Regeringen gav den 15 december 2024 en utredare i uppdrag att analysera och föreslå hur EU:s cyberresiliensförordning ska genomföras i svensk rätt. Syftet var att säkerställa höga krav på cybersäkerhet för produkter med digitala element. Kraven gäller för en bredd av produkter inom olika sektorer så som industriell automation och IT-säkerhetslösningar. Dessutom omfattar förordningen konsumentprodukter som larmsystem, smartphones och babyövervakningssystem.
Utredningen skulle även skapa förutsättningar för ett effektivt system för tillsyn och sanktioner, samt identifiera ansvariga myndigheter och stödåtgärder för små och medelstora företag. Nu har utredningens betänkande överlämnats till regeringen.
Utredningen föreslår bland annat:
- En ny kompletterande lag som ger regeringen möjlighet att utse en anmälande myndighet och en marknadskontrollmyndighet.
- Att Post- och telestyrelsen ska utses som marknadskontrollmyndighet. De ska kontrollera att produkter med digitala element uppfyller cybersäkerhetskraven i förordningen samt kraven om märkning och information, dokumentationskrav och sårbarhets- och incidentrapportering.
- Att Swedac ska vara anmälande myndighet. Därutöver att de får i uppdrag att föreslå lämpliga åtgärder för att säkerställa att ett anmält organs ärenden i vissa fall kan övertas av ett annat anmält organ.
- Att MSB blir den myndighet som tar emot företags rapporter om sårbarheter och incidenter enligt EU:s cyberresiliensförordning.
- Att PTS och MSB ges i uppdrag att redan före ikraftträdandet av EU:s cyberresiliensförordning tillhandahålla stöd till företag för att de ska kunna efterleva förordningens krav.
Kompletterande bestämmelser till EU:s cyberresiliensförordning (SOU 2025:115)