Tillsynsmyndigheternas kostnader till följd av NIS2-direktivet

Sammanfattning

Den 14 december 2022 antogs NIS2-direktivet, som ersätter det tidigare NIS-direktivet från 2016.^[1] Syftet med direktivet är att höja cybersäkerhetsnivån inom EU genom att öka skyddsnivån för kritisk infrastruktur och viktiga tjänster. Dessutom syftar direktivet till att utveckla samarbetet mellan medlemsländer för att hantera cyberhot. För de svenska myndigheterna innebär NIS2-direktivet dels att de myndigheter som redan har tillsynsansvar enligt det första NIS-direktivet får ett större ansvar, dels innebär direktivet nya uppgifter för myndigheter som nu föreslås få tillsynsansvar.

Statskontoret har på uppdrag av regeringen utrett de ekonomiska konsekvenserna av direktivet för statsbudgeten och för de myndigheter som får ansvar för tillsyn enligt NIS2. I uppdraget ingår även att föreslå lämpliga finansieringsmodeller för tillsynen inom sektorn för elektronisk kommunikation.

Kostnaderna varierar mycket mellan myndigheterna

Statskontoret har utrett vilka kostnader tillsynsmyndigheterna uppskattar att de kommer att få för tillsyn enligt NIS2-direktivet, både initiala kostnader och löpande kostnader. Målet har varit att bedöma de ekonomiska konsekvenserna av direktivet för såväl nuvarande som nya tillsynsmyndigheter. Våra beräkningar av kostnaderna bygger på myndigheternas egna uppskattningar.

Vår analys visar att myndigheterna uppskattar att de initiala kostnaderna uppgår till totalt 154,3 miljoner kronor för samtliga tillsynsmyndigheter, medan myndigheterna uppskattar att de löpande kostnaderna kommer uppgå till 185,5 miljoner kronor totalt per år. De initiala kostnaderna varierar kraftigt mellan tillsynsmyndigheterna. För Länsstyrelsen Skåne uppgår de till 2,9 miljoner kronor, medan de för Post- och telestyrelsens uppgår till 41,2 miljoner kronor. Även när det gäller de löpande kostnaderna varierar uppskattningarna, från Länsstyrelsen Norrbotten, som uppskattar sina kostnader till 5,2 miljoner kronor per år, till Finansinspektionen och Läkemedelsverket som uppskattar sina kostnader till drygt 30 miljoner kronor per år vardera. Finansinspektionen har också högst antal tillsynsobjekt av samtliga tillsynsmyndigheter, totalt 1 500.

I det här sammanhanget vill vi särskilt påpeka att de uppskattade kostnaderna är mycket preliminära. De föreslagna tillsynsmyndigheternas nya uppdrag är ännu inte beslutade av regeringen, uppdragens omfattning är inte klarlagda och tillsyn av cybersäkerhet innebär ett nytt tillsynsområde för flera av myndigheterna.

Utifrån vårt underlag är våra viktigaste iakttagelser och slutsatser följande:

• Samtliga tillsynsmyndigheter betonar att för att myndigheterna ska kunna genomföra utredningens förslag och genomföra NIS2-direktivet så måste de få full finansiering för att täcka både initiala och löpande kostnader.
• Flera myndigheter påpekar att kompetensförsörjningen inom cybersäkerhet och tillsyn är en stor utmaning. Det är svårt att hitta och rekrytera rätt expertis, samtidigt som myndigheterna påpekar att löneläget är förhållandevis högt.
• För att hålla ner kostnaderna bör regeringen se till att myndigheterna fokuserar på hur de kan effektivisera sina processer och att resurser används på ett hållbart sätt. Flera myndigheter bedömer att de behöver nya egna it-system för att möta de nya behoven, något som kommer medföra stora kostnader.
• För att säkerställa att tillsynsmyndigheterna följer cybersäkerhetslagen är det viktigt att regeringen ser till att de faktiska kostnaderna följs upp, liksom antalet tillsynsobjekt och hur tillsynen genomförs i praktiken.

Vi föreslår att tillsyn för sektorn elektronisk kommunikation bör anslagsfinansieras

Vi föreslår att tillsynen för sektorn elektronisk kommunikation finansieras med anslag, i likhet med all övrig tillsyn enligt NIS2. Detta skapar en enhetlig och överskådlig finansieringsstruktur för tillsyn enligt NIS2. Om tillsynen för sektorn elektronisk kommunikation i stället finansieras via avgifter så skulle sektorn skilja sig från övriga sektorer, där tillsynen redan är anslagsfinansierad. Det skulle skapa en inkonsekvent finansieringsmodell inom samma regelverk.

Att finansiera via avgifter riskerar dessutom att leda till diskussioner om avgiftsnivåer och motprestationer, något som inte blir fallet om även denna tillsyn finansieras via anslag. En enhetlig anslagsfinansiering underlättar också för myndigheterna att göra en budget, att planera sina resurser och skapar tydligare ekonomiska ramar för tillsynsarbetet. Om tillsynen för sektorn elektronisk kommunikation skulle avgiftsfinansieras så kräver det dessutom ändringar i den befintliga lagstiftningen om hur tillsyn enligt NIS2 finansieras.

Inledning

I detta kapitel redogör vi för vårt uppdrag, samt ger en översikt av NIS2‑direktivet och de viktigaste förändringarna jämfört med det första NIS-direktivet.

Statskontorets uppdrag

Statskontoret har fått i uppdrag att utreda de ekonomiska konsekvenserna för statsbudgeten och för de myndigheter som till följd av NIS2-direktivet föreslås få nytt eller förändrat ansvar för löpande tillsyn av verksamhetsutövare. Vi ska även lämna förslag på lämpliga finansieringsmodeller för tillsyn inom sektorn för elektronisk kommunikation.

Bakgrund till uppdraget

Europaparlamentet och rådet antog den 14 december 2022 NIS2-direktivet. Det ersätter det första NIS-direktivet från 2016 (härefter NIS1-direktivet) som har genomförts i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.^[2]

NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Direktivet innebär skärpta krav på riskhantering kopplade till cybersäkerhet, såsom cyberattacker och dataintrång, och ett utökat samarbete inom EU för att höja cybersäkerhetsnivån.

För myndigheter medför de nya cybersäkerhetsreglerna enligt NIS2-direktivet två saker:

• utökade arbetsuppgifter för de myndigheter som redan i dag har ansvar för att övervaka att nuvarande regler om informationssäkerhet följs
• nya arbetsuppgifter för de nya myndigheter som föreslås få ansvar att utöva tillsyn över vissa av de tillkommande sektorerna i NIS2-direktivet.

Den nya regleringen väntas innebära ökade resursbehov för både nuvarande och nya tillsynsmyndigheter. Hur stora kostnaderna blir beror på olika faktorer, exempelvis vilken tillsynskompetens myndigheterna redan har, antalet tillsynsobjekt, typ av tillsyn och frekvensen på tillsynen.

I mars 2024 överlämnade utredningen om införlivandet av NIS2-direktivet i nationell rätt delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18). Utredningens konsekvensanalys innehåller preliminära uppskattningar av de ökade kostnaderna som den nya cybersäkerhetsregleringen kommer att innebära för tillsynsmyndigheterna. Men både utredningen och regeringen bedömer att det behövs mer underlag om kostnaderna. Statskontoret har därför fått uppdraget att utreda de ekonomiska konsekvenserna för de berörda myndigheternas tillsynsverksamhet.

Vår tolkning av uppdraget

Utredningen (SOU 2024:18) föreslår att Statskontoret kartlägger de löpande kostnaderna för tillsynsmyndigheterna för tiden från 1 januari 2026. Vår tolkning av uppdraget är att vi ska uppskatta vilka kostnader som utredningens förslag ger upphov till, baserat på när den enskilda myndigheten själv bedömer att den börjar sin tillsynsverksamhet enligt NIS2-direktivet. Detta innebär att tidpunkterna för när myndigheterna börjar få kostnader för detta kan variera.

Om NIS2-direktivet

NIS2-direktivet beslutades av EU i december 2022. Det ersätter NIS1-direktivet, som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. NIS1 var EU:s första gemensamma ramverk för att höja cybersäkerheten inom unionen. Syftet med direktivet var att förbättra medlemsstaternas motståndskraft mot cyberhot. Det skulle uppnås genom att införa krav på riskhantering och incidentrapportering – till exempel vid cyberattacker och dataintrång – för vissa samhällsviktiga sektorer, som energi, transport, hälsa och digitala tjänster. Sju sektorer omfattades av det första direktivet.

I oktober 2024 blev NIS2-direktivet lag i Sverige. NIS2 skärper och utökar regelverket genom att bland annat införa krav på fler och mer detaljerade riskhanteringsåtgärder samt stärker samarbetet mellan medlemsländer, genom flera åtgärder som förbättrar informationsdelning, koordinering och krisberedskap vid cyberhot. NIS2 ställer också högre krav på tillsyn över hur organisationer inom berörda sektorer uppfyller säkerhetskraven samt incidentrapportering, vilket innebär att organisationer snabbt och korrekt rapporterar allvarliga cybersäkerhetsincidenter till tillsynsmyndigheterna. Direktivet innebär också gemensamma regler för sanktionsåtgärder för medlemsländerna.

NIS2-direktivet har även ett bredare tillämpningsområde, och omfattar både offentliga och privata verksamhetsutövare, där det finns krav att organisationerna ska vara över en viss storlek för att omfattas av reglerna. Skillnaderna innebär att fler organisationer måste följa direktivet, och tillsynsmyndigheterna får utökade arbetsuppgifter. NIS2-direktivet innebär också att antalet sektorer som direktivet gäller ökar från 7 till 18 sektorer.

MSB spelar en central roll när det gäller att genomföra NIS2-direktivet

Myndigheten för samhällsskydd och beredskap (MSB) har en central roll i Sveriges arbete med NIS-direktiven. Det gäller både det ursprungliga NIS1-direktivet och det nya NIS2-direktivet. Myndigheten leder bland annat ett samarbetsforum där samtliga tillsynsmyndigheter ingår. Därutöver är MSB en nationell gemensam kontaktpunkt och företräder Sverige i EU:s strategiska samarbetsgrupp.^[3]

Mot bakgrund av att MSB i dag fullgör de uppgifter de får av att vara gemensam kontaktpunkt samt myndighetens uppgift att stödja och samordna arbetet med samhällets informationssäkerhet så anser utredningen (SOU 2024:18) att MSB ska fortsätta vara gemensam kontaktpunkt i Sverige.^[4] Den gemensamma kontaktpunkten ska fungera som en sambandsfunktion, och bland annat lämna sammanfattande rapporter om relevanta incidenter, om cyberhot samt underrätta kommissionen och samarbetsgruppen om antalet tillsynsobjekt i Sverige.

Viktiga förändringar som följer med NIS2-direktivet

Förslaget från utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) medför ekonomiska konsekvenser för tillsynsmyndigheterna, för MSB och för verksamhetsutövarna. För tillsynsmyndigheterna handlar det om att betydligt fler verksamhetsutövare kommer att omfattas av lagen, och som myndigheterna alltså behöver tillsyna.

Enligt utredningens förslag ska elva myndigheter bedriva tillsyn till följd av NIS2-direktivet. Sex av dessa bedriver redan tillsyn över sju sektorer av samhällsviktiga tjänster enligt gällande lagstiftning (NIS1). Enligt utredningens förslag tillkommer fem nya myndigheter som i dag inte bedriver tillsyn enligt NIS1. För enkelhetens skull kallar vi de förstnämnda sex tillsynsmyndigheterna för ”nuvarande tillsynsmyndigheter” och de fem nya för ”nya tillsynsmyndigheter” (tabell 1).

Tabell 1. Nuvarande och nya tillsynsmyndigheter och fördelning av sektorer.

Anmärkning: De sektorer som tillkommer i NIS2 är markerade med (ny).

Utöver att NIS2-direktivet ökar antalet sektorer som myndigheterna ska tillsyna tillkommer det även delsektorer och nya typer av verksamhetsutövare. Det innebär att antalet verksamhetsutövare som omfattas av den nya regleringen kommer öka kraftigt.^[5] För att utreda kostnader för tillsynen enligt NIS2-direktivet valde utredningen att dela upp kostnaderna i initiala respektive löpande kostnader. Det är samma uppdelning av kostnader som Statskontoret gjorde 2018 i rapporten Tillsyn enligt NIS‑direktivet – kostnader och finansiering.^[6]

Skillnader i vilket ansvar tillsynsmyndigheter har mellan NIS1 och NIS2

Utredningen (SOU 2024:18) föreslår att de myndigheter som har tillsynsansvar enligt NIS1 fortsätter att ha det enligt NIS2, med vissa skillnader. För fem av de sex nuvarande tillsynsmyndigheterna – Energimyndigheten, Inspektionen får vård och omsorg (IVO), Livsmedelsverket, Post- och telestyrelsen (PTS) och Transportstyrelsen – blir en övergripande skillnad att den lag som idag gäller (NIS1) är begränsad till samhällsviktiga och digitala tjänster, medan förslaget till ny cybersäkerhetslag (NIS2) även omfattar enskilda verksamhetsutövare som uppfyller storlekskravet inom sektorn.^[7] Storlekskravet innebär att även enskilda verksamhetsutövare som är tillräckligt stora och bedriver verksamhet inom sektorn också omfattas av förslaget till cybersäkerhetslagen.^[8] Enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG omfattar direktivet verksamheter som definieras som medelstora företag. Enligt denna definition har ett medelstort företag upp till 250 anställda och en omsättning på upp till 50 miljoner euro och en balansomslutning på upp till 43 miljoner euro. ^[9]

Energimyndigheten och IVO behåller samma tillsynsområden i NIS2 som de hade i NIS1, men de får större ansvarsområden. Energimyndigheten kommer nu även att utöva tillsyn över verksamhetsutövare inom delsektorerna elektricitet, fjärrvärme och fjärrkyla, olja och vätgas. För IVO innebär utredningens förslag att myndigheten i fortsättningen ska meddela föreskrifter för sin sektor, något som Socialstyrelsen gjort hittills.^[10]

Enligt utredningens förslag fortsätter Finansinspektionen att vara en tillsynsmyndighet enligt NIS2, men de får inte någon ny sektor att tillsyna. Finansinspektionen utövar idag tillsyn i enlighet med DORA-förordningen. DORA-förordningen började gälla januari 2023, och tillämpas från och med den 17 januari 2025. I skäl 28 för NIS2-direktivet står särskilt att DORA-förordningen är en sådan sektorsspecifik unionsrättsakt och att medlemsstaterna inte bör tillämpa NIS2-direktivets bestämmelser om riskhanterings- och rapporteringsskyldigheter på finansiella verksamhetsutövare som omfattas av DORA-förordningen.^[11] Utredningen bedömer att finansiella verksamhetsutövare bara kommer omfattas av uppgiftsskyldigheten, och att Finansinspektionens kostnader därför inte kommer att öka till följd av NIS2-direktivet.^[12] Uppgiftsskyldigheten betyder att finansiella verksamhetsutövare ska rapportera om säkerhetsincidenter och risker som kan påverka deras verksamhet, särskilt när det gäller cybersäkerhet. Utredningen föreslår därför att finansiella verksamhetsutövare som omfattas av DORA-förordningen inte ska omfattas av riskhanterings- och rapporteringsskyldigheter enligt den föreslagna lagen om cybersäkerhet.^[13]

Som vi noterar ovan innebär utredningens förslag att fem nya myndigheter ska utöva tillsyn utöver de nuvarande tillsynsmyndigheterna. Dessa fem nya tillsynsmyndigheter är Läkemedelsverket och fyra länsstyrelser: Länsstyrelsen Norrbotten, Länsstyrelsen Skåne, Länsstyrelsen Stockholm och Länsstyrelsen Västra Götaland.

Enligt utredningens förslag blir Läkemedelsverket tillsynsmyndighet för hälso- och sjukvårdssektorn samt för tillverkning av läkemedel och medicintekniska produkter. Vidare föreslår utredningen att de fyra länsstyrelserna blir tillsynsmyndigheter för sektorerna offentlig förvaltning, avfallshantering, forskning, en del av tillverkningssektorn, tillverkning, produktion och distribution av kemikalier samt lärosäten med examenstillstånd. Enligt utredningen bör tillsyn över den offentliga förvaltningen följa det system som finns enligt säkerhetsskyddsregleringen. Säkerhetsskyddsregleringen syftar på de specifika regler och krav som gäller för säkerheten i den offentliga sektorn, särskilt när det handlar om att skydda information, system och verksamheter som är av särskild betydelse för rikets säkerhet.

Utredningen menar att de länsstyrelser som bedriver tillsyn enligt den regleringen även ska vara tillsynsmyndigheter för sektorn.^[14] Utredningens slutsats för Läkemedelsverket och de fyra länsstyrelserna är att myndigheternas tillsyn av dessa sektorer kommer att medföra nya kostnader för myndigheterna. Men när det gäller länsstyrelserna bör enligt utredningen en analys av deras kostnader ta hänsyn till att de redan har en etablerad tillsynsorganisation och den kompetens som behövs.^[15]

Tillsynens omfattning skiljer sig åt

Hur NIS2-direktivet beskriver att tillsynen ska gå till skiljer sig åt mellan olika tillsynsmyndigheter, både i fråga om antal tillsyner och hur omfattande tillsynerna ska vara. Tillsynen ska ske genom olika åtgärder, som inspektioner, säkerhetsrevisioner, krav på incidentrapportering, samt sanktioner i form av förelägganden eller böter om tillsynen upptäcker brister.

Hur omfattande tillsynen ska vara skiljer sig också åt mellan det som kallas väsentliga respektive viktiga verksamhetsutövare. För väsentliga verksamhetsutövare ska tillsynen vara både proaktiv och reaktiv, medan den för viktiga verksamhetsutövare enbart ska vara reaktiv och mindre omfattande.^[16] Tillsynen skiljer sig därmed avsevärt mellan dessa verksamhetsutövare, och kommer kräva olika mycket resurser.

