationer, vilket kan försvåra tillsynsarbetet.

Viktigt att följa upp de faktiska kostnaderna

Statskontorets rapport utgör ett underlag för regeringen som visar de ekonomiska konsekvenserna av tillsynen till följd av NIS2. Eftersom myndigheternas kostnadsuppskattningar är preliminära, är det viktigt att framöver följa upp de faktiska kostnaderna, antalet tillsynsobjekt och hur tillsynen genomförs i praktiken.

Tillsynsmyndigheterna har också särskilda utmaningar med att uppskatta kommande kostnader för tillsyn. Det handlar om att de föreslagna tillsynsmyndigheternas nya uppdrag ännu inte är beslutade, det är inte bestämt hur omfattande uppdragen är och tillsyn av cybersäkerhet innebär ett nytt tillsynsområde för flera av myndigheterna.

Våra framgångsfaktorer har varit att ha kontinuerlig kontakt med tillsynsmyndigheterna. Vi har bland annat träffat berörda myndigheter vid två olika tillfällen för att ge dem tid att reflektera över vilka kostnadsdrivande faktorer som påverkar deras kostnader och därmed bättre kunna uppskatta kostnaderna. Myndigheterna har också fått jämföra sina egna uppskattningar med övriga myndigheters uppskattningar och därefter justera vid behov.

– Jag vill passa på att tacka tillsynsmyndigheterna för deras värdefulla insats genom att tillhandahålla underlag och besvara många frågor från vår sida, säger Lena Birkelöf, projektledare för rapporten.

Ta del av rapporten

Ta del av rapporten under "Denna publikation" på den här sidan.

Namn	Tid	Syfte
ASP.NET_SessionId	Session	Denna ställs in av ASP.NET ramverket och identifierar unikt användarsessionen på servern. Den används av ramverket för att skicka information mellan serverförfrågningar.
ARRAffinitySameSite	Session	Denna cookie används för att skydda användaren mot förfalskning på begäran över fler webbplatser.(XSRF) Den används endast av Episerver CMS.
ARRAffinity	Session	Denna Cookie används av Microsoft Azure för att avgöra hur trafik dirigeras till underliggande webbapplikationer.
ai_session	Session	Denna cookie är associerad med Microsoft Application Insights-programvaran, som samlar in statistisk användning och telemetriinformation för appar som bygger på Azure-molnplattformen. Detta är en unik anonym cookie för sessionidentifierare. Huvudsyftet med denna cookie är: prestanda
ai_user	Varaktig 1 år	Denna cookie är associerad med Microsoft Application Insights-programvaran, som samlar in statistisk användning och telemetriinformation för appar som bygger på Azure-molnplattformen. Detta är en unik cookie för användaridentifierare som gör det möjligt att räkna antalet användare som har åtkomst till applikationen över tid. Huvudsyftet med denna cookie är: Prestanda
AcceptCookies	Varaktig 1 år	Denna cookie används för att identifiera besökarens val i samtycket för kakor. Den lagrar ingen personlig eller unik information.

Namn	Tid	Syfte
_pk_id.*	Varaktig 12 månader	Tredjepartskaka som sätts av Matomo för att vi ska kunna spåra vad just du tycker har varit intessant på vår webbplats. Ingen persondata eller ip-adress sparas.
_pk_ses.*	Session	Tredjepartskaka som sätts av Matomo för att spåra det du har använt vår webbplats till i den pågående sessionen. Ingen persondata eller ip-adress sparar.
_pk_ref.*	Varaktig 6 månader	Tredjepartskaka som sätts av Matomo för att se hur du använt våra tjänster och vilket innehåll som varit intressant. Ingen persondata eller ip-adress sparar.

Kontakt

Lena Birkelöf