Tillsyn enligt NIS-direktivet – kostnader och finansiering

Sammanfattning

I maj 2018 börjar det så kallade NIS-direktivet att gälla. Direktivet innebär bland annat att sex statliga myndigheter ska utföra tillsyn av informationssäkerheten hos leverantörer av samhällsviktiga och digitala tjänster.^[1] Myndigheten för samhällsskydd och beredskap (MSB) har i uppgift att samordna arbetet.

Statskontoret har på uppdrag av regeringen utrett de ekonomiska konsekvenserna för MSB och de myndigheter som får ansvar för tillsynen. I uppdraget ingår också att utreda om tillsynsverksamheten bör finansieras med avgifter. Oavsett vår bedömning i den frågan har vi också haft i uppdrag att utreda hur en avgiftsfinansiering kan utformas för varje sektor i direktivet.

De ekonomiska konsekvenserna för myndigheterna varierar

Statskontoret har utrett tillsynsmyndigheternas initiala kostnader, och deras löpande kostnader för tillsynen för att bedöma de ekonomiska konsekvenserna för dem. Våra beräkningar av kostnaderna bygger på myndigheternas egna uppskattningar.

Exempel på faktorer som påverkar de initiala kostnaderna är om myndigheterna behöver rekrytera ny kompetens, om de behöver genomföra informationsinsatser eller om det uppstår engångskostnader i samband med att de startar tillsynsverksamheten. Exempel på faktorer som påverkar de löpande kostnaderna är antalet tillsynsobjekt, frekvensen i tillsynen och det praktiska genomförandet.

De utpekade myndigheterna anser att det är svårt att bedöma de ekonomiska konsekvenserna av den nya tillsynen. Regeringen har ännu inte gett myndigheterna något formellt tillsynsuppdrag och antalet leverantörer som ska kontrolleras är ännu inte klarlagt. För de flesta av myndigheterna är tillsyn av informationssäkerhet också ett nytt tillsynsområde.

Myndigheterna uppskattar att de initiala kostnaderna är sammanlagt 17,2 miljoner kronor, men variationen mellan myndigheterna är stor. Deras sammanlagda uppskattning av de löpande kostnaderna är nästan 60 miljoner kronor per år. Inspektionen för vård och omsorgs uppskattning på knappt 20 miljoner kronor är den högsta, medan Finansinspektionens uppskattning på 3 miljoner kronor är den lägsta.

Även om myndigheternas uppskattningar är preliminära vilar beräkningarna på en någorlunda stabil grund. I sina beräkningar har myndigheterna beaktat ungefär 75 procent av de sammanlagt 29 faktorer som Statskontoret bedömer kan ha en betydande påverkan på kostnaderna.

Statskontoret bedömer att det kommer att ta några år innan det går att beräkna de exakta kostnaderna för respektive tillsynsmyndighet. Vi anser därför att regeringen bör ställa krav på myndigheterna att redovisa tillsynsverksamhetens kostnader och omfattning, åtminstone för de närmast kommande åren.

Tillsynen bör finansieras med anslag

Statskontoret anser inte att tillsynen enligt NIS-direktivet bör finansieras med avgifter. Vår analys visar att nackdelarna med en sådan finansieringsform väger tyngre än fördelarna för fem av de sex aktuella myndigheterna. Det är framför allt fyra skäl som talar emot att tillsynsobjekten ska betala en avgift för tillsyn enligt NIS-direktivet. Dessa är

• risken för konkurrenssnedvridande effekter
• jämförelsevis höga administrationskostnader
• svårigheter att utforma tillsynen över sektorerna på ett enhetligt sätt
• svårigheten att påvisa en tydlig motprestation för avgiften.

Statskontoret föreslår därför att tillsynen enligt NIS-direktivet ska finansieras med anslag.

Även en avgiftsfinansierad tillsyn bör ha en gemensam utformning

Trots att vi bedömer att tillsynen ska finansieras med anslag ingår även i uppdraget att föreslå hur en avgiftsfinansiering kan utformas för varje sektor i NIS-direktivet.

Statskontoret anser att om tillsynen blir avgiftsfinansierad så bör den utformas på ett likartat sätt inom varje sektor. Detta skulle underlätta för myndigheterna att kontinuerligt utbyta erfarenheter. De som får betala för tillsynen kommer också att uppleva den på liknande sätt. Men vi anser ändå att avgifterna inom varje sektor bör anpassas efter respektive tillsynsmyndighets kostnader, enligt principen om full kostnadstäckning. Samtidigt finns anledning för de föreslagna tillsynsmyndigheterna att sträva efter att närma sig varandra, även när det gäller avgiftens storlek.

Statskontoret menar också att ett eventuellt avgiftssystem bör bestå av en fast årlig avgift som är densamma för alla tillsynsobjekt inom respektive sektor. Vi anser även att tillsynsmyndigheterna inte bör få besluta om avgiftens storlek och inte heller disponera intäkterna. Vi bedömer att en sådan modell bäst främjar en tillsyn som är enhetlig, effektiv och enkel ur ett administrativt perspektiv.

MSB behöver avsätta betydande resurser till arbetet

MSB:s uppgifter är bland annat att vara nationell kontaktpunkt, att leda ett samarbetsforum för tillsynsmyndigheterna samt att representera Sverige i EU. MSB ska utveckla ett system för att ta emot och analysera incidentrapporter. I uppgifterna ingår också att ta fram föreskrifter för arbetet med tillsyn, stödja myndigheterna med tillsynsmetodik samt att informera om regler och krav.

Enligt MSB behöver myndigheten avsätta 10–11 årsarbetskrafter för sitt arbete med NIS-direktivet. MSB uppskattar sina totala kostnader för genomförandet till 14 miljoner kronor per år, inklusive overheadkostnader. Statskontoret ifrågasätter inte MSB:s uppskattning, men vi konstaterar att de ekonomiska konsekvenserna i hög grad beror på hur MSB väljer att genomföra de nya uppgifterna.

Utgångspunkter och genomförande

I juli 2016 antog Europaparlamentet och rådet det så kallade NIS-direktivet. Det syftar till att uppnå en hög gemensam nivå när det gäller säkerhet i nätverk och informationssystem inom unionen.

Regeringen gav en särskild utredare i uppdrag att föreslå hur NIS-direktivet ska införas i svensk rätt. Utredningen överlämnade den 2 maj 2017 betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36). Utredningen föreslår en ny lag och en ny förordning som ligger nära NIS-direktivet till sin utformning och sitt innehåll.

Regeringen överlämnade lagrådsremissen som bygger på utredningens förslag till Lagrådet den 15 februari 2018. Regeringen föreslår att lagen börjar gälla den 1 augusti 2018.^[2] I denna rapport hänvisar vi till utredningens förslag och i dessa fall hänvisar vi inte till något som inte också stämmer överens med lagrådsremissen.

Den föreslagna lagstiftningen innebär bland annat att ett antal leverantörer av samhällsviktiga och digitala tjänster ska uppfylla vissa säkerhetskrav i sina informationssystem. Detta medför nya arbetsuppgifter för de myndigheter som kommer att få ansvar för att övervaka att regelverket följs och att kraven i lagstiftningen har fått effekt på säkerheten. De nya tillsynsuppgifterna kommer troligen att få ekonomiska konsekvenser för myndigheterna. Regeringen har därför bedömt att det krävs ytterligare utredning och analys för att avgöra hur de ekonomiska konsekvenserna kommer att se ut för berörda myndigheter.

Regeringens uppdrag till Statskontoret

Statskontoret ska utreda de ekonomiska konsekvenserna för de myndigheter som får ansvar för den löpande tillsynen av leverantörer av samhällsviktiga tjänster och digitala tjänster. Statskontoret ska också utreda om tillsynsverksamheten bör finansieras med avgifter. Vi ska också föreslå hur avgiftsfinansieringen kan utformas för varje sektor i direktivet, oavsett om vi bedömer att tillsynen ska finansieras med avgifter eller inte.

I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget innebär för Myndigheten för samhällsskydd och beredskap (MSB). Vi redovisar uppdraget i sin helhet i bilaga 1.

Bakgrund till uppdraget

Direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkert i nätverks- och informationssystem i hela unionen (NIS-direktivet) medför bland annat att varje medlemsstat är skyldig att anta en nationell strategi för säkerhet i nätverk och informationssystem och att utse myndigheter med särskilda uppgifter inom detta område. Medlemsstaterna är enligt direktivet också skyldiga att identifiera de operatörer som bedriver samhällsviktig verksamhet inom sju utpekade sektorer som är beroende av nätverk och informationssystem.^[3]

Medlemsstaterna ska senast den 9 maj 2018 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att genomföra direktivet. Dessa bestämmelser ska tillämpas från och med den 10 maj 2018.

Samhällsviktiga tjänster

Direktivet kräver att medlemsstaterna identifierar de samhällsviktiga tjänster inom medlemsstaternas territorier som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Direktivet berör följande sektorer:

• Energi
• Transporter
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Digital infrastruktur

Vissa leverantörer av samhällsviktiga tjänster inom dessa sektorer ska enligt direktivet genomföra säkerhetsåtgärder samt förebygga och hantera incidenter i de nätverk och informationssystem som de är beroende av för att tillhandahålla tjänsterna. Leverantörerna ska också rapportera incidenter som har betydande inverkan på kontinuiteten i tjänsterna.

Digitala tjänster

Direktivet omfattar även leverantörer som tillhandahåller digitala tjänster i form av internetbaserade marknadsplatser, sökmotorer och molntjänster. Detta gäller inte leverantörer som är mikroföretag eller små företag.

Direktivets bestämmelser om leverantörer av digitala tjänster skiljer sig från de bestämmelser som gäller för leverantörer av samhällsviktiga tjänster. För att en leverantör av en digital tjänst ska omfattas av direktivet krävs inte att den tillhandahållna tjänsten bedöms vara samhällsviktig, och medlemsstaterna är inte skyldiga att identifiera de berörda leverantörerna. När det gäller leverantörer av digitala tjänster ska den behöriga myndigheten inte ha någon skyldighet att utöva tillsyn. Tillsynsåtgärder av myndigheten får vidtas endast när myndigheten har fått reda på att leverantören inte uppfyller de krav som den föreslagna lagen ställer.^[4]

Statskontoret bedömer att NIS-direktivet i praktiken har gjort ett undantag för internetbaserade tjänster. Det innebär att det inte ska underkastas den tillsyn som gäller för övriga sektorer.

Förslag på sex tillsynsmyndigheter

Enligt utredningens (SOU 2017:36) förslag ska en tillsynsmyndighet utses för varje sektor och för digitala tjänster. Dessa ska kontrollera att den föreslagna lagen och de meddelade föreskrifterna följs.

Tillsynsmyndigheterna ska bland annat kunna besluta om sanktioner, om de misstänker att en leverantör av samhällsviktiga tjänster inte följer lagstiftningen.

Utredningen föreslår att tillsynsansvaret fördelas enligt följande:

I valet av tillsynsmyndigheter har utredningen valt att bland annat utgå från de myndigheter som i dag har

• ett tillsynsansvar inom sektorn eller inom närliggande sektorer, även om det idag inte omfattar tillsyn av informationssäkerhet
• kunskap om verksamheten inom sektorn
• kunskap om sårbarheter, hot och risker inom sektorn
• kunskap om befintliga och kommande EU-rättsakter inom sektorn
• ansvar för att utfärda föreskrifter.^[5]

Utredningen föreslår bland annat att MSB får i uppdrag att upprätthålla en samlad bild av direktivets tillämpning i Sverige. MSB ska också leda ett samarbetsforum för samtliga tillsynsmyndigheter.

Tillsynen ska utföras i efterhand när det gäller leverantörer av digitala tjänster. Det innebär att tillsyn ska ske när tillsynsmyndigheten fått bevis på att leverantören inte har genomfört de säkerhetsåtgärder som leverantören självt ställt upp för att säkerställa att nivån på säkerheten är tillräcklig.

Vad menas med tillsyn?

En central aspekt i Statskontorets uppdrag är att bedöma vilken omfattning tillsynen kommer att få inom de sektorer som redovisas ovan. Statskontoret har i en rapport från 2012 beskrivit tillsynens nära relation till grundläggande förvaltningspolitiska värden. I korthet innebär det att när regeringen instiftar en ny lag vill regeringen att intentionerna med lagen uppnås. Det innebär att demokratiskt fattade beslut ska genomföras på avsett sätt, och att respekten för folkviljan ska upprätthållas. Tillsyn är ett sätt att försäkra sig om detta och på samma gång garantera medborgarnas rättssäkerhet.^[6]

En fungerande tillsyn präglad av tydlighet, trovärdighet och integritet bidrar till att skapa förtroende för staten. Detta kräver att tillsynen är rättssäker, förutsägbar, oberoende och professionell. Konkret innebär det att tillsynen utgår från lagar och föreskrifter. Dessutom ska likvärdiga bedömningar göras i likvärdiga fall och granskningsobjekten ska ha insyn i hur och varför tillsynen sker och att krav som ställs i tillsynsbeslutet är tydliga och möjliga att följa upp. Tillsynen ska vara baserad på kunskap och det ska inte vara möjligt för olika intressenter att påverka den. Annorlunda formulerat ska medborgare kunna lita på att beslutade regler också gäller i praktiken, att de tolkas och tillämpas på ett likartat sätt oavsett var i landet verksamheten är förlagd.^[7]

Administrativa sanktioner och åtgärdsföreläggande

I regeringens definition av tillsyn ingår självständig granskning, men även rätten att ingripa och att kräva åtgärder för att korrigera felaktigheter är en central komponent. Tillsynen har regelefterlevnad som sitt främsta syfte vilket gör den mer begränsad och legalistisk till sin karaktär än till exempel uppföljning och utvärdering, vilka syftar till en bredare kunskapsinhämtning.^[8]

Tillsynsmyndigheter kan utfärda sanktioner mot tillsynsobjekten. Sanktionerna ska fungera som ett verktyg för att se till att objekten följer de regler som gäller. I de fall tillsynsmyndigheterna märker att någon aktör bryter mot lagen ska sanktioner kunna användas som ett sätt att tvinga aktören att göra rätt. Sanktionsmöjligheterna kan delas upp i återkallelse och föreläggande.

Det finns olika tillsynsformer och begrepp som förklarar verksamheten

Tillsynsformer och de begrepp som beskriver dessa former är inte tydligt definierade och avgränsade. De överlappar därför varandra till viss del, och leder många gånger till olika tolkningar i olika sammanhang.^[9]

I sin tillsynsskrivelse (Skr. 2009/10:79) poängterar regeringen att det behövs en större enhetlighet, tydlighet och rättssäkerhet i den offentliga tillsynen. Tillsynen har utvecklats parallellt inom de många områden där den utförs. Olika lagstiftning, definitioner, synsätt, praxis och förhållningssätt har vuxit fram inom respektive område. Regeringen konstaterar samtidigt att de stora variationerna i tillsynens utformning och tillämpning i några fall kan vara en tillgång. Tillsynsinstrumentet kan då användas flexibelt och anpassas till förhållanden i det särskilda fallet. Men det finns också stora risker med en alltför differentierad tillsyn. Bland annat kan tillsynens effektivitet bli lidande av för stora variationer. En mer likartad användning av begrepp och mer likartade regler kring tillsyn, tillsammans med enkla och tydligare regler i övrigt, kan ge de många verksamhetsutövare som står under tillsyn bättre förutsättningar att kunna följa de regler som gäller.^[10]

De verksamheter som berörs av tillsyn enligt NIS-direktivet är statliga myndigheter, kommuner, landsting, statligt och kommunalt ägda bolag samt enskilda företag. Enligt utredningen (SOU 2017:36) bör utgångspunkten vara att uppnå en enhetlig tillsyn åtminstone inom respektive sektor.^[11] Denna ståndpunkt ligger i linje med vad regeringen tidigare har uttryckt i sin skrivelse (Skr. 2009/10:79).

Nästan samtliga myndigheter tar ut avgifter för tillsynen

Bland de föreslagna tillsynsmyndigheterna är det endast Inspektionen för vård och omsorg (IVO) som i stort sett saknar en avgiftsbelagd tillsyn. Det beror på att myndighetens tillsyn berör verksamheter som vård och omsorg, det vill säga skattefinansierade samhällsåtaganden som i huvudsak finansieras med offentliga medel.

Energimyndighetens tillsyn är huvudsakligen finansierad genom förvaltningsanslag. Bland de tillsynsområden som myndigheten bedömer ligger nära bestämmelserna i NIS-direktivet är det endast tillsynen av naturgas som är avgiftsfinansierad. Det är regeringen som fastställer avgifterna i detta fall, utifrån en schablonkostnad per nedlagd timma. Myndigheten fastställer denna schablonkostnad varje år.

Finansinspektionen tar ut avgifter från finansiella företag och personer som verkar i Sverige. De tar ut både årliga avgifter och avgifter för prövning av tillstånd och anmälningar.

När det gäller livsmedelssektorn genomförs stora delar av tillsynen av kommunerna, med stöd i den vägledning och riskklassning som Livsmedelsverket har tagit fram. Livsmedelsverkets avgifter för den kontroll de själva genomför följer samma principer som kommunernas avgiftsfinansiering.

Post- och telestyrelsens (PTS) arbete inklusive tillsyn av anmälda aktörer enligt lagen om elektronisk kommunikation (LEK) finansieras av avgifter från de som tillhandahåller allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Myndighetens verksamhet och tillsyn enligt toppdomänlagen anslagsfinansieras och verksamheten och tillsynen för betrodda tjänster är till mer än 99 procent anslagsfinansierad.

Transportstyrelsens tillsyn finansieras via avgifter som bygger på den tid som läggs ner inom varje verksamhet och på vilka olika typer av uppgifter som utförs. Myndigheten bedömer vilken typ av avgift som fungerar bäst för varje verksamhet.

MSB ska verka för en enhetlig tillsyn

Som bakgrund till våra förutsättningar för denna granskning redovisar vi MSB:s roll i sammanhanget. Enligt utredningens (SOU 2017:36) förslag, och så som myndigheten själv tolkar det, ska MSB skapa förutsättningar, vägledning och stöd för en enhetlig tillsyn över berörda sektorer i Sverige. Därför bildade MSB ett samarbetsforum under 2017 där de föreslagna myndigheterna deltar för att samarbeta om att införa NIS-direktivet. Forumet träffas en gång i månaden. Vid tiden för denna utredning har gruppen haft fem möten.

Systemet för tillsyn ska alltså inte skilja sig markant över sektorerna och inte innehålla en rad sektorsspecifika krav. Men MSB anser ändå att det ska finnas visst utrymme att i någon mån anpassa tillsynen till de olika sektorernas förutsättningar. Betänkandet (SOU 2017:36) föreslår också att tillsynsmyndigheterna ska kunna utfärda närmare föreskrifter för sina respektive sektorer om utformningen av säkerhetsåtgärder. I samarbetsforumet kommer bland annat frågor om tillsynens frekvens och praktiska genomförande att diskuteras.

MSB har också genomfört och rapporterat till regeringen ett uppdrag att genomföra vissa åtgärder för att förbereda införandet av NIS-direktivet.^[12] I uppdraget till Statskontoret framgår det att vi, bland annat utifrån MSB:s uppdrag att uppskatta antalet leverantörer i varje sektor, ska redovisa de ekonomiska konsekvenserna för tillsynsmyndigheterna.

Men regeringens uppdrag till MSB innehåller inte att myndigheten ska göra en sådan uppskattning av leverantörer. Detta bekräftas också av företrädare för MSB i samtal med Statskontoret. Enligt MSB ska det i stället ställas krav på leverantörerna att själva ge sig tillkänna, om de anser att deras verksamhet når upp till den tröskel som kommer att definieras. MSB anser att det ännu inte är avgjort om det är MSB som i föreskrifter ska ange trösklar eller om även tillsynsmyndigheterna i föreskrifter kan ange trösklar inom sina respektive sektorer för vad som ska räknas som en samhällsviktig tjänst.

Enligt NIS-direktivet ska medlemsstaterna senast den 9 november 2018 ha identifierat de leverantörer av samhällsviktiga tjänster som är etablerade inom de egna områdena. Men MSB bedömer att en komplett lista över samtliga leverantörer i Sverige kan presenteras tidigast 2019.

Genomförande av uppdraget

Enligt uppdraget ska Statskontoret utreda de ekonomiska konsekvenserna för de myndigheter som får ansvar för löpande tillsyn av samhällsviktiga tjänster och leverantörer av digitala tjänster. Statskontoret ska också utreda om tillsynsverksamheten bör avgiftsfinansieras och föreslå hur en avgiftsfinansiering kan utformas för varje sektor i direktivet. Detta gäller oavsett om vi bedömer att tillsynen ska avgiftsfinansieras eller inte. I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget innebär för MSB.

I detta avsnitt går vi igenom hur vi har arbetat med respektive uppdragsfråga.

Vad blir de ekonomiska konsekvenserna för tillsynsmyndigheterna?

Regeringens särskilda utredare bedömer att förslagen i betänkandet (SOU 2017:36) kommer att öka tillsynsmyndigheternas kostnader för löpande tillsyn och för beslut om administrativa sanktioner samt föreläggande om åtgärder. Samtliga föreslagna tillsynsmyndigheterna utövar i dag tillsyn av något slag, men för några av dem innebär utredningens förslag avseende säkerhet i nätverk och informationssystem ett helt nytt tillsynsområde.

I våra kontakter med MSB och tillsynsmyndigheterna framgår att det finns relativt stora skillnader i förutsättningar mellan de olika myndigheterna. PTS och Finansinspektionen har sedan länge bedrivit en tillsyn som ligger nära den som tillkommer med NIS-direktivet, medan myndigheter som IVO och Livsmedelsverket saknar erfarenhet av den typ av tillsyn som det här är frågan om. Både IVO och Livsmedelsverket argumenterar mot att vara tillsynsmyndigheter för NIS-direktivet i sina remissvar till betänkandet (SOU 2017:36).

Hur stora kostnaderna blir beror enligt utredningen framför allt på tre omständigheter:

• Om den aktuella tillsynsmyndigheten redan i dag utövar en likartad tillsyn över leverantörerna
• Hur många leverantörer som kommer att bli föremål för tillsyn samt frekvensen av tillsynen
• Hur tillsynen genomförs och vilken informationssäkerhetskompetens som finns på tillsynsmyndigheten

MSB:s ambition är att sektorernas tillsynsformer ska vara relativt enhetliga. Men det kommer att finnas utrymme för anpassningar inom varje sektor, bland annat för att ta hänsyn till komplexiteten i nätverk och informationssystem och omfattningen på verksamheten, samt myndigheternas olika förutsättningar att genomföra tillsyn.

Vår analys av ovanstående frågor har genomförts samtidigt som MSB och tillsynsmyndigheterna befinner sig i ett initialt skede i diskussionerna om en möjlig gemensam utformning och frekvens av tillsyn. Myndigheterna har inte fått något formellt uppdrag om tillsynen från regeringen, och de har svårt att exakt precisera hur mycket resurser som den nya tillsynen kommer att kräva och om den kommer att leda till nyrekrytering av personal.

För att utreda de ekonomiska konsekvenserna har vi därför bett varje tillsynsmyndighet att redovisa en uppskattning av dels de initiala kostnaderna, dels de löpande kostnaderna för den nya tillsynen.

Vi använder oss av en analysmodell i tre steg som presenteras i figur 1.

Figur 1 Modell för analys av ekonomiska konsekvenser för tillsynsmyndigheterna

Initiala kostnader för tillsynsmyndigheterna

Enligt utredningen (SOU 2017:36) har samtliga tillsynsmyndigheter god kunskap om verksamheten inom sina respektive sektorer. Men utredningen bedömer att det, oavsett antalet leverantörer som berörs av tillsynen, uppkommer kostnader för samtliga tillsynsmyndigheter för att bygga upp ett nytt system för tillsyn. Det kan också uppkomma kostnader för att komplettera ett system som redan används, samt för arbetet med att ta fram nya föreskrifter, när myndigheterna har fått bemyndigande till det. Vidare behöver ny kompetens utvecklas eller nyrekryteras.

Dessutom bör leverantörer inom de olika sektorerna informeras om den nya lagstiftningen. Inom några sektorer behöver tillsynsmyndigheten identifiera i vilken utsträckning lex specialis-bestämmelser ska tillämpas.^[13]

Utredningens bedömning är att samtliga tillsynsmyndigheters resurser bör förstärkas tillfälligt med två årsarbetskrafter under 2018 för att införa direktivet.

De frågor som vi anser är mest relevanta för att analysera de initiala kostnaderna för myndigheterna är följande:

• Vad gör de utsedda tillsynsmyndigheterna redan i dag inom området?
• Vilken kompetens inom området har myndigheterna och vad behöver de komplettera med?
• Finns det engångskostnader för tillsynen? Sådana kostnader kan både vara initiala (som uppstår i samband med tillsynssystemets start) och återkommande.

Löpande kostnader och kostnaden för att besluta om administrativa sanktioner och åtgärdsföreläggande

Den löpande kostnaden för tillsyn och kostnaden för att besluta om administrativa sanktioner och åtgärdsföreläggande kommer att variera, enligt utredningen (SOU 2017:36). De kommer att variera beroende på:

• antalet leverantörer som kommer att omfattas av den nya lagens krav på tillsyn
• frekvensen i tillsynen
• hur tillsynen genomförs
• vilken förstärkning av informationssäkerhetskompetens som krävs för att införa den föreslagna lagen.

I vår analys tar vi även hänsyn till hur stora de totala kostnaderna blir per år för varje myndighet, inklusive årsarbetskraft och eventuella overhead-kostnader. Vi har inte gjort någon skillnad mellan kostnader som härrör till investeringar respektive drift.

Samtliga föreslagna myndigheter bedriver någon form av tillsyn i dag. Men vi konstaterar också att för några tillsynsmyndigheter innebär utredningens förslag att de får ett nytt tillsynsområde, säkerhet i nätverk och informationssystem. Det kommer därför att finnas ett relativt stort mått av osäkerhet när vi bedömer kostnader av en verksamhet som ännu inte kommit igång och där flera faktorer inte är klarlagda, såsom antalet leverantörer.

Totala ekonomiska konsekvenser

Vi analyserar myndigheternas individuella förutsättningar för att bedöma de ekonomiska konsekvenserna för dem. Efter att vi genomfört den empiriska analysen av de faktorer som påverkar kostnaderna analyserar vi de ekonomiska konsekvenserna för varje myndighet i kapitel 4. Denna analys är med nödvändighet en kvalificerad bedömning från Statskontorets sida och inte en exakt kostnadsberäkning. Det är inte möjligt att presentera något annat innan samtliga leverantörer av samhällsviktiga tjänster har identifierats och varje tillsynsmyndighet har klart för sig hur tillsynen ska genomföras.

Intervjuer och dokumentstudier

För analysen av de ekonomiska konsekvenserna för tillsynsmyndigheterna har vi intervjuat företrädare för tillsynsverksamheten på de utsedda myndigheterna två gånger. Vi har dessutom överlämnat ett frågeformulär till respektive myndighet att fylla i och skicka tillbaka till oss (bilaga 2).

Syftet med intervjuerna är att dels klargöra vad myndigheterna redan gör inom området, dels hur de planerar att utföra tillsynen enligt NIS-direktivet. Den första delen omfattar alltså vad myndigheterna redan i dag gör när det gäller tillsyn inom de sektorer som omfattas av NIS-direktivet, hur tillsynen är utformad, om de har kunskap om verksamheten samt dess sårbarheter, hot och risker, och vilken kompetens myndigheten har behov av för att möta kraven i NIS-direktivet.

Den andra delen syftar till att utreda hur myndigheterna tänker genomföra tillsynen enligt NIS-direktivet, exempelvis vad som ska ingå och inte ingå, frekvens på tillsynen och hur de bedömer de ekonomiska konsekvenserna av tillsynen. Vi har också bett dem att uppskatta antalet leverantörer av tjänster som berörs av direktivet inom varje sektor. För att kunna bedöma graden av tillförlitlighet i myndigheternas uppskattningar av de ekonomiska konsekvenserna bad vi dem i slutet av arbetet med rapporten att svara om de, i sina respektive uppskattningar, tagit hänsyn till en serie faktorer som vi bedömer är betydelsefulla för att genomföra den nya tillsynen. Vår bedömning är att ju fler faktorer som myndigheterna har tagit hänsyn till i sina uppskattningar, desto tillförlitligare är deras uppskattningar.

Några av de frågor vi har ställt till myndigheterna diskuteras vid tiden för denna rapport i MSB:s samarbetsforum med representanter från myndigheterna. Statskontorets projektgrupp deltog på ett möte i samarbetsforumet i december 2017.

Som komplement till intervjuerna har vi också tagit del av tillgänglig myndighetsintern dokumentation som beskriver hur tillsynsmyndigheterna i förekommande fall arbetar med tillsyn i dag, vad den kostar och vilka avgifter som tas ut.

Vi har också intervjuat representanter för MSB för att kunna utreda myndighetens kostnader för de uppgifter som utredningen (SOU 2017:36) föreslår.

Vi menar att tillförlitligheten i myndigheternas uppskattningar om de ekonomiska konsekvenserna har ökat genom att vi har ställt frågor om hur de har planerat att genomföra olika delar av den nya tillsynen, och gett dem tid att fundera och svara. I samband med att myndigheterna har faktagranskat rapporten har de dessutom haft tillfälle att jämföra varandras uppskattade kostnader. Det har ytterligare främjat transparensen om myndigheternas kostnadsposter och uppskattningarnas tillförlitlighet.

Ett av flera sätt att motverka risken för att vi blir alltför beroende av de föreslagna myndigheternas egna uppskattningar av de eknomiska konsekvenserna är att vi i kapitel 3 redogör för deras nuvarande tillsynsverksamhet. Ett viktigt syfte är att ge en bild av hur vana myndigheterna är av tillsyn i stort, och särskilt av tillsyn som ligger nära NIS-direktivet. Denna bild ökar förståelsen för hur väl respektive myndighet kan förväntas ha grund för de bedömningar av de ekonomiska konsekvenserna vi redovisar i kapitel 4. Beskrivningen i kapitel 3 ger också en bild av vilka eventuella synergieffekter med annan tillsyn som myndigheterna kan nå och ger också en uppfattning om vilken kompetens som redan finns tillgänglig och vilken som måste rekryteras.

Ska tillsynen vara avgiftsfinansierad och hur kan ett sådant system utformas för varje sektor?

Uppdragets andra fråga är om tillsynsverksamheten bör avgiftsfinansieras och hur den kan utformas för varje sektor.

Av regeringens tillsynsskrivelse (Skr. 2009/10:79) framgår bland annat att tillsyn i normalfallet bör finansieras genom avgifter. Men inom vissa områden kan det ändå vara lämpligt att låta tillsynen finansieras via skattemedel. Det kan exempelvis vara fallet när kostnaderna för att administrera avgiftsuttaget bedöms som höga jämfört med avgiften i övrigt.^[14]

Enligt skrivelsen kan det också finnas fördelningspolitiska och effektivitetsmässiga eller andra bärande motiv att låta tillsynen finansieras med skattemedel. Det gäller särskilt inom områden där tillsynen riktas mot statligt och kommunalt finansierad verksamhet. En tillsynsavgift bör motsvaras av en tydlig motprestation, uppfattas som rättvis samt inte snedvrida konkurrensen. Avgifterna bör också vara lättbegripliga och förutsebara och ge incitament till avsedda beteenden hos tillsynsobjekten.^[15]

Om det redan finns avgiftslösningar för de aktuella myndigheternas tillsyn bör Statskontoret, enligt uppdraget, överväga om avgiftsbestämmelserna kan kompletteras så att de även omfattar tillsynen enligt NIS-direktivet.

De frågor som vi bedömer vara mest relevanta för att göra denna bedömning är följande:

• Ungefär hur stor andel av leverantörerna kommer uppskattningsvis att omfattas av tillsynen inom de olika sektorerna?
• Vilka av de berörda sektorerna har redan ett avgiftsfinansierat system?
• Kan en avgiftsfinansiering vara konkurrenssnedvridande?
• Vilka erfarenheter har tillsynsmyndigheterna av avgiftsfinansierade tillsynssystem och vad rekommenderar de i detta fall?

Utgångspunkter för ett avgiftsfinansierat system

För att besvara frågan om och hur ett avgiftsfinansierat system kan utformas för varje sektor i direktivet tar vi bland annat hänsyn till ESV:s rapport till Tillsynsutredningen, Finansiering av tillsyn,^[16] och Statskontorets rapport Tänk till om tillsyn^[17]. Vi tar också hänsyn till de avgiftsbestämmelser som tillsynsmyndigheterna redan använder för att se om de kan kompletteras så att de även omfattar tillsynen enligt NIS-direktivet. Givetvis är det också av stor betydelse hur tillsynsmyndigheterna själva anser att avgiftsfinansieringen bör utformas inom respektive sektor.

Intervjuer och dokumentstudier

Våra intervjuer med de föreslagna tillsynsmyndigheterna och de kompletterande frågeformulären ligger till grund för vår bedömning om tillsynsverksamheten bör avgiftsfinansieras och hur den kan utformas för varje sektor. Syftet med intervjuerna är att få en bild av hur myndigheternas avgiftsfinansiering är utformad i dag och hur de ser på ett avgiftsfinansierat system inom ramen för NIS-direktivets krav. Vi har även intervjuat företrädare för Ekonomistyrningsverket (ESV).

Som komplement till intervjuerna har vi tagit del av underlag och rapporter som handlar om informationssäkerhet och tillsyn i en bredare bemärkelse. Exempel är betänkandet om genomförande av NIS-direktivet (SOU 2017:36), Informationssäkerhet för samhällsviktiga tjänster, Tänk till om tillsynen. Om utformningen av statlig tillsyn (Statskontoret, 2012) och Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering (Statskontoret, 2015:17) samt (SOU 2004:100) och ESV:s rapport till Tillsynsutredningen: Finansiering av tillsyn (ESV 2004:16). Regeringens Lagrådsremiss, Informationssäkerhet för samhällsviktiga och digitala tjänster (15 februari 2018), regeringens skrivelse (2009/10:79) En tydlig, rättssäker och effektiv tillsyn samt Avgiftsförordningen (1992:191) är också viktiga underlag i sammanhanget.

De ekonomiska konsekvenserna för MSB

I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget innebär för MSB. MSB:s uppgifter i sammanhanget beskrivs i avsnitt 1.6. Enligt uppdraget bör Statskontorets utredning innehålla en redovisning av vilka åtgärder som bedöms ge upphov till kostnader samt en bedömning av storleken på kostnaderna. Vi behandlar frågan i särskild ordning och inte tillsammans med analysen av tillsynsmyndigheternas kostnader.

För att besvara denna fråga har vi utgått från utredningens (SOU 2017:36) förslag till nya uppgifter för MSB om implementering och tillämpning av NIS-direktivet. I kapitel 2 beskriver vi de nya uppgifter som MSB antingen redan har påbörjat eller planerar att arbeta med under genomförandet. Bland uppgifterna ingår att vara nationell kontaktpunkt, leda ett samarbetsforum för tillsynsmyndigheterna samt stödja de föreslagna tillsynsmyndigheterna med tillsynsmetoder.

Vi har intervjuat företrädare för myndigheten vid två tillfällen. I slutet av processen bad vi myndigheten att lämna synpunkter och komplettera vår beskrivning av myndighetens roll och uppgifter. Då bad vi även MSB att uppskatta de nya uppgifternas ekonomiska konsekvenser för myndigheten. Vi redovisar vår beskrivning av MSB:s uppgifter och deras kostnader för detta i kapitel 2.

Projektgrupp, kvalitetssäkring och samverkan

Rapporten har utarbetats av Eshat Aydin och Sebastian Stålfors (projektledare). En intern referensgrupp har varit knuten till projektet.

MSB, de föreslagna tillsynsmyndigheterna och ESV har faktagranskat relevanta delar av rapporten.

Statskontoret har i enlighet med uppdraget samverkat med MSB, ESV och de av utredningen föreslagna tillsynsmyndigheterna. Statskontoret ansvarar för innehåll, slutsatser och förslag i rapporten.

Rapportens disposition

Efter detta inledande kapitel redogör vi i kapitel 2 för vilka ekonomiska konsekvenser som följer av de nya uppgifter som MSB kommer att få med anledning av NIS-direktivets införande.

I kapitel 3 presenterar vi kostnader och finansiering för de föreslagna tillsynsmyndigheternas nuvarande tillsyn. Vi presenterar även vilken typ av bemyndiganden respektive myndighet har för att ta ut avgifter för verksamheten.

I kapitel 4 analyserar vi vad de ekonomiska konsekvenserna blir för de föreslagna tillsynsmyndigheterna.

I kapitel 5 behandlar vi frågan om den tillsyn som följer av NIS-direktivet bör vara avgiftsfinansierad eller inte. Vi lämnar också en rekommendation i frågan.

I kapitel 6 behandlar vi frågan om hur avgiftsfinansieringen kan utformas för varje sektor i NIS-direktivet samt lämnar rekommendationer i frågan.

I kapitel 7 diskuterar vi framtida utmaningar med den nya tillsynen.

MSB:s nya uppgifter och kostnader

I detta kapitel redogör vi för vilka ekonomiska konsekvenser som följer av de uppgifter som MSB kommer att få med anledning av NIS-direktivet.

Utökade och nya uppgifter för MSB

I praktiken kommer utredningsförslaget om att införa och tillämpa NIS-direktivet att medföra att MSB får ett antal utökade och nya uppgifter. Bland dessa ingår exempelvis att

• vara nationell kontaktpunkt
• representera Sverige i en strategisk samarbetsgrupp på unionsnivå
• utöka kapaciteten och förmågan i sin CSIRT-funktion (Computer Security Incident Response Team)
• representera Sverige i ett operativt CSIRT-nätverk på unionsnivå
• leda ett samarbetsforum för tillsynsmyndigheter på nationell nivå, och stödja dessa myndigheter i deras arbete
• ta fram föreskrifter
• som stöd för identifiering av leverantörer av samhällsviktiga tjänster
• med krav på leverantörernas arbete med systematiskt och riskbaserat informationssäkerhetsarbete
• med krav på rapportering av incidenter för leverantörer av samhällsviktiga tjänster
• med krav på rapportering av incidenter för leverantörer av digitala tjänster
• rörande frivillig rapportering av incidenter
• stödja de föreslagna tillsynsmyndigheterna med tillsynsmetodik
• utveckla ett tekniskt och administrativt system för mottagning av incidentrapporter
• genomföra kommunikationsinsatser för att informera om regelpaketet, kraven och stödet för ett systematiskt och riskbaserat informationssäkerhetsarbete.^[18]

MSB har dessutom fått i uppdrag av regeringen att genomföra vissa åtgärder för att förbereda införandet av direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå av säkerhet i nätverks- och informationssystem i hela unionen. Enligt uppdraget ska MSB:

• med stöd av IVO, Finansinspektionen, Energimyndigheten, PTS, Transportstyrelsen, Livsmedelsverket och andra relevanta myndigheter upprätta den förteckning som följer av artikel 5 i direktivet 2016/1148/EU
• i samverkan med PTS identifiera vilka digitala tjänster enligt bilaga 3 i direktivet 2016/1148/EU som finns i Sverige
• inleda förberedelseåtgärder med anledning av kravet på incidentrapportering.^[19]

I det följande beskriver vi MSB:s nya uppgifter.

Nationell kontaktpunkt för Sverige

Enligt NIS-direktivet ska varje medlemsstat utse en gemensam nationell kontaktpunkt för säkerhet i nätverk och informationssystem. Denna kontaktpunkt ska verka för att införa direktivet på ett effektivt sätt. Enligt regeringens särskilda utredare (SOU 2017:36) har MSB den struktur som krävs för att få rollen som nationell kontaktpunkt, i och med den kompetens och de uppdrag MSB redan har inom området informationssäkerhet.^[20]

Den nationella kontaktpunkten ska fungera som en sambandsfunktion för de berörda myndigheter i medlemsstaterna, den samarbetsgrupp på unionsnivå som inrättas genom NIS-direktivet och nätverket för de så kallade CSIRT-enheter (Computer Security Incident Response Team) som ska finnas på nationell nivå. Kontaktpunkten ska även, samråda och samarbeta med rättsvårdande myndigheter och dataskyddsmyndigheter nationellt, när det är lämpligt.^[21]

Representera Sverige i samarbetsgrupp på unionsnivå

EU kommer att skapa en samarbetsgrupp för att utveckla samarbete och informationsutbyte, samt tilliten mellan medlemsstaterna. Gruppens syfte är att nå en gemensam nivå på säkerheten i nätverk för informationssystem.^[22]

Varje år ska MSB lämna en sammanfattande rapport till samarbetsgruppen om de incidenter som myndigheten har tagit emot. Rapporten ska visa hur många incidentrapporter MSB har fått, incidenternas art samt vilka säkerhetsåtgärder som myndigheterna vidtagit.^[23]

MSB ska som nationell kontaktpunkt företräda Sverige i samarbetsgruppen. Gruppens uppgifter omfattar också att hjälpa medlemsstaterna att tillämpa en enhetlig metod för att identifiera leverantörer av samhällsviktiga tjänster.^[24]

Utredningen anser att samarbetsgruppen kan bygga upp kapacitet och kunskap bland medlemsstaterna genom att bland annat

• fungera som ett instrument för utbyte av bästa praxis
• samarbeta med unionsinstitutioner, -organ, och -byråer
• ge råd om säkerhetsaspekter på nätverk för informationssystem som kan påverka deras arbete
• delta i diskussioner om medlemsstaternas kapacitet och beredskap.^[25]

Samarbetsgruppen har möten fyra gånger per år och dessutom möten i arbetsgrupper. Medlemsstaternas kontaktpunkter ska bidra till arbetet med att ta fram vägledningar och bästa praxis-dokument. De ska också leda aktiviteter inom ramen för samarbetsgruppens arbetsprogram.

CSIRT-enhet – ett incidenthanteringsorgan

Varje medlemsstat ska utse en nationell CSIRT-enhet som ansvarar för att hantera incidenter och risker. Dessa enheter ska garantera att varje medlemsstat kan hantera incidenter på ett effektivt sätt. Sveriges enhet, heter CERT-SE och finns hos MSB. Till enhetens uppgifter hör exempelvis att

• tillhandahålla varningar och larm om risker och incidenter
• ta emot incidentrapporter och agera utifrån dem
• fastslå möjliga gränsöverskridande verkningar av incidenterna och om det är lämpligt att informera medlemsstaterna om hur incidenterna påverkar kontinuiteten i samhällsviktiga tjänster
• göra analyser och riskbedömningar och upprätthålla en lägesbild
• delta i och utbyta information i EU:s CSIRT-nätverk.^[26]

Väntad ökning av arbetsuppgifterna för den nationella CSIRT-enheten

MSB bedömer att arbetsuppgifterna för MSB och CERT-SE kommer att öka betydligt i omfattning, i samband med att kraven på incidentrapportering införs för leverantörer av samhällsviktiga och digitala tjänster. Som en jämförelse nämner myndigheten att MSB och CERT-SE under 2017 tog emot drygt 300 incidentrapporter från de statliga myndigheterna. Men antalet leverantörer med skyldighet att rapportera incidenter från och med att det nya regelverket börjar gälla uppskattas kunna bli flera tusen. Därför bedömer MSB att antalet incidentrapporter som ska omhändertas med stor sannolikhet kommer att mångdubblas.

I arbetet med att ta emot incidentrapporter ingår även att vid behov kunna lämna information som underlättar för de berörda aktörerna att hantera de aktuella incidenterna. Enligt MSB är det mycket viktigt att återkoppla och ge operativt stöd till aktörerna när det inträffar incidenter för att kunna uppnå syftet med NIS-direktivet. MSB anser att den förstärkta incidenthanteringen kommer att kräva mera resurser än myndigheten har tillgång till i dag.

Representera Sverige i CSIRT-nätverk på unionsnivå

Enligt direktivet ska ett nätverk av nationella CSIRT-enheter etableras på unionsnivå. Sverige ska företrädas av MSB/CERT-SE i detta nätverk. CSIRT-nätverket och respektive CSIRT-enhet ska utveckla metoder och system för att dela information och utbyta erfarenheter. Detta kräver investeringar i säkra kommunikationssystem och rutiner. Nätverket har möten fyra gånger per år.

Nätverket för CSIRT-enheterna ska också kontinuerligt informera den ovan nämnda samarbetsgruppen på unionsnivå (avsnitt 2.1.2) om sin verksamhet. Detta ska nätverket göra genom bland annat en rapport, som exempelvis ska innehålla en bedömning av erfarenheterna av det operativa samarbetet, inklusive slutsatser och rekommendationer.

Enligt utredningen om NIS-direktivets genomförande bör också allmänheten och företag informeras om incidenter. Sådan information finns i vissa fall redan tillgänglig via nationella webbplatser. Då fokuserar informationen på nationella incidenter och händelser. Eftersom företagens verksamhet blir mer och mer gränsöverskridande och medborgare använder onlinetjänster, anser utredningen att informationen bör finnas i samlad form på unionsnivå.^[27]

Ett nationellt samarbetsforum för tillsynsmyndigheterna

Enligt utredningen ska de föreslagna tillsynsmyndigheterna, den gemensamma nationella kontaktpunkten och CSIRT-enheten samarbeta om att införa NIS-direktivet i Sverige. I egenskap av nationell kontaktpunkt ska MSB skapa och leda detta forum för samarbete mellan tillsynsmyndigheterna, och stödja dem i deras tillsynsarbete.^[28]

Syftet med samarbetsforumet är att införa NIS-direktivet på ett harmoniserat sätt och att öka säkerheten i nätverk och informationssystem när direktivet tillämpas. En av huvudfrågorna i sammanhanget handlar om att koordinera arbetet med tillsyn mellan olika tillsynsmyndigheter. Samarbetsforumet kommer bland annat att föra diskussioner om hur tillsynen ska genomföras, till exempel konkreta frågor om intervall, metoder och strategier. Forumet kommer också att behandla utkast på föreskrifter, rutiner för samarbete och informationsdelning, utbyte av kompetens och erfarenheter, samt kommunikationsinsatser och kommunikationsansvar.

MSB har redan bildat ett sådant forum för samarbete där tillsynsmyndigheterna träffas regelbundet och det är MSB som är sammankallande i detta forum (se även kapitel 1). Forumet träffas varje månad och har däremellan möten med underarbetsgrupper, till exempel inom tillsynssamordning respektive kommunikation. MSB har i uppdrag att vägleda tillsynsmyndigheterna i deras kommande arbete och därmed anser MSB att de i stor utsträckning redan har kommit en bit på vägen i arbetet med att skapa en plattform för samarbete och samsyn när det gäller tillämpning av NIS-reglering och tillsyn.

Föreskrifter

I MSB:s uppgifter ingår också att ta fram föreskrifter för leverantörer av samhällsviktiga tjänster och digitala tjänster. Förteckningen över samhällsviktiga tjänster som ska tas fram ska även den ges ut som föreskrift.

Arbetet med föreskrifterna utgår huvudsakligen från de föreskrifter och allmänna råd som myndigheten tidigare har utfärdat för statliga myndigheter (MSBFS 2016:1^[29] MSBFS 2016:2^[30]). Inriktningen i MSB:s arbete är att föreskrifterna bör börja gälla samtidigt med lag och förordning inom området. I september 2017 påbörjades därför arbetet med följande fem föreskrifter:

• Föreskrifter om identifiering av samhällsviktiga leverantörer (förteckning)
• Föreskrifter om krav på systematiskt och riskbaserat informationssäkerhetsarbete
• Föreskrifter om incidentrapportering för leverantörer av samhällsviktiga tjänster
• Föreskrifter om incidentrapportering för leverantörer av digitala tjänster
• Föreskrifter rörande frivillig rapportering av incidenter

Under processen med att ta fram föreskrifterna har tillsynsmyndigheterna fått tillfälle att följa arbetet och lämna synpunkter.

Föreskrifter om identifiering av samhällsviktiga leverantörer – förteckning över samhällsviktiga tjänster

Förteckningen över samhällsviktiga tjänster och digitala tjänster ska stödja leverantörerna. Regeringens uppdrag till MSB att förbereda införandet av NIS-direktivet anger bland annat att ”arbetet med att identifiera samhällsviktiga tjänster måste påbörjas redan nu”^[31]. Detta uppdrag redovisades den 15 januari 2018. Regeringen anser att det är viktigt att leverantörerna kan få tid för förberedelser inför att NIS-regleringen börjar gälla.

MSB redogjorde i regeringsuppdraget för både vilka tjänster som berörs och vilka kriterier/tröskelvärden som ska beaktas. Därmed kan aktörerna bedöma om de omfattas av regleringen, och om de är ”leverantörer av samhällsviktiga tjänster”. I detta arbete inhämtade MSB underlag och förde diskussioner med de föreslagna tillsynsmyndigheterna.

Enligt den lagrådsremiss som överlämnades till lagrådet 15 februari 2018 ska leverantörer av samhällsviktiga tjänster utan dröjsmål anmäla sig till aktuell tillsynsmyndighet. Det är viktigt att leverantörerna ger sig tillkänna efter att de har bedömt att de omfattas av regelverket, både för att de ska kunna använda det tekniska stödet för rapporteringen, för att det ska gå att sammanställa den lista över antalet leverantörer som ska rapporteras till EU i november 2018 och för att möjliggöra tillsyn. MSB kommer att arbeta med riktad information för att leverantörerna ska få vetskap om lagen och de krav som följer av den, även om det blir svårt att nå alla.

MSB bedömer att listan över samtliga leverantörer som de facto omfattas av direktivet inte kommer att vara färdig förrän 2019. Det kan till exempel bli svårt att få privata företag att ge sig tillkänna, eftersom de tenderar att fråga sig vad de själva får ut av det här. Detta ställer framför allt höga krav på kommunikation och målgruppsperspektiv.

MSB arbetar nu med att ta fram föreskrifter med en förteckning, inklusive stöd för leverantörer att kunna identifiera sig själva. Enligt NIS-direktivet ska förteckningen uppdateras vartannat år, vilket gör att föreskriftsarbetet i praktiken nästan behöver bedrivas kontinuerligt.

Föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete

Arbetet med dessa föreskrifter utgår huvudsakligen från de föreskrifter och allmänna råd som MSB har utfärdat för statliga myndigheter (MSBFS 2016:1). Men även standarden i Ledningssystem för Informationssäkerhet (ISO 27001) är en viktig utgångspunkt för MSB:s arbete med föreskrifter samt för vägledningar och andra former av stöd för tillsyn.

MSB tillhandahåller stöd för att tillämpa de föreskrifterna som gäller systematiskt och riskbaserat arbete. Stödet ges bland annat i form av ett metodstöd som myndigheten tar fram med hjälp av externa arbets- och referensgrupper.

Föreskrifter om incidentrapportering

MSB:s föreskrifter om incidentrapportering ska tydliggöra för leverantörerna

• vad som ska rapporteras
• när det ska rapporteras
• hur rapporteringen ska gå till.

Föreskrifterna hämtar sin grund från föreskrifterna och allmänna råd om statliga myndigheters rapportering av it-incidenter (MSBFS 2016:2). När MSB tar fram föreskrifterna stämmer de av arbetet med de som utvecklar det tekniska verktyget för incidentrapportering. Myndigheten undersöker också behoven inom de analysprocesser som ska arbeta med återkoppling av olika slag.

Föreskrifterna för leverantörerna av samhällsviktiga tjänster respektive för leverantörerna av digitala tjänster är snarlika men inte identiska. Den största skillnaden mellan de båda grupperna är att kraven på leverantörer av digitala tjänster tydliggörs i en genomförandetakt som tas fram av EU-kommissionen. Kraven på leverantörer av samhällsviktiga tjänster tas fram av respektive medlemsstat.

Föreskrifter om frivillig rapportering av incidenter

Enligt NIS-direktivet får även enheter som inte har identifierats som leverantörer av samhällsviktiga tjänster och som inte är leverantörer av digitala tjänster frivilligt rapportera incidenter som har en betydande inverkan på kontinuiteten i de tjänster som de tillhandahåller. Utredningen föreslår att MSB får meddela föreskrifter om förutsättningarna för frivillig rapportering av incidenter. MSB arbetar också med att ta fram föreskrifter alternativt anvisningar om hur rapportering ska kunna ske till MSB på frivillig grund.

Stödja tillsynsmyndigheterna med tillsynsmetodik

Utredningen föreslår även att MSB ska få i uppdrag att tillhandahålla det metodstöd som tillsynsmyndigheterna behöver för att kunna bedriva en effektiv tillsyn enligt det föreslagna regelverket.

MSB har utifrån sin tolkning av uppdraget ambitionen att skapa förutsättningar (i form av föreskrifter, vägledning, stöd etc.) för en enhetlig tillsyn över sektorerna. Myndigheten menar att systemet för tillsyn inte kan skilja sig mycket över sektorerna, eftersom tillsynen utgår från ett gemensamt regelverk och från gemensamma krav om systematiskt och riskbaserat informationssäkerhetsarbete samt incidentrapportering. MSB bedömer följaktligen att det inte ska behövas så många sektorsspecifika krav. Tanken är att systematiken för tillsynsarbetet ska vara så lika som möjligt.