Det är därför svårt att bedöma kostnaden för en tillsyn, eftersom dess omfattning och tidsåtgång varierar stort. Flera faktorer påverkar hur mycket tid en tillsyn tar, exempelvis om tillsynen genomförs digitalt eller fysiskt på plats hos den granskade verksamheten. Fysiska tillsyner kräver ofta mer tid och resurser.

Även omfattningen av de brister som en tillsyn eventuellt identifierar påverkar kostnaden. Om tillsynen upptäcker brister kan det leda till krav på att tillsynsobjektet ska komma in med kompletteringar eller genomföra åtgärder innan tillsynen kan avslutas. I vissa fall kan flera uppföljningar krävas, vilket ytterligare förlänger – och därmed fördyrar – processen.

Hur vi har disponerat rapporten

Vi inleder kapitel 2 med övergripande iakttagelser och slutsatser, samt en genomgång av de särskilda utmaningarna med att uppskatta kostnaderna för tillsyn enligt NIS2. Därefter redovisar vi myndigheternas uppskattade kostnader, myndighet för myndighet. I kapitel 3 analyserar vi finansieringsmodellen för tillsyn inom sektorn för elektronisk kommunikation och lämnar förlag på hur den kan finansieras.

De ekonomiska konsekvenserna för myndigheterna

I detta kapitel redogör vi för de ekonomiska konsekvenserna för de myndigheter som får tillsynsansvar till följd av NIS2-direktivet.

Samtliga föreslagna tillsynsmyndigheter påpekar i våra intervjuer att det är svårt för dem att bedöma de ekonomiska konsekvenserna av den nya tillsynen. De har ändå efter bästa förmåga uppskattat sina initiala och löpande kostnader, utifrån bland annat ett antal kostnadsdrivande faktorer som vi har presenterat för dem (bilaga 4). Vi har också bett myndigheterna att motivera sina uppskattningar och förklara hur de har kommit fram till dem.

Flera myndigheter har redan tagit viktiga steg för att förbereda sig inför att NIS2 börjar gälla, medan andra fortfarande befinner sig i uppstartsfasen. Men det är tydligt att direktivet innebär stora förändringar i både arbetsbörda och kostnader för alla myndigheter som får tillsynsansvar till följd av NIS2-direktivet.

Övergripande iakttagelser och slutsatser

• Både nuvarande och nya tillsynsmyndigheter påpekar att de flesta uppskattningarna i underlagen delvis är osäkra. Detta gäller antalet tillsynsobjekt, tillsynens omfattning och kostnaderna som detta medför. Därför bör kostnadsuppskattningarna ses som vägledande snarare än att de är de faktiska kostnader myndigheterna kommer få.
• Myndigheterna betonar också att om de ska genomföra utredningens förslag och genomföra NIS2-direktivet så behöver de få full finansiering för att täcka både initiala och löpande kostnader. När det gäller frågan om att finansiera tillsynsverksamheten så pekar utredningen (SOU 2024:18) på artikel 8.5 och 11.2 i NIS2-direktivet som innebär att medlemsstaterna ska se till att deras behöriga myndigheter har tillräckliga resurser för att på ett ändamålsenligt och effektivt sätt utföra de uppgifter de tilldelas och därigenom når målet för direktivet. Samtidigt finns det ingen bestämmelse i NIS2-direktivet om hur finansieringen ska ske, något som fanns i det ursprungliga NIS1-direktivet. Utredningens tolkning är att medlemsstaterna i samband med att de genomförde NIS1-direktivet redan har accepterat att de behöriga myndigheterna får tillräckliga resurser. Men Statskontoret uppfattar att vissa myndigheter befarar att deras kostnader för tillsyn enligt NIS2-direktivet inte kommer att täckas fullt ut av statlig finansiering.
• Regeringen bör se till att myndigheterna fokuserar på hur de kan effektivisera sina processer och på att resurser används på ett hållbart sätt. Flera myndigheter bedömer att de behöver ta fram nya egna it-system för att möta de nya behoven, vilket kommer medföra stora kostnader. Alla myndigheter som har ett tillsynsansvar enligt NIS2, både nya och nuvarande, erbjöds att delta i en workshop som organiserades av MSB, där fokus låg på om det går att ha en gemensam anmälningsplattform för verksamhetsutövare och om det är lämpligt. Vi har inte haft möjlighet att utreda frågan om en gemensam it-lösning för att minska myndigheternas kostnader. Men vi anser att regeringen bör ta frågan vidare när den fortsätter bereda finansiering av tillsynen som en konsekvens av NIS2-direktivet.
• Statskontoret anser att de diskussioner som pågår mellan de föreslagna tillsynsmyndigheterna i MSB:s samarbetsforum är av central betydelse för att myndigheterna ska kunna genomföra den nya tillsynen till följd av NIS2 på ett så effektivt sätt som möjligt. Vi bedömer att det utbyte av kunskap och erfarenheter mellan myndigheterna som sker i forumet är särskilt viktigt för de fem nya tillsynsmyndigheterna, det vill säga de fyra länsstyrelserna och Läkemedelsverket. Det är därför värdefullt, enligt Statskontoret, att MSB och myndigheterna fortsätter samarbetet på samma nivå som idag.
• För att se till att tillsynsmyndigheterna följer cybersäkerhetslagen är det viktigt att regeringen följer upp myndigheternas faktiska kostnader, antalet tillsynsobjekt och hur myndigheterna genomför tillsynen i praktiken. Regeringen kan exempelvis följa upp detta genom att ha krav på att myndigheterna ska redovisa detta i årsredovisningen, genom särskilda regeringsuppdrag eller genom specifika riktlinjer i regleringsbrev. En sådan uppföljning kan även visa på skillnader i ambitionsnivå mellan myndigheterna samt variationer i tillsynens komplexitet. Genom att myndigheterna redovisar dessa aspekter får både regeringen och andra relevanta aktörer en tydligare bild och bättre förutsättningar för att utvärdera verksamheten i framtiden. Samtidigt ger det tillsynsmyndigheterna själva möjlighet att reflektera över och förbättra sin egen verksamhet.
• Flera myndigheter påpekar att kompetensförsörjningen inom cybersäkerhet och tillsyn är en stor utmaning. Det är svårt att hitta och rekrytera rätt expertis, något som framför allt gäller de nya tillsynsmyndigheterna. Samtidigt är löneläget förhållandevis högt och fortsätter att stiga, vilket gör att kostnaderna för att rekrytera nödvändig expertis kan bli höga. Dessutom behöver myndigheterna resurser för att upprätthålla och utveckla medarbetarnas kompetens över tid.
• Rekryteringskostnaderna varierar mycket mellan olika myndigheter, beroende på vilka kostnadsposter som räknas med. Vissa myndigheter har bara räknat med direkta kostnader som annonskostnader, HR‑processer och att ta fram kravprofiler, medan andra även har räknat in indirekta kostnader som utbildning och att produktiviteten tillfälligt sjunker när nya medarbetare ska introduceras. Dessa skillnader kan göra det svårt att jämföra rekryteringskostnader mellan myndigheterna. För att göra dem mer jämförbara har vi i tabellerna valt att bara ta med direkta kostnader.

Särskilda utmaningar med att uppskatta kostnader för tillsyn

Statskontoret uppmärksammade i rapporten Tillsyn enligt NIS-direktivet – kostnader och finansiering de särskilda utmaningar som finns när det gäller att analysera de framtida ekonomiska konsekvenserna för tillsyn enligt NIS-direktivet. De faktorer som vi lyfte fram 2018 är delvis aktuella även när vi ska analysera kostnader för tillsyn enligt NIS2-direktivet.^[17] Det handlar om att de föreslagna tillsynsmyndigheternas nya uppdrag ännu inte är beslutade av regeringen, det är inte bestämt hur omfattande uppdragen är och tillsyn av cybersäkerhet innebär ett nytt tillsynsområde för flera av myndigheterna, vilket i sig gör kostnaderna svåra att uppskatta. Det har även gjorts ett tidigare försök att bedöma kostnaderna för tillsyn till följd av NIS2-direktivet, utan att kostnaderna blev fullt klarlagda (se avsnitt 1.1.1). Det visar på svårigheterna att uppskatta kostnaderna.

Det finns dessutom indikationer på att det även i efterhand är svårt att bedöma kostnaderna för tillsyn inom olika områden. En tidigare rapport från Statskontoret visar att detta beror på att tillsynsmyndigheterna använder olika metoder för att beräkna kostnaderna.^[18] Tillsynsutredningen (SOU 2002:14) gjorde ett försök att bedöma kostnaderna för tillsyn inom olika områden och kom i en grov skattning då fram till en total kostnad på mellan fyra och fem miljarder kronor för de statliga och kommunala myndigheternas tillsynsverksamheter. I sitt slutbetänkande (SOU 2004:100) ansåg utredningen att svårigheterna beror på att begreppet tillsyn inte används på samma sätt av alla myndigheter, vilket gör att uppskattningar om kostnaderna blir osäkra. Dessutom särredovisar inte alltid myndigheterna sin tillsyn. Det innebär att till exempel kostnader och avgiftsintäkter måste uppskattas.^[19]

Stora skillnader i både initiala och löpande kostnader mellan myndigheterna

De initiala kostnaderna för tillsyn enligt NIS2-direktivet beräknas bli 154,3 miljoner kronor för samtliga tillsynsmyndigheter (tabell 2). De löpande kostnaderna beräknas bli 185,5 miljoner kronor per år. Om vi bara tar med de myndigheter som har fått ett nytt eller utökat tillsynsuppdrag enligt NIS2-direktivet – det vill säga alla myndigheter utom Finansinspektionen – så blir de initiala kostnaderna 147,1 miljoner kronor och de löpande kostnaderna 154,9 miljoner kronor per år.

Tabell 2. Översikt av kostnader för tillsyn enligt NIS2, miljoner kronor.

Anmärkning: I de initiala kostnaderna ingår direkta kostnader för att rekrytera nya medarbetare. För indirekta kostnader kopplade till rekrytering, se respektive avsnitt per myndighet. Finansinspektionen har inte fått något utökat uppdrag enligt NIS2. De kostnader som Finansinspektionen angivit rör det uppdrag som myndigheten har fått kopplat till DORA i stället.

Tillsynsmyndigheternas initiala kostnader varierar kraftigt. Sju myndigheter uppskattar att deras initiala kostnader är under 10 miljoner kronor, medan fyra uppger att de kommer bli mer än 20 miljoner kronor. Beloppen varierar mellan Länsstyrelsen Skånes 2,9 miljoner kronor till Post- och telestyrelsens 41,2 miljoner kronor.

Det är även stora skillnader när det gäller de löpande kostnaderna. Två myndigheter uppger att deras kostnader kommer att bli mindre än 10 miljoner kronor per år, medan fem myndigheter bedömer att deras kostnader kommer att bli mer än 20 miljoner kronor per år. De övriga fyra myndigheterna uppskattar att deras kostnader kommer bli mellan 10 och 15 miljoner kronor per år.

Skillnaderna beror framför allt att på att myndigheterna har olika antal tillsynsobjekt, även om det kan finnas ytterligare faktorer som bidrar till skillnaderna, exempelvis hur de genomför tillsynen. Den myndighet som anger att deras löpande kostnader kommer att vara lägst är Länsstyrelsen Norrbotten, med 5,2 miljoner kronor per år, medan Finansinspektionen och Läkemedelsverket uppger att deras löpande kostnader kommer att bli drygt 30 miljoner kronor per år vardera, vilket är högst av samtliga. Finansinspektionen har också det största antalet tillsynsobjekt av samtliga, totalt 1 500. Vi ser samma mönster när vi tittar på länsstyrelserna. Länsstyrelsen Stockholm anger att deras löpande kostnader för tillsyn kommer bli drygt 21 miljoner kronor per år. Detta kan jämföras med de övriga tre länsstyrelserna som uppskattar deras motsvarande kostnader till mellan 5 och 10 miljoner kronor per år. Återigen är förklaringen att antal tillsynsobjekt skiljer sig åt mellan länsstyrelserna.

En utförligare redovisning av samtliga myndigheternas kostnader, uppdelad på olika faktorer, som föreskrifter, rekrytering, it-utveckling och löpande lönekostnader finns i bilaga 3. I följande avsnitt, 2.4 till 2.14, beskriver vi varje enskild myndighets tillsynsansvar enligt NIS2-direktivet samt de initiala och löpande kostnader som myndigheterna uppskattar att tillsynen medför.

Energimyndigheten

Energimyndigheten har ansvar för tillsyn enligt NIS1-direktivet inom energisektorn, och övervakar för närvarande ungefär 300 tillsynsobjekt. Sedan direktivet trädde i kraft har myndigheten fokuserat på rekrytering, utbildning och kompetensutveckling. Till följd av NIS1-direktivet genomför myndigheten för närvarande anmälningstillsyn, tillsyn av den egna föreskriften om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (STEMFS 2021:3) samt tillsyn av incidentrapporter.

Under 2022 genomförde Energimyndigheten cirka 120 tillsyner till följd av NIS1-direktivet. Under 2023 avslutade myndigheten tillsyner som påbörjats året innan och genomförde 5 tillsyner enligt den egna föreskriften STEMFS 2021:3 genom skrivbordstillsyn, platstillsyn och ad hoc tillsyn.

Antal tillsynsobjekt ökar till omkring 600 till följd av NIS2

NIS2-direktivet innebär en betydande förändring för Energimyndigheten. Utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) föreslår att myndigheten fortsätter sin tillsyn inom energisektorn, men med ett utökat ansvar. Det innebär att de ska utöva tillsyn över fler leverantörer och nya tematiska områden, som exempelvis fjärrvärme. Totalt kommer Energimyndigheten utöva tillsyn över 600 leverantörer, vilket innebär en nästan fördubbling av antalet tillsynsobjekt.^[20]

Energimyndigheten förväntar sig fler incidentrapporteringar

Energimyndigheten identifierar flera initiala kostnader, bland annat för att rekrytera och utbilda personal, arbeta med föreskrifter, samt för att utveckla nya rutiner och handböcker. Dessutom väntar myndigheten att incidentrapporteringen ökar, vilket ställer krav på att hantera och utveckla denna process.^[21]

En annan viktig aspekt är skillnaden i kompetensnivå mellan små, mellanstora och stora företag. Små företag har ofta begränsade resurser för utbildning och kompetensutveckling inom cybersäkerhet, vilket kan påverka hur väl de klarar av att följa NIS2-direktivet. ^[22]

Myndigheten bedriver idag inte tillsyn i den omfattning den borde

Energimyndigheten påpekar att den nuvarande tillsynen enligt NIS1-lagstiftningen inom energisektorn kräver mycket resurser och att myndigheten inte bedriver tillsyn i den omfattning som skulle behövas för att se till att reglerna följs.

Beslut om sanktionsavgifter av större belopp överklagas i regel till domstol, vilket medför en hög arbetsbelastning för både NIS-verksamheten och rättsavdelningen. Utöver den operativa tillsynen ansvarar myndigheten även för vägledning i att följa lagstiftningen, att bevaka händelser inom energiområdet, deltaga i MSB:s samarbetsforum, samt följa upp kommande ändringar i NIS-lagstiftningen.

Det är en utmaning att hitta handläggare med rätt kompetens

För att kunna ta det ökade ansvaret behöver myndigheten rekrytera fler medarbetare. Alla nya medarbetare behöver gå igenom en säkerhetsprövning och få en grundlig introduktion. Det är svårt för myndigheten att hitta handläggare med rätt kompetens och erfarenhet, vilket innebär att myndighetens NIS-verksamhet också behöver avsätta tid för att utbilda och ge stöd till nyanställda. Myndigheten har även ett behov av att utveckla sitt handläggarstöd, sina rutiner och sina handböcker för att effektivisera arbetet.

De initiala kostnaderna uppgår till 7,8 miljoner kronor

Energimyndigheten bedömer att de initiala kostnaderna för tillsyn till följd av NIS2-direktivet kommer uppgå till sammanlagt 7,8 miljoner kronor. Dessa kostnader uppkommer genom att myndigheten behöver ta fram föreskrifter, rekrytera nya medarbetare samt från engångskostnader (tabell 3).

Tabell 3. Energimyndighetens initiala kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika delposterna.

Att ta fram nya föreskrifter utgör den största initiala kostnaden för Energimyndigheten

Den största initiala kostnaden för Energimyndigheten är att ta fram nya föreskrifter. Myndigheten beräknar att det kommer krävas 1,5 heltidstjänster för att hantera de tre föreskrifter som utredningen (SOU 2024:18) föreslår.^[23] Myndigheten uppskattar kostnaden för det till 3,2 miljoner kronor.

Energimyndigheten har som tillsynsmyndighet enligt NIS2-direktivet i uppdrag att ta fram föreskrifter som ska se till att verksamhetsutövare inom energisektorn följer de krav som ställs i direktivet. Dessa föreskrifter handlar i första hand om riskhanteringsåtgärder och incidentrapportering. Arbetet med föreskrifterna består av enskilda moment som exempelvis förberedelser och möten med MSB, kartläggning av anmälningsföreskrifter, att framställa föreskrifterna samt en tillhörande vägledning.

Energimyndigheten behöver rekrytera fem nya handläggare

Energimyndigheten behöver rekrytera fem nya handläggare till följd av NIS2-direktivet. Myndigheten uppskattar kostnaden per rekrytering till 130 000 kronor, vilket innebär en sammanlagd kostnad om 650 000 kronor. I summan ingår en kompetensinventering i den egna organisationen, själva rekryteringen samt en säkerhetsprövning av de nyrekryterade medarbetarna.

Informationsinsatserna omfattar flera olika aktiviteter

Energimyndighetens kostnader för informationsinsatser beräknas uppgå till 950 000 kronor. Inom ramen för detta ingår följande aktiviteter:

• föreläsningsturné som riktas mot potentiella tillsynsobjekt
• delta i konferenser för att sprida information
• sprida information via Energimyndighetens webbplats och utskick av nyhetsbrev
• sprida vägledningen om hur tillsynsobjekten ska anmäla sin verksamhet för tillsyn.

Engångskostnaderna består av bland annat handläggarstöd för it‑system och metodstöd

Energimyndighetens engångskostnader för tillsyn till följd av NIS2-direktivet beräknas uppgå till tre miljoner kronor. I denna summa ingår bland annat projektledning och handläggarstöd för it-system samt att ta fram metodstöd, handböcker och formulär. Om Energimyndigheten skulle bygga upp ett nytt enskilt it-system skulle kostnaden troligen bli högre.

De löpande kostnaderna uppgår till 7 miljoner kronor

Energimyndighetens löpande kostnader beräknas uppgå till 7 miljoner kronor per år. Summan baseras på att Energimyndigheten kommer behöva rekrytera fem nya tillsynshandläggare för tillsynen enligt NIS2-direktivet. I genomsnitt kostar en handläggare 1,4 miljoner kronor per år, enligt Energimyndighetens bedömning. Energimyndigheten kan i nuläget inte specificera hur stora myndighetens löpnade förvaltningskostnader för it blir.

Sammanlagt kommer 11 handläggare att arbeta med NIS2-tillsyn framöver inom Energimyndigheten. Vi bedömer att övriga sex handläggare inte utgör en ytterligare kostnad för myndigheten till följd av NIS2-direktivet.

Finansinspektionen

Finansinspektionen har enligt NIS1-direktivet tillsynsansvar för sektorerna bankverksamhet och finansmarknadsinfrastruktur. Myndigheten har ansvar för 12 tillsynsobjekt idag, men har inte inlett några tillsynsärenden kopplade till NIS-direktivet sedan direktivet trädde i kraft den 1 augusti 2018. Finansinspektionen menar att kraven i de egna föreskrifterna överensstämmer med MSB:s föreskrifter när det gäller systematiskt och riskbaserat informationssäkerhetsarbete. Därför har myndigheten inte tyckt att de behöver införa några ytterligare föreskrifter på området. I stället har myndigheten gjort sin tillsyn genom att följa upp risker kopplade till it- och informationssäkerhet i riktade tillsynsaktiviteter mot enskilda institut.^[24]

Antal tillsynsobjekt ökar till omkring 1 500 till följd av DORA-förordningen

Enligt förslag i utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) kommer Finansinspektionen till följd av NIS2-direktivet ha kvar samma tillsynsområden som tidigare, det vill säga bankverksamhet och finansmarknadsinfrastruktur.

Finansiella verksamhetsutövare omfattas inte av NIS2

Samtidigt föreslår utredningen att finansiella verksamhetsutövare som sedan januari 2025 omfattas av kraven i DORA-förordningen (Digital Operational Resilience Act) inte ska omfattas av riskhanterings- och rapporteringsskyldigheten enligt NIS2.^[25] Som en följd av det kommer inte heller tillsyns- och efterlevnadskontroll enligt lagen gälla för dem. Det betyder att finansiella verksamhetsutövare bara kommer att omfattas av uppgiftsskyldigheten i NIS2. Det som återstå är att Finansinspektionen ska se till att de finansiella verksamhetsutövarna lämnar uppgifter och vidarebefordrar dem till MSB. För Finansinspektionen betyder det att deras uppgifter inte bör öka, enligt utredningen.^[26]

Finansinspektionens uppskattning av sina kostnader är baserat på DORA-förordningen

Eftersom DORA är en förordning, och därmed ska tillämpas direkt i alla EU-medlemsstater, har den företräde framför NIS2-direktivet, som måste införas i den nationella lagstiftningen för att gälla. Finansinspektionens underlag till Statskontoret är därför helt baserat på vilka kostnader som myndigheten hittills har haft och kommer att få till följd av DORA-förordningen.

Om DORA-förordningen inte hade funnits skulle de finansiella företagen, enligt Finansinspektionen, ha omfattats av samtliga krav i den föreslagna lagen om cybersäkerhet, det vill säga NIS2. Den nya lagen om cybersäkerhet berör cirka 50 finansiella företag, medan DORA-förordningen omfattar ungefär 1 500 företag.

De initiala kostnaderna uppgår till 7,2 miljoner kronor

Finansinspektionens sammanlagda initiala kostnader för tillsyn till följd av DORA-förordningen beräknas uppgå till sammanlagt cirka 7,2 miljoner kronor (tabell 4).

Tabell 4. Finansinspektionens initiala kostnader, miljoner kronor.

Finansinspektionens kostnader för att ta fram nya föreskrifter beräknas bli cirka 2 miljoner kronor. För övrigt regelverksarbete beräknar myndigheten att kostnaden för perioden 2026–2028 totalt blir cirka 2 miljoner kronor. Den sammanlagda kostnaden för nya föreskrifter och regelverksarbete beräknas alltså bli 4 miljoner kronor. Att ta fram och se över sektorsövergripande föreskrifter involverar samtliga verksamhetsområden på Finansinspektionen och bedrivs i enlighet med myndighetens regelprocess. Kostnaderna för övrigt regelverksarbete kopplat till DORA-förordningen är en uppskattning baserad på myndighetens internationella åtaganden.

Finansinspektionen planerar att rekrytera 10–15 nya årsarbetskrafter till följd av DORA-direktivet, vilket myndigheten beräknar kommer kosta ungefär 67 000–100 000 kronor per rekrytering. De sammanlagda kostnaderna beräknas bli ungefär 1 miljon kronor.

Finansinspektionens initiala it-kostnader till följd av DORA-direktivet är till cirka 2 miljoner kronor, och omfattar att ta fram licenskostnader för perioden 2024–2028. Övriga kostnader till följd av DORA uppgår till omkring 2 miljoner kronor.

De löpande kostnaderna uppgår till cirka
20–30 miljoner kronor

Finansinspektionen behöver utöka sin personal med ungefär 10–15 nya årsarbetskrafter till följd av DORA-direktivet, vilket myndigheten beräknar kommer medföra löpande kostnader på cirka 20–30 miljoner kronor per år, inräknat kostnader för att rekrytera.

DORA-förordningen innebär att Finansinspektionen behöver ny och utökad kompetens, särskilt inom områden som tidigare inte funnits på myndigheten. Traditionellt har myndighetens fokus legat på finansiella risker. Men det nya regelverket kräver en bredare kompetens. Finansinspektionen har inte fått tillräckliga medel för att rekrytera i den omfattning som myndigheten bedömer att den behöver. Eventuella rekryteringskostnader kommer att hanteras inom den ordinarie verksamheten.

Finansinspektionen bedömer att myndighetens kostnader för den löpande it-förvaltningen blir 600 000 kronor per år.

Inspektionen för vård och omsorg

Inspektionen för vård och omsorg (IVO) ansvarar för tillsynen av informationssäkerheten inom hälso- och sjukvårdssektorn enligt NIS1-direktivet, och har ansvar för cirka 300 tillsynsobjekt. Myndigheten ser till att vårdgivare genomför nödvändiga åtgärder för att hantera risker och incidenter i sina nätverks- och informationssystem. Socialstyrelsen har rätt att meddela föreskrifter för IVO:s tillsynsområde, och MSB ger stöd i detta arbete. Under det senaste året har myndigheten i första hand arbetat med att avsluta pågående ärenden och att hantera inkomna incidentrapporter.

Antal tillsynsobjekt ökar till omkring 900 till följd av NIS2

IVO får ett utökat tillsynsansvar inom hälso- och sjukvårdssektorn till följd av NIS2-direktivet. Myndigheten ska se till att fler verksamhetsutövare uppfyller de skärpta cybersäkerhetskraven. Myndigheten ska göra detta bland annat genom att bedriva en mer omfattande tillsyn av riskhanteringsåtgärder, informationssäkerhet och incidentrapportering. Antalet tillsynsobjekt ökar från 300 till 900. Utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) föreslår att IVO får ett bemyndigande att meddela föreskrifter inom sektorn, och inte som idag Socialstyrelsen.^[27]

Enligt myndigheten ställer NIS2-direktivet högre krav på IVO som myndighet och på dess tillsynsuppdrag. Det beror på att IVO:s tillsynsobjekt tillhör kategorin väsentliga verksamhetsutövare. Det innebär att IVO kommer att ha krav på sig att genomföra en proaktiv tillsyn. För att uppfylla dessa krav behöver myndigheten:

• kompetensutveckling inom informationssäkerhet, med särskild utbildning inom juridik och teknik
• utveckla och anpassa befintliga it-system samt införa ett nytt it-system
• utökade resurser, eftersom IVO med NIS2 får ett större uppdrag för uppföljning och tillsyn.

De initiala kostnaderna uppgår till 4,5 miljoner kronor

IVO:s sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet beräknas bli drygt 4,5 miljoner kronor. Dessa kostnader kommer av att myndigheten behöver ta fram föreskrifter, rekrytera och hantera engångskostnader (tabell 5).

Tabell 5. Inspektionen för vård och omsorgs initiala kostnader, miljoner kronor.

Processen för att ta fram föreskrifter innehåller flera steg

IVO:s kostnader för att ta fram föreskrifter till följd av NIS2-direktivet beräknas uppgå till 670 000 kronor. Kostnaden kommer från följande steg:

• Analys av NIS2-direktivet: IVO måste först analysera direktivets krav och identifiera vilka delar som påverkar myndighetens verksamhet och tillsynsuppdrag.
• Ta fram föreskrifter: Baserat på analysen behöver IVO ta fram nya föreskrifter som ser till att direktivets krav uppfylls. Detta inkluderar att specificera säkerhetsåtgärder och rapporteringskrav för de verksamheter som direktivet gäller.
• Samråd och remiss: Innan föreskrifterna kan fastställas, måste IVO genomföra samråd med berörda parter och skicka ut förslagen på remiss. Detta ser till att myndigheten kan ta hänsyn till alla relevanta synpunkter och att föreskrifterna är praktiskt genomförbara.

Myndigheten behöver rekrytera 10,5 årsarbetskrafter

IVO behöver till följd av NIS2-direktivet rekrytera 10 inspektörer samt tillsätta en halv tjänst som ska arbeta med informationssäkerhet. Rekryteringsprocessens kostnader beräknas bli 700 000 kronor. I summan ingår säkerhetsprövningar för cirka 130 000 kronor, utbildning av personal för cirka 360 000 kronor samt en intern kompetensinventering.

Myndigheten använder flera olika informationskanaler

IVO:s kostnader för informationsinsatser till följd av NIS2-direktivet beräknas bli omkring 300 000 kronor. Insatserna omfattar att uppdatera informationen på IVO:s digitala kanaler, genomföra digitala informationsutskick till vårdgivare samt fysiska informationsmöten.

Engångskostnaderna gäller i första hand it-system

IVO:s övriga engångskostnader beräknas uppgå till sammanlagt cirka 2,3 miljoner kronor. Av dessa kommer 1,9 miljoner kronor från anpassningar av it-system. IVO:s övriga engångskostnader beräknas uppgå till ungefär 400 000 kronor, och fördelas enligt följande:

• fysisk säkerhet: 100 000 kronor
• hantering av incidenter 150 000 kronor
• ta fram interna styr- och stöddokument för arbetssätt och rutiner: 150 000 kronor.

De löpande kostnaderna uppgår till 12 miljoner kronor

IVO:s totala löpande kostnader till följd av NIS2-direktivet beräknas uppgå till 12 miljoner kronor per år, varav personalkostnaderna står för 10 miljoner kronor. IVO:s övriga löpande kostnader beräknas uppgå till drygt 2 miljon kronor per år, uppdelad på följande poster:

• hantera incidentrapportering: cirka 200 000 kronor
• hantera incidenter: 100 000 kronor
• årlig uppföljning av säkerhetsprövningar: cirka 70 000 kronor
• fysisk säkerhet: 150 000 kronor
• tillsynsspecifik it-förvaltning: cirka 1 000 000 kronor
• kompetensutveckling: cirka 400 000 kronor
• utveckla interna styr- och stöddokument: cirka 100 000 kronor.

Livsmedelsverket

Livsmedelsverket ansvarar enligt det ursprungliga NIS-direktivet för sektorns leverans och distribution av dricksvatten. Myndigheten ska se till att aktörer inom sektorn uppfyller krav på informationssäkerhet och att samhället har en trygg dricksvattenförsörjning.^[28] För närvarande har Livsmedelsverket cirka 100 anmälda verksamhetsutövare att utöva tillsyn över enligt kriterierna i MSB:s föreskrifter (MSBFS 2024:4).

Sedan NIS1 trädde i kraft har Livsmedelsverket haft ansvar för anmälningstillsyn, incidentrapporteringstillsyn samt en grundläggande tillsyn av det systematiska informationssäkerhetsarbetet. I detta ingår hur verksamhetsutövare hanterar risker, genomför riskanalyser och genomför åtgärder utifrån risker de identifierat.

Under 2023 och 2024 har brist på personal och omfattande arbete med nya direktiv och lagstiftning påverkat myndighetens tillsynsfrekvens. Trots detta har samtliga anmälda verksamhetsutövare genomgått den första tillsynen, med undantag för två nyinkomna anmälningar. I myndighetens planering ingår att genomföra en riktad tillsyn av ett specifikt område kopplat till Livsmedelsverkets egna föreskrifter av ett urval av verksamhetsutövare.

Antal tillsynsobjekt ökar till omkring 900 till följd av NIS2

NIS2-direktivet innebär att Livsmedelsverkets tillsynsansvar, utöver sektorn dricksvatten, även kommer att omfatta livsmedel och avlopp. Det innebär att antalet tillsynsobjekt ökar från cirka 100 till 900, vilket ställer större krav på resurser och kompetens.

De initiala kostnaderna uppgår till 27,7 miljoner kronor

Livsmedelsverkets sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet beräknas uppgå till sammanlagt cirka 27,7 miljoner kronor. Dessa kostnader kommer från att myndigheten behöver ta fram föreskrifter, från rekrytering, information samt it-utveckling (tabell 6).

Tabell 6. Livsmedelsverkets initiala kostnader, miljoner kronor.

Livsmedelsverket ska genomföra två olika föreskriftsarbeten

Livsmedelsverket kostnader för att ta fram nya föreskrifter beräknas bli cirka 7,2 miljoner kronor. Uppskattningen utgår från att Livsmedelsverket ska ta fram olika föreskrifter för myndighetens sektorer, en för avloppssektorn och en för livsmedelssektorn. Livsmedelsmyndigheten bedömer att en föreskrift kräver ungefär 1,5–2 årsarbetskrafter beroende på vilket område det gäller och hur komplex föreskriften behöver vara. För varje föreskrift ska myndigheten ta fram vägledningar och kommunicera med berörda parter. Eftersom antalet tillsynsobjekt ökar väsentligt kommer även informationsbehovet att öka väsentligt.

Tidsåtgången för att ta fram föreskrifter varierar beroende på område. För föreskrifterna till det nuvarande NIS1-direktivet tog processen cirka två år för Livsmedelsverket, inklusive beslut och att ta fram vägledningar.

Myndigheten behöver rekrytera 10 medarbetare

Livsmedelsverkets kostnad för rekrytering kommer att uppgå till ungefär 150 000 kronor per medarbetare. Det innebär att den totala kostnaden för ytterligare 10 medarbetare blir cirka 1,5 miljoner kronor.

Enligt Livsmedelsverket kommer myndigheten att behöva utöka personalstyrkan för att hantera den totala mängden tillsynsobjekt. Organisationen kommer att bestå av en kombination av handläggarroller och expertis inom de områden som cybersäkerhetslagen omfattar.

Alla tjänster som rör NIS är för närvarande placerade i säkerhetsklass. Dessa roller kräver kontinuerlig kompetensutveckling, vilket innebär löpande kostnader för att upprätthålla och utveckla kompetensen. Även om de initiala rekryteringskostnaderna är engångsutgifter så kommer de långsiktiga kostnaderna för kompetensutveckling inte att vara obetydliga.

Informationsinsatser blir en viktig del i arbetet med NIS-direktivet både i början och löpande

Livsmedelsverkets kostnader för informationsinsatser till följd av NIS2-direktivet beräknas bli ungefär 3 miljoner kronor. Summan är fördelad över tre år, där kostnaden beräknas bli 1,2 miljoner år per år de två första åren och cirka 600 000 kronor för det tredje året.

Livsmedelsverket bedömer att informationsinsatser kommer vara en viktig del av arbetet med NIS2-direktivet, både i början och löpande. Det finns många lagstiftningar som livsmedelsbranschen ska följa, vilket gör behovet av informationsinsatser stort.

De kanaler Livsmedelsverket använder för att sprida information är webben, seminarier, nyhetsbrev och en särskild e-postlåda för NIS-frågor. I takt med att antalet tillsynsobjekt ökar så räknar myndigheten med att hanteringen av inkommande frågor också kommer öka, särskilt när lagstiftningen förändras eller det kommer nya föreskrifter.

Livsmedelsverkets engångskostnader beror i första hand på att de behöver nya it-system

Livsmedelsverkets engångskostnader för tillsyn till följd av NIS2-direktivet beräknas uppgå till 16 miljoner kronor. De största engångskostnaderna handlar om nya it-system. Ett exempel på sådan kostnad är ett enkelt anmälningssystem med webbformulär, där uppgifter sparas i en databas och görs tillgängliga via ett API (application programming interface). Lösningen beräknas kosta omkring 3 miljoner kronor.

It-system för tillsyn och för att hämta in information för varje verksamhetsutövare kommer att innehålla data som troligen är skyddsvärd, antingen på grund av sekretess eller enligt säkerhetsskyddslagen. I de enklaste fallen kan det räcka att lösningen är separerad från kontorssystemen, medan den mest avancerade lösningen kan behöva hanteras enligt säkerhetsskyddslagen. Kostnaderna för detta system kan variera kraftigt, beroende på hur omfattande lösningen är. En grov uppskattning av kostnaden för en sådan lösning, med synergieffekter från myndighetens befintliga strukturer, skulle kunna vara omkring 10 miljoner kronor för ett integrerat system som kan hantera säkerhetskänslig information.

För att hantera incidentrapporter kan Livsmedelsverket behöva utveckla ett it-stöd. Om myndigheten ska utveckla ett eget system så måste det troligen uppfylla kraven enligt säkerhetsskyddslagen. Myndigheten uppskattar att utvecklingskostnaden för ett sådant system är 1–3 miljoner kronor.

Det finns flera osäkerhetsfaktorer när det gäller området it-stöd och dess kostnader. Exempelvis vet myndigheten inte om MSB kommer att ta fram ett gemensamt anmälningssystem och vad myndighetens kostnad för detta i så fall skulle bli. Myndigheten vet heller inte i vilken uträckning incidentrapporteringssystemet ska hanteras av myndigheten, hur ett digitalt tillsynssystem bör utformas om ett sådant blir nödvändigt eller om myndigheten behöver ta höjd för särskilda säkerhetsskyddskrav när det gäller it-stödet.

Löpande kostnader uppgår till 23,5 miljoner kronor

Livsmedelsverkets totala löpande kostnader till följd av NIS2-direktivet beräknas bli 23,5 miljoner kronor per år. Kostnaderna består av 15 extra årsarbetskrafter och förvaltningskostnader för it-system.

Livsmedelsverket har idag tre medarbetare som arbetar med NIS-frågor tillsammans med en verksjurist. Myndigheten rekryterar för närvarande två nya medarbetare för 2025. För att hantera NIS2-direktivet bedömer myndigheten att den behöver ytterligare 10 medarbetare, inklusive en chef. Totalt innebär det 15 personer: 7 experter, 7 tillsynshandläggare och 1 chef.

Årskostnaden per expert beräknas till 1,7 miljoner kronor och per tillsynshandläggare till 1,2 miljoner kronor. De totala kostnaderna för dessa årsarbetskrafter uppskattar myndigheten till 20,3 miljoner kronor per år.

Livsmedelsverket bedömer också att myndighetens förvaltningskostnader för it-systemet kommer att uppgå till 20 procent av myndighetens it-kostnader, vilket motsvarar 3,2 miljoner kronor per år.

Läkemedelsverket

Läkemedelsverket tillsynsområden inkluderar bland annat läkemedel och medicintekniska produkter. Myndigheten ska verka för att läkemedel är säkra, effektiva och av god kvalitet, samt att medicintekniska produkter är säkra och ändamålsenliga. ^[29]

Läkemedelsverket har inget tillsynsansvar enligt NIS1. Men utredningen (SOU 2024:18) föreslår att Läkemedelsverket till följd av NIS2 ska vara tillsynsmyndighet för en del av hälso- och sjukvårdssektorn och en del av sektorn tillverkning.

Läkemedelsverket får tillsynsansvar för 400–600 verksamhetsutövare enligt NIS2

Utredningens (SOU 2024:18) förslag påverkar flera av myndighetens nuvarande tillsynsområden, som läkemedel och medicinteknik. Enligt Läkemedelsverkets är det fortfarande oklart om utredningens förslag innebär att apotek och egentillverkning av medicintekniska produkter omfattas av myndighetens tillsynsansvar.

Läkemedelsverket uppger att det i dagsläget är svårt att veta exakt hur många tillsynsobjekt de kommer att ha enligt NIS2. Men de uppskattar att antalet är ungefär 400–600.

Läkemedelsverket har börjat arbetet med att anpassa sig till NIS2-direktivet. De har börjat arbeta med:

• att rekrytera cybersäkerhetsexperter
• att delta i MSB:s samverkansgrupp för att säkerställa samordning och erfarenhetsutbyte
• att samarbeta med Livsmedelsverket för att dra nytta av deras erfarenheter från det tidigare NIS-direktivet.

Enligt Läkemedelsverket finns vissa beröringspunkter mellan deras nuvarande tillsyn och de områden där utredningen föreslår att myndigheten ska få tillsynsansvar. Inom läkemedelsområdet kommer tillsynen delvis att riktas mot aktörer som redan omfattas av regelbunden tillsyn, som tillverkare och partihandlare när CER-direktivet^[30] träder i kraft, eller mot aktörer som idag endast omfattas av sporadisk tillsyn, exempelvis forskningsverksamhet för kliniska prövningar.

Läkemedelsverket har idag även tillsynsansvar för Nationella Medicinska Informationssystem (NMI), som kan komma att omfattas av det nya regelverket. Ytterligare beröringspunkter finns inom medicinteknikområdet, där programvara ingår, och där cybersäkerhetskrav redan ställs på medicinsk utrustning.

Samtidigt pekar Läkemedelsverket på att vissa aktörer inom deras tillsynsansvar i dag inte omfattas av någon tillsyn från myndigheten, särskilt inom forskningsområdet. Men oavsett om en aktör redan står under tillsyn eller inte finns få direkta beröringspunkter inom det här ämnesområdet enligt Läkemedelsverket.

De initiala kostnaderna uppgår till 24,7 miljoner kronor

Läkemedelsverket uppskattar att de sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet kommer uppgå till 24,7 miljoner kronor (tabell 7).

Tabell 7. Läkemedelsverkets initiala kostnader, miljoner kronor.

Ta fram föreskrifter för två sektorer

Läkemedelsverket uppskattar att kostnaden för att ta fram föreskrifter samt rättsligt stöd kommer uppgå till 1,7 miljoner kronor. Enligt utredningens förslag ska Läkemedelsverket meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning inom det föreslagna tillsynsområdet för hälso- och sjukvårdssektorn, samt för delar av tillverkningssektorn.

Myndigheten behöver rekrytera 17 nya medarbetare och kompetensutveckla befintlig personal

Läkemedelsverket bedömer att de behöver rekrytera 17 medarbetare för att kunna genomföra tillsynsuppdraget enligt NIS2-direktivet, varav 9 inom medicinteknik och 8 inom industri och sjukvård. Myndigheten uppskattar att kostnaden per rekrytering kommer uppgå till 200 000 kronor, vilket ger en total kostnad på 3,4 miljoner kronor. Det ingår flera moment i kostnaden för att rekrytera, som att ta fram en kravprofil, annonsering, intervjuer med sökande och att kontrollera referenser. Om myndigheten kan annonsera ut flera tjänster samtidigt skulle det kunna minska kostnaden. Men Läkemedelsverket bedömer att den typ av inspektörer myndigheten behöver kommer vara eftertraktade inom flera myndigheter. Detta ökar risken för avbrutna eller försenade rekryteringar, vilket i sin tur kan leda till högre kostnader.

Om Läkemedelsverket även räknar in indirekta kostnader, som att introducera nya medarbetare, så uppskattar myndigheten att kostnaden per rekrytering i stället kommer uppgå till cirka 500 000 kronor per rekrytering. Den totala kostnaden för 17 rekryteringar skulle då bli 8,5 miljoner kronor.

Läkemedelsverket bedömer att kompetensutveckling av personal kommer att medföra en engångskostnad på en miljon kronor.

Omfattande information- och utbildningsinsatser

Läkemedelsverket bedömer att de i början kommer behöva genomföra omfattande informations- och utbildningsinsatser för att införliva NIS2-direktivet enligt utredningens förslag. Läkemedelsverket uppskattar att kostnaderna för dessa informations- och utbildningsinsatser kommer uppgå till 5,1 miljoner kronor det första året och 2,5 miljoner kronor det andra året.

Läkemedelsverket bedömer att verksamhetsutveckling, inklusive att anpassa processer och att ta fram checklistor kommer att medföra en kostnad på 3 miljoner kronor.

Utvecklings- och förvaltningskostnader för att ta fram ett it‑system för tillsyn

Läkemedelsverket uppskattar att kostnaden för att ta fram ett it-system för tillsynen enligt NIS2-direktivet kommer medföra en engångskostnad på 8 miljoner kronor.

Enligt Läkemedelsverket bör ett stödjande it-system omfatta ärendehantering, diarieföring, registerföring, elektronisk korrespondens med ekonomiska aktörer, e-formulär och e-tjänster samt kommunikation med andra myndigheter.

Utöver detta anser myndigheten att det också behöver ingå nyutveckling av funktioner för kommunikation med MSB (incidentrapportering) samt ett eventuellt system för registrering av aktörer i det nya it-systemet.

Förutom kostnaden för att ta fram ett nytt it-system så uppskattar Läkemedelsverket att förvaltningen av it-system kommer uppgå till 1,5 miljoner kronor per år. Denna summa redovisas nedan som återkommande engångskostnader under löpande kostnader.

Läkemedelsverkets uppskattningar för att ta fram ett it-system och dess förvaltningskostnader baseras på tidigare uppskattningar för it-system, avsett att uppfylla kraven i förordningen om det europeiska hälsodataområdet (EHDS). Läkemedelsverket har justerat uppskattningarna för de specifika krav och förutsättningar som NIS2-direktivet medför. Eftersom osäkerheten kring NIS2-direktivets fortfarande är stor, har Läkemedelsverket valt att utgå från EHDS-beräkningarna som en jämförelsegrund.^[31]

De löpande kostnaderna uppgår till 30,5 miljoner kronor per år

Läkemedelsverkets löpande kostnader för tillsyn till följd av NIS2-direktivet beräknas uppgå till 30,5 miljoner kronor per år. I kostnaden ingår löner samt förvaltningskostnader för it-system. Myndigheten uppskattar att de kommer att utföra cirka 40 inspektioner per år inom området för medicinteknik och 50 inspektioner per år inom området för läkemedel.

Läkemedelsverket behöver 17 nya årsarbetskrafter

Läkemedelsverket bedömer att tillsynsuppgifterna enligt utredningens förslag gör att myndigheten behöver 17 nya årsarbetskrafter, vilket myndigheten beräknar kommer kosta 29 miljoner kronor per år.

• Inom medicinteknik behöver myndigheten nio nya årsarbetskrafter, fördelat på sex inspektörer, två utredare för incidenthantering och en administratör.
• Inom läkemedelsområdet behöver myndigheten sju nya årsarbetskrafter, fördelat på fem inspektörer, två utredare och en gruppchef.

Utöver lönekostnader uppskattar Läkemedelsverket att de kommer att ha årliga förvaltningskostnader för it-systemet som beräknas uppgå till 1,5 miljoner kronor per år.

Länsstyrelsen Norrbotten

Enligt utredningens (SOU 2024:18) förslag ska Länsstyrelsen Norrbotten vara tillsynsmyndighet för offentlig sektor som hör till Jämtlands, Norrbottens, Västerbottens eller Västernorrlands län samt statliga myndigheter som har sitt säte i något av dessa län.^[32] Enligt förslaget ska Länsstyrelsen Norrbotten även vara tillsynsmyndighet för exempelvis forskning, avfallshantering samt tillverkning, produktion och distribution av kemikalier.^[33] Länsstyrelsen har i dag inget tillsynsansvar enligt NIS1.

Länsstyrelsen Norrbotten får tillsynsansvar för cirka 180 verksamhetsutövare

Länsstyrelsen Norrbotten bedömer att utredningens förslag medför nya uppgifter och skyldigheter för myndigheten, både i rollen som tillsynsansvarig länsstyrelse och som verksamhetsutövare. Men i denna uppskattning har Länsstyrelsen bara uppskattat kostnaderna som beror på tillsynsansvaret. Myndigheten uppskattar att de kommer att ha tillsynsansvar för cirka 180 verksamhetsutövare.

De nya uppgifterna innebär att Länsstyrelsen Norrbotten behöver:

• ny kompetens och utökad personalstyrka, inklusive rekrytera tillsynshandläggare med fokus på cybersäkerhet
• stärkt juridiskt och administrativt stöd för att hantera det utökade tillsynsansvaret
• mer samordning mellan de tillsynsverksamheter som följer av cybersäkerhetslagen, säkerhetsskyddslagstiftningen och det kommande CER-direktivet.

Länsstyrelsen Norrbotten har börjat förbereda sig för NIS2-direktivets krav genom att bland annat:

• rekrytera en tillsynshandläggare och planera för fler rekryteringar när det finns ekonomiskt utrymme
• delta aktivt i MSB:s samordningsforum och arbetsgrupper samt samverka med tillsynsansvariga länsstyrelser
• kartlägga berörda verksamhetsutövare och genomföra informationsinsatser
• utveckla en e-tjänst för anmälningar i samarbete med andra länsstyrelser
• kompetensutveckling.

Länsstyrelsen Norrbotten planerar också att intensifiera informations- och kommunikationsinsatser riktade till verksamhetsutövare, och att fortsätta utveckla sina interna resurser för att uppfylla NIS2-direktivets krav.

Myndigheten bedömer att det finns beröringspunkter mellan den säkerhetsskyddstillsyn som myndigheten bedriver idag och den tillsyn de föreslås få ansvar för enligt cybersäkerhetslagen. Säkerhetsskyddstillsynen omfattar till viss del samma verksamhetsutövare, såsom kommuner, regioner och eventuellt vissa enskilda verksamhetsutövare.

Länsstyrelsen Norrbotten anser även att tillsynen enligt dessa lagstiftningar med fördel bör samordnas för att skapa en mer effektiv tillsyn och möjliggöra synergieffekter. Myndigheten menar också att det kan uppenbara sig fler beröringspunkter när lagen om motståndskraft hos kritiska verksamhetsutövare (CER-direktivet) träder i kraft. Men länsstyrelsen bedömer att denna samordning kommer medföra ökade kostnader för myndigheten.

Samtidigt finns det andra beröringspunkter mellan NIS2-direktivet och säkerhetsskyddstillsynen som kan ha en positiv inverkan. Informationssäkerhetsåtgärder enligt säkerhetsskyddslagen är ett exempel på en sådan beröringspunkt. Inom detta område kan det vara möjligt att använda befintliga arbetssätt och metoder samt att integrera ny tillsyn i befintliga tillsynsprocesser. Men länsstyrelsen bedömer att dessa faktorer inte kommer att leda till några väsentliga kostnadsbesparingar för myndigheten.

De initiala kostnaderna uppgår till 3,2 miljoner kronor

De sammanlagda initiala kostnaderna för Länsstyrelsen Norrbotten för tillsyn till följd av NIS2-direktivet beräknas uppgå till cirka 3,2 miljoner kronor (tabell 8).

Tabell 8. Länsstyrelsen Norrbottens initiala kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika delposterna.

Kostnader för föreskrifter

Länsstyrelsen Norrbotten uppskattar att kostnaden för att ta fram nya föreskrifter kommer uppgå till 2,9 miljoner kronor, fördelat på två år. Kostnaden det första året beräknas bli 1,7 miljoner kronor (1,5 årsarbetskrafter) och för det andra året 1,2 miljoner kronor (1,0 årsarbetskraft). Kostnaderna gäller personalkostnader för rättskompetens och inkluderar sociala avgifter samt overheadkostnader.

Enligt utredningens förslag har de länsstyrelser som har ett tillsynsansvar också rätt att utfärda föreskrifter för flera tillsynssektorer, vilket medför kostnader för att ta fram dessa föreskrifter.^[34] Utöver detta tillkommer kostnader för informationsinsatser vid ikraftträdandet av cybersäkerhetslagen.

Beräkningen utgår från att länsstyrelsen gör arbetet med föreskrifterna tillsammans med andra länsstyrelser som har ett tillsynsansvar, med antagandet att ett samordnat arbete leder till lägre kostnader.

Länsstyrelsen behöver rekrytera fyra nya medarbetare

Länsstyrelsen Norrbotten genomför för närvarande rekryteringar huvudsakligen med befintliga resurser. Men myndigheten bedömer att kostnaderna för fyra framtida rekryteringar kommer att bli cirka 85 000 kronor. Dessa kostnader gäller att annonsera ut tjänsterna, att deltaga i jobbmässor samt att ta fram anpassade tester och bedömningar för kandidater. Men eftersom det kan bli svårt att rekrytera ny personal inom cybersäkerhet och tillsyn så bedömer myndigheten att kostnaderna för rekrytering kan komma att bli högre än 85 000 kronor.

Informationsinsatser för verksamhetsutövare och webbplats

Länsstyrelsen Norrbotten bedömer att verksamhetsutövare kommer behöva vägledning inför tillsyner och information om föreskrifter. Myndigheten behöver även ta fram information till webbplatsen. De uppskattar att kostnaderna för detta kommer att uppgå till 180 000 kronor. De baserar denna kostnadsuppskattning på exempelofferter, och i kostnaden ingår även en kostnad för stöd från kommunikationsavdelningen motsvarande 50 procent av en medarbetares arbetstid under en månad, samt ett fysiskt möte mellan de fyra tillsynsansvariga länsstyrelserna.

Engångskostnader för gemensam e-tjänst – samarbete mellan länsstyrelserna

De fyra tillsynsansvariga länsstyrelserna utreder för närvarande möjligheten att ta fram en gemensam anmälningsplattform för verksamhetsutövare inom deras tillsynsansvar. Denna e-tjänst skulle baseras på ett befintligt system som redan är i drift, och som förvaltas av länsstyrelserna. Kostnaden för att ta fram den gemensam anmälningsplattformen bedöms kunna delas mellan de fyra länsstyrelserna, och utvecklingskostnaden uppskattas till cirka 50 000 kronor per länsstyrelse. Det finns inga kända drift- eller förvaltningskostnader för närvarande.

De löpande kostnaderna uppgår till 5,2 miljoner kronor per år

Länsstyrelsen Norrbotten uppskattar att de löpande kostnader för tillsyn till följd av NIS2-direktivet kommer uppgå till 5,2 miljoner kronor per år. Kostnaden består framför allt av lönekostnader. Myndigheten uppskattar att de kommer att utföra mellan 20 och 30 tillsyner per år de första tre åren. I antalet tillsyner per år ingår skrivbordstillsyner, platstillsyner och händelsestyrda tillsyner. De baserar antalet tillsyner per år på deras preliminära kartläggning av det totala antalet verksamhetsutövare och på hur många av dem som är väsentliga. Beräkningen bygger även på antagandet att myndigheten kommer behöva genomföra ett antal händelsestyrda tillsyner, samt att platstillsyner i regel tar mer tid i anspråk.

Lönekostnader för 4,5 årsarbetskrafter

Länsstyrelsen Norrbotten bedömer att det krävs 4,5 årsarbetskrafter för att fullgöra tillsynsuppdraget enligt utredningens förslag. Länsstyrelsen beräknar att kostnaden för detta kommer uppgå till 5 miljoner kronor per år.

