Till innehåll på sidan

Tillsyn enligt NIS-direktivet – kostnader och finansiering

Sammanfattning

I maj 2018 börjar det så kallade NIS-direktivet att gälla. Direktivet innebär bland annat att sex statliga myndigheter ska utföra tillsyn av informationssäkerheten hos leve­ran­törer av samhällsviktiga och digitala tjänster.[1] Myndigheten för samhälls­skydd och beredskap (MSB) har i uppgift att samordna arbetet.

Statskontoret har på uppdrag av regeringen utrett de ekonomiska konsekvenserna för MSB och de myndigheter som får ansvar för tillsynen. I uppdraget ingår också att utreda om tillsynsverksamheten bör finansieras med avgifter. Oavsett vår bedömning i den frågan har vi också haft i uppdrag att utreda hur en avgiftsfinansiering kan ut­­­for­mas för varje sektor i direktivet.

De ekonomiska konsekvenserna för myndigheterna varierar

Statskontoret har utrett tillsynsmyndigheternas initiala kostnader, och deras löpande kostnader för tillsynen för att bedöma de ekonomiska konsekvenserna för dem. Våra beräkningar av kostnaderna bygger på myndigheternas egna uppskattningar.

Exempel på faktorer som påverkar de initiala kostnaderna är om myndigheterna be­höver rekrytera ny kompetens, om de behöver genomföra informationsinsatser eller om det uppstår engångskostnader i samband med att de startar tillsyns­verk­samheten. Exempel på faktorer som påverkar de löpande kostnaderna är antalet till­syns­objekt, frekvensen i tillsynen och det praktiska genomförandet.

De utpekade myndigheterna anser att det är svårt att bedöma de ekonomiska kon­se­kven­serna av den nya tillsynen. Regeringen har ännu inte gett myndigheterna något formellt tillsynsuppdrag och antalet leverantörer som ska kontrolleras är ännu inte klar­lagt. För de flesta av myndigheterna är tillsyn av informationssäkerhet också ett nytt tillsynsområde.

Myndigheterna uppskattar att de initiala kostnaderna är sammanlagt 17,2 miljoner kronor, men variationen mellan myndigheterna är stor. Deras sammanlagda upp­skatt­ning av de löpande kostnaderna är nästan 60 miljoner kronor per år. Inspek­tionen för vård och omsorgs uppskattning på knappt 20 miljoner kronor är den hög­sta, medan Finansinspektionens uppskattning på 3 miljoner kronor är den lägsta.

Även om myndigheternas uppskattningar är preliminära vilar beräkningarna på en någorlunda stabil grund. I sina beräkningar har myndigheterna beaktat ungefär 75 pro­cent av de sammanlagt 29 faktorer som Statskontoret bedömer kan ha en bety­dande påverkan på kostnaderna.

Statskontoret bedömer att det kommer att ta några år innan det går att beräkna de exakta kostnaderna för respektive tillsynsmyndighet. Vi anser därför att regeringen bör ställa krav på myndigheterna att redovisa tillsynsverksamhetens kostnader och om­fattning, åtminstone för de närmast kommande åren.

Tillsynen bör finansieras med anslag

Statskontoret anser inte att tillsynen enligt NIS-direktivet bör finansieras med av­gifter. Vår analys visar att nackdelarna med en sådan finansieringsform väger tyngre än fördelarna för fem av de sex aktuella myndigheterna. Det är framför allt fyra skäl som talar emot att tillsynsobjekten ska betala en avgift för tillsyn enligt NIS-direktivet. Dessa är

  • risken för konkurrenssnedvridande effekter
  • jämförelsevis höga administrationskostnader
  • svårigheter att utforma tillsynen över sektorerna på ett enhetligt sätt
  • svårigheten att påvisa en tydlig motprestation för avgiften.

Statskontoret föreslår därför att tillsynen enligt NIS-direktivet ska finansieras med anslag.

Även en avgiftsfinansierad tillsyn bör ha en gemensam utformning

Trots att vi bedömer att tillsynen ska finansieras med anslag ingår även i uppdraget att föreslå hur en avgiftsfinansiering kan utformas för varje sektor i NIS-direktivet.