MSB menar att de berörda tillsynsmyndigheterna är positiva till att samarbeta om ett gemensamt synsätt för att genomföra tillsynen.

Ett tekniskt och administrativt system för incidentrapporter

Parallellt med föreskriftsarbetet behöver MSB ta fram metoder och verktyg för incidentrapportering. Denna metod behöver inkludera hanteringen från det att en aktör identifierat att en incident bör rapporteras till att rapporten mottagits hos MSB och analyserats. MSB behöver även ta fram processer för att identifiera vilket direkt stöd som behövs, varna berörda i Sverige och EU samt delge rapporter till tillsynsmyndigheterna.

MSB arbetar även med att ta fram ett verktyg för it-incidentrapportering så att aktörer med skyldighet att rapportera enligt NIS-direktivet ska kunna rapportera incidenter via en säker webbapplikation. Även de som rapporterar enligt MSBFS 2016:2^[32] ska kunna använda detta verktyg. Verktyget ska underlätta för MSB att ta emot och hantera rapporter, men även stödja myndighetens arbete med att informera respektive tillsynsmyndighet.

Erfarenheter från uppstart och hantering av incidentrapporter enligt MSBFS 2016:2 samt tidigare utvecklingsarbete ligger till grund för arbetet med dessa metoder och verktyg.

Informationsinsatser gentemot leverantörer

Ett lyckat genomförande av NIS-direktivet kräver att berörda leverantörer får information om genomförandet och vad som förväntas av dem.

I egenskap av koordinerande funktion behöver MSB lägga mycket resurser på kommunikationsinsatser. Inom ramen för MSB:s samverkansforum med tillsynsmyndigheterna har MSB därför startat ett nätverk för kommunikation. Detta nätverk ska bidra till att samordna kommunikationsinsatserna på övergripande och på sektorsspecifik nivå. MSB bedömer också att de behöver genomföra regionturnéer när lag och förordning väl är på plats, för att stödja aktörerna i att genomföra NIS-direktivets bestämmelser.

Nya uppgifter får ekonomiska konsekvenser

Av NIS-direktivet framgår att medlemsstaterna ska säkerställa att behöriga myndigheter och de nationella kontaktpunkterna har tillräckliga resurser för att på ett effektivt sätt kunna utföra sina uppgifter, och därmed uppnå målen med direktivet (artikel 8.5). Därför bör den nationella kontaktpunkten i varje medlemsstat få alla nödvändiga tekniska, finansiella, och personella resurser för att kunna utföra sina uppgifter.^[33]

Direktivet ska förbättra funktionen för den inre marknaden genom att skapa tillit och förtroende. Därför måste kontaktpunkten bland annat ha en lämplig struktur för att kunna samarbeta med privata aktörer på området. Den nationella CSIRT-enheten på MSB ska också ha de resurser som enheten behöver för att effektivt kunna utföra sina uppgifter. Detta innebär att enheten bland annat behöver ha tillgång till en lämplig, säker och motståndskraftig infrastruktur för kommunikation och information.^[34]

Nya uppgifter bör finansieras med anslag och avgifter

Enligt MSB behöver myndigheten avsätta totalt 10–11 årsarbetskrafter samt anlita 3 konsulter till arbetet med de nya uppgifterna. 7 av årsarbetskrafterna utgörs av nyrekryteringar medan 3–4 årsarbetskrafter är befintliga resurser. Myndigheten uppskattar att de totala kostnaderna för de nya uppgifterna kommer att uppgå till 14 miljoner kronor per år inklusive overheadkostnader.

MSB planerar att utveckla de tekniska systemen med befintliga resurser, men detta är trots allt en kostnad som följer med de nya uppgifterna.

Utredningen (SOU 2017:36) bedömer att stöd i form av metodutveckling som gäller tillsyn, utbildning och informationsinsatser till de berörda tillsynsmyndigheterna bör finansieras med medel från anslaget 2:4 Krisberedskap för utgiftsområde 6.^[35] Sådant stöd ryms under åtgärder för funktionalitet och kontinuitet i samhällsviktig verksamhet och samhällsviktig informationsinfrastruktur.^[36]

När det gäller övriga uppdrag anser utredningen att dessa, ska finansieras inom utgiftsområdet, om de inte ingår i MSB:s nuvarande uppdrag.^[37] MSB bedömer att även de uppgifter som ingår i deras nuvarande uppdrag kommer att påtagligt öka i omfattning. Därför anser MSB att myndigheten behöver ytterligare tillskott av resurser. Detta gäller särskilt resurser för incidentrapportering.

Statskontorets bedömning

NIS-direktivet kommer att medföra betydande merarbete för MSB. Antalet incidentrapporter kommer sannolikt att öka från dagens dryga 300 till flera tusen per år. Dessutom kommer arbetet med att lämna information för att hantera incidenter och återkoppling till berörda aktörer att öka. Sammantaget kommer MSB därför att behöva avsätta betydande resurser till sina nya arbetsuppgifter.

Statskontoret bedömer att de ekonomiska konsekvenserna för MSB i stora delar också kommer att avgöras av hur MSB själv väljer att genomföra de nya uppgifterna. Vi har därför ingen anledning att i detta läge ifrågasätta MSB:s egen bedömning av vilka resurser som de nya uppgifterna kräver. Men det går heller inte i nuläget att exakt beräkna hur stora resurser införandet av NIS-direktivet kommer att kräva, varken när det gäller MSB eller övriga myndigheter. Det är därför viktigt att MSB och de övriga myndigheterna noga redovisar kostnader och prestationer för det arbete som följer av NIS-direktivet, särskilt under de närmaste åren (se även kapitel 7).

Myndigheternas nuvarande tillsyn

I detta kapitel redogör vi för de föreslagna tillsynsmyndigheternas nuvarande tillsyn. Vi redovisar bland annat innehållet och omfattningen av tillsynen, vad den kostar, hur den finansieras samt vilken typ av bemyndiganden myndigheterna har för att ta ut avgifter. Vår redovisning syftar framför allt till att förstå och kunna bedöma hur vana myndigheterna är vid tillsyn och vilka eventuella synergieffekter det kan finnas mellan den nuvarande tillsynsverksamheten och den nya tillsynen. Redovisningen bidrar även till vår bedömning om tillförlitligheten i myndigheternas uppskattningar av kostnaderna.

Statlig avgiftsbelagd verksamhet

Statlig tillsynsverksamhet kan antingen finansieras med statliga budgetmedel eller genom avgifter från tillsynsobjekten. Enligt Tillsynsutredningen (SOU 2004:100) tar två tredjedelar av de statliga tillsynsmyndigheterna ut någon form av avgift för hela eller delar av sin tillsyn.

En svårighet vid beräkningen av avgiftsintäkter är hur olika myndigheters tillsynsavgifter bör avgränsas. Många myndigheter tar ut avgifter för registrering eller för att utfärda tillstånd. Men avgifterna ska också i vissa fall täcka kostnaderna för tillsyn. Men många myndigheter redovisar sina avgiftsintäkter i en klump, utan att koppla dem till de olika verksamheterna.^[38]

Tillsyn är en offentligrättslig verksamhet

Tillsyn är en offentligrättslig verksamhet som kan innebära myndighetsutövning mot en enskild. Det innebär också att tillsynsobjekten måste betala de avgifter som tillsynsmyndigheterna tar ut.^[39] Enligt regeringsformen är det riksdagen som ska fatta beslut om att införa avgifter som innebär ingrepp i enskildas ekonomiska förhållanden. Dessa avgifter kallas offentligrättsliga, tvingande eller belastande. Riksdagen kan delegera rätten att bestämma storleken på de offentligrättsliga avgifterna till regeringen eller till kommunerna. Regeringen kan bara överlåta åt en myndighet att bestämma nivån på en offentligrättslig avgift om riksdagen har medgett detta.^[40]

Bemyndiganden styr tillsynsmyndigheternas befogenhet

En myndighet får alltså ta ut avgifter för varor och tjänster, besluta om avgiftens storlek och disponera avgiftsinkomsterna om detta följer av lag eller förordning eller av ett särskilt regeringsbeslut. Myndigheten får vanligtvis sitt bemyndigande att bestämma storleken på och ta ut avgift för frivilligt efterfrågade varor och tjänster i sin instruktion. Stödet för att disponera inkomsterna i den avgiftsbelagda verksamheten får myndigheten normalt i regleringsbrevet eller i instruktionen.

Regeringen har successivt utvecklat formerna för att styra avgiftsbelagd verksamhet. I avgiftsförordningen (1992:191) framgår att en myndighet behöver ett bemyndigande för att få bestämma storleken på och ta ut en avgift. Där framgår också att full kostnadstäckning gäller som ekonomiskt mål om inget annat har beslutats. En sådan prissättning innebär ett tydligt samband mellan avgiften som myndigheten tar ut och kostnaden för prestationen.^[41] Myndigheten behöver också stöd i regelverket för att få disponera avgiftsinkomsterna. Annars tillfaller de statskassan. Viktigt för styrningen är också den budget i myndigheters regleringsbrev som avser uttaget av avgifter.^[42]

Fyra huvudmodeller för bemyndiganden

Tillsynsutredningen (SOU 2004:100) redovisar fyra huvudmodeller för myndigheternas ansvar och bemyndiganden när det gäller tillsynsutgifterna. I praktiken innebär modellerna följande:

1. I den första modellen får myndigheten inte besluta om avgifternas storlek och inte heller disponera intäkterna.
2. I den andra modellen får myndigheten inte besluta om avgifternas storlek, men myndigheten får disponera intäkterna.
3. I den tredje modellen får tillsynsmyndigheten besluta om avgifternas storlek men inte disponera intäkterna.
4. I den fjärde modellen får myndigheten både besluta om avgifternas storlek och disponera intäkterna.

Modellerna ett och fyra är de vanligaste. Men även om rätten att besluta om storleken på avgifterna har delegerats till en myndighet kan regeringen ange vissa restriktioner, till exempel ett tak för storleken på vissa avgifter. Det är regeringen som beslutar om nivån på tillsynsavgifter för 60 procent av de statliga myndigheterna, och tillsynsmyndigheterna som beslutar om de resterande 40 procenten. Myndigheterna disponerar cirka hälften av avgiftsintäkterna. För kommunala myndigheters avgifter gäller samma regler som för de statliga. Men en skillnad är att kommunerna vanligtvis själva kan bestämma nivån på tillsynsavgifterna inom vissa ramar.^[43]

Statskontoret har i en tidigare utredning uppmärksammat svårigheten med att ge en entydig bild av hur olika tillsynsavgifter är konstruerade. Variationen är stor och ”prislistorna” är ofta omfattande och svåra att förstå. Men enligt utredningen är modellen med en årlig och fast avgift från alla tillsynsobjekt vanlig. Men det verkar snarare vara vanligt med enbart rörliga tillsynsavgifter när tillsynen gäller ett relativt stort antal tillsynsobjekt och tillsynen sker regelbundet, till exempel inom miljöområdet. Rörliga avgifter beräknas i princip med utgångspunkt i tillsynsmyndigheternas egna kostnader och med krav på delvis eller full kostnadstäckning.^[44]

I figuren nedan har vi kategoriserat de föreslagna tillsynsmyndigheterna utifrån Tillsynsutredningens fyra huvudmodeller för bemyndiganden.

Figur 2 Myndigheternas bemyndiganden vad gäller tillsynsavgifter

,

Källa: Figuren bygger på Statskontoret (2012), Tänk till om tillsyn, s. 32. Statskontorets egen kategorisering av myndigheterna. *Myndigheterna har delvis rätt att disponera avgifter, men inte i huvudsak. **Myndigheten har i huvudsak rätt att disponera avgifter, men delvis inte.

PTS och Livsmedelsverket är de enda myndigheterna som både kan besluta om sina avgifters storlek och disponera intäkterna. Transportstyrelsen kan besluta om avgifternas storlek men inte disponera intäkterna. IVO, Finansinspektionen och Energimyndigheten kan i huvudsak varken besluta om avgifternas storlek eller disponera intäkterna.

Nästan samtliga myndigheter tar ut avgifter för tillsynen

Det är bara IVO bland de sex föreslagna tillsynsmyndigheterna som endast har en marginell tillsyn som är avgiftsbelagd. De tar ut en avgift för tillsyn av blod- och vävnadsverksamhet. Skälet är att IVO:s tillsyn gäller vård- och omsorgsområdet, alltså samhällsåtaganden som i huvudsak finansieras med offentliga medel.^[45]

Energimyndighetens tillsyn är huvudsakligen finansierad genom anslag. Bland de tillsynsområden som myndigheten bedömer ligger nära bestämmelserna i NIS-direktivet är det endast tillsynen av naturgas som är avgiftsfinansierad. Det är regeringen som beslutar om avgifternas storlek i detta fall, utifrån en schablonkostnad per timme. Det är Energimyndigheten som fastställer denna schablon. Myndigheten får inte disponera intäkterna från dessa avgifter direkt, utan de får dem som anslag efter särredovisning av kostnader som faktureras Miljö- och energidepartementet varje år, i efterhand.^[46]

Finansinspektionen får ta ut avgifter för tillsyn från finansiella företag och personer som verkar i Sverige, enligt förordningen (2007:1135) om årliga avgifter för finansiering av myndighetens verksamhet. Finansinspektionen tar ut både årliga avgifter och avgifter för prövning av tillstånd och anmälningar. Det är regeringen som beslutar om storleken på avgifterna efter förslag från Finansinspektionen. Avgifterna disponeras inte direkt, utan går till statsbudgeten. Finansinspektionen får anslag från statsbudgeten varje år. Finansinspektionen använder även viss direkt avgiftsfinansiering inom tillståndsprövningen.^[47]

I livsmedelssektorn genomförs stora delar av tillsynen av kommunerna, med stöd i en vägledning och riskklassning som Livsmedelsverket har tagit fram. Livsmedelsverkets avgifter för den kontroll som de själva genomför följer samma principer som kommunernas avgiftsfinansiering. Enligt förordningen (2006:1166) om avgifter för offentlig kontroll av livsmedel och vissa jordbruksprodukter får myndigheten ta ut avgifter för tillsyn. Myndigheten får även meddela föreskrifter om avgifternas storlek, och disponerar intäkterna från den avgiftsbelagda verksamheten direkt.^[48]

PTS tillsyn i enlighet med lagen om elektronisk kommunikation finansieras med avgifter från operatörer samt från företag och personer som har tillstånd, exempelvis för olika typer av radioanvändning. Myndigheten får föreskriva om avgifter, bland annat med stöd av 11 § förordning om finansiering av Post- och telestyrelsens verksamhet samt 47 § förordning om elektronisk kommunikation. Större delen av avgifterna får myndigheten disponera direkt, men de får inte disponera avgifterna för åtgärder för att skydda elektroniska kommunikationer mot allvarliga hot och påfrestningar i fredstid som sker med stöd av LEK. Viss tillsyn är anslagsfinansierad, nämligen tillsynen av betrodda tjänster enligt den så kallade eIDAS-förordningen och tillsynen av toppdomäner enligt den så kallade Toppdomänlagen.^[49]

Transportstyrelsen får ta ut avgifter för tillsyn enligt de förordningar som styr myndighetens verksamhet. Som regel disponerar myndigheten inte intäkterna, utan får ett anslag varje år, även om de får disponera en liten del direkt.^[50] Avgifterna bygger på den tid som läggs ner inom varje verksamhet och på vilka olika typer av uppgifter som utförs. Myndigheten avgör vilken typ av avgift som bäst lämpar sig för varje verksamhet. Oavsett om myndigheten disponerar intäkterna direkt eller inte sker beräkningen av avgifterna med målet att de ska ge full kostnadstäckning på sikt.^[51]

I det följande redovisar vi de föreslagna myndigheternas nuvarande tillsyn och dess kostnader. Vi har som mål att redovisa så aktuella siffror som möjligt och därför har vi valt uppgifter för perioden 2015–2017. Men vi har inte kunnat göra det för Energimyndigheten och PTS eftersom de inte särredovisar kostnader för sin nuvarande tillsyn. I fallet Transportstyrelsen har vi endast uppgifter för perioden 2014–2016, eftersom de ännu inte har publicerat några uppgifter för 2017.

Energimyndigheten

Myndighetens ska bland annat förvalta frågor om tillförsel och användning av energi i samhället. Uppdraget omfattar också att ha tillsyn över och pröva frågor om beredskapslagring av olja, trygg naturgasförsörjning och elcertifikat. Dessa områden ligger nära de områden som ska tillsynas enligt NIS-direktivet.^[52]

Energimyndighetens nuvarande tillsyn

Energimyndigheten har i dag ingen tillsyn inom områdena informationssäkerhet eller systematiskt säkerhetsarbete. Dessa områden ingår i tillsynen enligt NIS-direktivet. Myndigheten har viss tillsyn över systematiskt riskarbete i delar av naturgasbranschen. Myndigheten har omvärldsbevakning och gör risk- och sårbarhetsanalyser för hela energisektorn, ett arbete som delvis kan ligga till grund för en riskbaserad tillsyn. Energimyndigheten arbetar kontinuerligt med stöd och utveckling, genom information och vägledning till de objekt som är föremål för tillsyn. Syftet är att underlätta för tillsynsobjekten att förstå regelverket utifrån sin verksamhet, och på så sätt förebygga fel.^[53]

När det gäller tillsynsområdena i NIS-direktivet bedriver myndigheten närliggande tillsyn inom områdena olja, gas och el.

Tillsynsområde olja

Inom beredskapslagring av olja kontrollerar Energimyndigheten större importörer, försäljare och förbrukare av olja och drivmedel, samt större lagringsbolag. Totalt kontrollerades cirka 70 objekt under 2017. Tillsynen är främst regelbunden och kontrollerande, men även förebyggande. Vanliga metoder för tillsyn är löpande dialog, platsbesök och begäran om kompletteringar.

Inom hållbarhetskriterier för bränslen och drivmedel (HBL) kontrolleras leverantörer av drivmedel och bränslen från biomassa, samt större egenanvändare (som gruvdrift). Det rör sig i dag om cirka 150 företag, vilka söker skattelättnader genom ett hållbarhetsbevis.

Inom området drivmedelslagen kontrollerar Energimyndigheten aktörer som levererar alla typer av drivmedel och bränslen. Antalet leverantörer är cirka 40 företag 2017, men myndigheten bedömer att antalet kommer att öka till ungefär 70 företag under 2018. Även en beräkning av andelen förnybara drivmedel och deras påverkan på växthuseffekten sker av tillsynsobjekten själva. De har mandat att i första hand själva kontrollera rimligheten i beräkningarna.

Inom samtliga områden lämnar tillsynsobjekten in dokumenterade underlag och analyser, som myndigheten sedan kontrollerar.

Myndigheten har inte kunnat ange antalet tillsyner som genomförs inom verksamhetsområdet olja per år. Myndigheten uppger att 30 av de cirka 70 tillsynsobjekten som är aktuella inom beredskapslagring av olja och drivmedel rapporterar en gång per månad. Alla 70 objekt rapporterar minst en gång per år.

Tillsynsområde gas

Inom området gas genomför Energimyndigheten i första hand förebyggande, men även reaktiv och repressiv tillsyn. Konkreta medel för granskningen är dialog, platsbesök och begäran om rapportering. För naturgasföretagen tillämpar myndigheten främst regelbunden och kontrollerande tillsyn.

Energimyndigheten har inte heller kunnat ange antalet tillsyner som genomförs inom området gas. Men myndigheten konstaterar att större slutförbrukare lämnar in verksamhetsrapporter per månad och år.

Även naturgasföretagen lämnar årliga rapporter till Energimyndigheten. Myndigheten ordnar också forummöten fyra gånger per år. Därutöver arrangerar myndigheten informationsmöten ett par gånger per år för de naturgasföretag som myndigheten har tillsyn över.

Tillsynsområde el

Myndighetens tillsyn inom området elcertifikat är i huvudsak kontrollerande. Myndigheten kontrollerar ansökningar från nya aktörer som vill in i systemet. Därtill sker automatiserad avvikelsekontroll inom elområdet, samt regelbunden och kontrollerande tillsyn av vanligt förekommande fel. Även repressiv tillsyn genomförs vid ett par tillfällen per år. Några gånger per år anmäler också bolagen själva fel och brister som kan resultera i tillsyn från myndigheten. Antalet tillsynsobjekt inom detta område är cirka 6 000–7 000, enligt Energimyndigheten.

Myndigheten uppger att alla aktörer inom området som är föremål för tillsyn rapporterar när de kommer in i systemet. Tillsynsobjekten lämnar timvisa mätvärdesrapporter varje timme, sammanställningar varje dygn, och en samlad deklaration en gång per år. Myndigheten har inte kunnat ange antalet tillsyner som myndigheten genomför inom verksamhetsområdet.

Myndigheten bedriver också tillsyn över ursprungsgarantier för el. Tillsynen inom detta område är kontrollerande. För 2017 har regelbunden tillsyn skett i begränsad omfattning, men enligt myndigheten har även reaktiv och repressiv tillsyn förekommit vid behov.

Energimyndighetens kostnader för nuvarande tillsyn

Energimyndigheten uppger att det inte är möjligt att särredovisa övergripande kostnader för tillsynen. Det beror på att tillsynen är beroende av annan verksamhet inom myndigheten, som till exempel hantering av tillstånd, olika rapporteringar, statistik, regelutveckling och omvärldsbevakning.

Enligt myndigheten tillkommer också EU:s ökande inflytande inom sektorn. Samverkan med Regeringskansliet, myndigheter och branschorganisationer blir också allt viktigare för reglering, tillsyn och marknadskontroll.

I våra intervjuer betonar Energimyndigheten bland annat skillnaden i kostnader mellan myndighetsutövning och tillsyn för sina tillsynsområden. Som exempel framhåller myndigheten elcertifikaten eller HBL, där kostnaden för den faktiska tillsynen ligger på ungefär 50 000 kronor per år. Men om myndigheten tar hänsyn till hela driften är kostnaden i elcertifikatens fall snarare 1,2–1,5 miljoner kronor, och 500 000 kronor för tillsynen under ursprungsmärkningen av el, HBL och drivmedelslagen. Dessa kostnader rör inte tillsyn i egentlig mening, men är ändå nödvändiga förutsättningar för att tillsynen ska fungera.

Transportstyrelsen

Myndigheten ansvarar för regelgivning, tillståndsprövning och tillsyn inom transportområdet, och för att verka för de transportpolitiska målen. Verksamheten är särskilt inriktad på att bidra till ett transportsystem som är internationellt konkurrenskraftigt, miljöanpassat och säkert.^[54]

Transportstyrelsens nuvarande tillsyn

Den nuvarande tillsynsverksamheten vid Transportstyrelsen berör endast i en begränsad omfattning området informationssäkerhet eller systematiskt säkerhetsarbete. Närmare bestämt gäller detta inom området luftfart.

Transportstyrelsens tillsyn gäller kontroll av aktörer med tillstånd att bedriva verksamhet inom transportsektorn, och omfattar allt från att granska ett företags säkerhetskultur till att inspektera fartyg. I uppgifterna ingår också att bedöma organisationers egna kontrollsystem, tillsyn av miljö och säkerhet, och att granska flyg- och järnvägsbolagens ekonomi.^[55]

Enligt gällande föreskrifter för varje område omfattar tillsynen

• järnvägs-, tunnelbane- och spårvägssystemen
• den civila sjöfarten, särskilt sjösäkerhet, sjöfartsskydd och hamnskydd
• den civila luftfarten, särskilt flygsäkerhet och luftfartsskydd
• inom vägtransportsystemet.^[56]

Myndigheten har även i uppgift att följa om avreglerade marknader fungerar – till exempel inom flyg, järnväg och fordonsbesiktning. Denna uppföljning ska säkra en sund konkurrens på marknaden. En stor del av tillsynsarbetet innebär att samla in och analysera statistik över olyckor och tillbud. Inom luft- och sjöfart går statistiken in i en internationell databas, för större och bättre analysunderlag. Myndigheten ansvarar även för informationssystemet STRADA, som innehåller skadestatistik inom hela vägtransportsystemet.^[57]

Tillsynen är riskbaserad. Det innebär att kontroller utförs där de största riskerna finns och där de förväntas ge störst effekt. En avvägning av effekter i förhållande till kostnader styr alltid tillsynsarbetet. För tillsynen inom olika trafikslag ska myndigheten använda enhetliga definitioner, angreppssätt och principer.^[58]

Kostnader för nuvarande tillsyn

Antalet tillsyner har minskat under perioden 2014–2016 (tabell 1). Myndigheten förklarar detta med bland annat ett förändrat arbetssätt och regelbestämda tillsynsintervaller.

Inom områden som järnväg och luftfart är minskningen av antal tillsyner 2016 kraftig. Transportstyrelsen förklarar detta med att myndigheten genomfört tillsyn mot större aktörer, vilket har krävt mer tid än om tillsynen riktat sig mot mindre aktörer. För luftfart förklarar de minskningen jämfört med 2014 med att myndigheten har delegerat flygproven till kontrollanterna.

Tabell 1 Antal genomförda tillsyner av Transportstyrelsen, 2014–2016

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

Förändringen av antal tillsyner inom sjöfartsområdet beror på färre tillsyner av hamnar och av svavelkontroller, men också på variation mellan åren. Det högre antalet tillsyner inom vägtrafiken 2016 förklarar myndigheten främst med att den har resursförstärkt inom yrkestrafiken.

Tabell 2 respektive 3 nedan visar totala kostnader för tillsynen respektive kostnad per tillsyn. Ökande kostnader för järnvägstillsynen förklarar myndigheten med att den riskbaserade tillsynen och uppföljningen av verksamhetsutövarnas åtgärder kräver mer resurser per tillsyn.

Tabell 2 Transportstyrelsens totala kostnader för tillsynen, 2014–2016, (tkr)

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

Tillsynens totala kostnader för luftfart är markant lägre 2016 jämfört med tidigare år. Det beror delvis på att medlemsavgiften till den europeiska samarbetsorganisationen Eurocontrol har minskat. Effektiviseringar inom tillsynen av flygoperativ verksamhet kan också förklara minskningen, vilket även förklarar den lägre kostnaden per tillsyn för 2016.