Fördelningen av årsarbetskrafterna:

• 3 årsarbetskrafter för tillsyn inom cybersäkerhet
• 1 årsarbetskraft för juridiskt stöd
• 0,5 årsarbetskraft för administrativt stöd.

Länsstyrelsen Norrbotten har baserat beräkningen av de löpande personalkostnaderna på deras preliminära kartläggning av antalet potentiella verksamhetsutövare samt deras erfarenheter från säkerhetsskyddstillsynen.

Länsstyrelsen Norrbotten påpekar att 4,5 årsarbetskrafter är ett minimum för löpande tillsyn. Utöver det direkta tillsynsarbetet bedömer de även att det behövs arbetstid för att delta i samarbetsforum som MSB anordnar, samt för arbetsgrupper på EU-nivå. Länsstyrelsen förväntar sig även att andra uppgifter tar en viss del av arbetstiden i anspråk, som tillsynsvägledning, kartläggning och att analysera incidentrapporteringar.

Länsstyrelsen Norrbotten bedömer också att tillsynsarbetet kommer kräva juridiskt stöd, särskilt vid bedömningar av tillsynsfrågor, då NIS2-direktivet med tillhörande vägledningar och bilagor är omfattande och kan gå att tolka på flera sätt.

Slutligen påpekar Länsstyrelsen att lönenivåerna inom it- och cybersäkerhetsområdet är förhållandevis höga, vilket påverkar den totala kostnadsbilden.

Återkommande engångskostnader för kompetensutveckling

Länsstyrelsen Norrbotten uppskattar att de kommer att ha återkommande kostnader för kompetensutveckling på cirka 80 000 kronor per år. De bedömer att medarbetare som arbetar med tillsyn enligt NIS2 regelbundet behöver vidareutveckla och upprätthålla sina kunskaper inom vissa tematiska områden. Det kan exempelvis handla om utbildningar inom tillsyn eller om information- och cybersäkerhet (ISO-standarder och certifieringar), samt inom specifika tillsynsområden, som avfallshantering.

Återkommande kostnader för resor vid platstillsyn

Länsstyrelsen Norrbotten anger att de kommer att ha resekostnader på uppskattningsvis 84 000 kronor per år för platstillsyn. De förhållandevis höga kostnaderna beror på att myndigheten har tillsynsansvar över ett stort geografiskt område. Länsstyrelsen Norrbottens upptagningsområde utgör 53 procent av Sveriges yta, vilket gör att reseavstånden kan bli långa.

Länsstyrelsen Skåne

Utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) föreslår att Länsstyrelsen Skåne ska vara tillsynsmyndighet för offentlig sektor som hör till Kronobergs, Blekinges, Kalmars eller Skånes län och statliga myndigheter som har sitt säte i något av dessa län. Enligt förslaget ska Länsstyrelsen Skåne även vara tillsynsmyndighet för exempelvis forskning, avfallshantering samt tillverkning, produktion och distribution av kemikalier.^[35] Länsstyrelsen har i dag inget tillsynsansvar enligt NIS1.

Länsstyrelsen Skåne får tillsynsansvar för cirka 200 verksamhetsutövare

Länsstyrelsen Skåne anser att utredningens förslag om hur Sverige ska införliva NIS2-direktivet innebär ett omfattande tillsynsuppdrag för myndigheten. Myndigheten bedömer att tillsynsuppdraget kräver ökade resurser, särskilt i form av personal med specialiserad kompetens. Även om myndigheten har erfarenhet av tillsyn inom andra områden så menar de att NIS2 är ett nytt tillsynsområde som kräver exempelvis kartläggning och uppbyggnad av kompetens.

Utredningens förslag (SOU 2024:18) rör offentlig verksamhet, lärosäten och forskning – områden som delvis överlappar med tillsynen enligt säkerhetsskyddslagen, som Länsstyrelsen Skåne redan har tillsynsansvar för. Men Länsstyrelsen Skåne bedömer att överlappningen inte medför några kostnadsbesparingar.

Länsstyrelsen Skåne ser en tydlig koppling mellan deras tillsynsansvar till följd av NIS2 och deras nuvarande ansvar för miljölagstiftning, särskilt inom kemikalietillverkning och avfallshantering. Länsstyrelsen Skåne är tillsynsmyndighet enligt Sevesolagstiftningen för produktion och distribution av kemikalier.

Länsstyrelsen Skåne uppskattar att inom deras fyra län kommer cirka 200 verksamheter att omfattas av lagen enligt utredningens förslag. Detta är dubbelt så många verksamheter som myndigheten tillsynsansvar i nuläget.

Länsstyrelsen Skåne uppger att arbetet med att införliva NIS2-direktivet kommer att innebära följande åtgärder:

• utveckla en e-tjänst för att underlätta anmälningsprocessen, samt hantera administration av detta
• arbeta med nya föreskrifter, både i samarbete med MSB och inom egna tillsynsområden
• informationsinsatser och vägledning till verksamheter för att informera om lagens omfattning och hur verksamheter ska göra dessa anmälningar
• ta hand om och besvara frågor från verksamhetsutövare, samt driva sanktionsärenden, förläggandeärenden och domstolsärenden
• samverka och utveckla processer med andra tillsynsmyndigheter, till exempel andra länsstyrelser och Myndigheten för samhällsskydd och beredskap (MSB).

Länsstyrelsen Skåne har börjat arbeta med förberedelserna inför att införliva NIS2-direktivet, bland annat genom att läsa in relevant material, lämna remissvar och förankra uppdraget internt. Myndigheten deltar även i arbetsgrupper tillsammans med andra aktörer, bland annat MSB. Fler arbetsgrupper planeras, inklusive en med internationellt fokus.

De initiala kostnaderna uppgår till 2,9 miljoner kronor

Länsstyrelsen Skånes sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet beräknas uppgå till cirka 2,9 miljoner kronor (tabell 9).

Tabell 9. Länsstyrelsen Skånes initiala kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika delposterna.

Kostnader för föreskrifter

Länsstyrelsen Skåne har svårt att uppskatta exakt hur omfattande arbetet med nya föreskrifter kommer bli, med de ser att det kommer finnas ett behov att ta fram föreskrifter för de olika sektorerna. Detta arbete gör länsstyrelsen tillsammans med MSB och andra tillsynsmyndigheterna. Länsstyrelsen Skåne uppskattar att deras kostnader för föreskriftsarbetet kommer uppgå till drygt 2,5 miljoner kronor under två år, där kostnaderna det första året beräknas bli 1,5 miljoner kronor (motsvarar 1,5 årsarbetskraft) och det andra året 1,0 miljoner kronor (motsvarande 1 årsarbetskraft).^[36]

Länsstyrelsen kommer behöva rekrytera sex nya medarbetare

Länsstyrelsen Skåne bedömer att de kommer behöva rekrytera sex nya medarbetare för att kunna fullgöra sitt tillsynsuppdrag enligt NIS2. De bedömer att den totala kostnaden för dessa rekryteringar kommer vara cirka 100 000 kronor. I kostnader ingår att analysera vilka behov länsstyrelsen har, att ta fram en kompetensprofil, HR-stöd och att genomföra intervjuer. Utöver det uppskattar myndigheten att initiala arbetsplatskostnader, inklusive datorer och telefoner, kommer uppgå till cirka 60 000 kronor för sex personer.

Informationsinsatser för tillsynsvägledning och verksamhetsutövare

Länsstyrelsen Skåne anger att de behöver utveckla och tillhandahålla informationsinsatser om utredningens förslag antas, och de uppskattar att detta kommer kosta 150 000 kronor. Bland annat behöver de kommunikationsstöd för webbarbete, tillsynsvägledning och information till verksamhetsutövare, särskilt efter att regleringarna börjat gälla. Kostnadsuppskattningarna inkluderar ett fysiskt informationstillfälle per år och län inom länsstyrelsens tillsynsansvar.

Engångskostnader för gemensam e-tjänst för anmälningar – samarbete mellan länsstyrelserna

De fyra tillsynsansvariga länsstyrelserna utreder för närvarande möjligheten att ta fram en gemensam anmälningsplattform för verksamhetsutövare inom deras tillsynsansvar. Denna e-tjänst skulle baseras på ett befintligt system som redan är i drift, och som förvaltas av länsstyrelserna. Kostnaden för att ta fram den gemensam anmälningsplattformen bedöms kunna delas mellan de fyra länsstyrelserna, och utvecklingskostnaden uppskattas till cirka 50 000 kronor per länsstyrelse. Det finns inga kända drift- eller förvaltningskostnader för närvarande.

De löpande kostnaderna uppgår till 10 miljoner kronor per år

De löpande kostnaderna för Länsstyrelsen Skåne för tillsyn till följd av NIS2-direktivet beräknas uppgå till 10 miljoner kronor per år. Det handlar i första hand om lönekostnader. Myndigheten uppskattar att de under perioden 2026–2028 kommer utföra cirka 30 tillsyner per år, varav 20 är planerade och 10 händelsestyrda.

Lönekostnader för 7,5 årsarbetskrafter per år

För att genomföra förslagen i utredningen (SOU 2024:18) bedömer Länsstyrelsen Skåne att 7,5 årsarbetskrafter krävs för att hantera den löpande tillsynen:

• handläggare för tillsyn: 6 årsarbetskrafter
• juridiskt stöd: 0,5 årsarbetskrafter
• administrativt stöd: 0,5 årsarbetskrafter
• chef: 0,5 årsarbetskrafter.
• Länsstyrelsen beräknar att kostnaden för detta kommer uppgå till 10 miljoner kronor per år.

Återkommande kostnader för resor och kompetensutveckling

Utöver löpande personalkostnader kommer myndigheten ha resekostnader för tillsyn. Länsstyrelsen Skåne uppskattar att resekostnaden för tillsyn i genomsnitt uppgår till 1 000 kronor per tillsyn, vilket motsvarar cirka 30 000 kronor per år. Men myndigheten påpekar att det är svårt att göra en tillförlitlig kostnadsuppskattning.

Personal som arbetar med tillsyn enligt NIS2 behöver kontinuerlig kompetensutveckling inom vissa områden. Det kan exempelvis handla om utbildningar inom tillsyn, informations- och cybersäkerhet (ISO-standarder och motsvarande) samt om specifika tillsynsområden som avfallshantering. Länsstyrelsen Skåne uppskattar att kostnaderna för denna kompetensutveckling kommer uppgå till 60 000 kronor per år. Det baserar de på exempelutbildningar och 2–3 utbildningstillfällen per år. Länsstyrelsen Skåne uppskattar att behovet av kompetensutveckling är störst i början, när regleringarna precis börjat gälla, men att det även kommer att finnas ett kontinuerligt behov därefter.

Länsstyrelsen Stockholm

Utredningen om införlivandet av NIS2-direktivet (SOU 2024:18) föreslår att Länsstyrelsen Stockholm ska vara tillsynsmyndighet för offentlig sektor som hör till Dalarnas, Gotlands, Gävleborgs, Stockholms, Södermanlands, Uppsalas, Värmlands, Västmanlands eller Örebros län och statliga myndigheter som har sitt säte i något av dessa län. Enligt förslaget ska Länsstyrelsen Stockholm även vara tillsynsmyndighet för exempelvis forskning, avfallshantering samt tillverkning, produktion och distribution av kemikalier.^[37] Länsstyrelsen har i dag inget tillsynsansvar enligt NIS1.

Länsstyrelsen Stockholm får tillsynsansvar för cirka 700 verksamhetsutövare enligt NIS2

Länsstyrelsen Stockholm bedömer att utredningens förslag innebär ett komplext tillsynsuppdrag som kräver kompetens inom informationssäkerhet, en kompetens myndigheten i dagsläget saknar.

Inledningsvis bedömer länsstyrelsen att för att införliva NIS2-direktivet enligt utredningens förslag behöver de:

• Genomföra en omfattande kartläggning av verksamhetsutövare. En första uppskattning visar att cirka 700 verksamhetsutövare inom Länsstyrelsen i Stockholms tillsynsområde omfattas av direktivet. Men myndigheten bedömer att antalet kommer bli större när de har gjort en mer omfattande kartläggning.
• Arbeta med informationsinsatser, utveckla vägledningar, hantera frågor och ta fram ett anmälningsförfarande med tillhörande administration.

Länsstyrelsen Stockholm bedömer även att de behöver:

• Förbättra sina interna processer och samverka mer med andra tillsynsmyndigheter, särskilt de andra länsstyrelserna som också har tillsynsansvar enligt NIS2, samt med myndigheter som de delar tillsynsobjekt med. Där ingår samarbete på EU-nivå och att hantera frågor med internationell anknytning.
• Ta fram föreskrifter både tillsammans med MSB för offentlig förvaltning och självständigt för de tillverkningssektorer Länsstyrelsen Stockholm kommer ha ansvar för.

Länsstyrelsen Stockholm bedömer att det finns beröringspunkter mellan säkerhetsskyddstillsynen och den föreslagna tillsynen enligt cybersäkerhetslagen, eftersom båda till viss del omfattar samma verksamhetsutövare. Länsstyrelsen anser att tillsynen enligt dessa lagstiftningar med fördel bör samordnas för att skapa en mer effektiv tillsyn och möjliggöra synergieffekter. Samtidigt bedöms detta samordningsbehov medföra ökade kostnader.

Länsstyrelsen Stockholm uppger att deras arbete med att införa NIS2 hittills har varit mycket begränsat. De har deltagit i vissa workshops som MSB anordnat, samt i möten med andra länsstyrelser. Men de bedömer att de i dagsläget saknar både medel och resurser för specifikt NIS2-relaterade frågor. Därför deltar de inte i föreskriftsarbetet och väntar tills de tilldelats resurser innan de börja arbeta med detta i större skala.

De initiala kostnaderna uppgår till 5,4 miljoner kronor

Länsstyrelsen Stockholm uppskattar att de sammanlagda initiala kostnader till följd av NIS2-direktivet kommer uppgå till cirka 5,4 miljoner kronor (tabell 10).

Tabell 10. Länsstyrelsen Stockholms initiala kostnader, miljoner kronor.

Arbetet med nya föreskrifter kräver resurser och juridisk kompetens

Enligt Länsstyrelsen Stockholm är det idag oklart hur omfattande arbetet med nya föreskrifter kommer att bli om utredningens förslag antas. Men de tolkar utredningen som att det finns ett krav på att ta fram föreskrifter för de olika sektorerna.

Länsstyrelsen uppskattar att kostnaden för att ta fram föreskrifter kommer att uppgå till cirka 1,2–1,5 miljoner kronor per år de första tre åren, fördelade på kostnader för jurister och handläggare. Det motsvarar en total kostnad på 3,6–4,5 miljoner kronor. Att ta fram föreskrifter kräver juridisk kompetens och är både tids- och resurskrävande.

Rekryteringskostnader för 15 medarbetare

Länsstyrelsen Stockholm uppskattar att kostnaden för att rekrytera medarbetare kommer att uppgå till 312 000 kronor. Beräkningen baseras på att länsstyrelsen behöver rekrytera 15 nya medarbetare. Kostnaden inkluderar utgifter för planering, urvalsprocesser, intervjuer, kontrollera referenser och övrig administration.

Informationsinsatser – resurser, kostnader och samverkan

Länsstyrelsen Stockholm uppskattar att kostnaderna för informationsinsatser kommer att uppgå till 500 000 kronor per år. Arbetet omfattar bland annat att ta fram informationsmaterial, att delta i nätverksträffar inom de olika sektorerna samt att ta fram ny information till webben. Att delta i nätverksträffar medför även resekostnader och tidsåtgång. Utöver detta behöver länsstyrelsen avsätta resurser för strategiskt stöd från kommunikationsenheten när det gäller hur myndigheten kan nå ut till verksamhetsutövare och hantera frågor från dem.

För att effektivisera arbetet planerar de fyra tillsynsansvariga länsstyrelserna att samverka kring informationsinsatserna.

Gemensam e-tjänst för anmälningar – samarbete mellan länsstyrelserna

De fyra tillsynsansvariga länsstyrelserna utreder för närvarande möjligheten att ta fram en gemensam anmälningsplattform för verksamhetsutövare inom deras tillsynsansvar. Denna e-tjänst skulle baseras på ett befintligt system som redan är i drift, och som förvaltas av länsstyrelserna. Kostnaden för att ta fram den gemensam anmälningsplattformen bedöms kunna delas mellan de fyra länsstyrelserna, och utvecklingskostnaden uppskattas till cirka 50 000 kronor per länsstyrelse. Det finns inga kända drift- eller förvaltningskostnader för närvarande.

De löpande kostnaderna uppgår till 21,1 miljoner kronor per år

Länsstyrelsen Stockholm uppskattar att de löpande kostnaderna för tillsyn till följd av NIS2-direktivet kommer uppgå till minst 21,1 miljoner kronor per år. Detta gäller bara personalkostnaden. Utöver detta bedömer myndigheten att de kommer ha kostnader för exempelvis kompetensutveckling. Men de kan i dagsläget inte uppskatta hur stora dessa kostnader kan bli.

Lönekostnader för 15,5 årsarbetskrafter

Länsstyrelsen Stockholm bedömer att de behöver nya 15,5 årsarbetskrafter för att uppfylla kraven för att utföra tillsyn enligt utredningens förslag, fördelade enligt följande:

• 11 tillsynshandläggare
• 3 jurister
• 1 administratör
• 0,5 chef.

Länsstyrelsen uppskattar att personalkostnaderna för dessa uppgår till 20,3 miljoner kronor per år.

Beräkningarna utgår från personalbehovet Länsstyrelsen Stockholm har för den tillsyn de idag bedriver inom säkerhetsskyddslagstiftningen. Idag ansvarar Länsstyrelsen Stockholm för cirka 200 tillsynsobjekt inom säkerhetsskydd, vilket kräver en bemanning på 5 medarbetare – 2 jurister och 3 tillsynshandläggare. Länsstyrelsen uppskattar att tillsynsuppdraget enligt NIS2-direktivet kommer att omfatta cirka 250 tillsynsobjekt inom offentlig förvaltning, där verksamhetsutövarna klassificeras som väsentliga. Utöver dessa uppskattar Länsstyrelsen att de även kommer att klassificera 450 verksamhetsutövare som viktiga. Eftersom tillsynsuppdraget enligt NIS2 omfattar ett större antal tillsynsobjekt bedömer Länsstyrelsen att det krävs en utökad bemanning för tillsyn enligt NIS2 jämfört med tillsyn inom säkerhetsskyddslagstiftningen.