Statskontoret anser att om tillsynen blir avgiftsfinansierad så bör den utformas på ett likartat sätt inom varje sektor. Detta skulle underlätta för myndigheterna att kontinu­er­ligt utbyta erfarenheter. De som får betala för tillsynen kommer också att uppleva den på liknande sätt. Men vi anser ändå att avgifterna inom varje sektor bör anpassas efter respektive tillsynsmyndighets kostnader, enligt principen om full kostnads­täckning. Samtidigt finns anledning för de föreslagna tillsynsmyndigheterna att sträva efter att närma sig varandra, även när det gäller avgiftens storlek.

Statskontoret menar också att ett eventuellt avgiftssystem bör bestå av en fast årlig avgift som är densamma för alla tillsynsobjekt inom respektive sektor. Vi anser även att tillsynsmyndigheterna inte bör få besluta om avgiftens storlek och inte heller dis­po­nera intäkterna. Vi bedömer att en sådan modell bäst främjar en tillsyn som är en­hetlig, effektiv och enkel ur ett administrativt perspektiv.

MSB behöver avsätta betydande resurser till arbetet

MSB:s uppgifter är bland annat att vara nationell kontaktpunkt, att leda ett sam­arbets­forum för tillsynsmyndigheterna samt att representera Sverige i EU. MSB ska utveckla ett system för att ta emot och analysera incidentrapporter. I uppgifterna ingår också att ta fram föreskrifter för arbetet med tillsyn, stödja myndigheterna med till­synsmetodik samt att informera om regler och krav.

Enligt MSB behöver myndigheten avsätta 10–11 årsarbetskrafter för sitt arbete med NIS-direktivet. MSB uppskattar sina totala kostnader för genomförandet till 14 mil­joner kronor per år, inklusive overheadkostnader. Statskontoret ifrågasätter inte MSB:s uppskattning, men vi konstaterar att de ekonomiska konsekvenserna i hög grad beror på hur MSB väljer att genomföra de nya uppgifterna.

Utgångspunkter och genomförande

I juli 2016 antog Europaparlamentet och rådet det så kallade NIS-direktivet. Det syftar till att uppnå en hög gemensam nivå när det gäller säkerhet i nätverk och infor­mations­system inom unionen.

Regeringen gav en särskild utredare i uppdrag att föreslå hur NIS-direktivet ska införas i svensk rätt. Utredningen överlämnade den 2 maj 2017 betänkandet Informa­tions­säkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36). Utredningen före­slår en ny lag och en ny förordning som ligger nära NIS-direktivet till sin ut­form­ning och sitt innehåll.

Regeringen överlämnade lagrådsremissen som bygger på utredningens förslag till Lagrådet den 15 februari 2018. Regeringen föreslår att lagen börjar gälla den 1 au­gu­sti 2018.[2] I denna rapport hänvisar vi till utredningens förslag och i dessa fall hän­visar vi inte till något som inte också stämmer överens med lagrådsremissen.

Den föreslagna lagstiftningen innebär bland annat att ett antal leverantörer av sam­hälls­viktiga och digitala tjänster ska uppfylla vissa säkerhetskrav i sina infor­mations­system. Detta medför nya arbetsuppgifter för de myndigheter som kommer att få ansvar för att övervaka att regelverket följs och att kraven i lagstiftningen har fått effekt på säkerheten. De nya tillsynsuppgifterna kommer troligen att få ekonomiska kon­sekvenser för myndigheterna. Regeringen har därför bedömt att det krävs ytter­ligare utredning och analys för att avgöra hur de ekonomiska konsekvenserna kom­mer att se ut för berörda myndigheter.

Regeringens uppdrag till Statskontoret

Statskontoret ska utreda de ekonomiska konsekvenserna för de myndigheter som får ansvar för den löpande tillsynen av leverantörer av samhällsviktiga tjänster och digi­tala tjänster. Statskontoret ska också utreda om tillsynsverksamheten bör finansieras med avgifter. Vi ska också föreslå hur avgiftsfinansieringen kan utformas för varje sek­tor i direktivet, oavsett om vi bedömer att tillsynen ska finansieras med avgifter eller inte.

I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget inne­bär för Myndigheten för samhällsskydd och beredskap (MSB). Vi redovisar upp­dra­get i sin helhet i bilaga 1.