Tabell 3 Transportstyrelsens kostnader per tillsyn, 2014–2016, (tkr)

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

De förändrade kostnaderna för sjöfartstillsynen beror på att antalet tillsyner av hamnar och antalet svavelkontroller har minskat. Ökningen av de totala kostnaderna inom vägtrafik beror däremot på fler genomförda tillsyner 2016. Den resursförstärkning Transportstyrelsen nämner som skäl till detta har ökat de totala kostnaderna för tillsynen inom området, samtidigt som kostnaden per tillsyn har minskat något.

Finansinspektionen

Finansinspektionens ska bidra till ett stabilt finansiellt system präglat av högt förtroende, med väl fungerande marknader som ser till hushållens och företagens behov av finansiella tjänster samtidigt som de har ett högt skydd för konsumenter. Verksamheten går ut på tillsyn, regelgivning och prövning av tillstånd för finansiella marknader och företag. Inspektionen ansvarar också för att samordna tillsyn av åtgärder mot penningtvätt och finansiering av terrorism samt för finansiell folkbildning genom riktade insatser till specifika målgrupper.^[59]

Finansinspektionens nuvarande tillsyn

Finansinspektionen utför i dag en riskbaserad tillsyn som även inkluderar områdena informationssäkerhet och kontinuitetshantering, det vill säga den process som säkerställer att organisationen kan driva den kritiska verksamheten på en tolerabel nivå, oavsett vilka störningar som inträffar. Bland de företag som omfattas av myndighetens tillsyn ingår bland annat leverantörer av banktjänster samt infrastrukturföretag. Den tillsyn som gäller informationssäkerhet och kontinuitetshantering ligger enligt myndigheten ganska nära den nya tillsyn som följer av NIS-direktivets bestämmelser.

Finansinspektionen delar in sin tillsyn i följande tre kategorier:

• Löpande tillsyn – Myndigheten övervakar riskutvecklingen och följer upp att företag följer gällande regler. De analyserar tillsynsobjektens inrapporterade data och följer upp att företag följer kapitaltäckningsreglerna. Myndigheten använder även annan begärd information och kontakter med ansvariga för it-verksamhet och informationssäkerhet hos de aktörer myndigheten bedömer som stabilitetskritiska.
• Undersökningar – Myndigheten genomför djupare granskning av ett företag, eller ett tematiskt område, för att exempelvis bedöma kvaliteten i ett företags styrning, riskhantering och kontroll inom informationssäkerhetsområdet. Detta är en metod för att effektivt kunna påverka företag och beteenden på finansmarknaden.
• Händelsestyrd tillsyn – Detta handlar om risker som redan har inträffat eller har hög sannolikhet att inträffa. Denna reaktiva tillsyn kan till exempel handla om
• företag som får akuta problem i samband med incidenter som gäller informationssäkerhet
• företag som genomför en större förändring av sin it-verksamhet
• företag som blir uppköpta av ett annat företag, vilket kan innebära förändrade tillstånds- och tillsynsmässiga förutsättningar.

Tillsynsobjekten är eller kan bli föremål för alla tre former av insatser, vilka enligt Finansinspektionen alla går in i varandra och är nödvändiga för tillsynen. Till exempel är analysen och kunskapen från löpande tillsyn en viktig förutsättning för att planera relevanta undersökningar.

Finansinspektionen klassificerar sina företag utifrån risk. Risken är relaterad till företagens eventuella påverkan på finansiell stabilitet, välfungerande marknader eller konsumentskyddsaspekter. Inspektionen tar också hänsyn till förhållanden som relaterar till företagens storlek, komplexitet och omfattning av gränsöverskridande verksamhet.

Tillsynsinsatserna varierar till såväl inriktning som i omfattning beroende på den tillsynade verksamhetens karaktär och betydelse utifrån myndighetens mål. Det går att bryta ned insatserna i underaktiviteter, som exempelvis regelbundna eller ad-hoc möten, uppföljningar och analyser. Men Finansinspektionen anser ändå att det inte är möjligt att kvantifiera insatserna i ett specifikt antal tillsyner. Fördelningen mellan olika tillsynsaktiviteter skiljer sig också åt beroende på vem som är föremål för tillsynen. Den löpande tillsynen för en av landets storbanker, liksom för de systemviktiga infrastrukturföretagen, kan till exempel ske varje dag, även om fördelningen över året när det gäller fysiska möten varierar. Men när det gäller mindre företag, där regleringen har ett mer renodlat konsumentskyddsperspektiv, kan det i vissa fall gå både ett och två år utan någon aktiv tillsynsdialog.

Kostnader för nuvarande tillsyn

Nuvarande tillsyn består av ett antal olika områden (tabell 4). Dessa områden är till exempel finansiell analys, löpande tillsyn, undersökningar, sanktioner och ingripanden, utveckling av system och metoder samt förvaltning och drift av system för tillsynsarbetet. Till detta kan läggas en del internationellt arbete som faller inom ramen för tillsynsverksamheten.

Tabell 4 Finansinspektionens tid och kostnader för tillsyn, 2015–2017 (tkr)

Den tid som myndigheten ägnar åt tillsyn ökade med drygt 5 procent under 2015–2016 och med 11 procent under 2016–2017. Enligt myndighetens uppgifter står den löpande tillsynen för nästan hälften av den totala tiden som de lägger ner på tillsyn. Den totala tillsynen gäller alla de aktiviteter och åtgärder som framgår av tabellen ovan, inklusive det som tabellen kallar för löpande tillsyn. Denna tillsyn bygger på analys av inrapporterade data och annan information, enligt uppgifter i myndighetens årsredovisning för 2017.^[60] Antalet timmar som Finansinspektionen ägnar åt den löpande tillsynen har ökat under 2017. Samtidigt kan vi konstatera att många av de övriga aktiviteterna har minskat sedan 2015.

Tabellen visar att jämfört med 2016 ökade de totala kostnaderna för Finansinspektionens tillsyn 2017 med ungefär 41 miljoner kronor. Enligt uppgifter från årsredovisningen för 2017 var andelen av de totala kostnaderna som myndigheten lade på tillsyn 63 procent jämfört med 61 procent 2016. Tillsynen ökade följaktligen både i absoluta och i relativa tal, något som enligt myndigheten har varit ett uttalat mål. Samtidigt framhåller myndigheten att det i praktiken inte finns några skarpa gränser mellan Finansinspektionens olika huvudaktiviteter tillsyn, tillståndsgivning och regelgivning. Det beror på att aktiviteterna enligt myndigheten ytterst har samma mål och i högsta grad påverkar varandra.

IVO

IVO ansvarar för tillsyn över hälso- och sjukvård, hälso- och sjukvårdspersonal, socialtjänst samt verksamhet enligt lagen om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. Myndigheten ansvarar också för viss tillståndsprövning.

IVO:s nuvarande tillsyn

IVO:s nuvarande tillsyn omfattar områden som anmälnings- och underrättelseskyldighet angående vårdskada och missförhållanden (enligt lex Maria och lex Sarah), anmälan av hälso- och sjukvårdspersonal, klagomål på hälso- och sjukvård och socialtjänst, författningsreglerad tillsyn av boenden för barn och unga, blod- och vävnadsverksamhet, egeninitierad tillsyn av verksamhet samt av hälso- och sjukvårdspersonal.

Endast en begränsad del av denna tillsyn omfattar informationssäkerheten hos vårdgivare. Ur ett patientsäkerhetsperspektiv granskar IVO att vårdgivare följer bestämmelserna i patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården (tidigare SOSFS 2008:14). Dessa författningar reglerar hur personuppgifter får behandlas inom hälso- och sjukvården samt vilka krav som ställs på journalföring.

NIS-direktivet kan ha beröringspunkter med den tillsyn IVO utövar i dag. Om det uppstår brister i informationstekniken kan det få direkta konsekvenser för patienterna och deras säkerhet. Men IVO utövar i dag inte tillsyn över själva informationstekniken. Det betyder att de informationstekniska delarna som följer av NIS-direktivet blir ett nytt område för IVO.

Kostnader för nuvarande tillsyn

Tabell 5 IVO:s tillsyn fördelat efter typ av tillsyn, 2015–2017

Antalet tillsyner inom respektive delområde varierar något från år till år (tabell 5), och kostnaden per tillsyn skiljer sig åt mellan de olika delområdena (tabell 6). Totalkostnaderna i tabellen är endast en uppskattning baserad på myndighetens årsredovisning för respektive år.

Tabell 6 IVO:s totala kostnader fördelat efter typ av tillsyn, 2015–2017 (tkr)

Även uppgifterna om kostnader per tillsyn, som framgår av tabell 7 nedan, är enbart uppskattningar baserade på myndighetens årsredovisning för respektive år.

Tabell 7 IVO:s uppskattade kostnader per tillsyn fördelat efter ärendeslag, 2015–2017 (tkr)

IVO har i dag bred kunskap om hälso- och sjukvården samt lång erfarenhet och god vana att genomföra tillsyn i olika former. Myndigheten har upparbetade relationer till många vårdgivare och har ett gott anseende hos dem, enligt myndighetens förtroendemätningar. Däremot håller IVO på att utreda förutsättningarna för dem att bredda den existerande tillsynen och kunskapen inom området, samt integrera nya kompetenser och kunskaper till att även omfatta den tillsyn som följer av NIS-direktivet.

IVO planerar även att utreda de praktiska möjligheterna att integrera tillsynen enligt NIS-direktivet med exempelvis den begränsade tillsyn över informationssäkerheten som myndigheten bedriver redan i dag. Ett annat alternativ kan vara att myndigheten införlivar den nya tillsynen i den tillsyn med systemansats av verksamheters styrning och ledning som IVO har påbörjat under år 2017.

Livsmedelsverket

Livsmedelsverket har som förvaltningsmyndighet för livsmedelsfrågor till uppgift att i konsumenternas intresse arbeta för säkra livsmedel, redlighet i livsmedelshanteringen och bra matvanor. Myndigheten arbetar för säker mat och bra dricksvatten, att informationen om maten är pålitlig samt med att främja bra matvanor. I praktiken innebär det att Livsmedelsverket värderar, hanterar och kommunicerar risk- och nyttoaspekter av ämnen i livsmedel och av matvanor. Livsmedelsverket utför även kontroll av de livsmedelsanläggningar som pekas ut i livsmedelsförordningen (2006:813).

Livsmedelsverkets nuvarande tillsyn

Livsmedelsverket har kunskap om säkerhetsarbete inom livsmedelssektorn och kunskap om dricksvattenanläggningar. Myndigheten har för närvarande inget tillsynsansvar när det gäller leverans och distribution av dricksvatten, det vill säga den sektor som ingår i NIS-direktivet.

Inom Livsmedelsverkets område omfattas leverantörer och distributörer av dricksvatten av NIS-direktivet. Dricksvatten är allt vatten som är avsett för dryck, matlagning, beredning av livsmedel eller för andra hushållsändamål. Detta gäller både i vattnets ursprungliga tillstånd eller efter beredning. Det gäller också oberoende av vattnets ursprung och oavsett om det tillhandahålls genom ett distributionsnät, från tankbil eller tankbåt, i flaskor eller i behållare.^[61]

Livsmedelsverket kontrollerar verksamheten vid cirka 1 460 livsmedelsanläggningar. Myndigheten ansvarar också för gränskontrollen av främst animaliska livsmedel som förs in till Sverige från länder utanför EU. Kontrollen av livsmedelsföretag sker direkt mot objekten, med inspektioner och platsbesök. Kontrollen vid slakteri- och vilthanteringsanläggningar sköter myndigheten genom närvaro vid anläggningen, medan övriga anläggningar står under riskbaserad kontroll som sker genom kontrollbesök.

Under 2017 hade myndigheten 273 årsarbetskrafter som arbetade med kontroll (inklusive stödfunktioner). Arbetet är indelad i följande verksamhetsprocesser:

• Utveckla regler
• Leda livsmedelskontrollen
• Utföra offentlig kontroll
• Verka för hälsosamma matvanor

Samtliga processer har bäring på myndighetens tillsynsverksamhet. Men ur NIS-direktivets perspektiv blir det enligt Livsmedelsverket mest intressant att bedöma kostnaderna för verksamhetsprocesserna utveckla regler respektive utföra offentlig kontroll.

Kostnader för nuvarande tillsyn

Frekvensen på myndighetens nuvarande tillsyn framgår av tabell 8 nedan. Dessa uppgifter omfattar köttkontroll, gränskontroll samt kontroll av livsmedelsföretag. Kostnaderna och de nuvarande avgiftssystemen skiljer sig åt mellan de olika typerna av kontroller. Kontroll av livsmedelsföretagare baseras på den kontrolltid som Livsmedelsverket fastställer. Gränskontrollen har en fast avgift per sändning (kontrolltillfälle). Köttkontrollen skiljer ut sig eftersom Livsmedelsverket ska kontrollera alla djur före slakt och besikta samtliga kroppar och organ efter slakt. Denna kontroll finansieras med en bemanningsavgift.

Tabell 8 Antal tillsynstimmar, antal tillsyner, totala kostnader och kostnad per tillsyn för Livsmedelsverket, 2015–2017.

Antalet tillsyner av livsmedelsföretagare och gränskontroller har varierat något under perioden 2015–2017. Kontrollerna för livsmedelsföretagare har minskat under 2015–2016 med omkring nio procent, medan kontrollerna har ökat med cirka 10 procent under perioden 2016–2017. Däremot har antalet gränskontroller kontinuerligt minskat under perioden 2015–2017.

Myndighetens kostnader för kontroll av livsmedelsföretagare under samma period har å andra sida ökat stadigt (tabell 8). Under 2017 var kostnaderna för kontroll av livsmedelsföretagare dryga 5 procent högre än året innan. Under 2016 ökade kostnaderna med cirka 7 procent jämfört med 2015. Kostnaderna för utförda gränskontroller ökade med cirka 7 procent 2015–2016, men minskade däremot med ungefär 8 procent 2016–2017.

Både de totala kostnaderna och kostnaden per enskild tillsyn avser gränskontroll och livsmedelskontroll. Förklaringen till de ökade kostnaderna är troligen att antalet tillsyner per år har minskat under motsvarande period.

De totala kostnaderna har ökat främst på grund av ökad bemanning samt ökade tillhörande kostnader (overhead). Kostnaden per tillsyn har ökat både för att de totala kostnaderna har ökat samt att antal kontrolltimmar har ökat samtidigt som antal tillsyner har minskat.

PTS

PTS bevakar områdena elektronisk kommunikation och post i Sverige. Begreppet elektronisk kommunikation innefattar telekommunikationer, it och radio. Arbetet sker genom tillsyn och beslut utifrån de bestämmelser som reglerar verksamheten. Myndigheten bedriver även ett främjandearbete, där PTS agerar och påverkar genom att analysera och beskriva marknaden, informera, föra dialog och samverka.^[62]

PTS:s nuvarande tillsyn

Myndighetens tillsyn är uppdelad på olika områden inom postverksamhet respektive elektronisk kommunikation. Tillsynen omfattar allt från klagomål till konsumenttillsyn, marknadstillsyn och radiotillsyn samt marknadskontroller.^[63]

Myndighetens tillsyn är såväl händelsestyrd efter inträffade incidenter som planlagd. Det innebär att PTS granskar vissa teman hos flera tillsynsobjekt. PTS bedriver sin tillsyn dels genom att granska skriftliga underlag med tillhörande möten, dels som inspektionsliknande kontroller med personal som besöker tillsynsobjektet. Även en kombination av dessa två typer av granskningar förekommer. PTS:s tillsyn av tillhandahållare av betrodda tjänster (icke kvalificerade) är enbart händelsestyrd, i enlighet med gällande regelverk.

Tillsynen följer myndighetens tillsynsprocess, där varje tillsyn genomförs på ett unikt sätt med unika frågor och bedömningar. Till varje tillsyn tar myndigheten fram tillsynspromemorior, en projektplan med målformulering, tidplan och resurser.

Utredningen föreslår att PTS ska få tillsynsansvar för områdena digital infrastruktur och digitala tjänster. Inom dessa områden har myndigheten i dag ett begränsat tillsynsansvar som omfattar enstaka aktörer som finns inom digital infrastruktur men inte inom digitala tjänster.

Kostnader för nuvarande tillsyn

Inom området digital infrastruktur har myndigheten alltså endast bedrivit en mycket begränsad tillsyn mot de aktörer som kan omfattas av de nya reglerna. Det gäller säkerhet för toppdomäner enligt toppdomänlagen, där senaste tillsynen inom säkerhetsområdet skedde före 2014. Myndigheten har inte särredovisat kostnader för området, och PTS uppger att det heller inte är möjligt att få fram kostnaderna för tillsyn inom säkerhetsområdet enligt lagen om elektronisk kommunikation mot internetknutpunkter (IXP) eller tillsyn inom säkerhetsområdet enligt toppdomänslagen.

PTS uppger att myndigheten inte har något tillsynsuppdrag som gäller digital infrastruktur eller digitala tjänster i dag. Därför kan de inte heller redovisa kostnader för dessa verksamhetsområden.

PTS ansvar och arbete i dag innebär att myndigheten har viss kompetens inom informationssäkerhets- och tillsynsområdet. Totalt uppgår årsarbetskraften till ungefär 18,5 stycken varav 16 stycken arbetar med tillsyn och normgivning vid Nätsäkerhetsavdelningen på PTS. Tillsynen gäller regelverken för driftsäkerhet, säker och konfidentiell kommunikation enligt lagen om elektronisk kommunikation, betrodda tjänster enligt den så kallade eIDAS-förordningen samt tillsyn över toppdomäner enligt den så kallade toppdomänlagen. Inom dessa områden tar PTS emot cirka 100 incidentrapporter per år och genomför i genomsnitt omkring 30 tillsynsärenden per år.

Myndigheten uppger vidare att de inte kan särskilja antalet rena tillsyner eller kostnaderna per tillsyn.

Sammanfattning av tillsynsmyndigheternas nuvarande kostnader

Tabell 9 sammanställer myndigheternas totala kostnader för tillsynsverksamhet under perioden 2014–2017, utifrån respektive myndighets årsredovisningar. Även om flera myndigheter endast kan redogöra för ungefärliga kostnader för sina respektive tillsyner, ger översikten ändå en antydan om omfattningen av myndigheternas tillsyn i dag. Enligt företrädare för Energimyndigheten och PTS går det inte ens att särredovisa några övergripande kostnader för tillsynen inom det egna sektorsansvaret.

Kostnaderna för verksamheten är relativt konstant för de fyra myndigheter som vi kan redovisa uppgifter för. Medelkostnaden för den redovisade perioden varierar från 234 miljoner kronor (Livsmedelsverket) till 420 miljoner kronor (Transportstyrelsen).

Tabell 9 Total kostnad för myndigheternas tillsyn 2014–2017 (mkr)

Endast två av myndigheterna redovisar antalet utförda tillsyner i sina årsredovisningar. Under perioden 2015–2017 genomförde IVO i genomsnitt cirka 11 600 tillsyner per år. Transportstyrelsen genomförde 10 500 kontroller per år under perioden 2014–2016.

De ekonomiska konsekvenserna för myndigheterna

I detta kapitel redogör vi för de ekonomiska konsekvenserna för de myndigheter som får tillsynsansvar enligt NIS-direktivet.

Särskilda utmaningar med att uppskatta ekonomiska konsekvenser

Det finns flera särskilda utmaningar med att analysera de framtida ekonomiska konsekvenserna för tillsyn enligt NIS-direktivet. De föreslagna tillsynsmyndigheternas nya uppdrag är ännu inte beslutade av regeringen, uppdragens omfattning är inte klarlagd och tillsyn av informationssäkerhet innebär ett nytt tillsynsområde för de flesta av myndigheterna.

Det finns dessutom indikationer på att det även i efterhand är svårt att bedöma de kostnader som genereras av tillsyn inom olika områden. En tidigare rapport från Statskontoret visar att detta beror på att tillsynsmyndigheternas metoder för att beräkna kostnaderna skiljer sig åt.^[64] Tillsynsutredningen (SOU 2002:14) gjorde ett försök och kom i en grov skattning då fram till en total kostnad på mellan fyra och fem miljarder kronor för de statliga och kommunala myndigheternas tillsynsverksamheter. I sitt slutbetänkande (SOU 2004:100) ansåg utredningen att svårigheterna beror på att begreppet tillsyn inte används på samma sätt av alla myndigheter, vilket gör att uppskattningar om kostnaderna blir osäkra. Dessutom särredovisas inte alltid myndigheternas tillsyn. Det innebär att till exempel kostnader och avgiftsintäkter också måste uppskattas.^[65]

Tillvägagångssätt för att bedöma ekonomiska konsekvenser

Samtliga föreslagna tillsynsmyndigheter framhåller i våra intervjuer att det är en stor utmaning att bedöma de ekonomiska konsekvenserna av den nya tillsynen. De har ändå uppskattat sina initiala och löpande kostnader för den nya tillsynen utifrån bland annat ett antal kostnadsdrivande faktorer som vi har presenterat för dem (bilaga 2). Myndigheterna har också fått motivera hur de har kommit fram till dessa kostnader. I de fall de inte har kunnat bedöma exempelvis frekvensen på tillsynen eller vilka kostnader de uppskattar att informationsinsatserna kommer att få, har de fått förklara varför.

I de följande avsnitten redovisar vi myndigheternas bedömningar och motiveringar av de initiala och löpande kostnaderna för tillsynen enligt NIS-direktivet. Efter denna genomgång sammanställer vi uppgifterna samt diskuterar deras tillförlighet.

Energimyndigheten

Initiala kostnader

Vid tiden för denna utredning kan Energimyndigheten inte uppskatta sina initiala kostnader. Men de understryker att deras befintliga kompetens inom området informationssäkerhet är mycket begränsad, vilket innebär att de behöver rekrytera nya medarbetare tidigt i processen. Myndigheten uppskattar kostnaden för den interna kompetensutvecklingen till ungefär 200 000 kronor.

Löpande kostnader

Energimyndigheten framhåller att det även är svårt att uppskatta de löpande kostnaderna för tillsynen. Det beror på att antalet leverantörer som ska tillsynas inte är klarlagt.

Osäkert om antal leverantörer och frekvens

Energimyndighetens nuvarande tillsyn är uppdelad på områdena, olja, naturgas och el (se även kapitel 3). Myndigheten anser att antalet berörda aktörer bör vara mellan 100 och 400 stycken. Den mest realistiska bedömningen är 200 stycken, enligt Energimyndigheten.

De är också osäkra när det gäller tillsynens frekvens. Det beror enligt Energimyndigheten på att det ännu är oklart vad myndigheten ska utöva tillsyn över. Men samtliga bolag som faller inom ramen för NIS-direktivet kommer att bli föremål för tillsyn inom två-års cykler. Det betyder att varje tillsynsobjekt ska kontrolleras minst en gång vartannat år.

Myndigheten kan i dagsläget inte heller uppskatta kostnaderna per tillsyn. Men de planerar att införa liknande tillsynssystem för samtliga tre områden (olja, gas och el).

De löpande kostnaderna beräknas till 8 miljoner kronor

Den preliminära uppskattningen av de löpande kostnaderna bygger på att myndigheten kommer att kontrollera 200 objekt eller leverantörer. Behovet av resurser uppgår enligt myndigheten till 3 årsarbetskrafter för själva tillsynen. En schablonkostnad per årsarbetskraft på 1,1 miljoner kronor medför då en kostnad på 3,3 miljoner kronor. Till detta kommer en kostnad för konsultinsatser på 3 miljoner kronor, samt ytterligare 1 miljon kronor för utgifter för stödinsatser för tillsynen.

Detta innebär kostnader på cirka 7,3 miljoner kronor, inklusive overheadkostnader. Därutöver kalkylerar myndigheten med följande insatser:

• Jurister, 20 procent av heltid: cirka 220 000 kronor per år
• Kommunikatörer, 20 procent av heltid: cirka 220 000 kronor per år
• Avdelningen forskning och innovation, cirka 20 procent av heltid: cirka 220 000 kronor per år

Energimyndigheten framhåller att den inte ensam kan genomföra tillsynen. Därför planerar myndigheten för att samarbeta med två närliggande myndigheter, vilket kan påverka vissa av kostnaderna för tillsynen. De myndigheter som är aktuella i detta sammanhang är

• Affärsverket Svenska Kraftnät, som för närvarande har tillsyn över stora delar av elenergiförsörjningen vilket har bäring på informationssäkerhet, systematiskt säkerhetsarbete och risk- och sårbarhetsanalys
• Energimarknadsinspektionen som i dag har tillsyn över elnätsbolagen, med bäring på bolagens risk- och sårbaranalys och åtgärdsplaner.

Transportstyrelsen

Initiala kostnader

Den tillsyn som tillkommer innebär enligt myndigheten endast att den tillsyn som redan pågår utökas. Transportstyrelsen bedömer att förutsättningarna är goda för att bredda den nuvarande tillsynen till att även omfatta den nya. Tillsynen enligt NIS-direktivet behöver inte heller vara samordnad med den övriga tillsynen, eftersom myndigheten anser att den skiljer sig väsentligt från den tillsynsverksamhet som de bedriver i dag.

De initiala kostnaderna beräknas till 4 miljoner kronor

Initiala kostnader uppgår enligt myndigheten till cirka 4 miljoner kronor, inklusive overheadkostnader, uppdelat i följande poster:

• Framtagande av föreskrifter: cirka 500 000 kronor. Föreskrifterna tas fram i samarbete med MSB.
• Informationsinsatser: cirka 300 000–500 000 kronor. Detta gäller information till berörda leverantörer inom transportsektorn. Merparten är interna kostnader enligt myndigheten.
• Intern kompetensinventering: under 100 000 kronor. Den egna personalavdelningen kommer att genomföra detta arbete.
• Interna resurser: 3–4 årsarbetskrafter för att förbereda den nya tillsynen under 2018 och för att genomföra den under kommande år. Tjänsterna kommer att bestå av en projektledare, en jurist, och två resurser från kärnavdelning/kommunikation.
• Engångskostnad: Det kan behövas en extern resurs med kompetens inom informationssäkerhet för att bygga upp ny sakverksamhet. Myndigheten kan inte ange den eventuella kostnaden för detta.

Löpande kostnader

Transportstyrelsen anser att det för att kunna precisera de löpande kostnaderna är avgörande att fastställa antalet leverantörer som ska kontrolleras. Det är också avgörande att klargöra frekvensen på tillsynen och hur tillsynen ska genomföras.

De löpande kostnaderna uppskattas bero på:

• Antal leverantörer. Antalet uppskattas till cirka 160 organisationer av ungefär 1 000 möjliga. Tillsynsobjekten fördelas per transportområde enligt följande:
• Järnväg: 20 av cirka 500 objekt
• Väg: 4 av cirka 290 objekt
• Sjö: 73 av cirka 128 objekt
• Luft: 64 av cirka 75 objekt

Men Transportstyrelsen framhåller också att antalet leverantörer kan ändras på grund av undantag från lagstiftningen samt på grund av att myndigheten ännu inte har identifierat alla leverantörer.