Länsstyrelsen Stockholm anser att det i nuläget är för svårt att uppskatta hur många tillsyner som de kommer att genomföra de närmsta åren, samt vad kostnaden per tillsyn kommer att bli. Det finns fortfarande alltför många osäkra parametrar i uppdraget, bland annat är det oklart hur stort det exakta antalet tillsynsobjekt kommer bli, uppdragets omfattning och mängden incidentrapporter som de verksamhetsutövare i de sektorer myndigheten ansvarar för kan förväntas lämna in. Länsstyrelsen uppger även att de kommer att behöva prioritera tillsynsinsatser utifrån riskanalyser och de resurser myndigheten har.

Kompetensutveckling för cybersäkerhet och tillsyn

Länsstyrelsen Stockholm bedömer att den kompetens som krävs för uppdraget förutsätter att medarbetare kontinuerligt håller sig uppdaterade när det gäller teknik och cybersäkerhet, exempelvis genom certifieringar, konferenser och utbildningar. Det kan bland annat handla om utbildningar inom tillsyn, informations- och cybersäkerhet (ISO-standarder och motsvarande) samt kunskapsutveckling kopplad till specifika tillsynssektorer. Länsstyrelsen uppskattar att kostnaden för detta kommer uppgå till mellan 30 000 och 50 000 kronor per år och medarbetare. Baserat på 11 medarbetare blir då den totala kostnaden mellan 330 000 och 550 000.

Kostnader för säkerhetsrevision och sårbarhetsskanningar

Länsstyrelsen Stockholm uppger att de även förväntas genomföra sårbarhetsskanningar och säkerhetsrevisioner, där omfattningen ännu är oklar. Myndigheten uppskattar kostnaden per revision till 240 000 kronor, baserat på att en extern konsult skulle kosta cirka 3 000 kronor per timme, med en beräknad tidsåtgång på 80 timmar per revision. Utöver detta tillkommer även resekostnader.

Länsstyrelsen Västra Götaland

Länsstyrelsen Västra Götaland ska vara tillsynsmyndighet för offentlig sektor som hör till Hallands, Jönköpings, Västra Götalands och Östergötlands län och statliga myndigheter som har sitt säte i något av dessa län. Enligt förslaget ska Länsstyrelsen Västra Götaland även vara tillsynsmyndighet för exempelvis forskning, avfallshantering samt tillverkning, produktion och distribution av kemikalier.^[38] Länsstyrelsen har i dag inget tillsynsansvar enligt NIS1.

Länsstyrelsen Västra Götaland får tillsynsvar för cirka 440 verksamhetsutövare enligt NIS2

Länsstyrelsen Västra Götaland anser att utredningens förslag (SOU 2024:18) om NIS2-direktivet innebär stora utmaningar för myndigheten. Länsstyrelsen kommer behöva nya resurser, kompetensuppbyggnad och tydliga strategier för att hantera administrativa och operativa uppgifter. Myndigheten får ett nytt tillsynsansvar för cirka 440 verksamhetsutövare. Därför krävs bland annat att länsstyrelsen rekryterar personal med rätt kompetens, utvecklar en digital e-tjänst samt genomför betydande informationsinsatser till verksamhetsutövare.

Vidare ser Länsstyrelsen Västra Götaland att de kommer att behöva ta fram nya föreskrifter, både i samverkan med MSB för tillsyn inom offentlig förvaltning och internt för tillsyn inom tillverkningssektorer. De anser också att det kommer att vara avgörande att samarbeta nära med andra länsstyrelser och sektorsansvariga myndigheter. Även om viss överlappning finns med myndighetens befintliga tillsynsansvar inom miljö- och säkerhetsskydd, medför det inga större kostnadsbesparingar. Länsstyrelsen har inlett förberedelser, inklusive att kartlägga verksamhetsutövare och rekrytering av personal med fokus på informationssäkerhet. Myndigheten deltar också i MSB:s samarbetsforum för att hålla sig uppdaterad om utvecklingen.

De initiala kostnaderna uppgår till 3,6 miljoner kronor

Länsstyrelsen Västra Götaland uppskattar att de initiala kostnaderna till följd av NIS2-direktivet kommer att uppgå till 3,6 miljoner kronor (se tabell 11).

Tabell 11. Länsstyrelsen Västra Götalands initiala kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika kostnadsposterna. Kostnaderna för rekrytering inkluderar endast direkta kostnader. För indirekta kostnader, se avsnittet nedan.

Kostnader för föreskriftsarbete

Länsstyrelsen uppskattar att deras kostnader för föreskriftsarbetet uppgår till drygt 3 miljoner kronor totalt enligt:

• år 1: 1,5 miljoner kronor (motsvarar 1,5 årsarbetskraft)
• år 2: 1,0 miljoner kronor (1 årsarbetskraft)
• år 3: 0,5 miljoner kronor (0,5 årsarbetskraft).

Kostnaderna inkluderar samordnat föreskriftsarbete med övriga tillsynslänsstyrelser och deltagande i den föreskriftsgrupp som MSB leder.^[39]

Informationsinsatser till verksamhetsutövare

Myndigheten uppskattar att deras kostnader för informationsinsatser kommer att uppgå till totalt 200 000 kronor (motsvarar 20 procent av en heltidstjänst under ett år). Insatserna omfattar uppdatering av webbplats, informationsutskick, vägledning via mejl och telefon samt muntliga presentationer.

Rekryteringskostnader för sju nya medarbetare

Länsstyrelsen uppskattar att kostnaden för att rekrytera nya medarbetare kommer att uppgå till cirka 45 000 kronor per rekrytering. I denna summa ingår personalkostnader för chef, HR-stöd och medarbetare som genomför rekryteringsarbetet, samt kostnader för konsulttjänster och annonsering. Myndigheten planerar att genomföra sju rekryteringar, vilket motsvarar en total kostnad på 315 000 kronor.

Men kostnaderna för rekrytering blir högre om även indirekta kostnader, såsom introduktion, inkluderas. Då uppskattar myndigheten kostnaderna i stället till cirka 500 000 kronor per rekrytering. Den totala kostnaden för sju rekryteringar blir då 3,5 miljoner kronor.

Gemensam e-tjänst för anmälningar – samarbete mellan länsstyrelserna

De fyra tillsynsansvariga länsstyrelserna utreder för närvarande möjligheten att ta fram en gemensam anmälningsplattform för verksamhetsutövare inom deras tillsynsansvar. Denna e-tjänst skulle baseras på ett befintligt system som redan är i drift, och som förvaltas av länsstyrelserna. Myndigheten bedömer att kostnaden för att ta fram den gemensamma anmälningsplattformen ska kunna delas mellan de fyra länsstyrelserna, och utvecklingskostnaden uppskattas till cirka 50 000 kronor per länsstyrelse. Det finns inga kända drift- eller förvaltningskostnader för närvarande.

De löpande kostnader uppgår till 10,2 miljoner kronor per år

Länsstyrelsen Västra Götaland uppskattar att de löpande kostnaderna för tillsyn till följd av NIS2-direktivet kommer uppgå till drygt 10 miljoner kronor per år. Kostnaden består framför allt av lönekostnader. Myndigheten uppskattar att de kommer utföra cirka 30 tillsyner per år, varav 20 är planerade och 10 händelsestyrda. Myndigheten bedömer att 120 verksamheter kommer att omfattas av löpande tillsyn.

Lönekostnader för 7,5 årsarbetskrafter

För att genomföra förslagen i utredningen (SOU 2024:18) bedömer Länsstyrelsen Västra Götaland att 7,5 årsarbetskrafter krävs för att hantera den löpande tillsynen. Myndigheten beräknar att kostnaden för detta kommer uppgå till 10 miljoner kronor per år. Resursfördelningen fördelas enligt följande:

• handläggare för tillsyn: 6 årsarbetskrafter
• juridiskt stöd: 0,5 årsarbetskrafter
• administrativt stöd: 0,5 årsarbetskrafter
• chef: 0,5 årsarbetskrafter.

Länsstyrelsen Västra Götaland saknar i dag resurser för att hantera uppdraget och behöver rekrytera nya medarbetare. Men det är brist på personer med cybersäkerhetskompetens och konkurrensen om dessa är hög, vilket bidrar till stigande lönekostnader.

Återkommande kostnader för kompetensutveckling, certifieringar och resor

Utöver löpande personalkostnader bedömer Länsstyrelsen Västra Götaland att handläggare för tillsyn kommer att behöva regelbunden kompetensutveckling. Det kan handla om utbildningar inom tillsyn, informations- och cybersäkerhet (ISO-standarder) eller specialiserad kompetensutveckling inom specifika tillsynsområden, såsom avfallshantering. Även certifieringar kan vara aktuella. Myndigheten uppskattar att kostnaden för detta kommer uppgå till cirka 100 000 kronor per år, vilket inkluderar utbildning och certifiering för 2–3 handläggare årligen.

Länsstyrelsen Västra Götaland uppskattar att resekostnaderna för tillsyn i genomsnitt kommer att uppgå till 4 800 kronor per tillsyn, vilket motsvarar 144 000 kronor per år.

Post- och telestyrelsen

Post- och telestyrelsen (PTS) ansvarar i dag för tillsyn inom digital infrastruktur enligt NIS1-direktivet. Myndigheten arbetar med information till leverantörer, tillsyn, föreskrifter och incidentrapportering. PTS har bland annat utfärdat föreskrifter som reglerar säkerhetsåtgärder för samhällsviktiga tjänster, exempelvis föreskriften PTSFS 2021:3.

De senaste två åren har PTS granskat anmälda leverantörer av tjänster av Domain Name System. Tillsynen har omfattat åtta aktörer och fokuserat på deras riskanalyser. Även leverantörer av digitala tjänster omfattas av NIS-lagen och ska rapportera incidenter till MSB, som vidarebefordrar dem till PTS. Men PTS kan endast bedriva tillsyn vid specifika händelser, och inga sådana har inträffat hittills.

PTS hanterar även incidentrapporter från MSB och bedriver informationsinsatser mot berörda aktörer.

PTS bedömer att tillsynsobjekten kommer att öka till omkring 1 075 till följd av NIS2

PTS bedömer att NIS2-direktivet innebär en betydande förändring, främst genom fler tillsynsobjekt, utökade tillsynsbefogenheter och ökade uppgifter inom reglering, vägledning och administration. Myndigheten föreslås få ansvar för fler sektorer och aktörer. I dag omfattas 40–50 leverantörer av den nuvarande NIS-direktivet och 725 aktörer är anmälda till PTS enligt lagen (2022:482) om elektronisk kommunikation (LEK). Enligt PTS marknadsanalys kan antalet tillsynsobjekt öka med cirka 300 aktörer. Det betyder att det sammanlagda antalet tillsynsobjekt blir omkring 1 075, om vi även inkluderar de 725 aktörer som omfattas av LEK.

NIS2 innebär att delar av andra regelverk förs in i den nya regleringen, till exempel LEK och eIDAS-förordningen.^[40] Det kräver att vissa föreskrifter upphävs och att nya behöver tas fram.

PTS ser att de kommer att behöva genomföra många insatser för att informera både nya och befintliga aktörer om de nya reglerna. Myndigheten utgår från att cybersäkerhetslagen träder i kraft sommaren 2025, men om det blir senare kan kostnader för sådana insatser behöva justeras.

Sedan februari 2023 har PTS arbetat med NIS2-frågor inom ett internt projekt. Myndigheten har analyserat utredningens förslag (SOU 2024:18), deltagit i internationella arbetsgrupper och bidragit med expertis till EU-kommissionens arbete.

Under 2024 har PTS börjat ta fram nya föreskrifter och avveckla gamla. Myndigheten har genomfört flera kommunikationsinsatser, såsom marknadsforum och nyhetsutskick, och planerar att utöka dessa. PTS deltar också i samverkan, bland annat MSB:s arbetsgrupper inom NIS/NIS2.

De initiala kostnaderna uppgår till 41,2 miljoner kronor

PTS sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet kommer att uppgå till sammanlagt cirka 41,2 miljoner kronor för perioden 2025–2028. Dessa kostnader består av att ta fram föreskrifter, genomföra informationsinsatser, rekrytering, it-system samt återkommande engångskostnader. Återkommande engångskostnader är kostnader som uppstår vid flera tillfällen men som ändå klassificeras som engångskostnader vid varje enskilt tillfälle. Exempelvis hänvisar myndigheten till kostnader för bland annat underhåll och uppdateringar av it-systemet. Myndigheten understryker till Statskontoret att uppskattningen är mycket osäker. Det beror på att PTS inte redovisar och följer upp enskilda kostnader och därför har svårt att svara exakt vad en föreskrift eller en tillsyn kostar. PTS initiala kostnader fördelas enligt tabell 12.

Tabell 12. Post och telestyrelsens initiala kostnader, miljoner kronor.

Anmärkning: Kostnaderna i tabellen gäller för perioden 2025–2028. Kostnaderna för rekrytering inkluderar endast direkta kostnader. För indirekta kostnader, se avsnittet nedan.

PTS behöver rekrytera sex nya årsarbetskrafter under perioden 2025–2028

PTS kostnader för rekrytering till följd av NIS2-direktivet kommer uppgå till 160 000 kronor per rekrytering. Om PTS även skulle inkludera indirekta kostnader som introduktionstid och annat produktionsbortfall i samband med rekryteringen blir kostnaden i stället 500 000 kronor per rekrytering.

PTS planerar att rekrytera sex årsarbetskrafter perioden 2025–2028 som ska arbeta med föreskrifter, informationsinsatser och it-system till följd av NIS2-direktivet. De initiala kostnaderna för rekryteringarna kommer uppgå till omkring 1 miljon kronor, exklusive PTS indirekta kostnader för rekrytering. Om vi även inkluderar PTS indirekta kostnader blir den totala kostnaden i stället 3 miljoner kronor.

PTS arbete med föreskrifter, information och it-utveckling blir omfattande

PTS uppskattar att kostnaderna för att ta fram föreskrifter kommer uppgå till ungefär 28 miljoner kronor. PTS behöver ta fram flera nya föreskrifter de närmaste åren och upphäva befintliga föreskrifter med anledning av utredningens förslag. PTS erfarenhet är att föreskriftsarbeten kräver både mycket tid och resurser samt involverar flera delar av myndigheten.

I arbetet ingår regleringsarbete i stort, inte bara själva arbetet med att ta fram eller upphäva föreskrifter. Det handlar om att myndigheten behöver förhålla sig till genomförandeförordningen för NIS2 och att de gränsöverskridande verksamhetsutövarna i NIS2 måste stämmas av med övriga medlemsländer – vilket endast gäller PTS sektorer. Dessutom behöver reglering flyttas från LEK till NIS2 vilket innebär att föreskrifter måste delas upp eller upphävas samt att nya föreskrifter måste tas fram för flera områden.

Myndigheten uppskattar kostnaderna för informationsinsatser till följd av NIS2-direktivet till 4 miljoner kronor. PTS har redan genomfört omfattande informationsinsatser med anledning av NIS2. Myndigheten har bland annat haft ett forum med nästan 400 deltagare samt ett hybridmöte i november med cirka 300 deltagare. Utöver det har PTS skickat ut nyhetsbrev, informerat via myndighetens webbsida och svarat på frågor via e-post. PTS bedömer att de behöver intensifiera dessa informationsinsatser under 2025.

PTS bedömer att kostnaderna för it-utveckling till följda av NIS2-direktivet kommer uppgå till 4 miljoner kronor för perioden 2025–2028. Engångskostnader för it-utveckling är svår att uppskatta eftersom det ännu inte är beslutat vilken eller vilka myndigheter som ska hantera anmälan och incidenter. Även i denna kostnadskategori dominerar personalkostnader.

De löpande kostnaderna uppgår till omkring 21 miljoner kronor

PTS bedömer att myndigheten kommer att få tillsynsansvar för cirka 300 ytterligare aktörer inom sitt ansvarsområde till följd av NIS2-direktivet. Detta är en utökning från de nuvarande ungefär 50 tillsynsobjekten. För att hantera det nya antalet aktörer bedömer PTS att de behöver 6 nya årsarbetskrafter under 2026–2028. PTS räknar med 1,5 miljoner kronor per årsarbetskraft, vilket ger en total kostnad på 9 miljoner kronor.

Dessutom föreslår utredningen (SOU 2024:18) att all tillsyn enligt NIS2 ska vara finansierad med anslag, vilket omfattar de myndigheter som i dag har tillsynsansvar enligt NIS2. Det betyder att PTS tillsyn av elektronisk kommunikation ska finansieras av anslag i stället för med avgifter, som i dag. PTS bedömer att de 8 årsarbetskrafter som i dag finansieras med avgifter enligt lagen om elektronisk kommunikation (LEK) bör flyttas till anslagsfinansiering eftersom säkerhetsbestämmelserna i LEK flyttas till NIS2. 725 aktörer är i dag anmälda till PTS som aktörer som omfattas av LEK.

Vi bedömer att dessa 8 årsarbetskrafter är tillkommande kostnader för PTS, eftersom det är kostnader som myndigheten inte skulle ha haft utan NIS2-direktivet. Den totala kostnaden för dessa årsarbetskrafter är 12 miljoner kronor, om vi använder samma kostnad per årsarbetskraft som ovan, det vill säga 1,5 miljoner kronor.

PTS totala löpande kostnader för tillsyn till följd av NIS2-direktivet uppgår därmed till 21 miljoner kronor.