Bakgrund till uppdraget

Direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkert i nät­verks- och informationssystem i hela unionen (NIS-direktivet) medför bland annat att varje medlemsstat är skyldig att anta en nationell strategi för säkerhet i nätverk och informationssystem och att utse myndigheter med särskilda uppgifter inom detta område. Medlemsstaterna är enligt direktivet också skyldiga att identifiera de opera­törer som bedriver samhällsviktig verksamhet inom sju utpekade sektorer som är be­ro­ende av nätverk och informationssystem.[3]

Medlemsstaterna ska senast den 9 maj 2018 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att genomföra direktivet. Dessa bestäm­melser ska tillämpas från och med den 10 maj 2018.

Samhällsviktiga tjänster

Direktivet kräver att medlemsstaterna identifierar de samhällsviktiga tjänster inom med­lemsstaternas territorier som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Direktivet berör följande sektorer:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

Vissa leverantörer av samhällsviktiga tjänster inom dessa sektorer ska enligt direk­tivet genomföra säkerhetsåtgärder samt förebygga och hantera incidenter i de nät­verk och informationssystem som de är beroende av för att tillhandahålla tjän­sterna. Leveran­törerna ska också rapportera incidenter som har betydande inverkan på kon­tinuiteten i tjänsterna.

Digitala tjänster

Direktivet omfattar även leverantörer som tillhandahåller digitala tjänster i form av inter­net­baserade marknadsplatser, sökmotorer och molntjänster. Detta gäller inte leve­ran­törer som är mikroföretag eller små företag.

Direktivets bestämmelser om leverantörer av digitala tjänster skiljer sig från de be­stäm­melser som gäller för leverantörer av samhällsviktiga tjänster. För att en leve­ran­tör av en digital tjänst ska omfattas av direktivet krävs inte att den tillhandahållna tjänsten bedöms vara samhällsviktig, och medlemsstaterna är inte skyldiga att iden­tifiera de berörda leverantörerna. När det gäller leverantörer av digitala tjänster ska den behöriga myndigheten inte ha någon skyldighet att utöva tillsyn. Tillsyns­åt­gärder av myndigheten får vidtas endast när myndigheten har fått reda på att leve­ran­tören inte uppfyller de krav som den föreslagna lagen ställer.[4]

Statskontoret bedömer att NIS-direktivet i praktiken har gjort ett undantag för inter­net­baserade tjänster. Det innebär att det inte ska underkastas den tillsyn som gäller för övriga sektorer.

Förslag på sex tillsynsmyndigheter

Enligt utredningens (SOU 2017:36) förslag ska en tillsynsmyndighet utses för varje sektor och för digitala tjänster. Dessa ska kontrollera att den föreslagna lagen och de meddelade föreskrifterna följs.

Tillsynsmyndigheterna ska bland annat kunna besluta om sanktioner, om de miss­tän­ker att en leverantör av samhällsviktiga tjänster inte följer lagstiftningen.

Utredningen föreslår att tillsynsansvaret fördelas enligt följande:

Sektor

Tillsynsmyndighet

Energi

Statens energimyndighet

Transporter

Transportstyrelsen

Bankverksamhet

Finansinspektionen

Finansmarknadsinfrastruktur

Finansinspektionen

Hälso- och sjukvård

Inspektionen för vård och omsorg

Leverans och distribution av
dricksvatten

Livsmedelsverket

Digital infrastruktur

Post- och telestyrelsen

Digitala tjänster

Post- och telestyrelsen

I valet av tillsynsmyndigheter har utredningen valt att bland annat utgå från de myn­digheter som i dag har

  • ett tillsynsansvar inom sektorn eller inom närliggande sektorer, även om det idag inte omfattar tillsyn av informationssäkerhet
  • kunskap om verksamheten inom sektorn
  • kunskap om sårbarheter, hot och risker inom sektorn
  • kunskap om befintliga och kommande EU-rättsakter inom sektorn
  • ansvar för att utfärda föreskrifter.[5]

Utredningen föreslår bland annat att MSB får i uppdrag att upprätthålla en samlad bild av direktivets tillämpning i Sverige. MSB ska också leda ett samarbetsforum för samt­liga tillsynsmyndigheter.

Tillsynen ska utföras i efterhand när det gäller leverantörer av digitala tjänster. Det inne­bär att tillsyn ska ske när tillsynsmyndigheten fått bevis på att leverantören inte har genomfört de säkerhetsåtgärder som leverantören självt ställt upp för att säker­ställa att nivån på säkerheten är tillräcklig.

Vad menas med tillsyn?

En central aspekt i Statskontorets uppdrag är att bedöma vilken omfattning tillsynen kommer att få inom de sektorer som redovisas ovan. Statskontoret har i en rapport från 2012 beskrivit tillsynens nära relation till grundläggande förvaltningspolitiska värden. I korthet innebär det att när regeringen instiftar en ny lag vill regeringen att inten­tionerna med lagen uppnås. Det innebär att demokratiskt fattade beslut ska genom­föras på avsett sätt, och att respekten för folkviljan ska upprätthållas. Tillsyn är ett sätt att försäkra sig om detta och på samma gång garantera medborgarnas rätts­säkerhet.[6]

En fungerande tillsyn präglad av tydlighet, trovärdighet och integritet bidrar till att skapa förtroende för staten. Detta kräver att tillsynen är rättssäker, förutsägbar, obe­roende och professionell. Konkret innebär det att tillsynen utgår från lagar och före­skrifter. Dessutom ska likvärdiga bedömningar göras i likvärdiga fall och gransk­nings­objekten ska ha insyn i hur och varför tillsynen sker och att krav som ställs i till­synsbeslutet är tydliga och möjliga att följa upp. Tillsynen ska vara baserad på kunskap och det ska inte vara möjligt för olika intressenter att påverka den. Annor­lunda formulerat ska medborgare kunna lita på att beslutade regler också gäller i prak­tiken, att de tolkas och tillämpas på ett likartat sätt oavsett var i landet verk­sam­heten är förlagd.[7]

Administrativa sanktioner och åtgärdsföreläggande

I regeringens definition av tillsyn ingår självständig granskning, men även rätten att ingripa och att kräva åtgärder för att korrigera felaktigheter är en central komponent. Till­synen har regelefterlevnad som sitt främsta syfte vilket gör den mer begränsad och legalistisk till sin karaktär än till exempel uppföljning och utvärdering, vilka syf­tar till en bredare kunskapsinhämtning.[8]

Tillsynsmyndigheter kan utfärda sanktioner mot tillsynsobjekten. Sanktionerna ska fun­gera som ett verktyg för att se till att objekten följer de regler som gäller. I de fall till­syns­myndigheterna märker att någon aktör bryter mot lagen ska sanktioner kunna an­vändas som ett sätt att tvinga aktören att göra rätt. Sanktionsmöjligheterna kan delas upp i återkallelse och föreläggande.

Det finns olika tillsynsformer och begrepp som förklarar verksamheten

Tillsynsformer och de begrepp som beskriver dessa former är inte tydligt definierade och avgränsade. De överlappar därför varandra till viss del, och leder många gånger till olika tolkningar i olika sammanhang.[9]

I sin tillsynsskrivelse (Skr. 2009/10:79) poängterar regeringen att det behövs en större enhetlighet, tydlighet och rättssäkerhet i den offentliga tillsynen. Tillsynen har ut­vecklats parallellt inom de många områden där den utförs. Olika lagstiftning, defi­nitioner, synsätt, praxis och förhållningssätt har vuxit fram inom respektive område. Regeringen konstaterar samtidigt att de stora variationerna i tillsynens utformning och tillämpning i några fall kan vara en tillgång. Tillsynsinstrumentet kan då an­vändas flexibelt och anpassas till förhållanden i det särskilda fallet. Men det finns också stora risker med en alltför differentierad tillsyn. Bland annat kan tillsynens effek­t­ivitet bli lidande av för stora variationer. En mer likartad användning av be­grepp och mer likartade regler kring tillsyn, tillsammans med enkla och tydligare reg­ler i övrigt, kan ge de många verksamhetsutövare som står under tillsyn bättre för­utsättningar att kunna följa de regler som gäller.[10]

De verksamheter som berörs av tillsyn enligt NIS-direktivet är statliga myndigheter, kommuner, landsting, statligt och kommunalt ägda bolag samt enskilda företag. Enligt utredningen (SOU 2017:36) bör utgångspunkten vara att uppnå en enhetlig till­syn åtminstone inom respektive sektor.[11] Denna ståndpunkt ligger i linje med vad rege­ringen tidigare har uttryckt i sin skrivelse (Skr. 2009/10:79).

