Sammanfattning av Tillsyn enligt NIS-direktivet – kostnader och finansiering

I maj 2018 börjar det så kallade NIS-direktivet att gälla. Direktivet innebär bland annat att sex statliga myndigheter ska utföra tillsyn av informationssäkerheten hos leve­ran­törer av samhällsviktiga och digitala tjänster.(*) Myndigheten för samhälls­skydd och beredskap (MSB) har i uppgift att samordna arbetet.

Statskontoret har på uppdrag av regeringen utrett de ekonomiska konsekvenserna för MSB och de myndigheter som får ansvar för tillsynen. I uppdraget ingår också att utreda om tillsynsverksamheten bör finansieras med avgifter. Oavsett vår bedömning i den frågan har vi också haft i uppdrag att utreda hur en avgiftsfinansiering kan ut­­­for­mas för varje sektor i direktivet.

Statskontoret har utrett tillsynsmyndigheternas initiala kostnader, och deras löpande kostnader för tillsynen för att bedöma de ekonomiska konsekvenserna för dem. Våra beräkningar av kostnaderna bygger på myndigheternas egna uppskattningar.

Exempel på faktorer som påverkar de initiala kostnaderna är om myndigheterna be­höver rekrytera ny kompetens, om de behöver genomföra informationsinsatser eller om det uppstår engångskostnader i samband med att de startar tillsyns­verk­samheten. Exempel på faktorer som påverkar de löpande kostnaderna är antalet till­syns­objekt, frekvensen i tillsynen och det praktiska genomförandet.

De utpekade myndigheterna anser att det är svårt att bedöma de ekonomiska kon­se­kven­serna av den nya tillsynen. Regeringen har ännu inte gett myndigheterna något formellt tillsynsuppdrag och antalet leverantörer som ska kontrolleras är ännu inte klar­lagt. För de flesta av myndigheterna är tillsyn av informationssäkerhet också ett nytt tillsynsområde.

Myndigheterna uppskattar att de initiala kostnaderna är sammanlagt 17,2 miljoner kronor, men variationen mellan myndigheterna är stor. Deras sammanlagda upp­skatt­ning av de löpande kostnaderna är nästan 60 miljoner kronor per år. Inspek­tionen för vård och omsorgs uppskattning på knappt 20 miljoner kronor är den hög­sta, medan Finansinspektionens uppskattning på 3 miljoner kronor är den lägsta.

Även om myndigheternas uppskattningar är preliminära vilar beräkningarna på en någorlunda stabil grund. I sina beräkningar har myndigheterna beaktat ungefär 75 pro­cent av de sammanlagt 29 faktorer som Statskontoret bedömer kan ha en bety­dande påverkan på kostnaderna.

Statskontoret bedömer att det kommer att ta några år innan det går att beräkna de exakta kostnaderna för respektive tillsynsmyndighet. Vi anser därför att regeringen bör ställa krav på myndigheterna att redovisa tillsynsverksamhetens kostnader och om­fattning, åtminstone för de närmast kommande åren.

Tillsynen bör finansieras med anslag

Statskontoret anser inte att tillsynen enligt NIS-direktivet bör finansieras med av­gifter. Vår analys visar att nackdelarna med en sådan finansieringsform väger tyngre än fördelarna för fem av de sex aktuella myndigheterna. Det är framför allt fyra skäl som talar emot att tillsynsobjekten ska betala en avgift för tillsyn enligt NIS-direktivet. Dessa är

• risken för konkurrenssnedvridande effekter
• jämförelsevis höga administrationskostnader
• svårigheter att utforma tillsynen över sektorerna på ett enhetligt sätt
• svårigheten att påvisa en tydlig motprestation för avgiften.

Statskontoret föreslår därför att tillsynen enligt NIS-direktivet ska finansieras med anslag.

Även en avgiftsfinansierad tillsyn bör ha en gemensam utformning

Trots att vi bedömer att tillsynen ska finansieras med anslag ingår även i uppdraget att föreslå hur en avgiftsfinansiering kan utformas för varje sektor i NIS-direktivet.

Statskontoret anser att om tillsynen blir avgiftsfinansierad så bör den utformas på ett likartat sätt inom varje sektor. Detta skulle underlätta för myndigheterna att kontinu­er­ligt utbyta erfarenheter. De som får betala för tillsynen kommer också att uppleva den på liknande sätt. Men vi anser ändå att avgifterna inom varje sektor bör anpassas efter respektive tillsynsmyndighets kostnader, enligt principen om full kostnads­täckning. Samtidigt finns anledning för de föreslagna tillsynsmyndigheterna att sträva efter att närma sig varandra, även när det gäller avgiftens storlek.

Statskontoret menar också att ett eventuellt avgiftssystem bör bestå av en fast årlig avgift som är densamma för alla tillsynsobjekt inom respektive sektor. Vi anser även att tillsynsmyndigheterna inte bör få besluta om avgiftens storlek och inte heller dis­po­nera intäkterna. Vi bedömer att en sådan modell bäst främjar en tillsyn som är en­hetlig, effektiv och enkel ur ett administrativt perspektiv.

MSB behöver avsätta betydande resurser till arbetet

MSB:s uppgifter är bland annat att vara nationell kontaktpunkt, att leda ett sam­arbets­forum för tillsynsmyndigheterna samt att representera Sverige i EU. MSB ska utveckla ett system för att ta emot och analysera incidentrapporter. I uppgifterna ingår också att ta fram föreskrifter för arbetet med tillsyn, stödja myndigheterna med till­synsmetodik samt att informera om regler och krav.

Enligt MSB behöver myndigheten avsätta 10–11 årsarbetskrafter för sitt arbete med NIS-direktivet. MSB uppskattar sina totala kostnader för genomförandet till 14 mil­joner kronor per år, inklusive overheadkostnader. Statskontoret ifrågasätter inte MSB:s uppskattning, men vi konstaterar att de ekonomiska konsekvenserna i hög grad beror på hur MSB väljer att genomföra de nya uppgifterna.

*Det betänkande som ligger till grund för att genomföra NIS-direktivet (SOU 2017:36) föreslår att följande myndigheter får tillsynsansvar: Statens energimyndighet, Transport­styrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen.