Europeiska kommissionens förslag till förordning om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordning (EU) 2019/1020 (Cyberresiliensakten)
Myndigheten för digital förvaltning (Digg), som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig, lämnar följande synpunkter.
Sammanfattning
Digg stödjer förslaget om ökade cybersäkerhetskrav för produkter med digitala element och instämmer i behovet av att förstärka skyddet mot cybersäkerhetshot.
Digg anser dock att
- Det finns behov av att tydliggöra tillämpningsområdet i förhållande till andra unionsrättsakter.
- Det finns anledning att överväga om det är ändamålsenligt med ett flertal rättsakter inom området för digitalisering och digitala produkter och tjänster som sammantaget innehåller en stor mängd definitioner.
- Det finns behov av att förstärka sambandet med enskildas rättigheter, dataminimering, privacy by design och liknande bärande principer om dataskydd som är en del av bedömningen av skyddsnivåer.
Kapitel 1 Allmänna bestämmelser
Artikel 2 (4) Tillämpningsområde
Digg ser positivt på syftet med bestämmelsen, att undvika en överlappning av krav som följer av olika unionsregler. Digg ser dock svårigheter med den avgränsning som beskrivs, särskilt den bedömning av skyddsnivå som ska göras enligt punkten b. Tillämpningsområdet för produkter med digitala element som omfattas av Cyberresiliensakten ska avgränsas om angränsande sektorsspecifika regelverk för olika produkter med digitala element ställer krav på samma skyddsnivå. Det framstår som oklart om en sådan bedömning av ifall sektorsregler ger samma skyddsnivå är avsedd att genomföras av olika aktörer vid tillämpning av akten, eller om det är en bedömning för Kommissionen i förhållande till befogenhet att anta delegerade akter som anges i Artikel 2 (4) andra stycket. Bestämmelsen kan med nuvarande utformning leda till betydande osäkerhet om tillämpningsområdet. Om olika aktörer som ska tillämpa Cyberresiliensakten ska göra en självständig bedömning av ifall sektorsregler ger samma skyddsnivå för att därefter avgöra om Cyberresiliensakten blir tillämplig eller inte, finns en risk för fragmentiserad tillämpning. Det vore önskvärt att denna avgränsning av tillämpningsområdet utformas med direkt hänvisning till sektorsregler som ger motsvarande skyddsnivå.
Artikel 3 Definitioner
Digg konstaterar att Cyberresiliensakten introducerar 40 definierade begrepp som adderar till övriga EU-rättsakter som berör området för digitalisering och digitala produkter och tjänster. Definitioner i dessa olika rättsakter är inte nödvändigtvis motsägande, men frågan är om den sammantagna mängden definitioner är ändamålsenlig och om det närmare förhållandet mellan begreppen går att överblicka? Digg bedömer att det finns anledning att i större utsträckning sträva efter att använda redan etablerade definitioner och undvika att belasta nya rättsakter med ytterligare näraliggande begrepp.
Artikel 3 (19) tillverkarens representant
En tillverkare får genom skriftlig fullmakt utse en representant. Digg förordar att ”skriftlig fullmakt” byts eller kompletteras med ett begrepp som bättre stämmer överens med en svensk rättslig kontext, t.ex. ”skriftligt avtal”. Den utsedda representanten kan enligt definitionen få i uppgift att utföra uppgifter i tillverkarens ställe, men det behöver inte medföra att representanten även ska föra tillverkarens talan i förhållande till andra.
Skäl
Skäl (17) Dataskydd
I skäl (17), i bilaga I, punkt 1 (3 e) med flera bestämmelser hänvisas till olika grundläggande principer enligt den allmänna dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679). Flera av dessa principer om t.ex. dataminimering, privacy by design och krav vid behandling av känsliga personuppgifter är väsentliga vid bedömning av klassificering av kritiska produkter med digitala element, vid riskbedömning och för säkerhetskraven. För att tydliggöra detta samband och de synergier som beskrivs i skäl (17) bör en hänvisning göras direkt i en artikel, på motsvarande sätt som Artikel 7 gäller för frågor om produktsäkerhet.
Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också chefsjuristen Linn Kempe deltagit. Föredragande har varit jurist Jeanna Thorslund.
Ditt svar hjälper oss att förbättra sidan
Publicerad: