1 kap. Inledande bestämmelser

Tillämpningsområde

1 §

Denna författning innehåller bestämmelser om verksamhetsutövares anmälningsskyldighet enligt 2 kap. 2 § cybersäkerhetslagen (2025:1506).

Författningen innehåller även bestämmelser om identifiering av verksamhetsutövare avseende

1. undantag för partnerföretag och anknutna företag från storlekskravet enligt 1 kap. 4 § 3 cybersäkerhetslagen,
2. huvudsakligt etableringsställe enligt 1 kap. 7 § cybersäkerhetslagen, och vilka ytterligare verksamhetsutövare som ska omfattas av regelverket enligt 1 kap. 5 § 1–3 cybersäkerhetslagen och
3. vilka verksamhetsutövare som ska räknas som väsentliga enligt 1 kap. 9 § första stycket 6 cybersäkerhetslagen.

Ordförklaringar

2 §

Termer och uttryck i dessa föreskrifter har samma betydelse som i cybersäkerhetslagen.

3 §

I dessa föreskrifter avses med

akutsjukhus

vårdinrättning för slutenvård som har särskild akutmottagning för omedelbar hälso- och sjukvård,

beredskapsflygplats

flygplats som har särskilt avtal med Trafikverket om att vara beredskapsflygplats,

driftcenter för cybersäkerhetsverksamhet

driftcenter för aktiviteter som skyddar information, nätverks- och informationssystem från skadliga cyberhot. Det involverar användning av verktyg, arbetssätt och teknik för att upptäcka, förebygga och svara på cyberincidenter,

etableringsställe

där verksamhet faktiskt bedrivs genom en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, är inte avgörande,

karantänshamn

hamn som är utpekad av Folkhälsomyndigheten enligt vägledning Kapacitet vid karantänshamnar och karantänsflygplatser – vägledning utifrån det internationella hälsoreglementet som karantänshamn.

produktionsmiljö

den del av den digitala miljön som verksamhetsutövaren använder för sin produktion eller utförande av sitt uppdrag,

sektorsverksamhet

verksamhet som anges i bilaga I eller II till NIS2-direktivet. Med sektorsverksamhet i offentlig förvaltning avses sådan verksamhet som en kommun, region eller statlig myndighet är skyldig att utföra enligt författning,

skyddad plats

avser en hamn, del av hamn eller annan skyddande kaj eller annat skyddat område som är utpekat av Transportstyrelsen²,

system

nätverks- och informationssystem enligt 1 kap. 2 § 16 i cybersäkerhetslagen,

viktig samhällsfunktion

en samhällsfunktion som är nödvändig för samhällets grundläggande behov, värden eller säkerhet.

2 kap. Anmälningsskyldighet

Anmälans innehåll

1 §

En anmälan ska innehålla följande uppgifter:

1. namn på verksamhetsutövaren,
2. adress, e-postadress, organisationsnummer och telefonnummer till verksamhetsutövaren eller dess svenska företrädare,
3. identifierare mot internet i form av ip-adresser och domännamn,
4. inom vilka sektorer och viktiga samhällsfunktioner verksamhetsutövaren bedriver verksamhet,
5. vilken typ av verksamhet som bedrivs,
6. om verksamheten är identifierad enligt 4 kap., och
7. om verksamhetsutövaren är väsentlig eller viktig.

2 §

Om verksamhetsutövare bedriver sektorsverksamhet i andra medlemsstater i Europeiska unionen (EU) eller europeiska ekonomiska samarbetsområdet (EES) ska anmälan även innehålla uppgift om adress, e-postadress och telefonnummer till dessa etableringsställen.

Hur uppgifter ska lämnas

3 §

Uppgifterna ska anges på det sätt och lämnas via de kontaktvägar som anvisats av Myndigheten för civilt försvar.

3 kap. Undantag och huvudsakligt etableringsställe

Undantag för partnerföretag och anknutna företag

1 §

En verksamhetsutövare som uppfyller kraven i 1 kap. 4 § cybersäkerhetslagen ska undantas från cybersäkerhetslagens tillämpningsområde om

1. verksamhetsutövaren utgör ett partnerföretag eller ett anknutet företag och endast uppfyller storlekskravet i 1 kap. 4 § 3 cybersäkerhetslagen genom sin anknytning till andra företag,
2. drift och förvaltning av den egna produktionsmiljön i allt väsentligt bedrivs oberoende av produktionsmiljön hos verksamhetsutövarens partnerföretag eller de till verksamhetsutövaren anknutna företag, och
3. verksamhetsutövaren i övrigt har en sådan hög grad av oberoende i förhållande till partnerföretag eller anknutna företag att det skulle vara oproportionerligt att verksamhetsutövaren skulle omfattas av lagen.

Huvudsakligt etableringsställe

2 §

Vid bedömningen om en verksamhetsutövares etableringsställe i Sverige utgör det huvudsakliga etableringsstället enligt 1 kap. 7 § cybersäkerhetslagen ska följande omständigheter beaktas i nämnd ordning

1. om beslut om ledning och styrning av arbetet med cybersäkerhet i huvudsak fattas i Sverige,
2. om det huvudsakliga driftcentret för cybersäkerhetsverksamhet är placerat i Sverige, eller
3. om verksamhetsutövaren har sin största andel anställda i Sverige.

4 kap. Ytterligare verksamhetsutövare

Väsentliga verksamhetsutövare

1 §

Inom transporter omfattas samtliga

1. beredskapsflygplatser,
2. flygkontrolltjänster,
3. karantänshamnar, och
4. skyddade platser.

2 §

Inom dricksvatten omfattas verksamhetsutövare som producerar eller distribuerar dricksvatten enligt lagen (2006:412) om allmänna vattentjänster till minst 20 000 personer eller till akutsjukhus.

Viktiga verksamhetsutövare

3 §

Inom tillverkning, produktion och distribution av kemikalier omfattas verksamhetsutövare som:

1. tillverkar eller förädlar tillsatser eller insatsvaror överstigande 1 ton/år som är av avgörande betydelse för storskalig kemikalieproduktion inom
   1. dricksvattenrening,
   2. avloppsrening,
   3. industriell tillverkning eller förädling av livsmedel,
   4. framställning av gödselmedel eller kväveproduktion,
   5. växtskyddsmedel,
   6. brandsläckningsmedel,
   7. rengöringsmedel för hälso- och sjukvård, eller
   8. rengöringsmedel för industriell produktion, och
2. är registrerad enligt Europaparlamentets och rådets förordning (EG) nr 1907/2006 av den 18 december 2006 om registrering, utvärdering, godkännande och begränsning av kemikalier (Reach), inrättande av en europeisk kemikaliemyndighet, ändring av direktiv 1999/45/EG och upphävande av rådets förordning (EEG) nr 793/93 och kommissionens förordning (EG) nr 1488/94 samt rådets direktiv 76/769/EEG och kommissionens direktiv 91/155/EEG, 93/67/EEG, 93/105/EG och 2000/21/EG.