Faktorer som påverkar genomförandet och dess kostnader

Följande faktorer kommer att påverka genomförandet av tillsynen.

• Frekvens: Transportstyrelsen kommer att arbeta med riskbaserad tillsyn, och kan därför inte definiera frekvensen exakt i förväg. Målet är att göra cirka 80 tillsyner per år.
• Tillsynens genomförande: Genomförandet sker troligtvis enligt samma processer och strategier som den nuvarande tillsynen. Det som kommer till är nya aktörer och nya eller förändrade krav.
• Årsarbetskraft: Myndigheten bedömer att de behöver 7–8 årsarbetskrafter för att kunna bedriva den nya tillsynen.

Kostnaden per tillsynsobjekt är däremot svårare att avgöra. Det beror på att antalet tillsynsobjekt är svårt att bedöma. Det är inte heller klart vilka it-system som kommer att omfattas av tillsynen. Men myndigheten uppskattar kostnaden per tillsynsobjekt preliminärt till ungefär 95 000 kronor per år.

De löpande kostnaderna beräknas till 15 miljoner kronor

Transportstyrelsen uppskattar att de löpande kostnaderna för tillsynen kommer att vara omkring 15 miljoner kronor per år, inklusive overheadkostnader. Transportstyrelsen bedömer att kostnaderna bör finansieras med ett utökat anslag på omkring 8 miljoner kronor, och resterande 7 miljoner kronor genom en omfördelning av resurser inom myndigheten till den nya tillsynen. Overheadkostnader är cirka 30 procent av kostnaderna, exempelvis intern administration, utveckling, utbildning och resekostnader. Därutöver ska verksamheten bära sin andel av gemensamma kostnader för ekonomi, registratur, stab och it.

Den nya tillsynen kommer att ske i form av systemtillsyn med stickprov, förarbete, genomförande och efterarbete. Momenten följer gemensamma processer, där två personer genomför insatsen. Systemtillsynen kommer att fokusera på ledningssystem och på att det finns framtagna rutiner och att de används. Funktionen kommer att verifieras genom stickprov. Myndigheten kommer därmed inte att genomföra någon detaljerad tillsyn där alla dokumenterade händelser granskas.

Finansinspektionen

Initiala kostnader

De initiala kostnaderna för Finansinspektionen blir relativt begränsade. Det beror på att myndighetens nuvarande tillsyn inom området informationssäkerhet i stora delar redan berör NIS-direktivets krav och i hög omfattning överlappar med de företag som kan komma att omfattas inom sektorerna för banktjänster och finansmarknadsinfrastrukturföretag.

Myndighetens befintliga och riskbaserade tillsyn över företagens arbete med informationssäkerhet omfattar bland annat

• regelbundna möten med stabilitetskritiska företag om deras arbete med informationssäkerhet och kontinuitetshantering
• företagsspecifika och tematiska undersökningar på plats hos företagen och/eller på Finansinspektionen
• händelsestyrd analys, avstämning och uppföljning av bland annat informationssäkerhetsrelaterade incidenter.

Finansinspektionen får enligt sitt nuvarande uppdrag ingripa genom att förelägga om att vidta åtgärd, anmärkning eller varning, sanktionsavgifter och ytterst att återkalla ett företags tillstånd. Finansinspektionen bedömer att den nuvarande tillsynen har en ambitionsnivå som bör motsvara NIS-direktivets miniminivå. Men myndigheten anser också att frågan om ambitionsnivå i NIS-tillsynen behöver analyseras vidare i samarbete med MSB och övriga tillsynsmyndigheter.

Goda förutsättningar att bredda nuvarande tillsyn

Förutsättningarna är därför relativt goda för att bredda dagens tillsyn till att även omfatta NIS-området. I teorin skulle myndigheten kunna arbeta efter samma metoder och processer som i dag och endast överföra dessa arbetsmetoder på de aktörer som eventuellt tillkommer i och med NIS-direktivet.

Myndigheten bedömer att det framför allt är områdena informationssäkerhet och kontinuitetshantering som kan kopplas till kraven från NIS-direktivet. De är väsentliga områden i Finansinspektionens nuvarande tillsynsarbete inom området operativa risker.

Det är för tidigt att bedöma behovet av rekrytering

Det är också för tidigt att uppskatta behovet av nyrekrytering eller förstärkning av kompetensen inom området informationssäkerhet, enligt myndigheten. Nuvarande verksamhet, generella metoder och arbetssätt innebär att myndigheten har kompetens att fullfölja de nya uppgifter som NIS-direktivet medför. Men det kan behövas ytterligare kompetens, beroende på vilka och hur många de nya tillsynsobjekten blir, och på att myndigheten kan behöva genomföra ett eller flera regelgivningsprojekt.

De initiala kostnaderna beräknas till 3 miljoner kronor

Finansinspektionen bedömer att det är troligt att de kommer att behöva resurser för att bland annat ta fram föreskrifter och information till nya tillsynsobjekt. Behovet av sådana initiala resurser uppskattar myndigheten till två årsarbetskrafter under perioden 2018–2019. Finansinspektionen anser att kostnaderna för regelgivning är störst och svårast att bedöma. Myndighetens erfarenhet är att regelgivningsprojekt av detta slag är komplexa och kräver mycket resurser.

Även engångskostnader kan uppkomma. Kraven på rapportering av informationssäkerhetsincidenter enligt NIS-direktivet kan leda till behov av att utveckla eller införa nya it-system, och då kan kostnaderna komma att bli högre.

De initiala kostnaderna för två årsarbetskrafter uppskattar myndigheten till 3 miljoner kronor inklusive overheadkostnader.

Löpande kostnader

De löpande kostnaderna beror i första hand på antalet leverantörer som kommer att beröras av NIS-direktivet. Finansinspektionen menar att det är svårt att göra en säker uppskattning om antalet i dag. Den uppskattning som myndigheten gör inom de två sektorer som kan komma ifråga är att det sannolikt rör sig om cirka 160 företag. Dessa företag kan delas in enligt följande:

Kreditinstitut

• 90 banker
• 35 kreditmarknadsbolag
• 32 utländska instituts filialer

Finansmarknadsinfrastrukturföretag

• 3 operatörer av handelsplatser
• 1 central motpart, (Nasdaq)
• Utländska instituts gränsöverskridande verksamhet (till exempel clearing vid aktiehandel)

Svårt att precisera tillsynens frekvens

Finansinspektionen menar att det är svårt att bedöma frekvensen på den kommande tillsynen, men att den bör vara anpassad till behov och förutsättningar inom respektive sektor. För att möta tillsynsbehoven enligt NIS-direktivet planerar myndigheten därför att använda samma former för tillsyn som den redan i dag använder. Det innebär att de kommer att använda riskbaserad tillsyn med utgångspunkt i sektorspecifika överväganden, i form av löpande tillsyn, undersökningar och reaktiv tillsyn.

Den gränsöverskridande verksamheten skiljer sig från andra sektorer

En aspekt som eventuellt kan särskilja den finansiella sektorn från andra sektorer är att flera av de större leverantörernas verksamhet är gränsöverskridande eller ingår i utländska koncerner. Företagens interna regler och processer är i dessa fall ofta koncernövergripande. Finansinspektionens befintliga tillsyn för de här företagen sker ofta i samverkan med tillsynsmyndigheter i de övriga länder där företaget bedriver verksamhet.

Den verksamhet som de större leverantörerna bedriver är i sig relativt komplex, vilket även återspeglar sig i deras informationshantering och underliggande it-verksamhet. Detta påverkar i förlängningen också förutsättningarna för tillsynen.

Behov av kompetensförstärkning

Finansinspektionen bedömer att de sannolikt kommer att behöva kompetensförstärkning inom området informationssäkerhet för den löpande tillsynen. Behovet av ökade informationssäkerhetsspecifika tillsynsresurser är tydligast för tillsynen av utländska bankers verksamhet i Sverige genom filial. Myndigheten bedömer även att den löpande tillsynen av vissa av de aktuella företagen kan leda till att de behöver mer tillsynsresurser inom området informationssäkerhet.

De löpande kostnaderna beräknas uppgå till 3 miljoner kronor

Sammantaget uppskattar Finansinspektionen att de behöver kompletterande kompetens för den löpande tillsynen som motsvarar två årsarbetskrafter.

Myndigheten behöver ytterligare två årsarbetskrafter från och med 2018. Kostnaden för två årsarbetskrafter uppskattas till 3 miljoner kronor, inklusive overheadkostnader.

IVO

Initiala kostnader

NIS-direktivet innebär ett helt nytt tillsynsområde för IVO. Myndigheten bedömer att organisationen därför behöver ny kompetens och andra insatser tidigt för att planera och utarbeta rutiner och metoder för den nya tillsynen. Arbetet handlar om information till och dialog med tillsynsobjekten i början. Det ger dem möjlighet och tid att följa kraven, samt att hantera incidentrapporter. Antalet identifierade leverantörer kommer också att påverka hur mycket resurser IVO behöver initialt.

IVO:s nuvarande uppdrag omfattar inte att utfärda normerande föreskrifter, vilket den nya tillsynen enligt NIS-direktivet kräver. Den uppgiften ligger i dag på Socialstyrelsen, en uppdelning som syftar till att renodla tillsynsverksamheten för vård och omsorg. Om IVO ändå ska utfärda föreskrifter för det nya området kommer det att medföra extra kostnader för myndigheten.

Svårt att uppskatta kostnaden för föreskrifter

IVO har svårt att uppskatta myndighetens kostnader för att kunna utfärda dessa föreskrifter. Det beror på att arbetets omfattning delvis beror på hur detaljerade MSB:s föreskrifter blir. Arbetstiden för en jurist kommer att vara den huvudsakliga kostnaden. En jämförelse med dagens arbete som gäller verkställighetsföreskrifter kan i detta fall tjäna som utgångspunkt, även om IVO bedömer att dessa föreskrifter har betydligt enklare karaktär än normerande föreskrifter. Kostnaderna för dessa uppgick till cirka 150 000 kronor under 2017.

IVO räknar med engångskostnader och nyrekrytering

IVO räknar också med engångskostnader för kompetensutveckling och informationsinsatser i form av konferenser vid behov.

IVO anser att utredningens (SOU 2017:36) bedömning att tillsynsmyndigheternas resurser tillfälligt bör förstärkas med två årsarbetskrafter under 2018 är lågt räknad. IVO motiverar detta med hänsyn till uppskattningen om informationsinsatser, rekryterings- och planeringsarbete, metodutveckling och föreskriftsarbete.

De initiala kostnaderna beräknas till 3,5 miljoner kronor

IVO uppskattar att de initiala kostnaderna kommer att bestå av följande poster:

• en kommunikatör på halvtid, 400 000 kronor
• en projektledare på halvtid till projektgrupp för att utarbeta metoder och processer för informationssäkerhet, 450 000 kronor
• en specialist inom informationssäkerhet på halvtid, 500 000 kronor
• föreskrifter, 150 000 kr
• extern information på regional nivå, 1 miljon kronor
• intern kompetensutveckling för berörda inspektörer, omkring 1 miljon kronor.

Kostnaderna för intern och extern information är baserade på vad myndighetens interna IVO-forum och de externt riktade IVO-dagarna kostar i dag.

IVO:s initiala kostnader beräknas följaktligen till omkring 3,5 miljoner kronor, inklusive overheadkostnader.

Löpande kostnader

IVO:s löpande kostnader beror som för övriga myndigheter bland annat på antalet leverantörer som blir föremål för tillsynen. Eftersom det inom hälso- och sjukvårdssektorn ännu är oklart hur samhällsviktiga tjänster ska definieras, uppger IVO att det är svårt att uppskatta antalet leverantörer i dag.

Möjligen kan det även uppstå vissa oförutsebara kostnader. Det går exempelvis inte att på förhand uppskatta antalet incidentrapporter. Om det kommer in ett stort antal rapporter på kort tid redan initialt kan hanteringen av dessa ta mycket resurser i anspråk. Det kan i sin tur leda till ett akut behov av personalförstärkningar.

IVO:s och MSB:s definitioner av samhällsviktiga tjänster skiljer sig åt

MSB har efter samverkan med IVO föreslagit vad en definition av samhällsviktiga tjänster inom hälso- och sjukvårdssektorn ska avse.^[66] Detta förslag säger att definitionen ska avse

• hälso- och sjukvårdsverksamhet som omfattas av hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125) eller detaljhandel med läkemedel enligt lagen (2009:366) om handel med läkemedel, och
• omfattar minst 20 000 patientbesök per år, eller
• minst 20 000 expedieringar per år, eller
• har ett upptagningsområde där avståndet till likvärdig tjänst uppgår till minst 200 kilometer.

IVO har därefter fortsatt att arbeta med frågan och föreslår nu att definitionen ska vara avgränsad till akutsjukvård och katastrofmedicinsk beredskap. Men det är MSB som beslutar hur föreskrifterna med förteckning över samhällsviktiga tjänster ska lyda. Detta kommer således att vara klart först efter vårt utredningsarbete.

Fler faktorer än antal leverantörer påverkar tillsynens omfattning

Men det finns fler faktorer som påverkar omfattningen av tillsynen enligt IVO. Enligt myndigheten blir begreppet leverantör sannolikt liktydigt med vårdgivare inom hälso- och sjukvårdssektorn. Då återstår att avgöra hur stora och vilka delar av respektive leverantörs verksamhet som omfattar samhällsviktiga tjänster. Som exempel nämner IVO att varje landsting/region är en vårdgivare. Därför behöver man klargöra

• hur många akutmottagningar varje landsting har
• i vilken omfattning samt var och hur de bedriver akutsjukvård i övrigt
• på vilket sätt deras katastrofmedicinska beredskap är organiserad, och så vidare.

När detta har klarlagts kan myndigheten mer precist uppskatta tillsynens omfattning.

Tillsynen bör vara riskbaserad

IVO:s utgångspunkt är att tillämpa dagens riskbaserade tillsyn även i den nya tillsynen. Den information som ligger till grund för tillsynen över kvaliteten i vården kommer i dag via klagomål, uppgifter till Upplysningstjänsten, anmälningar om legitimerad personal och lex Maria-anmälningar. Men det kommer inte att finnas uppgifter om tänkbara brister i vårdgivares informationssäkerhetsarbete. IVO kommer därför sannolikt att bedriva såväl skrivbordstillsyn genom att hämta in underlag från tillsynsobjektet, som inspektioner där myndigheten besöker tillsynsobjektet för egna iakttagelser och samtal med personal.

Inte möjligt att uppskatta frekvensen eller kostnad per tillsyn

Det är inte möjligt att på förhand ange frekvensen för tillsynen eftersom myndigheten har som mål att tillämpa riskbaserad tillsyn för informationssäkerhetsområdet. Även fortlöpande samordning med övriga utsedda tillsynsmyndigheter kan enligt IVO komma att påverka antalet tillsyner.

IVO har också svårt att uppskatta kostnaden per tillsyn. Den kan eventuellt bli i paritet med dagens nivå, om en helt ny organisation för tillsyn byggs upp på myndigheten. Kostnaden kan också bli lägre om den nya tillsynen införs som ett inslag i den tillsyn som redan pågår. IVO saknar i dag uppgifter om kopplingen mellan kostnad och tillsynsobjekt, men bedömer att den löpande tillsynen kräver ökad kompetens inom informationssäkerhetsområdet för att komplettera myndighetens befintliga kompetens.

De löpande kostnaderna beräknas till 19,2 miljoner kronor

Myndigheten har svårt att bedöma behovet av nyrekrytering. Utöver särskild it-kompetens och kompetens inom området informationssäkerhet kan IVO till exempel behöva fler inspektörer med sjukvårdsbakgrund. IVO uppskattar ändå behovet av nyrekrytering till cirka 10 personer. Lönekostnaderna för dessa beräknas till ungefär 9 miljoner per år. Det tillkommer vissa övriga kostnader, som kostnader för it- och kompetensutveckling. IVO beräknar dessa kostnader till cirka 100 000 kronor per år och person.

Den totala kostnaden inklusive overheadkostnader för dessa nyrekryteringar blir då 19,2 miljoner kronor. IVO utgår då från myndighetens schablontimkostnad som är 1 000 kr per timme. 20 arbetsdagar 12 månader per år för 10 personer ger 19 200 arbetstimmar.

Livsmedelsverket

Initiala kostnader

Livsmedelsverkets föreskrifter (LIVSFS 2008:13) om åtgärder mot sabotage och annan skadegörelse riktad mot dricksvattenanläggningar innehåller bestämmelser som ligger nära NIS-direktivet när det gäller informations- och it-säkerhet, men med ett delvis annat syfte än direktivet. Myndigheten har kompetens inom dricksvattenområdet och kännedom om de kommunala anläggningarna, men de har inte kompetens om it-säkerhetsaspekterna inom dricksvattensektorn. Detta område är nytt för myndigheten, vilket kommer att leda till att arbetet kräver mer tid än vanligt i form av informationsinhämtning och inläsning.

Myndigheten bedömer även att informationsinsatser kommer att medföra vissa initiala kostnader. Information kommer att ges genom webben, samt som riktad information och möten med berörda leverantörer.

Små möjligheter att bredda den befintliga tillsynen

Möjligheterna att bredda den befintliga tillsynen till att även omfatta NIS-området är enligt myndigheten inte goda. Det är ett helt nytt ansvarsområde där Livsmedelsverket saknar kompetens om frågorna. Detta innebär att myndigheten behöver rekrytera ny kompetens för den nya tillsynen.

Eventuellt behov av nytt it-system

Det är svårt att i detta skede uppskatta de faktiska kostnaderna som tillsynsuppdraget kommer att medföra. Livsmedelsverket bedömer att det kan uppkomma engångskostnader med anledning av en eventuell uppbyggnad av ett it-system med hög säkerhet för att hantera tillsynens information. Myndighetens nuvarande system är inte anpassat till denna typ av tillsyn, utan kräver förändringar för att kunna ta emot sekretessbelagd information. Det är svårt att bedöma dessa kostnader vid tiden för Statskontorets utredning. Ett alternativ är en så kallad stand alone-lösning där myndigheten arbetar enligt samma rutiner för hantering av hemlig information som för närvarande, med till att börja med fem personer som arbetar operativt med tillsyn. Denna lösningen skulle medföra behov av datorer för att hantera hemlig information, framtagande av mallar i Word, Excel och kanske någon databas. Denna lösning är den troligaste, enligt myndigheten. En sådan lösning skulle kosta ungefär 1 miljon kronor och medföra förvaltningskostnader årligen beräknat som 20 procent av investeringen.

De initiala kostnaderna beräknas till ungefär 10 miljoner kronor

Livsmedelsverket bedömer att de initiala kostnaderna under 2018 kommer att vara cirka 9 miljoner kronor. Summan fördelar sig då på följande poster:

• it-system
• fem årsarbetskrafter. inklusive lön och arbetsgivarkostnader samt overheadkostnader per tjänst om 70 procent
• informations- och föreskriftsarbete om cirka 700 000 kronor

Övriga initiala kostnader, som alltså uppkommer efter 2018, uppgår enligt myndigheten till 1 miljon kronor och gäller exempelvis konsulttjänster. Sammanlagt uppskattar Livsmedelsverket således att de initiala kostnaderna uppgår till ungefär 10 miljoner kronor, inklusive overheadkostnader.

Löpande kostnader

De löpande kostnaderna beror bland annat på antalet leverantörer som ska tillsynas. Det är inte Livsmedelsverket som avgör detta, men myndigheten bedömer att antalet tillsynsobjekt bör bli ungefär 120 stycken. Men frågan är ännu inte färdigutredd och antalet påverkas av det kommande nationella regelverket.

Livsmedelsverket vill att frekvensen ska vara enhetlig

Tanken är att tillämpa en systemtillsyn med inslag av djupare revisioner på plats. Första steget för Livsmedelsverket blir att ta del av varje enskild leverantörs analys enligt NIS-lagstiftningen för att kunna identifiera relevanta risker. Därefter kan myndigheten värdera dessa risker och ha dem som grund för en tillsynsplan.

Myndigheten ska utarbeta ett system för tillsyn

Myndigheten har anlitat konsulter för att ta fram ett lämpligt system för tillsyn. Tanken är att tillämpa en systemtillsyn med inslag av djupare kontroll på plats. Det innebär att myndigheten ska granska rutinerna för hur leverantören ska utföra arbetet, hur utförandet faktiskt blir, resultatet av det och om det följer lagens krav. Denna metod kräver att leverantören förvarnas så att ansvariga för de områden som ska kontrolleras är på plats och redogör för leverantörens rutiner och verksamhet. Myndigheten menar att tillsynens omfattning också kommer att bero på om en tredje part granskar enskilda leverantörer inom ramen för exempelvis en certifiering enligt ISO-standard.

Enligt myndigheten är dess nuvarande kontroll relativt komplex, och sker mot tekniska rättsakter som reglerar bland annat hantering och tillverkning av livsmedel. Företagen har ansvar för att följa lagstiftningen och att de livsmedel som kommer ut är säkra. Därför ska företagen analysera alla faror som kan kopplas till råvaror, processtegen, och den färdiga produkten. Resultatet blir en lista över säkerhetsfaror som måste förebyggas eller elimineras av företagen.

De löpande kostnaderna beräknas till närmare 9 miljoner kronor

Myndigheten uppger att de löpande kostnaderna för tillsyn per år består av följande poster:

• Kostnaden för fem årsarbetskrafter uppskattar myndigheten till sju miljoner kronor, inklusive lön och arbetsgivarkostnader samt overheadkostnader på 70 procent per tjänst.
• Övriga kostnader utöver overhead beräknar myndigheten till sammanlagt cirka 1 miljon kronor för de fem tjänsterna. Detta gäller exempelvis externa driftskostnader som resor, kontorsmaterial, förbrukningsmaterial, kurs och konferens, post- och teletjänster.
• Driftskostnader för it-systemet uppgår till cirka 200 000 kronor.
• Övriga kostnader som myndigheten anser tillkommer kan myndigheten inte uppskatta kostnaden för. Detta gäller exempelvis konsulttjänster.

De totala kostnaderna för den löpande tillsynen uppgår till närmare 9 miljoner kronor per år, inklusive overheadkostnader.

PTS

Initiala kostnader

Myndighetens tillsyn inom områdena driftsäkerhet och konfidentiell och säker kommunikation enligt LEK omfattar regelverk som liknar de som finns i NIS-direktivet. De snarlika regelverken innebär att myndighetens nuvarande metoder troligen även kan användas i den nya tillsynen. Detta gör att PTS bedömer att myndigheten har en generell tillsynskompetens för de nya uppgifterna.

Begränsade förutsättningar att bredda den nuvarande tillsynen

En förutsättning för att bredda den existerande tillsynen till att även omfatta NIS-området är enligt PTS att myndigheten får resurser med bransch-, tillsyns- och informationssäkerhetskompetens. Dessa kompetenser behövs eftersom de nya uppgifterna i praktiken berör

• nya tjänster som myndigheten inte riktar sin verksamhet till
• annan teknik
• andra aktörer
• objekt i ett tidigare oreglerat område, som är ovana vid reglering och tillsyn
• aktörer som arbetar med andra affärsmodeller och kundrelationer
• att incidentrapporter från MSB kräver mer operativ koordinering.

För att kunna bredda den nuvarande tillsynen till att inkludera den nya regleringen och sektorerna menar PTS att de behöver kompetensutveckling. Myndigheten kommer därför att behöva mer resurser för att utöva tillsyn enligt NIS-direktivet. Den nya tillsynen kommer även att kräva en annan finansiering, eftersom finansieringen av nuvarande tillsyn sker genom avgifter för LEK-området och via anslag för områdena toppdomänlagen och betrodda tjänster.

De initiala kostnaderna går inte att beräkna

PTS kan inte uppskatta myndighetens initiala kostnader men understryker att det kräver mycket resurser att ta fram nya föreskrifter och att regelbundet revidera dessa. Myndigheten har identifierat att de behöver förstärka kompetensen inom informationssäkerhetsområdet för det initiala skedet. Men behovet är inte begränsat till enbart det området, utan gäller även bransch- och tillsynskompetens.

Myndigheten påpekar även att de behöver kompetensutveckling av befintlig personal som ska arbeta inom området. Denna kompetensutveckling gäller de exakta bestämmelserna i NIS-regleringen och arbetet med föreskrifter. PTS framhåller även att de behöver förstärka resurserna för att kunna arbeta med tillsyn inom ett nytt område.

PTS kommer även att ha kostnader för informationsinsatser till nya leverantörer. Dessa handlar inledningsvis om att hitta former och forum för att nå aktörerna, men även att ta fram informationsunderlag. Detta behöver ske fortlöpande, och därför räknar inte PTS detta som enbart en initial kostnad.

Myndigheten har också identifierat eventuella oförutsebara engångskostnader. Det finns en osäkerhet i normgivningskompetensen, och flera frågor om gränsdragningar som kan kräva omfattande rättsutredningar. Det finns även en osäkerhet kring frågor om bland annat

• hur styrningen och koordineringen blir nationellt
• hur resurskrävande styrning och koordinering blir
• vad som kommer som genomförandetakter
• vad PTS kan behöva föreskriva om.

Löpande kostnader

PTS är också osäkra när det gäller frågan om antalet aktörer som de ska kontrollera, en faktor som är direkt avgörande för de löpande kostnaderna. PTS uppskattar antalet aktörer på området digital infrastruktur till

• 1–3 registreringsenheter för toppdomäner
• 2–8 för internetknutpunkter
• 20–40 leverantörer av DNS-tjänster.

Det är svårare att bedöma antalet aktörer för digitala tjänster, enligt PTS. Utifrån MSB:s slutsatser, i deras svar på regeringsuppdrag att redovisa aktörer som tillhandahåller digitala tjänster, rör det sig om omkring 100 tjänster som tillhandahålls av cirka 70 leverantörer.

Osäkerhet om incidentrapportering och frekvens

Antalet möjliga incidentrapporter är också osäkert. Antalet tillsyner per år påverkar de löpande kostnaderna. Detta antal kommer enligt PTS att vara anpassat efter sektorns behov och förutsättningar. Tillsynen inom digitala tjänster blir i stora delar händelsestyrd och baserad på misstänkta och inträffade incidenter. För digital infrastruktur blir den delvis händelsestyrd, men också planlagd och proaktiv. Det är också aktuellt att utöva skriftlig tillsyn och inspektionsliknande tillsyn, samt en kombination av dessa.

Ur praktisk synvinkel går tillsynen ut på att kommunicera regler och tillsynsavgöranden till de berörda objekten. Digital infrastruktur och digitala tjänster är en tidigare oreglerad sektor med aktörer som är ovana vid reglering. PTS bedömer att detta medför en relativt hög grad av komplexitet för tillsynen inom området, med unika ärenden, frågor och analyser.

Kostnader per tillsyn och tillsynsobjekt är enligt myndigheten inte möjliga att förutse så här tidigt i processen. PTS bedömer att det blir fråga om en hög fast kostnad oberoende av antalet tillsyner, för att upprätthålla myndighetens beredskap och tillsynskompetens och annan verksamhet inom NIS-området. En mindre rörlig del av kostnaden beror på antalet aktörer och incidentrapporter.

De löpande kostnaderna beräknas till 5,2 miljoner kronor

Myndigheten bedömer behovet av förstärkning och stöd till totalt fyra årsarbetskrafter enligt följande:

• tre årsarbetskrafter för tillsyn och normgivning
• en årsarbetskraft för stöd från andra avdelningar

Dessa resurser kommer årligen att hantera uppskattningsvis omkring

• 20 incidentrapporter
• 6 tillsynsärenden

Utöver att hantera incidenter och tillsynsärenden kommer resurserna även att arbeta med normgivning och kommunikation med aktörer som omfattas av reglerna.

Den totala kostnaden för denna resursförstärkning uppskattar PTS till 5,2 miljoner kronor per år. Denna summa täcker behovet av ny personal, utgifter för föreskrifter samt ledning, övriga stödfunktioner och overheadkostnader.

Sammanställning av de ekonomiska konsekvenserna för myndigheterna

Det empiriska underlag som vi redovisat i avsnitten 4.2–4.7 bygger alltså på de föreslagna tillsynsmyndigheternas egna uppskattningar och bedömningar. I detta avsnitt redovisar vi en samlad bild av dessa uppskattningar.

Initiala kostnader för tillsynen

I tabell 10 redovisar vi myndigheternas uppskattade kostnader för varje faktor som påverkar deras initiala kostnader för den nya tillsynen.

Tabell 10 Sammanställning av kostnader och kostnadsdrivande faktorer som påverkar de initiala ekonomiska konsekvenserna för myndigheterna (tkr)

*Kompetens inkluderar intern kompetensinventering, rekrytering samt lönekostnader.

Uppgifterna i tabellen visar att Transportstyrelsen, IVO och Livsmedelsverket planerar för relativt omfattande insatser under den inledande fasen, det vill säga främst under 2018. De tre myndigheternas initiala kostnader kommer att överskrida den nivå som utredningen (SOU 2017:36) bedömer är rimlig under 2018, det vill säga två årsarbetskrafter. Exempelvis planerar Livsmedelsverket och Transportstyrelsen för fem respektive tre eller fyra årsarbetskrafter under den inledande fasen. Därutöver tillkommer olika informationsinsatser och arbete med föreskrifter. Livsmedelsverket planerar även för omfattande investeringar i it-system under den närmaste tiden.

Finansinspektionen planerar för två årsarbetskrafter för bland annat informationsinsatser och kompetensutveckling. Energimyndigheten har vid tiden för denna utredning svårt att uppskatta de initiala ekonomiska konsekvenserna för den nya tillsynen. PTS kan inte precisera sina initiala kostnader enligt den metod vi använder oss av (se bilaga 2). Men de framhåller att myndighetens löpande kostnader på 5,2 miljoner kronor kommer att uppstå redan under 2018.

Löpande kostnader för tillsynen

Regeringens särskilda utredare (SOU 2017:36) bedömer att de kostnadsdrivande faktorer som påverkar de löpande kostnaderna för den nya tillsynen är antalet leverantörer, frekvens av tillsynen och hur den genomförs (se även kapitel 1). Men vårt empiriska underlag visar att myndigheterna i stor utsträckning inte har tillräcklig information för att göra kvalificerade bedömningar kring dessa faktorer. Myndigheterna har med stöd av sin erfarenhet från annan tillsyn eller andra verksamhetsområden ändå uppskattat kostnaden för den nya tillsynen.

Tabell 11 sammanställer antalet årsarbetskrafter samt kostnaderna för den löpande tillsynen.

Tabell 11 Sammanställning av antal årsarbetskrafter och årliga kostnader för den löpande tillsynen

Vid sidan av själva kostnaderna väljer vi att även redovisa antalet årsarbetskrafter för den löpande tillsynen. Årsarbetskrafterna är den största enskilda kostnadsposten för myndigheterna och är också en kostnad som samtliga myndigheter har redovisat i sina uppskattningar till Statskontoret. Vid sidan av lönekostnaderna innehåller kostnaderna naturligtvis även andra väsentliga utgifter, som resor, it-system och konsulttjänster.

Sammanställningen i tabell 11 visar på relativt stora skillnader i ekonomiska konsekvenser mellan myndigheterna när det gäller de löpande kostnaderna för tillsynen per år, inklusive overheadkostnader.

IVO uppskattar att den nya tillsynen kommer att kosta 19,2 miljoner kronor per år. Därefter följer i tur och ordning Transportstyrelsens 15 miljoner kronor, Livsmedelsverkets 9 miljoner kronor, Energimyndighetens 8 miljoner kronor, PTS 5,2 miljoner kronor och Finansinspektionens 3 miljoner kronor.

Den totala kostnaden för tillsynen

Tabell 12 sammanfattar de ovanstående tabellerna. Den innehåller myndigheternas redovisade uppskattade initiala kostnader och löpande kostnader för den nya tillsynen.

Tabell 12 Sammanställning av initiala kostnader och löpande kostnader för myndigheterna (tkr)

Den sammanlagda initiala kostnaden för de myndigheter som vid tiden för denna utredning kan göra en uppskattning uppgår till 17,2 miljoner kronor. Spännvidden mellan myndigheterna är påfallande. Energimyndigheten uppskattar sina kostnader till 200 000 kronor medan Livsmedelsverket uppskattar sina kostnader till 10 miljoner kronor.

De löpande kostnaderna uppgår sammanlagt till 59,4 miljoner kronor per år med ett medeltal på 9,9 miljoner kronor per myndighet. Det är endast Livsmedelsverket som uppskattar den initiala kostnaden till större än ett års löpande kostnad. Det beror på att Livsmedelsverket planerar för en relativt omfattande investering i ett nytt it-system. Därefter hamnar alltså myndighetens löpande kostnader på 9 miljoner kronor, vilket är något under medeltalet.

Finansinspektionens uppskattning av de ekonomiska konsekvenserna är den lägsta bland myndigheterna. Enligt myndigheten beror den jämförelsevis låga kostnaden på att den nya tillsynen ganska problemfritt kan införlivas i myndighetens nuvarande tillsyn.

Hur tillförlitliga är våra beräkningar?

De ovanstående beräkningarna bygger som sagt på myndigheternas egna uppskattningar av kostnaderna. Området är dessutom ganska komplext och än så länge saknas centrala uppgifter om till exempel antalet tillsynsobjekt. Det finns därför goda skäl att fråga sig hur tillförlitliga de beräkningar vi presenterat i detta kapitel egentligen är.

Uppgifterna är preliminära

Myndigheterna kan vid tiden för vår utredning i bästa fall lämna preliminära uppskattningar av de kostnadsdrivande faktorer som påverkar deras initiala och löpande kostnader. I sämsta fall kan de inte lämna några uppgifter alls. Exempelvis är IVO och Livsmedelsverket de enda myndigheterna som uppskattar samtliga initiala faktorer. Men de saknar, i likhet med andra myndigheter, möjlighet att precisera antal leverantörer som ska tillsynas, tillsynens frekvens och kostnaden per tillsyn. Ett annat exempel är att endast Livsmedelsverket i våra intervjuer uppger vad investeringar i it-system kan innebära för engångskostnaderna.

Ett ytterligare exempel är att majoriteten av myndigheterna inte hade inkluderat overheadkostnader i sina respektive kostnadsberäkningar för årsarbetskraften i ett första skede av vår undersökning. Men samtliga myndigheter har kommit in med kompletterande uppgifter som även inkluderar overheadkostnaderna, efter att ha tagit del av varandras preliminära uppskattningar under faktagranskningen.

En av de viktigaste orsakerna till att uppgifterna endast är preliminära är att myndigheterna ännu inte har fått regeringens formella uppdrag om den föreslagna tillsynen. Därför anser de att de saknar information om vad ett sådant uppdrag kommer att innebära i praktiken. Exempelvis återkommer samtliga myndigheter till det faktum att antalet leverantörer som ska tillsynas inom respektive sektor inte är fastställt.

Det pågår dessutom diskussioner i MSB:s samarbetsforum om vilka delar i tillsynen som kan vara enhetliga över sektorsgränserna. Diskussionen rör exempelvis informationsinsatser, föreskrifter och tillsynsfrekvens. Några myndigheter vill invänta resultatet av denna process innan de gör en mer exakt uppskattning av de initiala kostnaderna.

Uppgifterna vilar på en någorlunda stabil grund

Myndigheternas uppskattningar utgår inte från ett visst antal tillsynsobjekt, tillsynens frekvens eller kostnaden per tillsyn. Majoriteten av myndigheterna saknar möjlighet att göra en bedömning i dessa frågor.

Trots det menar vi att uppgifterna i tabell 12 vilar på en någorlunda god grund. Vi har sammanställt en bruttolista med 29 faktorer som vi bedömer kan påverka kostnaden för den nya tillsynen (se även kapitel 1). Majoriteten av faktorerna nämns i betänkandet (SOU 2017:36) som viktiga för kostnaderna, resterande bygger på olika kostnadsposter som minst en myndighet har nämnt i våra intervjuer och som vi bedömer kan vara viktig för samtliga myndigheter att ta hänsyn till.

Vi bad varje myndighet i slutet av processen att svara om de olika faktorerna ingår i deras uppskattning eller inte samt om faktorn är relevant eller inte för just den myndigheten.

Myndigheterna kunde välja mellan följande svar per faktor:

• Ingår i vår uppskattning
• Ingår ej i vår uppskattning, men är relevant
• Ej relevant

Vi bedömer att ju fler faktorer som myndigheterna indikerar ingår i respektive uppskattning desto tillförlitligare är beräkningen. På motsvarande sätt gäller att ju fler faktorer som myndigheterna indikerar ingår ej, men är relevant, desto osäkrare är beräkningen.

Vi bedömer att svaret ej relevant indikerar att faktorn är onödig eller saknar betydelse för tillsynen för en specifik myndighet och att den därför inte bör ingå i uppskattningen. Statskontorets anser att myndigheterna vet bäst om det förhåller sig på det ena eller andra viset. Vi betraktar således svaret ej relevant som varken positivt eller negativt, utan som neutralt för att bedöma tillförlitligheten i uppskattningarna.

Bedömning av myndigheternas uppskattningar för de initiala kostnaderna

Vi har delat upp faktorerna i två tabeller. Tabell 13 redovisar i vilken grad myndigheterna har beaktat 9 faktorer som påverkar de initiala kostnaderna och tabell 15 redovisar resultatet för de resterande faktorerna som påverkar de löpande kostnaderna.

I enlighet med vår hypotes ovan har vi markerat svar som indikerar att myndigheterna beaktat faktorn i sina respektive uppskattningar (ingår) med grön färg. Svar som indikerar att myndigheterna inte har beaktat faktorn, men borde ha gjort det om det var möjligt (ingår ej, men relevant) har vi markerat med röd färg. Svar som indikerat att en viss faktor saknar relevans för en specifik myndighet (ej relevant) har vi markerat med gul färg.

Tabell 13 Faktorer som påverkar myndigheternas initiala kostnader, och myndigheternas svar om de har beaktat dessa faktorer i sina uppskattningar eller inte (antal grönmarkerade svar inom parantes).

Tabell 13 visar att uppskattningarna från Energimyndighetens och PTS är de mest osäkra när det gäller de initiala kostnaderna. De har markerat fyra respektive tre faktorer som relevanta trots att faktorerna inte ingår i respektive myndighets uppskattning. Resultatet är inte överraskande eftersom de båda myndigheterna, anser att de inte har möjlighet att bedöma den nya tillsynens initiala kostnader. Undantaget är Energimyndighetens bedömning som gäller kompetensutveckling för 200 000 kronor.

Finansinspektionen är den myndighet som har beaktat flest faktorer i sin uppskattning, åtta av nio faktorer. Men myndigheten anser att faktorn Utbildningsinsatser mot leverantörer inte är relevant, vilket ytterligare två myndigheter gör. Vi bedömer att det beror på att faktorn delvis överlappar med faktorn Informationsinsatser mot leverantörer. Eventuellt kan utbildningsinsatser bli aktuella i ett senare skede.

Övriga tre myndigheter, IVO, Transportstyrelsen och Livsmedelsverket, har beaktat en klar majoritet av faktorerna när de har gjort sina respektive kostnadsuppskattningar.

Sammanfattningsvis kan vi konstatera att faktorerna till drygt 70 procent är beaktade av myndigheterna i deras uppskattningar till Statskontoret. Om vi bortser från de svar som indikerar att en specifik myndighet finner en faktor irrelevant, stiger resultatet till 73 procent.

Tabell 14 sammanställer hur stor andel av faktorerna som myndigheterna har beaktat när de har uppskattat sina initiala kostnader. Tabellen visar också resultatet om vi bortser från de neutrala svaren, det vill säga de faktorer som myndigheterna anser vara irrelevanta.

Tabell 14 Andel faktorer som myndigheterna har beaktat i sina uppskattningar av de initiala kostnaderna, i procent.

Bedömning av myndigheternas uppskattningar för de löpande kostnaderna

Tabell 15 redovisar om myndigheterna har beaktat 20 faktorer som påverkar de löpande kostnaderna.

Tabell 15 Faktorer som påverkar myndigheternas kostnader för löpande tillsyn, och myndigheternas svar om de har beaktat dessa faktorer i sina uppskattningar eller inte (antal grönmarkerade svar inom parantes).

Tabell 16 sammanställer hur stor andel av faktorerna som myndigheterna har beaktat när de uppskattat sina löpande kostnader. Tabellen visar också resultatet om vi bortser från de neutrala svaren, det vill säga de faktorer som myndigheterna anser vara irrelevanta.

Tabell 16 Andel faktorer som myndigheterna har beaktat i sina uppskattningar av de löpande kostnaderna, i procent.

Energimyndigheten, Transportstyrelsen och Finansinspektionen har samtliga indikerat att de har beaktat 16 av 20 faktorer, vilket motsvarar 80 procent. PTS, IVO och Livsmedelsverket har beaktat faktorer 14 (70 procent), 13 faktorer (65 procent) respektive 8 faktorer (40 procent). Dessa svar är något osäkra, särskilt när det gäller Livsmedelsverket.

Men om vi avlägsnar de neutrala svaren, ej relevant, från ekvationen blir resultatet bättre. Livsmedelsverkets resultat visar att myndigheten har beaktat 8 av 16 faktorer, alltså 50 procent, medan resultatet för PTS blir 14 av 16, det vill säga 88 procent. IVO:s resultat blir detsamma eftersom myndigheten inte anser att någon faktor är irrelevant.

Även om myndigheterna har svårt att bedöma antalet leverantörer, tillsynsfrekvensen och antalet tillsyner per år har de flesta ändå tagit med dessa faktorer i sina respektive uppskattningar. Vi menar att detta visar att myndigheterna har en föraning, om än begränsad, om hur stort antalet tillsynsobjekt kan bli inom respektive sektor.

Sammanfattningsvis kan vi konstatera att faktorerna som påverkar de löpande kostnaderna är till 69 procent är beaktade av myndigheterna i deras uppskattningar till Statskontoret. Dessutom stiger resultatet till 75 procent om vi bortser från de svar som indikerar att en specifik myndighet finner en faktor irrelevant. Vi anser därför att beräkningarna vilar på en någorlunda stabil grund, även om myndigheternas uppskattningar är preliminära.

Finansieringen av tillsynen

Enligt Tillsynsutredningen (2004:100) är den statliga tillsynen till omkring 60 procent avgiftsfinansierad och till 40 procent anslagsfinansierad. I detta kapitel bedömer vi vilken av de båda finansieringsformerna som är mest lämpligt för den nya tillsynen, genom en jämförande analys.^[68]

Analys av fördelar och nackdelar med avgiftsfinansiering kontra anslagsfinansiering

Regeringen anger i sin skrivelse (Skr. 2009/10:79) att avgiftsfinansiering bör användas i normalfallet för att finansiera tillsynsverksamhet. Regeringen motiverar detta med att tillsynsobjekten står för kostnaden vid en avgiftsfinansiering med full kostnadstäckning. Enligt regeringen tydliggör detta kostnaderna för tillsynsinsatsen, vilket ger tillsynsmyndigheten incitament till att genomföra en kostnadseffektiv tillsyn. Ett annat skäl som regeringen för fram är att skatteuttaget kan begränsas och statsbudgeten därmed avlastas.

Tillsynsutredningen (SOU 2004:100) menar också att det främsta skälet för en avgiftsfinansierad tillsyn är att den inte belastar statsbudgeten. Dessutom kan myndigheterna bedriva mer tillsyn om både avgifts- och skattefinansiering tillämpas, än om enbart skattefinansiering tillämpas. Dessutom kan avgifter från tillsynsobjekten vara det enda sättet att finansiera offentlig tillsyn över en viss verksamhet.^[69]

Enligt Tillsynsutredningen (SOU 2004:100) bör dessutom avgiftsfinansiering alltid tillämpas när den tillsynspliktiga verksamheten inte är ett skattefinansierat samhällsåtagande. Det innebär att avgiftsfinansiering bör förekomma då det går att ta ut avgifter från tillsynsobjekt som huvudsakligen är verksamma utanför den offentliga sektorn.^[70] När det gäller tillsynen enligt NIS-direktivet är det flera sektorer som helt eller delvis inte utgör ett skattefinansierat samhällsåtagande, exempelvis finans, transport och energi. De är i stället sektorer där privata bolag verkar. Detta skulle alltså motivera en avgiftsfinansierad tillsynsmodell.

Det finns alltså goda skäl för ett avgiftsfinansierat system. Trots det visar Statskontorets intervjuer att de särskilda förutsättningar som NIS-direktivet innebär gör att endast Finansinspektionen av de sex föreslagna tillsynsmyndigheterna ställer sig positiv till en avgiftsfinansiering. Finansinspektionen bedömer utsikterna som mycket goda att utgå från myndighetens befintliga tillsynsstrategi och tillsynsprocesser även när det gäller tillsyn som avser NIS-området.

Risk för snedvriden konkurrens

Tre av de föreslagna tillsynsmyndigheterna framhåller i våra intervjuer risken för att snedvrida konkurrensen som ett av de viktigaste argumenten mot en avgiftsfinansierad tillsyn. Detta är också något som både Tillsynsutredningen (SOU 2004:100) och utredningen (SOU 2017:36) om informationssäkerhet för samhällsviktiga och digitala tjänster för fram i sina respektive betänkanden. Enligt Tillsynsutredningen (SOU 2004:100) hämmar avgiftsfinansiering generellt sett alltid näringsverksamhet till viss del. Det beror på att avgifterna innebär kostnader för tillsynsobjekten. Exempelvis kan avgifter som är relativt höga i förhållande till företagens ekonomiska storlek hindra små företag från att vilja etablera sig på en marknad. Om betalningsförmågan bland tillsynsobjekten varierar mycket kan vissa avgiftskonstruktioner också upplevas som orättvisa. Det kan till exempel handla om att samtliga tillsynsobjekt inom samma ”avgiftskollektiv” inte kan identifieras. Detta kan medföra att vissa tillsynsobjekt tvingas betala avgifter medan andra slipper, trots att de borde betala.^[71] Ju fler tillsynsobjekt som identifieras desto lägre avgift behöver tas ut av tillsynsmyndigheten om full kostnadstäckning ska vara huvudprincipen. Enligt regeringens skrivelse bör full kostnadstäckning vara huvudprincipen.^[72]

Regeringens särskilda utredare framhåller i sitt betänkande (SOU 2017:36) att samtliga leverantörer inom de aktuella sektorerna som omfattas av NIS-direktivet inte kommer att bli föremål för tillsyn. Det kan medföra att en avgiftsfinansierad tillsyn kan påverka konkurrensen negativt.^[73]

Detta är något som även flera av de utpekade tillsynsmyndigheterna håller med om. Exempelvis framhåller Energimyndigheten i våra intervjuer att ett system med avgiftsfinansiering blir orättvist på energimarknaderna. Det beror på att myndigheten kanske inte fullt ut lyckas med att hitta den exakta tröskelgränsen för vilka bolag som ska kontrolleras och vilka som inte ska kontrolleras. Det innebär att myndigheten riskerar att missa eller inte hinna med vissa leverantörer, medan andra leverantörer kommer att få högre krav än vad som egentligen är rimligt. Detta beror på att tröskelvärdet aldrig kan bli helt rättvist, utan alltid kommer att innehålla en viss godtycklighet.

Enligt PTS är avgiftsfinansiering olämpligt för både sektorn för digital infrastruktur och sektorn för digitala tjänster. Det beror på att enbart vissa aktörer som konkurrerar på marknaden påverkas av den kommande NIS-lagens skyldigheter, medan andra inte gör det. Det riskerar att snedvrida konkurrensen på marknaden.

I Transportstyrelsens fall kan årsavgiften för varje tillsynsobjekt komma att uppgå till 95 000 kronor för att kunna täcka kostnaderna för tillsynen. Myndigheten bedömer att det kan innebära både en snedvridning av konkurrensen och ett etableringshinder. Transportstyrelsen bedömer att endast 160 leverantörer av 1 000 möjliga företag och organisationer inom de olika transportsektorerna kommer att beröras av den nya tillsynen. Transportstyrelsen ser en påtaglig risk att vissa leverantörer av samhällsviktiga tjänster i transportsektorn som omfattas av NIS-direktivet inte kommer att identifiera sig som direktivet föreskriver. Detta är i sammanhanget särskilt viktigt att ta hänsyn till eftersom Tillsynsutredningen (SOU 2004:100) har understrukit vikten av att avgifterna inte bör motverka syftet med tillsynsverksamheten.^[74]

Men Finansinspektionen ser ingen risk för att tillsynsavgiften kan snedvrida konkurrensen bland tillsynsobjekten, eftersom myndigheten bedömer att avgiften för varje tillsynsobjekt kommer att vara begränsad. Som framgick av avsnit 4.4 består Finansinspektionens tillsynsobjekt av bland annat banker, kreditmarknadsbolag och andra företag med stora tillgångar. De upplever sannolikt inte att en tillsynsavgift är lika betungande för dem som för andra företag inom andra sektorer.

Avgiften riskerar att bli relativt hög för ett fåtal tillsynsobjekt

Fyra myndigheter framhåller i våra intervjuer att avgiften för den nya tillsynen kommer att bli för hög för ett fåtal tillsynsobjekt. Det beror på att avgifterna, ska beräknas så att den långsiktiga självkostnaden täcks, så kallad full kostnadstäckning.^[75] Detta gäller om inte regeringen har föreskrivit något annat. Det innebär att avgifterna ska beräknas så att intäkterna täcker kostnaderna på ett eller flera års sikt. Dessa myndigheter anser att en utökad anslagsram är att föredra framför ett avgiftsfinansierat system, eftersom det alltså finns en överhängande risk för att avgiften kommer att bli hög för ett fåtal objekt. Skulle de faktiska kostnaderna för tillsynen läggas på de leverantörer som kontrolleras blir avgiften alldeles för hög.

Energimyndigheten anser dessutom att det blir svårt att räkna ut vad bolagen som kontrolleras ska betala. Enligt myndigheten innebär regeringens cyberstrategi (Nationell strategi för samhällets informations- och cybersäkerhet) att tillsynsavgiften inte ska bero på storleken på tillsynsobjektet utan snarare på en riskbedömning av hotbilden mot den tjänst som tillsynsobjektet arbetar med. Men hotbilden förändras hela tiden. Om tillsynen ska vara riskbaserad så kommer avgiften att bli för stor för mindre bolag medan större bolag kommer undan billigare om de levererar tjänster som har en lägre hotbild. PTS för fram samma resonemang om riskbaserad tillsyn i våra intervjuer.

I likhet med Energimyndigheten har PTS erfarenhet av avgiftsfinansierad tillsyn som fungerar väl på en marknad med ett stort antal aktiva tillsynsobjekt som avgiften kan fördelas på. Men PTS bedömer att det här är fråga om en marknad med få aktörer och därför anser de att avgiftsfinansiering är olämplig, eftersom kostnaderna då blir stora per aktör. Det riskerar att bidra med incitament för företag att inte etablera sig på den svenska marknaden, utan att kanske hellre söka sig till länder som använder en skattefinansierad tillsyn. Detta är också en risk som regeringens särskilda utredare uppmärksammar i sitt betänkande (SOU 2017:36).

Högre kostnader för administration

Ett annat skäl som talar emot avgiftsfinansiering är att det alltid innebär kostnader hos både tillsynsmyndigheten och tillsynsobjektet för att administrera avgiftssystemet. Administrationen omfattar bland annat arbete med att beräkna storleken på avgifterna, budgetering och uppföljning av intäkter och kostnader, arbete med myndighetsföreskrifter om betalning, information och fakturering.^[76]

IVO bedriver i dag i stort sett inte någon egentlig avgiftsfinansierad tillsyn. De framhåller i våra intervjuer att administrationskostnaderna är ett viktigt argument mot avgifter, eftersom det skulle bli för administrativt kostsamt att bygga upp och driva systemet. I slutändan skulle det leda till negativa effekter hos de verksamheter som ska kontrolleras, menar IVO.

Regeringen anser att avgiftsfinansiering är den finansieringsform som bör användas i normalfallet. Men inom vissa områden kan det, enligt regeringen, vara lämpligt att finansiera tillsynen via skattemedel. Det kan exempelvis vara fallet när kostnaderna för att administrera ett avgiftsuttag bedöms som höga i relation till avgiften i övrigt. Även fördelningspolitiska och effektivitetsmässiga eller andra skäl kan vara grund för att skattefinansiera tillsyn. Detta gäller särskilt när tillsynen avser statligt och kommunalt finansierad verksamhet.

Det finns ytterligare skäl till varför IVO:s tillsyn av skattefinansierad verksamhet inte bör vara avgiftsfinansierad. Enligt Tillsynsutredningen (SOU 2004:100) bör anslagsfinansiering alltid övervägas då den tillsynspliktiga verksamheten är ett skattefinansierat samhällsåtagande, det vill säga när den i huvudsak är avgiftsfri för medborgarna, oavsett om verksamheten bedrivs i offentlig eller privat regi. Tillsynsutredningen (SOU 2004:100) anser att ett införande av tillsynsavgifter på dessa områden endast skulle innebära en omfördelning av offentliga medel. Det innebär att avgifterna i verkligheten inte skulle finansiera tillsynen.

Svårt att bestämma en avgift innan leverantörerna är kända

Utredningen (SOU 2017:36) om informationssäkerhet för samhällsviktiga och digitala tjänster påpekar också att det är svårt att bedöma omfattningen av den kommande tillsynen. Verksamheterna inom de berörda sektorerna skiljer sig åt, liksom komplexiteten i olika nätverk och informationssystem. Utredningen (SOU 2017:36) noterar även att teknisk utveckling och digitalisering kan påverka tillsynens omfattning och innehåll.^[77]

Transportstyrelsen anser dessutom att det är svårt att tillämpa en avgiftsfinansiering av tillsyn i en verksamhet med två stora osäkerhetsfaktorer. Dels är antalet tillsynsobjekt inte helt fastställt, dels är uppskattningen av kostnaden per tillsyn osäker. Enligt myndigheten kommer dessa faktorer sannolikt att generera ett myndighetsinternt överskott eller underskott i finansieringen av tillsynen. Enligt avgiftsförordningen (1992:191) ska detta underskott respektive överskott balanseras efter räkenskapsårets slut, om det ekonomiska målet är full kostnadstäckning. Detta innebär att nytillkommande tillsynsobjekt kan få betala för tidigare års underskott, enligt Transportstyrelsen.

Svårt att påvisa en motprestation

Både ESV och regeringens särskilda utredare (SOU 2017:36) anser att valet av ett avgiftsfinansierat system för tillsyn förutsätter att principen om en motprestation från tillsynsmyndighetens sida ska gälla.^[78], Detta följer av att det är rimligt att leverantörerna förväntar sig att den avgift de betalar går att koppla till den tillsyn som genomförs. Om tillsynsobjekten upplever att de betalar för en tillsyn som antingen inte genomförs eller i så ringa omfattning att de uppfattar tillsynen som meningslös kan det urholka legitimiteten för tillsynsverksamheten. Vikten av en tydlig motprestation för avgiften är något också tillsynsmyndigheterna själva understryker. Exempelvis Livsmedelsverket påpekar att en tydlig koppling mellan debitering och prestation bidrar till att kontrollen uppfattas som kompetent och oberoende.

Finansinspektionen tar ut årliga avgifter från företag och personer som står under deras tillsyn. De argumenterar att en eventuell avgiftshöjning med anledning av tillsyn enligt NIS-direktivet kommer att motsvaras av en ökad arbetsinsats. Mot bakgrund av att omfattningen på myndighetens tillsyn i stora delar styrs av riskklassificering blir motprestationen, om myndigheten skulle genomföra den nya tillsynen efter samma modell, inte särskilt transparent. Detta eftersom en ökad arbetsinsats i form av till exempel fler tillsyner inte nödvändigtvis behöver omfatta alla aktörer i avgiftskollektivet, utan enbart sådana som klassificeras utgöra en risk utifrån sin betydelse i det finansiella systemet. De aktörer som myndigheten bedömer att de inte utgör någon större risk kommer inte att kontrolleras i lika stor utsträckning. De kan då uppleva att de betalar för något som de inte får.

Även Transportstyrelsen och IVO har svårt att relatera avgiftens skälighet för den nya tillsynen till en tydlig motprestation.

Statskontorets förslag

• Statskontoret föreslår att tillsynen enligt NIS-direktivet ska anslagsfinansieras.

Statskontoret bedömer att det finns goda skäl som talar för både avgiftsfinansierad och anslagsfinansierad tillsyn. Men vår analys visar att nackdelarna med en avgiftsfinansierad tillsyn överväger fördelarna för fem av de sex aktuella myndigheterna. Finansinspektionen kan på ett relativt enkelt sätt utvidga sin nuvarande tillsyn till att även omfatta tillsynen enligt NIS-direktivet och fortsätta med nuvarande avgiftssystem.

De huvudsakliga skälen för vår bedömning

Det är framför allt fyra skäl som talar emot att tillsynsobjekten ska betala en avgift för tillsynen. Dessa är

• risken för konkurrenssnedvridande effekter
• de jämförelsevis högre administrationskostnaderna hos tillsynsmyndigheterna
• svårigheterna med att få utforma tillsynen på ett enhetligt sätt över sektorerna
• svårigheterna med att visa på en tydlig motprestation som kan motivera avgiften.

Ett avgiftsfinansierat system för tillsyn enligt NIS-direktivet riskerar att snedvrida konkurrensen inom framför allt sektorerna digital infrastruktur, transporter och energi – sektorer som helt eller delvis inte utgörs av skattefinansierade samhällsåtaganden. Eftersom de löpande kostnaderna för tillsynsmyndigheterna kommer att fördelas på tillsynsobjekten, enligt principen om full kostnadstäckning, kan det medföra att vissa tillsynsobjekt tvingas betala relativt höga avgifter medan andra slipper, trots att de borde betala. Skälet till det är att samtliga tillsynsobjekt inom samma ”avgiftskollektiv” riskerar att inte identifieras inom ramen för tillsynen enligt NIS-direktivet. Exempelvis bedömer PTS att kostnaderna per tillsynsobjekt på en liten marknad som digital infrastruktur och digitala tjänster kan innebära att företag inte kommer att etablera sig på den svenska marknaden. I stället kan de välja länder som använder en skattefinansierad tillsyn. Även Energimyndigheten och Transportstyrelsen resonerar på ett liknande sätt (se ovan).

Risken med konkurrenssnedvridande effekter behöver analyseras noga. Detta lyfts särskilt fram i utredningen (SOU 2017:36) om informationssäkerhet för samhällsviktiga och digitala tjänster, samt i en av Statskontorets tidigare rapporter.^[79] Med det är inte endast de tillsynsmyndigheter som agerar inom näringslivssektorer som anser att kostnaderna per tillsynsobjekt skulle bli oskäligt höga. Även Livsmedelsverket framhåller i våra intervjuer att avgiften för tillsynen kommer att bli för hög för de kommuner som blir aktuella för tillsyn enligt NIS-direktivet.

Ett annat skäl talar emot avgiftsfinansiering av den nya tillsynen, enligt vår bedömning. Det är att ett sådant system generellt sett kostar mer i form av administrationskostnader än om tillsynen finansieras via statsbudgeten. Förutom kostnader för fakturering och annan administration kan systemet ibland också medföra kostnader för information till företagen om avgifterna eller om betalning. Avgiftssystemet måste också fortlöpande underhållas och anpassas till nya omvärldsfaktorer. Flera av de föreslagna tillsynsmyndigheterna måste också bygga upp nya administrativa rutiner för den nya tillsynen. Därför bedömer särskilt IVO, som i dag har en mycket begränsad erfarenhet av avgiftsfinansierad tillsyn, att kostnaderna kommer att överstiga nyttan med avgifterna. Under den period när myndigheterna bygger upp sin kapacitet att genomföra den nya tillsynen bör de inte belastas med att bygga upp och administrera ett avgiftssystem, enligt Statskontoret. Detta är något som också regeringens särskilda utredare förordar.^[80] Utredningen föreslår att en ny utredning kan bedöma möjligheten att införa ett system med tillsynsavgifter efter att leverantörerna som ska tillsynas har identifierats.

Ett ytterligare skäl för Statskontorets bedömning är att ett avgiftsfinansierat system kan försvåra en enhetlig utformning av tillsynen över sektorerna. Detta gäller under förutsättning att målet för avgiftsuttaget är full kostnadstäckning, vilket enligt regeringens skrivelse bör vara huvudprincipen.^[81] Vi menar att en gemensam tillsynsmodell skulle underlätta för myndigheterna att kontinuerligt utbyta erfarenheter och att lära av varandra. Det skulle i hög grad gynna de tillsmyndigheter, i synnerhet IVO och Livsmedelsverket, som i dag inte genomför någon tillsyn inom de områden de är föreslagna att göra. En enhetlig tillsyn kan även bidra till att främja den nya tillsynens legitimitet bland tillsynsobjekten, eftersom samtliga aktörer blir föremål för samma form av tillsyn.

Visserligen skulle också ett system med avgifter kunna utformas så att tillsynen blir lika över landet. Men vi bedömer, i linje med Tillsynsutredningen (SOU 2004:100), att ett anslagsfinansierat system för tillsyn erbjuder jämförelsevis bättre förutsättningar att skapa en tillsyn som är enhetlig för hela landet. Vi menar att myndigheterna inom ramen för MSB:s samarbetsforum har större möjligheter att utforma en gemensam modell för tillsyn utan att de samtidigt behöver komma överens om en gemensam nivå på avgifterna. Det kan ta tid innan samtliga myndigheter har lika stora kostnader för tillsynen. Så länge samtliga myndigheterna inte har samma kostnader för tillsynen kan de inte heller harmonisera storleken på avgifterna, om full kostnadstäckning är målet. Tillsynsobjekten skulle kunna uppleva systemet som orättvist om tillsynen utförs på samma sätt över sektorerna samtidigt som avgifterna skiljer sig åt. Detta skulle då kunna skada tillsynens legitimitet. Anslagsfinansiering minimerar också risken för att tillsynen skulle styras av ekonomiska hänsyn som inte har med tillsynens syfte att göra.^[82]

Om målet med avgiftsuttaget inte är full kostnadstäckning går det naturligtvis lättare att utforma en enhetlig tillsynsmodell över sektorerna utan att avgiften behöver vara olika mellan sektorerna. Då blir de myndigheter som har större kostnader kompenserade av staten för de utgifter som avgifterna inte täcker.

Vi bedömer att principen om att sambandet mellan avgift och motprestation bör beaktas vid avgiftsfinansiering kan bli problematiskt ur vissa aspekter. Ett exempel är att tillsynsmyndigheter som Finansinspektionen, IVO och Transportstyrelsen påpekar att det kommer att saknas en tydlig motprestation som på ett självklart sätt kan motivera den avgift som de skulle ta ut.

Möjligtvis går det att argumentera för en kollektiv motprestation, där samtliga aktörer som ingår i avgiftskollektivet i längden tjänar på att it-säkerheten höjs och att systemen blir mer robusta. Detta förutsätter i sådana fall att samtliga aktörer inom det givna kollektivet ska kontrolleras. Men tillsyn enligt NIS-direktivet innebär enligt de flesta tillsynsmyndigheterna att det inom många sektorer bara är ett fåtal aktörer som berörs av de nya bestämmelserna. Därmed är det svårt att argumentera för detta.

Utformningen av en avgiftsfinansierad tillsyn

Statskontoret bedömer att tillsynen enligt NIS-direktivet inte ska avgiftsfinansieras (se även kapitel 5). Men i vårt uppdrag ingår även att föreslå hur en avgiftsfinansiering skulle kunna utformas för varje sektor i NIS-direktivet, oavsett denna bedömning.

Enhetlighet över sektorerna

I kapitel 5 framhåller vi vikten av en gemensam utformning av tillsynen för att underlätta att myndigheterna kontinuerligt utbyter erfarenheter och för att underlätta lärandet inom MSB:s samarbetsforum. Detta skulle särskilt gynna IVO och Livsmedelsverket som för närvarande inte genomför någon tillsyn inom de områden de är föreslagna att utöva tillsyn över.

Även ESV stödjer en enhetlig utformning av avgiftsfinansiering i sin rapport Finansiering av tillsyn. Enligt ESV bör operativ tillsyn som omfattar flera närliggande områden ta ut avgifter på ett liknande sätt i varje tillsynsområde. Avgifterna bör därför göras enhetliga för att skapa större förståelse för den som betalar avgiften.^[83]

Det finns skillnader mellan de sektorer som omfattas av den nya tillsynen, och tillsynen är inte heller en exakt parallell till ESV:s resonemang. Men vi menar ändå att en avgiftsfinansierad tillsyn enligt NIS-direktivet bör upplevas på samma sätt för den enskilda betalaren oavsett vilken sektor som betalaren tillhör. Detta skulle öka legitimiteten för den nya tillsynen.

Vi argumenterar för att avgiftens storlek över sektorerna bör vara enhetlig om det blir aktuellt att finansiera tillsynen med avgifter (se kapitel 5). Men vi anser inte att storleken behöver vara enhetlig från början. Kostnaderna för den nya tillsynen kommer att bli olika för myndigheterna (se även kapitel 4). Vi anser att avgifterna inom varje sektor bör anpassas efter respektive tillsynsmyndighets kostnader enligt principen om full kostnadstäckning. Men det finns också anledning för de föreslagna tillsynsmyndigheterna att sträva efter att närma sig varandra i avgiftsuttag. Målet bör vara att på längre sikt harmoniera avgifterna i så hög utsträckning som möjligt. Det kan ske genom att myndigheterna lär av varandra för att göra tillsynen så lika som möjligt över sektorerna när det gäller exempelvis frekvens och genomförande. Vi menar att detta ytterligare skulle främja den nya tillsynens legitimitet och effektivitet ur betalarnas perspektiv.

En administrativt enkel och effektiv avgiftskonstruktion

Enligt ESV bör avgiftsfinansieringens konstruktion bland annat inte vara för komplicerad och inte heller kräva stora kostnader att administrera.^[84] Den bör dessutom gärna vara förutsebar över tiden för att underlätta tillsynsobjektens planering. Den bör alltså vara förenad med låga kostnader för administration samt vara enkel och lättbegriplig så att det går att undvika resurskrävande diskussioner om tolkningen av avgiftsuttagen. Dessutom har avgiftskonstruktionen betydelse för att minimera snedvridningen av konkurrensen mellan tillsynsobjekten om det rör sig om företag.

I det följande kommer vi att redogöra för om avgiften bör

• vara rörlig eller fast
• betalas i efterhand eller på förhand.

Vårt förslag utgår från att full kostnadstäckning är det ekonomiska målet med avgiften, vilket regeringen i sin skrivelse anser vara huvudprincipen för ett avgiftssystem.^[85] Men enligt ESV kan det finnas skäl för regeringen att bestämma ett annat ekonomiskt mål om det skulle vara effektivare. Det beror på att syftet med tillsynsverksamheten bör vara överordnat det ekonomiska målet. Ett lägre pris kan då subventioneras med anslag.^[86] Trots det har vi valt att i möjligaste mån utgå från att tillsynsavgiften har full kostnadstäckning som mål.

Bör avgiften vara rörlig eller fast?

En viktig fråga är hur avgiften ska beräknas för varje tillsynsobjekt inom respektive sektor. ESV ger tre exempel på olika typer av avgiftskonstruktioner som kan tillämpas.^[87]

• Rörlig avgift, till exempel X procent av företagets omsättning
• Tidtaxa, till exempel Y kronor per timme
• Fast avgift, till exempel Z kronor per år

Rörlig avgift är ett komplicerat alternativ

Enligt utredningen Statlig tillsyn – Granskning på medborgarnas uppdrag (2002:14) är det vanligt med en årlig och fast avgift från samtliga tillsynsobjekt. Denna avgift kan i sin tur vara anpassad till verksamhetens omfattning, tillsynsobjektets storlek eller på något annat sätt.^[88]

Inom andra tillsynsområden förekommer även enbart rörliga avgifter. Denna avgiftsform verkar vara särskilt vanlig inom områden med ett relativt stort antal tillsynsobjekt och där myndigheternas tillsyn är regelbundna. Avgifternas storlek beräknas då i princip utifrån tillsynsmyndighetens egna kostnader.^[89]

Statskontorets analys visar att någon typ av rörlig avgift är den vanligaste avgiftskonstruktionen bland de föreslagna tillsynsmyndigheterna. Tillsynen eller kontrollerna görs på basis av företagens betalningsförmåga, exempelvis efter omsättning eller storlek.

Vi vill även framhålla att flera av de föreslagna myndigheterna genomför tillsyn där de bedömer att de största riskerna finns, och där tillsyn och kontroll förväntas ge störst effekt. En sådan klassificering efter risk baseras på strukturella förhållanden som företagens storlek och komplexitet. Ett exempel är inom Finansinspektionens nuvarande tillsynsområden.

Med andra ord handlar det inte om risk i meningen sannolikhet för negativa händelser. Det handlar i stället i första hand om vilka konsekvenserna skulle bli för system, marknader och konsumenter om ett visst företag eller grupp av företag drabbades av allvarliga problem.

Det medför att särskilt riskfyllda verksamheter inom en sektor får betala mer än mindre riskfyllda verksamheter inom samma sektor. Eventuellt kan det innebära att mindre företag, med hög riskfaktor, får betala en hög avgift medan större företag, med en mindre riskfaktor, får betala en mindre avgift.

En sådan avgiftskonstruktion skulle innebära att de föreslagna tillsynsmyndigheterna måste genomföra en riskbedömning av de identifierade leverantörerna av samhällsviktiga tjänster inom respektive sektor. Dessutom behöver denna klassificering efter risk sannolikt uppdateras kontinuerligt, vilket gör det administrativa systemet mindre effektivt. Statskontoret menar därför att nackdelarna med en rörlig avgift, baserad på företagens storlek eller risk, överväger fördelarna för tillsyn enligt NIS-direktivet.

Tidtaxa riskerar att leda till fel förväntningar hos tillsynsobjekten

Statskontoret har tidigare utrett utformningen av avgiftsfinansiering inom livsmedelskontrollen. I den utredningen framhåller Statskontoret att kvantitativa och tidsangivna mål riskerar att skapa fel incitament när myndigheter planerar och genomför tillsyn. Ett system som mäter tillsyn i antal timmar leder lätt till fel förväntningar hos tillsynsobjekten. Hellre än att se till tillsynsresultatet kan objekten komma att intressera sig mer för att få den mängd kontroll som de betalar för.

För den enskilde företagaren är ett besök på anläggningen ofta den mest påtagliga delen av tillsynen. Men insatser i form av för- och efterarbete är en förutsättning för besöken, och är därför också en viktig del av tillsynen. Det gäller till exempel planering och förberedelse inför besök, samråd med andra myndigheter om anläggningen, dokumentation och beslut. Men dessa insatser är inte lika påtagliga för företagaren, även om kostnaderna för dem också ska täckas av de avgifter företagaren betalar. Därmed ingår de också i tillsynstiden.

Statskontorets slutsats i rapporten om livsmedelskontroller är att initiativ för att utveckla och effektivisera tillsynen inte uppmuntras med ett system som mäter i timmar. I stället bör tillsynen fokusera på antalet besök, eftersom det ger större utrymme att anpassa arbetstiden efter behovet av tillsyn. Detta är också något som de flesta av de föreslagna tillsynsmyndigheterna föredrar.

Men för några myndigheter kan det finnas goda skäl att anpassa avgiftskonstruktionen efter myndighetens nuvarande avgiftssystem, om det ur ett kostnads- och administrativt hänseende är mer effektivt. Det gäller framför allt Livsmedelsverket och Transportstyrelsen. De anser att avgifter bör beräknas efter nerlagd tid, det vill säga antal timmar som används för tillsynen, och inte baseras på det antal tillsyner som utförs. Exempelvis anser Livsmedelsverket att tillsynen bör utgå från redan befintliga standardiserade kontrolltider.

För Transportstyrelsen är tidsredovisningen grunden för de nuvarande avgifterna. De anser att avgiften för NIS-tillsynen bör beräknas utifrån ett antagande om den totala kostnaden för tillsynen. Avgiften beräknas då efter antalet timmar per tillsyn samt tillsynens frekvens.

Men vi bedömer, i enlighet med Statskontorets tidigare slutsatser, att avgiftssystemet inte bör vara baserat på antal tillsynstimmar. I stället menar vi att avgiftskonstruktionens legitimitet hos betalarna och den administrativa enkelheten för tillsynsmyndigheterna främjas av att avgiften baseras på antalet tillsynstillfällen samt på de övriga kostnaderna för tillsynen, som förberedelse och efterarbete. Vi anser även att det finns fler fördelar än nackdelar av att konstruktionen är enhetlig över sektorerna (se ovan).

Fast avgift är förutsebar och effektiv

Begreppet rättvisa både upplevs och beskrivs på olika sätt. Men vi bör ändå eftersträva en avgiftskonstruktion som betalarna så långt det är möjligt upplever som åtminstone rimligt rättvis och legitim.

En fast avgift som är lika stor för samtliga tillsynsobjekt kan upplevas som orättvis mot exempelvis de mindre företagen. Samtidigt kan mindre företag utgöra en större informationssäkerhetsrisk än ett större företag.

Statskontoret anser att tillsynssystemets förutsebarhet och administrativa effektivitet väger tungt. En rörlig avgift riskerar att i ett inledande skede bli en onödig börda för tillsynsmyndigheterna att bygga upp och administrera. Flera tillsynsmyndigheter framhåller också betydelsen av att systemet till en början är så enkelt som möjligt. Det beror på att tillsynsverksamheten i sig är ny samt att tillsynsobjekten kan vara ovana att bli kontrollerade och ovana att lämna de nödvändiga uppgifterna till myndigheter. Uppgifter om företagsstorlek och omsättning är uppgifter som också varierar år från år och det riskerar att belasta både tillsynsmyndigheterna och tillsynsobjekten att införskaffa dessa uppgifter.

Konsekvensen av en fast avgift kan alltså bli att mindre företag får betala lika mycket som ett stort företag. Exempelvis uppskattar Transportstyrelsen kostnaden per tillsynsobjekt till nästan 95 000 kronor, vilket kan upplevas som en hög summa av ett mindre företag. Om tillsynsobjekten i stället skulle betala en rörlig avgift baserad på deras omsättning skulle företagen betala efter bärkraft. Men Statskontoret anser att det är upp till regeringen att bedöma om full kostnadstäckning ska vara det ekonomiska målet för tillsynen. Om målet inte är full kostnadstäckning, kan myndigheterna ta ut en lägre avgift av tillsynsobjekten och därefter bli kompenserade av staten för de kostnader som avgiften inte täcker.

Ska avgiften betalas i efterhand eller på förhand?

Statskontoret framhåller i rapporten om livsmedelskontroller att förhandsbetalning fungerar dåligt som system.^[90] Till exempel skapar modellen en del pedagogiska problem gentemot den enskilda livsmedelsföretagaren. Det beror på att tillsynen ibland utförs under senare delen av året och andra gånger först nästkommande år eller ett par år därefter. På samma sätt kan det också uppstå problem om den beräknade tiden inte stämmer överens med den som tillsynsmyndigheten faktiskt använder, eller om tillsynen helt uteblir.^[91]

Betalning i efterhand främjar upplevelsen av motprestation

I rapporten framgår det att branschorganisationerna som företräder livsmedelsföretagen är särskilt kritiska till förhandsbetalning. De menar att överenstämmelsen mellan avgift och motprestation förbättras om företagen betalar i efterhand. Förtroendet för kontrollen vilar bland annat på att den avgift som branschen betalar svarar mot kostnaderna för kontrollen. Branschorganisationerna menar också att betalning i efterhand kan ge starkare incitament för tillsynsmyndigheterna att genomföra kontrollerna, i detta fall kommunerna. Branschen ser även en pedagogisk vinst i efterhandsbetalning, eftersom en avgift på förhand för en kontroll som ännu inte har utförts kan skapa förvirring.^[92]

Statskontoret understryker i rapporten även att det finns en reell risk att undergräva tilltron till avgiftssystemet för livsmedelskontrollen och i förlängningen legitimiteten för tillsynsverksamheten. Detta gäller särskilt om företagare tvingas betala för kontroll som utförs långt senare, eller till och med uteblir i vissa fall.

Våra intervjuer med de föreslagna tillsynsmyndigheterna visar att det råder delade meningar bland de som anser att denna fråga är viktig. Livsmedelsverket och Finansinspektionen anser att efterhandsdebitering är att föredra. De anser att kopplingen mellan debitering och utförd prestation måste vara tydlig för att kontrollen ska uppfattas som kompetent och oberoende. Transportstyrelsen anser däremot att fakturering bör ske genom förskottsbetalning. Fakturering i efterskott är inte lämpligt eftersom myndigheten inte kan efterfakturera tillsynen efter räkenskapsårets slut.

Men vi bedömer att de skäl som talar för efterhandsbetalning väger tyngre än fördelarna med förhandsbetalning. Eventuella problem med efterhandsbetalningar på grund av budget- eller redovisningstekniska skäl bör lösas på respektive myndighet.

Men det kan däremot bli svårt att vid varje tillfälle koppla en årsavgift till en genomförd tillsyn. Exempelvis kan en eller flera föreslagna tillsynsmyndigheter välja att genomföra sina kontroller enligt en tvåårs-cykel eller en treårs-cykel. Det enskilda tillsynsobjektet kan då få betala en årsavgift trots att ingen tillsyn har blivit gjord just det året. Vi menar att tillsynsmyndigheterna bör vara tydliga med konsekvenserna av en årlig och fast avgift för att undvika missförstånd och upprätthålla legitimiteten i systemet.

Betalningen bör ske genom en årsavgift

Tillsynsmyndigheterna vill helst att tillsynen betalas en gång om året och att den då inkluderar hela tillsynsverksamheten. Exempelvis menar IVO att årsavgifter är det billigaste alternativet att administrera. Transportstyrelsen förespråkar också en årlig avgift och framhåller att branschföreträdare har påtalat vikten av förutsebarhet och stabilitet när det gäller avgifter, vilket en årsavgift ger.

Statskontoret anser att en årsavgift främjar principerna om förutsebarhet och administrativ enkelhet.

Tillsynsmyndigheterna bör inte få besluta om avgifternas storlek eller disponera intäkterna

Kapitel 3 redogör för fyra huvudmodeller för myndigheternas ansvar och bemyndiganden när det gäller tillsynsutgifterna. Statskontoret anser att den första modellen bäst främjar en tillsyn som är enhetlig samt effektiv och enkel ur ett administrativt perspektiv. I den modellen får tillsynsmyndigheten inte besluta om avgiftens storlek och inte heller disponera intäkterna.

I vår intervju med representanter för ESV framgår det att myndigheten inte anser att tillsynsavgifter bör disponeras av myndigheter. Huvudprincipen är i stället att statens inkomster och utgifter ska redovisas brutto på inkomsttitlar och anslag. För att frångå den principen krävs att riksdagen har fattat beslut om detta. Om riksdagen eller regeringen fattar beslut om avgifternas storlek så kan risken minska för att avgifterna blir ifrågasatta av tillsynsobjekten.

Livsmedelsverket och i viss mån PTS är de enda myndigheterna som i nuvarande system både beslutar och disponerar tillsynsavgifterna (se figur 2 i kapitel 3). De övriga fyra myndigheterna disponerar inte intäkterna för sin nuvarande tillsyn. Transportstyrelsen får visserligen besluta över avgifternas storlek, men disponerar inte intäkterna. Energimyndigheten, Finansinspektionen och IVO varken beslutar över avgifternas storlek eller disponerar intäkterna. Därför kan de använda sin nuvarande modell även för den nya tillsynen.

Framtida översyn av avgiftssystemet

Vi vill framhålla att förutsättningarna mellan de enskilda tillsynsmyndigheterna varierar mycket. Det innebär att det kan vara ändamålsenligt med en viss anpassning efter varje sektors och tillsynsmyndighets förutsättningar. Vi anser därför att det avgiftssystem som vi föreslår kan behöva revideras om några år, när tillsynsobjekten inom respektive sektor har identifierats och de enskilda tillsynsmyndigheternas rutiner och metoder har kommit på plats. Vi menar att det därefter är rimligt att diskutera om avgiftssystemet i det enskilda fallet bör bygga på en rörlig avgift i stället för en fast avgift eller om avgiften ska vara riskbaserad eller inte. Inom ramen för samarbetsforumet bör därför MSB ta initiativ till en översyn av avgiftssystemet inom tre år.

Statskontorets förslag

Statskontoret anser att tillsynen inte bör finansieras med avgifter. Men om regeringen ändå väljer att införa avgifter för tillsynen föreslår Statskontoret

• att regeringen ger ett särskilt uppdrag till tillsynsmyndigheterna att utforma sin avgiftsfinansiering så enhetligt som möjligt över sektorerna, med undantag för avgiftens storlek.
• att regeringen bör införa en avgiftskonstruktion som består av en fast årlig avgift vars storlek är densamma för samtliga tillsynsobjekt inom respektive sektor.
• att MSB inom ramen för myndighetens samarbetsforum verkar för att de föreslagna tillsynsmyndigheterna på sikt harmoniserar sin tillsyn när det gäller exempelvis frekvens och genomförande.
• att MSB rapporterar till regeringen om vilken grad av enhetlighet i tillsynsavgifternas storlek som MSB och tillsynsmyndigheterna anser är möjlig att uppnå och vid vilken tidpunkt.
• att tillsynsmyndigheten inte får besluta om avgiftens storlek och inte heller disponera intäkterna.
• att utformningen av avgiftsfinansiering tas upp till förnyad diskussion i MSB:s samarbetsforum inom tre år för att kunna ta hänsyn till de enskilda sektorernas och tillsynsmyndigheternas förutsättningar i utformningen av avgiftskonstruktionen. I samband med detta bör MSB och myndigheterna väga fördelarna och nackdelarna med en sådan anpassning mot att i stället behålla eller öka enhetligheten av tillsynen över sektorerna (se övriga förslag).

Statskontorets övergripande synpunkter inför det fortsatta arbetet

I detta kapitel diskuterar vi några övergripande frågor som är viktiga att ta hänsyn till i det fortsatta arbetet med den nya tillsynen.

Det är möjligt att uppskatta de ekonomiska konsekvenserna mer exakt när tillsynsobjekten är kända

De föreslagna tillsynsmyndigheterna framhåller att de inte kan precisera hur mycket resurser i form av exempelvis årsarbetskrafter och investeringar i it-system som den nya tillsynen kommer att kräva. De har inte fått något formellt uppdrag från regeringen att genomföra tillsynen och för de flesta innebär NIS-direktivet ett nytt tillsynsområde. Men vi menar att de beräkningar som vi presenterar i kapitel 4 ändå är en förhållandevis kvalificerad uppskattning av respektive myndighets kostnader.

Den faktor som utredningen (SOU 2017:36) och de föreslagna tillsynsmyndigheterna anser vara den viktigaste för att kunna precisera kostnaderna är antalet objekt som ska tillsynas, alltså leverantörer av samhällsviktiga tjänster. Enligt den lagrådsremiss som överlämnades till lagrådet den 15 februari 2018, ska dessa leverantörer utan dröjsmål anmäla sig till respektive tillsynsmyndighet. Detta förutsätter naturligtvis att de berörda leverantörerna får relevant information inom rimlig tid för att kunna ta ställning till om de omfattas av det nya regelverket eller inte. Därför kommer MSB att arbeta med riktad information för att leverantörerna ska få vetskap om lagen och de krav som följer av den, även om det blir svårt att nå alla. MSB bedömer att en komplett lista över leverantörer kommer att vara klar först under 2019 (se även kapitel 1).

Statskontoret anser att MSB inom ramen för samarbetsforumet, och med stöd från myndigheterna, kan göra en mer exakt beräkning av de framtida kostnaderna för tillsynen när tillsynsobjekten är kända.

MSB:s samarbetsforum är viktigt inför fortsättningen

Statskontoret anser att de diskussioner som pågår mellan de föreslagna tillsynsmyndigheterna i MSB:s samarbetsforum är av central betydelse för att den nya tillsynen ska kunna genomföras på ett så effektivt sätt som möjligt. Vi bedömer att det utbyte av kunskap och erfarenheter mellan myndigheterna som sker i forumet är av särskild betydelse för IVO och Livsmedelsverket. Dessa två myndigheter föreslås få tillsyn över för dem nya områden.

I kapitel 6 visar vi att förutsättningarna mellan de enskilda tillsynsmyndigheterna varierar mycket. Detta innebär att MSB bör initiera en diskussion inom ramen för samarbetsforumet om avgiftssystemet på sikt bör konstrueras utifrån de omständigheter som råder i varje enskilt fall. Vi menar att det kan vara relevant att föra en diskussion om ett avgiftssystem inom en specifik sektor exempelvis bör vara baserad på rörlig avgift, bestämmas av den enskilda tillsynsmyndigheten, baseras på risk etcetera. Denna diskussion ka föras när tillsynsobjekten inom respektive sektor har identifierats och övriga rutiner och metoder har kommit på plats

Det är därför angeläget, enligt Statskontoret, att MSB och myndigheterna även i fortsättningen upprätthåller samarbetet på samma nivå som vid tidpunkten för denna rapport.

Dialogen mellan tillsynsmyndigheterna och tillsynsobjekten främjar förankring och legitimitet

Vi anser att dialogen om utformning av tillsynen inte bör begränsas till MSB:s samarbetsforum. Vi menar att det kan finnas stora vinster i att tillsynsmyndigheterna tar initiativ till dialog med branschorganisationer som representerar tillsynsobjekten inom respektive sektor. Det innebär att branschorganisationerna bör få möjlighet att lämna synpunkter på utformningen av avgiftssystemet, om ett sådant ska införas.

Vi tror att en förankring hos berörda branscher främjar förutsättningarna för att branschen ska uppfatta utformningen av en eventuell avgiftsfinansiering som rimlig, rättvis och legitim. Enligt ESV kan en förankring hos berörda branscher även minska risken för överklaganden av avgifter, och även risken för resurskrävande diskussioner om finansieringen.^[93] Statskontoret framhåller också i en tidigare rapport betydelsen av att de principer som ligger till grund för avgiftssättningen ska uppfattas som rimliga och tillämpas av tillsynsmyndigheterna.^[94]

Uppföljning av prestationer och kostnader

MSB bedömer att det sannolikt kommer att dröja till 2019 innan samtliga leverantörer som ska tillsynas är identifierade. Men även efter det att antalet leverantörer blivit känt, bedömer vi att det kommer gå ytterligare en tid innan tillsynsmyndigheterna har etablerat en fungerande organisation för den nya tillsynen och verksamheten löper på regelbundet. Det kommer således ta några år innan det går att beräkna de exakta kostnaderna för respektive tillsynsmyndighet.

Statskontoret anser att regeringen bör ställa krav på att myndigheterna åtminstone för de kommande åren ska redovisa tillsynsverksamhetens kostnader och prestationer, det vill säga framförallt antalet utförda tillsyner. En sådan redovisning ger regeringen möjlighet att justera resurserna om de väljer att finansiera tillsynen med anslag. Om tillsynen ska avgiftsfinansieras fyller redovisningen också ett syfte genom att den ökar sannolikheten för att myndigheterna tar ut rätt avgift, det vill säga att den varken blir för hög eller för låg i förhållande till vilka resurser den kräver. Redovisningen kan också bidra till att effektivisera tillsynen genom att myndigheternas kostnader och prestationer i viss mån kan jämföras med varandra. Därtill kan redovisningen minska riskerna för att verksamheten korssubventioneras genom andra anslag eller avgifter.

Referenser

Avgiftsförordning (1992:191).

Energimyndigheten (Diarienr 2017–6954): Underlag till kartläggning av existerande tillsynsverksamhet – inför implementationen av NIS-direktivet. Analysavdelningen, Enheten för trygg energiförsörjning 2017-11-17.

Ekonomistyrningsverket (ESV 2014:52): Sätt rätt pris! Prissättning och kalkylering för statliga myndigheter.

Ekonomistyrningsverket (ESV 2004:16): Finansiering av tillsyn – rapport till Tillsynsutredningen.

Finansinspektionen; Avgifter hos Finansinspektionen, september 2017.

Förordning (2014:520) med instruktion för Statens energimyndighet.

Förordning (2009:93) med instruktion för Finansinspektionen.

Förordning (2013:176) med instruktion för Inspektionen för vård och omsorg.

Förordning (2009:1426) med instruktion för Livsmedelsverket.

Förordning (2007:951) med instruktion för Post- och telestyrelsen

Förordning (2008:1300) med instruktion för Transportstyrelsen.

Livsmedelsverkets hemsida: https://kontrollwiki.livsmedelsverket.se/artikel/89/finansiering-av-offentlig-livsmedelskontroll

MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Myndigheten för samhällsskydd och beredskap (MSB dnr 2015:5690): Inriktning för att söka medel från anslag 2:4 Krisberedskap 2017.

Myndigheten för samhällsskydd och beredskap (MSB dnr: Ju2017/05786/L4): Redovisning av vissa vidtagna åtgärder för att förbereda genomförandet av NIS-direktivet, lämnat den 15 januari 2018.

Post- och telestyrelsens hemsida: https://www.pts.se/sv/om-pts/verksamhet/avgifterekonomi/fragor-och-svar-om-avgifter/

Post- och telestyrelsen (PTS-ER-2009:26): Tillsyn på PTS - en beskrivning.

Regeringsbeslut (Ju2017/05786/L4): Uppdrag att förbereda genomförandet av direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Justitiedepartementet, 2017-06-29.

Regeringsbeslut (Ju2017/08091/L4): Uppdrag att utreda kostnader för och finansiering av tillsynsverksamhet enligt NIS-direktivet. Justitiedepartementet, 2017-10-19:

Regeringens lagrådsremiss: Informationssäkerhet för samhällsviktiga och digitala tjänster (Stockholm den 15 februari 2018)

Regeringens skrivelse 2009/10:79: En tydlig, rättssäker och effektiv tillsyn. Stockholm den 17 december 2009.

SOU 2017:36: Informationssäkerhet för samhällsviktiga och digitala tjänster. Betänkande av Utredningen om genomförande av NIS-direktivet.

SOU 2015:46: Skapa tilltro. Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen.

SOU 2004:100: Tillsyn. Förslag om en tydligare och effektivare tillsyn. Del 1 i tillsynsutredningen.

Statskontoret (2012): Tänk till om tillsynen. Om utformningen av statlig tillsyn.

Statskontoret (2015:17): Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering.

Transportstyrelsens hemsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/vart-uppdrag-och-arbetssatt/tillsyn, den 30 oktober 2017.

Transportstyrelsens hemsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/Avgifter/principer-for-avgifter1/

Transportstyrelsen (Dnr/Beteckning TSG 2015–698): Förslag till hantering av över- och underuttag av avgifter. Ekonomiavdelningen 2015-05-04.

Årsredovisningar

Energimyndigheten - Årsredovisning 2016

Finansinspektionens - Årsredovisning 2016

Inspektionen för vård och omsorg - Årsredovisning 2016

Livsmedelsverket - Årsredovisning 2016

Post- och telestyrelsen - Årsredovisning 2016.

Transportstyrelsen - Årsredovisning 2016

Uppdraget

Frågeformulär till myndigheterna

Frågorna är uppdelade i följande två kategorier:

• Frågor för bedömning av ekonomiska konsekvenser för tillsynen
• Frågor för bedömning om och hur tillsynen ska avgiftsfinansieras

Ekonomiska konsekvenser

För att utreda de ekonomiska konsekvenserna för varje tillsynsmyndighet behöver Statskontoret ta hänsyn till

• de initiala kostnaderna för respektive myndighet och
• myndigheternas löpande kostnader för tillsynen.

Initiala kostnader

1. Vad gör [namn på myndighet] för typ av tillsyn idag?
2. Med vilken frekvens (antal tillsyner per år) har [namn på myndighet] genomfört tillsyn 2014–2016^[95]? (Fyll i uppgifterna i tabellen nedan.)

1. Vad är [namn på myndighet] totala kostnader för tillsynen? (Fyll i uppgifterna i tabellen nedan.) ^[96]

1. Vad är [namn på myndighet] kostnader per tillsyn? (Fyll i uppgifterna i tabellen nedan.) ^[97]

1. Har något av den tillsyn som [namn på myndighet] genomför idag beröringspunkter med NIS-området?
1. Om ja, på vilket sätt?
2. Hur ser förutsättningarna ut för att bredda tillsynen till att även omfatta NIS-området?
3. Finns det tillsynsområden inom er verksamhet som ni bedömer är så nära det som behöver göras på NIS-området att det kan gå att koppla ihop de två områdena?
4. Föranleds någon förstärkning av informationssäkerhetskompetens på [namn på myndighet] i ett initialt skede?
5. Om ja, hur stort bedömer ni behovet av informationssäkerhetskompetens vara? Uppge behov av resurser i form av t.ex. rekrytering av personal i årsarbetskraft, ekonomiska medel eller liknande.
6. Bedömer ni att [namn på myndighet] kommer att ha kostnader för föreskrifter för tillsynen?
1. Om ja, vad bedömer ni kostnaderna blir?
7. informationsinsatser till leverantörer av samhällsviktiga tjänster inom [namn på sektor]?
1. Om ja, vad bedömer ni kostnaderna blir?
8. intern kompetensinventering?

• Om ja, vad bedömer ni kostnaderna blir?

1. engångskostnader i samband med tillsynssystemets start?

• Om ja, vad bedömer ni kostnaderna blir?

1. återkommande engångskostnader?

• Om ja, vad bedömer ni kostnaderna blir?

1. Kan det uppstå problem i form av t.ex. nya oförutsebara kostnader?

• Om ja, kan ni ge något eller några exempel?

1. engångskostnader i samband med tillsynssystemets start?

• Om ja, vad bedömer ni kostnaderna blir?

1. återkommande engångskostnader?

• Om ja, vad bedömer ni kostnaderna blir?

1. Regeringens särskilda utredare (SOU 2017:36) bedömer att samtliga tillsynsmyndigheters resurser bör förstärkas tillfälligt med två årsarbetskrafter under 2018 för genomförandet. Är det en rimlig bedömning vad gäller [namn på myndighet]? Motivera svaret.

Löpande kostnader

1. Vilken form av tillsyn kommer ni att använda för [namn på sektor]?
2. Vad bedömer ni kommer att ingå i er tillsyn, respektive inte ingå?
3. Vilken komplexitet vad gäller tillsynen finns det i [namn på sektor]?
4. Vilken frekvens (antal tillsyner per år) ska tillsynen ha? (Tillsynen kan t.ex. vara standardiserad och enhetlig för samtliga sektorer som berörs av NIS-direktivet eller anpassad till respektive sektors behov och förutsättningar.)
5. Vad är antalet leverantörer av samhällsekonomiska tjänster som berörs av direktivet inom [namn på sektor] (ungefär)?
6. Vad uppgår kostnaden per tillsyn (ungefär)?
7. Vad uppgår kostnaden per tillsynsobjekt (ungefär)?
8. Föranleds någon förstärkning av informationssäkerhetskompetens på [namn på myndighet] för den löpande tillsynen?
1. Om ja, hur stort bedömer ni behovet av informationssäkerhetskompetens vara? Uppge behov av resurser i form av t.ex. rekrytering av personal i årsarbetskraft, ekonomiska medel eller liknande.

Om tillsynen bör avgiftsfinansieras och hur ett sådant system kan utformas

1. Vilka erfarenheter har ni av avgiftsfinansierade tillsynssystem?
2. Vad rekommenderar ni i detta fall? Motivera svaret.
3. Om ett avgiftsfinansierat tillsynssystem redan finns på [namn på myndighet], kan detta kompletteras så att det även omfattar tillsynen enligt NIS-direktivet? Motivera svaret.
4. Hur anser ni att avgiftsfinansieringen bör utformas för er sektor?
5. Anser ni att avgiftsfinansieringen bör beräknas efter antalet timmar tillsynen tar i anspråk eller efter antal tillsynstillfällen? Motivera svaret.
6. Anser ni att ett avgiftssystem med förhandsbetalning eller efterhandsbetalning är att föredra i detta fall? Motivera svaret.
7. Hur stor andel (ungefär) av leverantörer av samhällsviktiga tjänster inom [namn på sektor] kommer uppskattningsvis att omfattas av tillsynen?
8. Kan en avgiftsfinansiering vara konkurrenssnedvridande?
9. Vilken avgift anser ni vara skälig för den tillsyn ni ska genomföra?
10. På vilket sätt är denna avgift skälig i förhållande till kostnaderna för att administrera avgiftsuttaget?
11. Kommer det att finnas en tydlig motprestation som motiverar avgiften?

Fotnoter

1. Det betänkande som ligger till grund för att genomföra NIS-direktivet (SOU 2017:36) föreslår att följande myndigheter får tillsynsansvar: Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen. ↑

2. Lagrådsremiss Informationssäkerhet för samhällsviktiga och digitala tjänster, 15 februari 2018. ↑

3. SOU 2017:36, Informationssäkerhet för samhällsviktiga tjänster, sid. 43. ↑

4. SOU 2017:36, sid. 203 ff. ↑

5. SOU 2017:36, sid. 168 ff. ↑

6. Statskontoret (2012): Tänk till om tillsynen. Om utformningen av statlig tillsyn, sid 23 ff. ↑

7. Statskontoret (2012), sid 23 ff. ↑

8. SOU 2015:46: Skapa tilltro. Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen, sid. 66 f. ↑

9. SOU 2015:46, sid. 71 f, samt Statskontoret (2012). ↑

10. Skr. 2009/10:79: En tydlig, rättssäker och effektiv tillsyn, sid. 11. ↑

11. SOU 2017:36, sid. 164. ↑

12. Justitiedepartementet (Ju2017/05786/L4): Uppdrag att förbereda genomförandet av direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. ↑

13. Lex specialis eller speciallag är inom juridiken en lag som reglerar ett visst område. En sådan speciallag har i lagtolkningen företräde framför en lag som enbart reglerar allmänna frågor (lex generalis). ↑

14. Skr. 2009/10:79, sid. 19. ↑

15. Skr. 2009/10:79, sid. 19–20. ↑

16. ESV 2004:16. ↑

17. Statskontoret (2012): Tänk till om tillsyn. Om utformningen av statlig tillsyn. ↑

18. SOU 2017:36, sid. 268 ff. ↑

19. Regeringsuppdrag Ju2017/05786/L4. ↑

20. SOU 2017:36, sid. 219 ff. ↑

21. SOU 2017:36, sid. 219 ff. ↑

22. SOU 2017:36, sid. 238 f. ↑

23. SOU 2017:36, sid. 221. ↑

24. SOU 2017:36, sid. 238 f. ↑

25. SOU 2017:36, sid. 238 f. ↑

26. SOU 2017:36, sid. 229 ff, samt bilaga I i NIS-direktivet. ↑

27. SOU 2017:36, sid. 229 ff, samt bilaga I i NIS-direktivet. ↑

28. SOU 2017:36, sid. 228 ff. ↑

29. MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet. ↑

30. MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter. ↑

31. Regeringsuppdrag Ju2017/05786/L4. ↑

32. Obligatorisk it-incidentrapportering för statliga myndigheter. ↑

33. SOU 2017:36, sid. 268 f. ↑

34. SOU 2017:36, sid. 268 f. ↑

35. Under vissa förutsättningar och under en begränsad period kan särskilda medel beviljas för att förstärka effekten av samhällets samlade krisberedskap eller den samlade förmågan att hantera kriser. Riksdagen anslår därför årligen i budgetpropositionen för utgiftsområde 6 cirka en miljard kronor till sådana insatser genom anslag 2:4 Krisberedskap. ↑

36. Inriktning för att söka medel från anslag 2:4 Krisberedskap 2017, MSB dnr 2015:5690. ↑

37. SOU 2017:36, sid. 268 f. ↑

38. SOU 2004:100: Tillsyn. Förslag om en tydligare och effektivare tillsyn, del 1, sid. 83 ff. och Statskontoret (2002): Tänk till om tillsynen. Om utformningen av statlig tillsyn, sid. 31 ff. ↑

39. Statskontoret (2002), sid. 32. ↑

40. ESV (2014:52): Sätt rätt pris! Prissättning och kalkylering för statliga myndigheter, sid. 10. ↑

41. ESV (2014:52), sid. 12. ↑

42. ESV (2014:52), sid. 9. ↑

43. SOU 2004:100, sid. 83 ff. och Statskontoret (2012) sid. 31 ff. ↑

44. Statskontoret (2012), sid. 33 f. ↑

45. Uppgifterna från IVO:s webbsida samt myndighetens årsredovisning för 2016, förordning (2013:176) med instruktion för Inspektionen för vård och omsorg, samt skriftligt underlag från IVO. ↑

46. Energimyndigheten (Diarienr 2017–6954): Underlag till kartläggning av existerande tillsynsverksamhet – inför implementationen av NIS-direktivet, Analysavdelningen, Enheten för trygg energiförsörjning 2017-11-17. ↑

47. Finansinspektionen (2017): Avgifter hos Finansinspektionen, september 2017, sid. 4. ↑

48. Förordning (2009:1426) med instruktion för Livsmedelsverket, samt Livsmedelsverkets webbsida: https://kontrollwiki.livsmedelsverket.se/artikel/89/finansiering-av-offentlig-livsmedelskontroll ↑

49. Förordning (2007:951) med instruktion för Post- och telestyrelsen, samt PTS:s webbplats: https://www.pts.se/sv/om-pts/verksamhet/avgifterekonomi/fragor-och-svar-om-avgifter/. ↑

50. Förordning (2008:1300) med instruktion för Transportstyrelsen, se även Transportstyrelsens webbplats:https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/Avgifter/principer-for-avgifter1/. ↑

51. Transportstyrelsen (Dnr/Beteckning TSG 2015–698): Förslag till hantering av över- och underuttag av avgifter, Ekonomiavdelningen 2015-05-04, sid. 10 ff. ↑

52. Energimyndigheten (Diarienr 2017–6954). ↑

53. Energimyndigheten (Diarienr 2017–6954). ↑

54. Förordning (2008:1300) med instruktion för Transportstyrelsen. ↑

55. Förordning (2008:1300) med instruktion för Transportstyrelsen, samt Transportstyrelsens webbsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/vart-uppdrag-och-arbetssatt/tillsyn, den 30 oktober 2017. ↑

56. Förordning (2008:1300) med instruktion för Transportstyrelsen. ↑

57. Transportstyrelsens webbplats, den 30 oktober 2017. ↑

58. Transportstyrelsens webbplats, den 30 oktober 2017. ↑

59. Uppgifterna från Finansinspektionens hemsida samt myndighetens årsredovisning för 2016, samt förordning (2009:93) med instruktion för Finansinspektionen. ↑

60. Finansinspektionen: Årsredovisning 2017, sid. 21 f. ↑

61. Uppgifterna från Livsmedelsverkets hemsida samt myndighetens årsredovisning för 2016, samt förordning (2009:1426) med instruktion för Livsmedelsverket. ↑

62. Uppgifterna kommer från PTS:s webbplats samt myndighetens årsredovisning för 2016, samt förordning (2007:951) med instruktion för Post- och telestyrelsen. ↑

63. Post- och telestyrelsen: Tillsyn på PTS - en beskrivning - PTS-ER-2009:26, sid. 12 f. ↑

64. Statskontoret (2012): Tänk till om tillsynen. Om utformning av statlig tillsyn, sid. 31. ↑

65. Tillsynsutredningen del 1(2004:100), sid. 82. ↑

66. Regeringsuppdrag Ju2017/05786/L4: Redovisning av vissa vidtagna åtgärder för att förbereda genomförandet av NIS-direktivet, lämnat den 15 januari 2018. ↑

67. ↑

68. Som framgick i kapitel 1 disponerar tillsynsmyndigheten inte alltid över tillsynsavgifterna. Myndigheternas tillsyn finansieras då formellt via anslag, även om staten alltså har en avgiftsintäkt. I de fall finansieringen av tillsynen är konstruerad på detta sätt, benämner vi den som avgiftsfinansierad. ↑

69. Tillsynsutredningen (2004:100), s. 89. ↑

70. Tillsynsutredningen (SOU 2004:100), s. 98. ↑

71. Tillsynsutredningen (SOU 2004:100), sid. 90. ↑

72. Skr 2009/10:79. ↑

73. Tillsynsutredningen (SOU 2004:100), sid. 90. ↑

74. Tillsynsutredningen (SOU 2004:100), sid. 99. ↑

75. Avgiftsförordning (1992:191). ↑

76. Tillsynsutredningen (2004:100), sid. 90. ↑

77. Tillsynsutredningen (2004:100), sid. 90. ↑

78. ESV (2004:16), sid. 31 och SOU 2017:36, sid. 273. ↑

79. Statskontoret (2002). ↑

80. SOU 2017:36, sid. 276. ↑

81. Skr. 2009/10:79. ↑

82. Tillsynsutredningen (2004:100), sid. 89. ↑

83. ESV (2004:16), sid. 31. ↑

84. ESV (2004:16). ↑

85. Skr 2009/10:79. ↑

86. ESV (2014:52), sid. 22. ↑

87. ESV (2004:16), sid. 33. ↑

88. SOU 2002:14, sid. 85 ↑

89. SOU 2002:14, sid. 85. ↑

90. Statskontoret. ↑

91. Statskontoret (2015:17), sid. 67 ff. ↑

92. Statskontoret (2015:17), Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering. ↑

93. ESV (2004:16), sid. 29. ↑

94. Statskontoret (2015:17), sid. 74. ↑

95. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt. ↑

96. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt. ↑

97. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt. ↑