Transportstyrelsen

Transportstyrelsen har ansvar för tillsyn inom transportsektorn och har sedan NIS-direktivet infördes byggt upp en tillsynsverksamhet som övervakar 130 tillsynsobjekt inom NIS1. Myndigheten har arbetat med att rekrytera personal, utveckla metoder, etablera tillsynsprocesser, ge vägledning, samarbeta med andra aktörer, genomföra utbildningsinsatser och genomföra tillsyner.^[41] Tillsynsarbetet är indelat i tre områden:

• Anmälningstillsyn: Granskning av att verksamhetsutövare som omfattas av direktivet har anmält sig till myndigheten.
• Tillsyn av incidentrapporteringsplikt: Kontroll av att verksamhetsutövare har rapporterat incidenter som omfattas av rapporteringskrav.
• Tillsyn av säkerhetsåtgärder: Bedömning av om verksamhetsutövare följer kraven i Transportstyrelsens föreskrifter om säkerhetsåtgärder.^[42]

Tillsynen av anmälningar och incidentrapporteringsplikten sker främst genom skrivbordsgranskningar. Skrivbordsgranskningar innebär att en myndighet granskar handlingar, rapporter eller andra skriftliga underlag från en verksamhet utan att genomföra en fysisk tillsyn på plats. Däremot kräver tillsyn av säkerhetsåtgärder mer resurser och utförs på plats hos verksamhetsutövarna.

Transportstyrelsen bedömer att tillsynsobjekten ökar till omkring 750 till följd av NIS2

NIS2-direktivet medför flera förändringar och höjer kraven på Transportstyrelsen. Myndigheten fortsätter att ansvara för tillsyn inom transportsektorn och kommer även att få ansvar för tillsyn inom tillverkningssektorn. Storlekskraven på vilka verksamheter som omfattas av tillsyn ändras och även fler trafikområden kommer att omfattas, exempelvis flygbolag och rederier som tidigare undantogs i NIS1. Transportstyrelsen bedömer att antalet tillsynsobjekt kommer att öka från 130 till cirka 750.^[43] Detta innebär att myndighetens behov av både kartläggning och tillsyn av verksamhetsutövare kommer att öka. Dessutom innebär NIS2 enligt utredningens förslag att Transportstyrelsen behöver ta fram föreskrifter om säkerhetsåtgärder samt tillhörande vägledning.

Transportstyrelsen har redan påbörjat förberedelserna för att möta kraven i NIS2. Hittills har följande arbete genomförts:

• Analys av direktivets krav: Myndigheten har analyserat vad direktivet innebär och diskuterat enskilda frågor tillsammans med MSB och andra tillsynsmyndigheter.
• Kartläggning av verksamhetsutövare: Myndigheten har påbörjat arbetet med att identifiera vilka verksamheter som kommer att omfattas.
• Kommunikationsinsatser: Myndigheten har spridit information till verksamhetsutövare, men mer arbete krävs framöver.

Initiala kostnader uppgår till 26,1 miljoner kronor

Transportmyndighetens sammanlagda initiala kostnader för tillsyn till följd av NIS2-direktivet uppgår till sammanlagt cirka 26,1 miljoner kronor. Dessa kostnader består främst av att ta fram föreskrifter, rekrytering samt it-utveckling (tabell 13).

Tabell 13. Transportstyrelsens initiala kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika kostnadsposterna.

Transportstyrelsen ska ta fram föreskrifter inom transportsektorn

Transportstyrelsens kostnad för att ta fram föreskrifter kräver 1,5 årsarbetskrafter och kostar cirka 2,1 miljoner kronor.

Transportstyrelsen ska ta fram föreskrifter inom transportsektorn, med fokus på säkerhetsåtgärder, i enlighet med de nya kraven i NIS2-direktivet.^[44] Arbetet med föreskrifterna inkluderar utbildning, systematiskt och riskbaserat informationssäkerhetsarbete samt vägledning.

Myndigheten behöver rekrytera nio årsarbetskrafter

Transportstyrelsen behöver utöka sin personal med nio extra årsarbetskrafter för att klara tillsynen till följd av NIS2-direktivet. Kostnaden per rekrytering är 140 000 kronor vilket sammanlagt blir cirka 1,3 miljoner kronor. Kostnaden omfattar tid för intervjuer, ta fram annonser, genomföra urval och göra säkerhetsprövningar. Transportstyrelsen räknar också in kostnaden för en ettårig utbildning som krävs för att bli auktoriserad som inspektör.

Transportstyrelsen planerar för breda informationsinsatser

Transportstyrelsens kostnader för informationsinsatser till följd av NIS2-direktivet kommer uppgå till 750 000 kronor. Myndigheten bedömer att insatserna behöver vara omfattande och inkludera seminarier, publicering på webbplatsen, spridning av vägledning kopplad till föreskrifterna och eventuellt utskick av nyhetsbrev. Inledningsvis krävs större insatser för de nya områden som omfattas av NIS2 och inför att verksamhetsutövarna ska anmäla sig till myndigheten när lagen träder i kraft. Därefter behöver informationsinsatser ske löpande.

Engångskostnaderna består främst av it-stöd

Transportstyrelsens it-kostnader uppgår till cirka 21,1 miljoner kronor och omfattar utveckling av it-stöd för bland annat verksamhetsutövare, uppföljning och hantering av tillsynsärenden och stöd för incidentrapporter. Övriga engångskostnader kommer uppgå till 850 000 kronor och omfattar uppdatering av metodstöd, mallar, rutiner och processer.

De löpande kostnaderna uppgår till 14,3 miljoner kronor

Transportstyrelsens totala löpande kostnader för tillsyn till följd av NIS2-direktivet är cirka 14,3 miljoner kronor.

De löpande personalkostnaderna uppgår till drygt 12,3 miljoner kronor per år. I genomsnitt kostar en inspektör nästan 1,4 miljoner kronor per år, enligt Transportstyrelsens uppskattning. Myndighetens bedömning är baserat på:

• antalet verksamhetsutövare, uppdelat i viktiga och väsentliga verksamhetsutövare
• antalet tillsyner per år
• tidsåtgång per tillsyn, fördelat på anmälan, incidentrapportering och säkerhetsåtgärder
• kostnad per timme för en inspektör, inklusive overhead-kostnader.

Myndigheten kommer dessutom att ha återkommande engångskostnader om 2 miljoner kronor avseende förvaltningskostnader för nämnda it-system och översyn av metodstöd. Återkommande engångskostnader är sådana som uppstår vid flera tillfällen men som ändå klassificeras som engångskostnader vid varje enskilt tillfälle.

Finansieringsmodell för tillsyn inom elektronisk kommunikation

I detta kapitel föreslår vi en finansieringsmodell för tillsyn inom sektorn för elektronisk kommunikation, inklusive en motivering till förslaget. Därefter beskriver vi hur tillsynen inom sektorn finansieras idag. Avslutningsvis sammanfattar vi tidigare utredningars förslag om lämpliga finansieringsmodeller för tillsyn enligt NIS1- och NIS2-direktiven.

Sammanfattande iakttagelser

• Vi föreslår att sektorn för elektronisk kommunikation ska finansieras med anslag.
• Om sektorn för elektronisk kommunikation finansieras genom avgifter blir det den enda sektorn med en sådan finansieringsmodell, vilket skulle avvika från övriga sektorer.
• Tillsyn av sektorn för elektronisk kommunikation kommer att omfattas av NIS2-direktivet enligt förslaget från utredningen om införlivandet av NIS2-direktivet i nationell rätt (SOU 2024:18).
• Även tidigare utredningar föreslår att all tillsyn enligt NIS ska finansieras med anslag.

Tillsyn för sektorn elektronisk kommunikation bör finansieras med anslag

Vi föreslår att tillsynen av elektronisk kommunikation övergår till att finansieras med anslag i linje med övrig tillsyn enligt NIS2-direktivet när lagen om cybersäkerhet börjar gälla. Den främsta anledningen är att det skapar en enhetlig modell för finansiering av tillsyn enligt NIS2-direktivet. Det minskar dessutom den administrativa bördan, ökar transparensen och rättssäkerheten samt gör att det inte behövs några ytterligare ändringar i lagstiftningen. Vi bedömer att tillsynen då kan bli både enhetlig och effektiv redan när den nya cybersäkerhetslagen införs.

Tillsynen är i dag finansierad med avgifter enligt lagen om elektronisk kommunikation (LEK). För att upprätthålla tillsynens omfattning och kvalitet bör anslaget till Post- och telestyrelsen (PTS) öka med motsvarande belopp som avgifterna kommer att minska. Enligt myndighetens beräkningar kommer en övergång till anslagsfinansiering att minska de avgifter som verksamhetsutövarna i dag betalar med motsvarande åtta årsarbetskrafter.

Enhetlighet i finansieringen av tillsyn enligt NIS2

Även om det teoretiskt skulle vara möjligt att finansiera tillsynen för sektorn elektronisk kommunikation med avgifter, skulle det skilja sig helt från annan finansiering av tillsyn enligt NIS2-direktivet. Detta är den främsta orsaken till att vi föreslår en samlad finansiering av all tillsynsverksamhet enligt NIS2.

Vi bedömer att olika finansieringsmodeller för tillsyn inom samma regelverk skapar en inkonsekvent och svåröverskådlig struktur. Om det som i dag är tillsyn enligt lagen om elektronisk kommunikation fortsätter att vara finansierad med avgifter när den nya cybersäkerhetslagen börjar gälla skulle PTS bli den enda myndigheten som finansierar tillsyn enligt NIS2 med avgifter – och då endast för en del av sin tillsynsverksamhet inom NIS. PTS har redan i dag tillsynsansvar enligt NIS1 som finansieras med anslag, men föreslås att få utökat tillsynsansvar med fler sektorer i och med NIS2.

Minskad administrativ börda

Om tillsynen för sektorn elektronisk kommunikation är avgiftsfinansierad, krävs det en särskild hantering av dessa avgifter. Samtidigt är den övriga tillsynen enligt NIS2-direktivet finansierad med anslag. Vi anser att detta skapar en onödig administrativ börda för både PTS som tillsynsmyndighet, regeringen och tillsynsobjekten. En enhetlig finansiering med anslag förenklar budgetering och resursplanering samt skapar tydligare ekonomiska ramar för tillsynsarbetet.

Ökad transparens och rättssäkerhet

En enhetlig finansieringsmodell för tillsyn enligt NIS2 skapar tydlighet och förutsägbarhet för både tillsynsmyndigheter och de verksamheter som reglerna omfattar. Vi bedömer även att finansiering med avgifter kan ge upphov till osäkerhet kring avgiftsnivåer och vilken motprestation som avgifterna motiverar, något som regeringen kan undvika genom att finansiera med anslag i stället.

Undvik behov av lagändringar

Lagstiftningen om finansiering av tillsyn enligt NIS2 behöver ändras för att det ska vara möjligt att behålla avgiftsfinansieringen av tillsynen för sektorn elektronisk kommunikation. Utredningen (SOU 2024:18) föreslår i stället att finansiera tillsyn enligt NIS2-direktivet som helhet med anslag. Att välja en annan finansieringsmodell för tillsyn enligt NIS2-direktivet i samband med att den nya cybersäkerhetslagen börjar att gälla skulle öka den juridiska komplexiteten och även medföra risk för förseningar. Även om det skulle finnas en lag som möjliggör avgiftsfinansiering, kvarstår vår främsta invändning mot sådan finansiering för sektorn elektronisk kommunikation – finansieringen av tillsynen enligt NIS2 skulle inte då vara enhetlig.

I dag finansieras tillsyn för sektorn elektronisk kommunikation med avgifter

I dag omfattas sektorn för elektronisk kommunikation av lagen (2022:482) om elektronisk kommunikation (LEK). Men i och med att NIS2-direktivet införs ska sektorn i stället omfattas av detta direktiv. Utredningen (SOU 2024:18) föreslår att PTS blir tillsynsmyndighet för sektorn.

Enligt 14 kap. i lagen (2022:482) om elektronisk kommunikation (LEK) får regleringsmyndigheten eller tillsynsmyndigheten ta ut avgifter enligt följande:

• handläggningsavgifter (som kan tas ut vid anmälan av verksamhet eller ansökan om tillstånd)
• årliga avgifter (som ska täcka myndigheternas kostnader för att bedriva verksamhet enligt lagen)
• avgifter för åtgärder mot hot och påfrestningar (som finansieras av aktörer inom elektronisk kommunikation).

I vår intervju med PTS uppskattar myndigheten den del av verksamheten som ska ingå i det löpande tillsynsansvaret enligt NIS2-direktivet till åtta årsarbetskrafter.

Tidigare utredningar föreslår anslagsfinansiering för NIS

Utredningen om genomförande av det första NIS-direktivet (SOU 2017:36) och Statskontoret har tidigare utrett frågan om vilken finansiering som är lämpligast när det gäller NIS1-direktivet.^[45] Utredningen (SOU 2017:36) skriver att en viktig förutsättning för att finansiera tillsyn med avgifter är att det är känt vilka verksamheter som omfattas och att kontroller sker hos samtliga som betalar tillsynsavgift. Men så var inte fallet när utredningen lämnade sina förslag 2017. Dessutom skriver utredningen att det var svårt att bestämma avgifterna, eftersom såväl antalet verksamheter som skulle omfattas och komplexiteten i verksamheten var oklar. Verksamheter som skulle omfattas fanns också delvis inom staten, regionerna eller kommunerna och dessa aktörer ska inte betala avgifter för tillsyn. Utredningens förslag var därför att tillsynen till följd av NIS1-direktivet åtminstone inledningsvis skulle finansieras med anslag.

Statskontoret drar samma slutsats i sin tidigare utredning.^[46] Våra huvudsakliga skäl mot avgiftsfinansiering är risken för konkurrenssnedvridande effekter, höga administrationskostnader, svårigheter att dels utforma tillsynen över sektorerna på ett enhetligt sätt och svårigheter att påvisa en tydlig motprestation för avgiften. Se även Statskontorets fördjupning Vem är det som kör? om avgiftsfinansiering i staten från 2024.^[47]

Utredningen (SOU 2024:18) ansluter sig till ovanstående bedömningar och menar att argumenten i hög grad har bäring även för NIS2-tillsynen.^[48] Utredningen föreslår att all tillsyn enligt NIS2 ska finansieras med anslag, vilket omfattar de myndigheter som i dag har tillsynsansvar enligt NIS1. Detta inkluderar även de myndigheter som utredningen föreslår ska få ansvar för nya sektorer samt de fem nya tillsynsmyndigheterna.

Referenser

Direktiv 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam säkerhetsnivå för nätverks- och informationssystem i hela unionen.

Direktiv 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och om upphävande av direktiv.

Direktiv 2022/2557 av den 14 december 2022 om motståndskraften hos kritiska enheter och om upphävande av rådets direktiv.

Energimyndigheten (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 2024–201702).

Energimyndigheten (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Finansinspektionen (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 24–7220).

Finansinspektionen (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Förordning 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Inspektionen för vård och omsorg (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 6.1.1–08434/2024).

Inspektionen för vård och omsorg (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Livsmedelsverket (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 2024/01320).

Livsmedelsverket (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Läkemedelsverket (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 3.4.1-2024-022041).

Läkemedelsverket (2024). Årsredovisning för 2023.

Läkemedelsverket (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Länsstyrelsen Norrbotten (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 3539–2024).

Länsstyrelsen Norrbotten (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Länsstyrelsen Skåne (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 451-8152-2024).

Länsstyrelsen Skåne (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Länsstyrelsen Stockholm (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 11236–2024).

Länsstyrelsen Stockholm (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Länsstyrelsen Västra Götaland (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 9740–2024).

Länsstyrelsen Västra Götaland (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Myndigheten för samhällsskydd och beredskap (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 2024/03843–4).

Post- och telestyrelsen (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr 24–3029).

Post- och telestyrelsen (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Socialdepartementet (2024). Regeringsuppdrag till Läkemedelsverket att förbereda inför EHDS, S2024/01304.

SOU 2004:100. Tillsyn. Förslag om en tydligare och effektivare tillsyn, del 1.

SOU 2017:36. Informationssäkerhet för samhällsviktiga och digitala tjänster.

SOU 2024:18. Nya regler om cybersäkerhet.

SOU 2024:64. Motståndskraft i samhällsviktiga tjänster.

Statskontoret (2012). Tänk till om tillsynen. Om utformning av statlig tillsyn. (Om offentlig sektor 14).

Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering.

Statskontoret (2024). Vem är det som kör? – Avgiftsbelagd verksamhet i staten. (Om offentlig sektor 54).

Transportstyrelsen (2024). Nya regler om cybersäkerhet (SOU 2024:18). Remissvar. (Dnr TSG 2024–1321).

Transportstyrelsen (2025). Kostnadsuppskattningar för införandet av NIS2-direktivet. Underlag till Statskontoret.

Bilaga 1

Regeringsuppdraget

Bilaga 2

Genomförande av uppdraget

I den här bilagan beskriver vi hur vi har genomfört vårt uppdrag. Det inkluderar hur vi har gått tillväga för att uppskatta de ekonomiska konsekvenserna för tillsyn enligt NIS2-direktivet, samt vilket underlag som vi har använt för att uppskatta kostnaderna. Vårt sätt att genomföra uppdraget har utgått från hur vi har tolkat vårt uppdrag (avsnitt 1.1.2).

Modell för att utreda ekonomiska konsekvenserna för tillsyn enligt NIS2

För att utreda de ekonomiska konsekvenserna för tillsyn till följd av NIS2-direktivet har vi bett varje tillsynsmyndighet att uppskatta både initiala och löpande kostnader för tillsynen. Det finns flera faktorer som påverkar hur stora kostnaderna blir, se figur B1.

Figur B1. Modell för analys av ekonomiska konsekvenser för tillsynsmyndigheterna.

Samtliga föreslagna tillsynsmyndigheter bedriver någon form av tillsyn i dag. Men vi konstaterar också att flera av dem skulle få en eller flera nya sektorer att tillsyna när utredningens förslag genomförs. Det gör att de kostnader som myndigheterna uppskattar för en verksamhet som ännu inte har kommit i gång är något osäkra. Flera faktorer är inte klarlagda, som antalet verksamheter som omfattas av tillsynen. Analysen av de ekonomiska konsekvenserna för varje myndighet är därför med nödvändighet endast den bästa möjliga bedömningen från Statskontorets sida och inte en exakt kostnadsberäkning.

Tillsynsmyndigheternas kostnader kan summeras i nedanstående tabell:

Tabell B1. Nuvarande respektive nya tillsynsmyndigheter har delvis olika
kostnader för tillsyn till följd av NIS2-direktivet.

