Regeringen föreskriver i fråga om cybersäkerhetsförordningen (2025:1507)

dels att 18, 23, 31, 35, 36 och 38–40 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 43 §, och närmast före 43 § en ny rubrik av följande lydelse.

18 §

Tillsynsmyndigheten ska samarbeta med Integritetsskyddsmyndigheten vid hantering av incidenter som även utgör personuppgiftsincidenter.

Om tillsynsmyndigheten, när den utövar tillsyn enligt cybersäkerhetslagen (2025:1506), får kännedom om en omständighet som kan innebära en personuppgiftsincident som ska anmälas enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, ska tillsynsmyndigheten så snart det kan ske informera Integritetsskyddsmyndigheten om incidenten.

23 §

Försvarets radioanstalt ska vara gemensam kontaktpunkt enligt artikel 8.3 i NIS 2-direktivet, i den ursprungliga lydelsen.

31 §

Försvarets radioanstalt ska vara enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) i enlighet med artikel 10 i NIS 2-direktivet, i den ursprungliga lydelsen.

35 §

Försvarets radioanstalt ska vara cyberkrishanteringsmyndighet i enlighet med artikel 9 i NIS 2-direktivet, i den ursprungliga lydelsen.

36 §

Försvarets radioanstalt ska i enlighet med artikel 16.2 i NIS 2-direktivet, i den ursprungliga lydelsen, delta i det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe).

38 §

Försvarets radioanstalt får meddela

1. föreskrifter om undantag från skyldigheterna enligt cybersäkerhetslagen (2025:1506) för partnerföretag och anknutna företag som omfattas av lagen med stöd av 1 kap. 4 § samma lag,

2. föreskrifter om vad som utgör huvudsakligt etableringsställe enligt 1 kap. 7 § samma lag,

3. ytterligare föreskrifter om kriterier för när verksamhetsutövare ska omfattas av 1 kap. 5 § 1–3 cybersäkerhetslagen och för när sådana verksamhetsutövare ska räknas som väsentliga enligt 1 kap. 9 § första stycket 6 samma lag,

4. närmare föreskrifter om anmälningsskyldigheten enligt 2 kap. 2 § samma lag,

5. föreskrifter om utbildning enligt 2 kap. 4 § samma lag,

6. föreskrifter om incidentrapportering enligt 2 kap. 5–8 §§ samma lag, och

7. föreskrifter om säkerhetsrevisioner och säkerhetsskanningar enligt 3 kap. 5–7 §§ samma lag.

39 §

Försvarets radioanstalt får för andra tillsynsområden än dem som avses i 37 § meddela

1. ytterligare föreskrifter om säkerhetsåtgärder enligt 2 kap. 3 § cybersäkerhetslagen (2025:1506),

2. ytterligare föreskrifter om vad som utgör en betydande incident enligt 2 kap. 5 § samma lag, och

3. föreskrifter om informationsskyldighet enligt 2 kap. 9 och 10 §§ samma lag.

40 §

Försvarets radioanstalt ska leda ett samarbetsforum där tillsynsmyndigheterna ingår. Syftet med forumet ska vara att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.

Behandling av personuppgifter om lagöverträdelser

43 §

Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får även behandlas av andra än myndigheter om behandlingen är nödvändig för att förhindra cyberattacker eller begränsa deras effekter, och informationen delas inom ramen för sådana arrangemang för informationsutbyte om cybersäkerhet som avses i artikel 29 NIS 2-direktivet, i den ursprungliga lydelsen.