För att kartlägga de kostnader som NIS2-direktivet ger upphov till har vi undersökt vilka förändringar de nuvarande myndigheterna måste genomföra till följd av direktivet, utöver den tillsyn som de bedriver i dag till följd av NIS1-direktivet. Det inkluderar både initiala och löpande kostnader. För de myndigheter som tillkommer enligt utredningens förslag har vi undersökt alla kostnader som tillkommer till följd av NIS2-direktivet.

Initiala kostnader

Vi har utrett initiala kostnader för både nuvarande och nya tillsynsmyndigheter. Av de nuvarande tillsynsmyndigheterna får Livsmedelsverket, Post- och telestyrelsen och Transportstyrelsen nya sektorer att bedriva tillsyn över, enligt förslag från utredningen (SOU 2024:18).

Det som påverkar de initiala kostnaderna för myndigheterna är bland annat följande faktorer:

• Vad gör de utsedda myndigheterna redan i dag inom sektorn?
• Vilken kompetens inom området har myndigheterna och vad behöver de komplettera med?
• Finns det engångskostnader för tillsynen? Sådana kostnader kan vara initiala som uppstår i samband med tillsynssystemets start eller återkommande som att förvalta it-system.

En annan faktor som påverkar både de initiala kostnaderna och de löpande kostnaderna är att den lag som gäller är begränsad till samhällsviktiga och digitala tjänster medan förslaget till cybersäkerhetslagen omfattar enskilda verksamhetsutövare inom sektorn som uppfyller ett storlekskrav. Det innebär att verksamhetsutövare som är tillräckligt stora och bedriver verksamhet inom sektorn också omfattas av cybersäkerhetslagen. Vidare omfattas nästan hela den offentliga sektorn enligt utredningens förslag.^[49]

En ytterligare faktor som påverkar kostnaderna är att skyldigheten för de nuvarande tillsynsmyndigheterna att meddela föreskrifter för sina tillsynsområden kommer att upphävas och ersättas av nya tillsynsbestämmelser och nya bestämmelser om föreskriftsrätt. Vi har därför undersökt om detta innebär nya initiala kostnader för myndigheterna. För IVO:s del föreslår utredningen att myndigheten i fortsättningen får utfärda föreskrifter när det gäller sektorn hälso- och sjukvård.^[50] I dag är det Socialstyrelsen som meddelar föreskrifter för IVO:s tillsynsområde.

Löpande kostnader

De löpande kostnaderna för tillsyn och kostnaden för att besluta om administrativa sanktioner och åtgärdsföreläggande varierar mellan myndigheterna. De beror på:

• antalet verksamhetsutövare som kommer att omfattas av den nya lagens krav på tillsyn
• frekvensen i tillsynen
• hur tillsynen genomförs
• tillsynens komplexitet
• vilken förstärkning av informationssäkerhetskompetens som krävs för att införa den föreslagna lagen.

Genom att låta tillsynsmyndigheterna ta hänsyn till dessa och andra faktorer har de enskilda myndigheterna kunnat uppskatta sina kommande totala kostnader per år, inklusive årsarbetskraft och eventuella overhead-kostnader.

Intervjuer, skriftliga frågor och påverkande faktorer

Vi har träffat företrädare för myndigheterna på de utsedda myndigheterna två gånger för att analysera de ekonomiska konsekvenserna för tillsynsmyndigheterna. Vid det första mötet presenterade vi vårt uppdrag och vilka frågor som vi behöver ha svar på.

I samband med det första mötet överlämnade vi även ett frågeformulär till myndigheterna. Formuläret innehåller frågor om vilka initiala kostnader och löpande kostnader som myndigheten bedömer kommer att uppstå till följd av tillsynen. I samband med mötet gick vi igenom frågorna så att vi var säkra på att myndigheterna hade förstått dem och kunde besvara dem skriftligen efter bästa förmåga, inom tre–fyra veckor. Vi bedömer att vi ökade tillförlitligheten i myndigheternas uppskattningar om de ekonomiska konsekvenserna genom att ge dem tid att fundera och svara vid ett senare tillfälle.

Vi lät också samtliga tillsynsmyndigheter ta del av hur de nuvarande myndigheterna uppskattade sina initiala och löpande kostnader inför att NIS1-direktivet skulle genomföras 2018. Uppgifterna är tillgängliga i Statskontorets rapport från samma år.^[51] Vi anser att det hjälpte myndigheterna att uppskatta sina kommande kostnader.

Vid vårt andra möte med myndigheterna följde vi upp de skriftliga svar som vi hade fått från myndigheterna och avhjälpte eventuella utestående problem. Vi bad också myndigheterna att motivera hur de har kommit fram till sina svar. I de fall de inte kunde bedöma exempelvis vilka kostnader de uppskattar att informationsinsatserna kunde få, bad vi dem förklara varför. Under arbetets gång kontaktade vi även myndigheterna via e-post för att förtydliga och reda ut eventuella oklarheter i de skriftliga svaren.

För att förbättra tillförlitligheten i de svar som vi fick från myndigheterna bad vi varje myndighet att ta hänsyn till en rad olika faktorer som vi bedömer kan påverka kostnaderna för tillsynsverksamheten (bilaga 4). Syftet med att ange dessa faktorer var att stödja myndigheterna att bedöma vad som kan påverka kostnaderna. Vi bad inte myndigheterna att redovisa vad varje enskild faktor kostar.

I samband med faktagranskningen gav vi varje myndighet möjlighet att jämföra sina uppskattade kostnader med de övriga myndigheternas uppskattade kostnader. Vi bedömer att denna transparens ökade tillförlitligheten av uppgifterna ytterligare.

Som komplement till intervjuerna har vi tagit del av myndigheternas remissvar på utredningens förslag (SOU 2024:18). Genom remissvaren fick vi ytterligare insikt i vilka kostnader myndigheterna förväntar sig som följd av utredningens förslag, samt om myndigheterna anser att utredningens förslag till finansiering är tillräckliga eller inte. Frågorna som vi bad myndigheterna besvara skriftligen redovisas i bilaga 5.

Projektgrupp och faktagranskning

Uppdraget har genomförts av Lena Birkelöf (projektledare) och Sebastian Stålfors. Rapporten har kvalitetssäkrats genom Statskontorets interna rutiner.

Energimyndigheten, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket, Läkemedelsverket, Länsstyrelsen Norrbotten, Länsstyrelsen Skåne, Länsstyrelsen Stockholm, Länsstyrelsen Västra Götaland, Post- och telestyrelsen och Transportstyrelsen har fått möjlighet att faktagranska innehållet.

Bilaga 3

Tabeller och figurer

I denna bilaga redovisar vi tabeller och figurer över de initiala kostnaderna, fördelade på olika faktorer per myndighet. Vi redovisar också uppskattat antal tillsynsobjekt samt årsarbetskrafter och löpande kostnader för tillsyn för respektive myndighet.

Tabell B2. Initiala kostnader uppdelade på olika faktorer, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika kostnadsposterna.

Tabell B3. Tillsynsobjekt, årsarbetskrafter och löpande kostnader, miljoner kronor.

Anmärkning: På grund av avrundning skiljer sig den totala summan från summan av de olika kostnadsposterna. I övriga kostnader ingår resekostnader för platstillsyn eller revision, löpande kompetensutveckling och certifieringar.

Figur B2. Initiala kostnader, miljoner kronor.

Figur B3. Löpande kostnader (årligen), miljoner kronor.

Bilaga 4

Faktorer som kan påverka tillsynens kostnader

I den här bilagan presenterar vi den lista över faktorer som vi bad varje myndighet att ta hänsyn till. Vi bedömer att dessa faktorer kan påverka myndigheters initiala och löpande kostnader för tillsynsverksamheten.

Faktorer som påverkar myndigheternas initiala kostnader:

• Föreskrifter
• Informationsinsatser mot verksamheter som eventuellt omfattas av tillsyn
• Utbildningsinsatser mot verksamheter
• Kompetensinventering
• Rekrytering av ny kompetens för initialt arbete
• Engångskostnader
• It-system – ställningstagande om att använda befintligt eller skapa nytt
• Behov av särskilda insatser från konsulter
• Riskbedömning kring oförutsedda kostnader eller händelser

Faktorer som påverkar myndigheternas löpande kostnader:

• Antal verksamheter att tillsyna
• Tillsynsfrekvens
• Kostnad per tillsyn
• Kostnad per tillsynsobjekt
• Möjligt att inkorporera ny tillsyn i befintlig tillsyn
• Möjligt att använda befintliga arbetssätt och metoder
• Nödvändigt att ta fram nya arbetssätt och metoder
• Den nya tillsynssektorns sårbarhet, hot och risker
• Behov av rekrytering för löpande tillsyn
• Kostnader för interna/befintliga resurser – utöver nyrekryteringar
• Behov av konsulter
• Kostnad per årsarbetskraft
• Overheadkostnader är inkluderade i kostnaden för årsarbetskraften
• Behov av kompetensutveckling av befintliga resurser
• It-system – kostnader för underhåll och uppdateringar, oavsett anpassad eller nytt
• Kostnad för nya it-system
• Uppföljning/uppdatering av föreskrifter
• Bedömning avseende antal incidentrapporter och hantering av dessa

Bilaga 5

Frågeformulär till myndigheter

I den här bilagan finns de frågeformulär om kostnader som vi bad varje myndighet att besvara – ett frågeformulär till nuvarande tillsynsmyndigheter och ett frågeformulär till nya tillsynsmyndigheter.

Frågeformulär till nuvarande myndigheter

För att utreda de ekonomiska konsekvenserna för varje tillsynsmyndighet behöver Statskontoret ta hänsyn till

• De initiala kostnaderna för respektive myndighet och
• Myndigheternas löpande kostnader

Bakgrundsfrågor

För att hjälpa oss på bästa sätt, vänligen svara kortfattat på bakgrundsfrågorna.

1. Vad gör [namn på myndighet] för tillsyn idag till följd av det ursprungliga NIS-direktivet?
2. Hur bedömer ni att utredningens (SOU 2024:18) förslag när det gäller NIS2-direktivet påverkar er myndighet?
3. Har ni påbörjat arbetet med NIS2?
1. Om ja, vad har ni gjort och vad planerar ni att göra framöver?
2. Om nej, finns det några planer på att påbörja arbetet? Och när?

Initiala kostnader

1. Kommer [namn på myndigheten] att ha kostnader för föreskrifter för tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha behov att genomföra informationsinsatser till tillsynspliktiga verksamheter till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha behov av att rekrytera ny kompetens till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden för själva rekryteringsprocessen alternativt för intern kompetensinventering (ej löpande kostnader)?
• Motivera svaret kort.

1. Kommer engångskostnader att uppstå för [namn på myndigheten] i samband med starten av tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha återkommande engångskostnader i samband med tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

Löpande kostnader

1. Föranleder tillsyn till följd av utredningens (SOU 2024:18) förslag till någon förstärkning av kompetens på [namn på myndigheten] för den löpande tillsynen?

• Om ja, hur många extra årsarbetskrafter?
• Om ja, vad blir den totala kostnaden i årsarbetskraft inklusive overhead-kostnader?
• Motivera svaret kort.

1. Hur många tillsyner har [namn på myndigheten] utfört till följd av NIS1-direktivet

• 2023
• 2024

Vad uppgick kostnaden per tillsyn till ungefär?

• 2023
• 2024

1. Hur många tillsyner till följd av utredningens (SOU 2024:18) förslag förväntar [namn på myndigheten] utföra?

• 2026
• 2027
• 2028

Vad uppgår kostnaden per tillsyn till ungefär?

• 2026
• 2027
• 2028

Frågeformulär till nya myndigheter

För att utreda de ekonomiska konsekvenserna för varje tillsynsmyndighet behöver Statskontoret ta hänsyn till

• De initiala kostnaderna för respektive myndighet och
• Myndigheternas löpande kostnader

Bakgrundsfrågor

För att underlätta vår utredning, vänligen svara kortfattat på bakgrundsfrågorna.

1. Hur bedömer [namn på myndighet] att utredningens förslag påverkar er myndighet?
2. Har ni påbörjat arbetet med NIS2?

• Om ja, vad har ni gjort och vad planerar ni att göra framöver?
• Om nej, finns det några planer på att påbörja arbetet?

1. Har något av den tillsyn som [namn på myndighet] genomför idag beröringspunkter med den eller de sektorer som utredningen (SOU 2024:18) föreslår att [namn på myndighet] ska ha tillsynsansvar för?

• Om ja, vilket område och på vilket sätt?

Initiala kostnader

1. Kommer [namn på myndigheten] att ha kostnader för föreskrifter för tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha behov att genomföra informationsinsatser till tillsynspliktiga verksamheter till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha behov av att rekrytera ny kompetens till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden för själva rekryteringsprocessen alternativt för intern kompetensinventering (ej löpande kostnader)?
• Motivera svaret kort.

1. Kommer engångskostnader att uppstå för [namn på myndigheten] i samband med starten av tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

1. Kommer [namn på myndigheten] ha återkommande engångskostnader i samband med tillsyn till följd av utredningens (SOU 2024:18) förslag?

• Om ja, vad blir kostnaden?
• Motivera svaret kort.

Löpande kostnader

1. Föranleder tillsyn till följd av utredningens (SOU 2024:18) förslag till någon förstärkning av kompetens på [namn på myndigheten] för den löpande tillsynen?

• Om ja, hur många extra årsarbetskrafter?
• Om ja, vad blir den totala kostnaden i årsarbetskraft inklusive overhead-kostnader?
• Motivera svaret kort.

1. Hur många tillsyner till följd av utredningens (SOU 2024:18) förslag förväntar [namn på myndigheten] utföra?

• 2026
• 2027
• 2028
• Motivera svaret kort.

Vad uppgår kostnaden per tillsyn till ungefär?

• 2026
• 2027
• 2028
• Motivera svaret kort.

Fotnoter

1. Direktiv 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och om upphävande av direktiv och Direktiv 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam säkerhetsnivå för nätverks- och informationssystem i hela unionen. ↑

2. Direktiv 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och om upphävande av direktiv och Direktiv 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam säkerhetsnivå för nätverks- och informationssystem i hela unionen. ↑

3. SOU 2024:18. Nya regler för cybersäkerhet, s. 401. ↑

4. SOU 2024:18. Nya regler för cybersäkerhet, s 19. ↑

5. SOU 2024:18. Nya regler om cybersäkerhet, s. 213. ↑

6. Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering. ↑

7. SOU 2024:18. Nya regler om cybersäkerhet, s. 341. ↑

8. Ibid. s. 139. ↑

9. Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag och EUR-Lex: https://eur-lex.europa.eu/SV/legal-content/glossary/small-and-medium-sized-enterprises.html (hämtat 2025-01-07). ↑

10. SOU 2024:18. Nya regler om cybersäkerhet, s. 340. ↑

11. Ibid. s. 151. ↑

12. Ibid. s. 340. ↑

13. Ibid. s. 340. ↑

14. SOU 2024:18. Nya regler om cybersäkerhet, s. 220. ↑

15. Ibid. s. 341. ↑

16. Ibid. s. 403. ↑

17. Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering, s. 55. ↑

18. Statskontoret (2012). Tänk till om tillsynen. Om utformning av statlig tillsyn, s. 31. ↑

19. SOU 2004:100. Tillsyn. Förslag om en tydligare och effektivare tillsyn, del 1, s. 82. ↑

20. SOU 2024:18. Nya regler om cybersäkerhet, s. 504. ↑

21. Ibid. ↑

22. Ibid. ↑

23. SOU 2024:18. Nya regler om cybersäkerhet, s. 57 och 84. ↑

24. SOU 2024:18. Nya regler om cybersäkerhet, s. 207–209. ↑

25. Ibid. s. 340. ↑

26. Ibid. ↑

27. SOU 2024:18. Nya regler om cybersäkerhet, s. 506. ↑

28. SOU 2024:18. Nya regler om cybersäkerhet. s. 247. ↑

29. Läkemedelsverkets årsredovisning för 2023. ↑

30. CER-direktivet ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet. Europaparlamentet och rådet antog CER-direktivet den 14 december 2022 (SOU 2024:64, s.17). ↑

31. Regeringsuppdrag till Läkemedelsverket att förbereda inför EHDS, Diarienummer: S2024/01304. ↑

32. SOU 2024:18. Nya regler om cybersäkerhet, s. 220. ↑

33. Ibid. s. 341. ↑

34. SOU 2024:18. Nya regler om cybersäkerhet, s. 227. ↑

35. SOU 2024:18. Nya regler om cybersäkerhet, s. 341. ↑

36. Till det tillkommer resekostnader i samband med föreskriftsarbete. Resekostnaderna beräknas till cirka 10 000 kronor per år. ↑

37. SOU 2024:18. Nya regler om cybersäkerhet, s. 341. ↑

38. SOU 2024:18. Nya regler om cybersäkerhet, s. 341. ↑

39. Till det tillkommer resekostnader i samband med föreskriftsarbete. Resekostnaderna beräknas till cirka 51 200 kronor per år. ↑

40. Förordning 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. ↑

41. SOU 2024:18. Nya regler om cybersäkerhet, s. 505. ↑

42. TSFS 2022:14. Transportstyrelsens föreskrifter och allmänna råd om säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster inom transportsektorn. ↑

43. SOU 2024:18. Nya regler om cybersäkerhet, s. 505. ↑

44. SOU 2024:18. Nya regler om cybersäkerhet, s. 507. ↑

45. SOU 2017:36. Informationssäkerhet för samhällsviktiga och digitala tjänster och Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering. ↑

46. Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering, s. 8. ↑

47. Statskontoret (2024). Vem är det som kör? – Avgiftsbelagd verksamhet i staten. ↑

48. SOU 2024:18. Nya regler om cybersäkerhet, s. 355. ↑

49. SOU 2024:18. Nya regler om cybersäkerhet, s. 341. ↑

50. Ibid. s. 230. ↑

51. Statskontoret (2018:7). Tillsyn enligt NIS-direktivet – kostnader och finansiering, s. 71. ↑