Nästan samtliga myndigheter tar ut avgifter för tillsynen

Bland de föreslagna tillsynsmyndigheterna är det endast Inspektionen för vård och omsorg (IVO) som i stort sett saknar en avgiftsbelagd tillsyn. Det beror på att myn­dig­hetens tillsyn berör verksamheter som vård och omsorg, det vill säga skatte­finan­sierade samhällsåtaganden som i huvudsak finansieras med offentliga medel.

Energimyndighetens tillsyn är huvudsakligen finansierad genom förvaltningsanslag. Bland de tillsynsområden som myndigheten bedömer ligger nära bestämmelserna i NIS-direktivet är det endast tillsynen av naturgas som är avgiftsfinansierad. Det är rege­ringen som fastställer avgifterna i detta fall, utifrån en schablonkostnad per ned­lagd timma. Myndigheten fastställer denna schablonkostnad varje år.

Finansinspektionen tar ut avgifter från finansiella företag och personer som verkar i Sverige. De tar ut både årliga avgifter och avgifter för prövning av tillstånd och an­mäl­ningar.

När det gäller livsmedelssektorn genomförs stora delar av tillsynen av kommunerna, med stöd i den vägledning och riskklassning som Livsmedelsverket har tagit fram. Livs­medelsverkets avgifter för den kontroll de själva genomför följer samma prin­ciper som kommunernas avgiftsfinansiering.

Post- och telestyrelsens (PTS) arbete inklusive tillsyn av anmälda aktörer enligt lagen om elektronisk kommunikation (LEK) finansieras av avgifter från de som till­handa­håller allmänna kommunikationsnät och allmänt tillgängliga elektroniska kom­munikationstjänster. Myndighetens verksamhet och tillsyn enligt topp­domän­lagen anslagsfinansieras och verksamheten och tillsynen för betrodda tjänster är till mer än 99 procent anslagsfinansierad.

Transportstyrelsens tillsyn finansieras via avgifter som bygger på den tid som läggs ner inom varje verksamhet och på vilka olika typer av uppgifter som utförs. Myn­dig­heten bedömer vilken typ av avgift som fungerar bäst för varje verksamhet.

MSB ska verka för en enhetlig tillsyn

Som bakgrund till våra förutsättningar för denna granskning redovisar vi MSB:s roll i sammanhanget. Enligt utredningens (SOU 2017:36) förslag, och så som myn­dig­heten själv tolkar det, ska MSB skapa förutsättningar, vägledning och stöd för en en­hetlig tillsyn över berörda sektorer i Sverige. Därför bildade MSB ett sam­arbets­forum under 2017 där de föreslagna myndigheterna deltar för att samarbeta om att införa NIS-direktivet. Forumet träffas en gång i månaden. Vid tiden för denna ut­red­ning har gruppen haft fem möten.

Systemet för tillsyn ska alltså inte skilja sig markant över sektorerna och inte inne­hålla en rad sektorsspecifika krav. Men MSB anser ändå att det ska finnas visst ut­rymme att i någon mån anpassa tillsynen till de olika sektorernas förutsättningar. Be­tänk­andet (SOU 2017:36) föreslår också att tillsynsmyndigheterna ska kunna ut­färda närmare föreskrifter för sina respektive sektorer om utformningen av säker­hets­åtgärder. I samarbetsforumet kommer bland annat frågor om tillsynens frekvens och praktiska genomförande att diskuteras.

MSB har också genomfört och rapporterat till regeringen ett uppdrag att genomföra vissa åtgärder för att förbereda införandet av NIS-direktivet.[12] I uppdraget till Stats­kontoret framgår det att vi, bland annat utifrån MSB:s uppdrag att uppskatta antalet leve­rantörer i varje sektor, ska redovisa de ekonomiska konsekvenserna för till­syns­myndigheterna.

Men regeringens uppdrag till MSB innehåller inte att myndigheten ska göra en sådan upp­skattning av leverantörer. Detta bekräftas också av företrädare för MSB i samtal med Statskontoret. Enligt MSB ska det i stället ställas krav på leverantörerna att själva ge sig tillkänna, om de anser att deras verksamhet når upp till den tröskel som kom­mer att definieras. MSB anser att det ännu inte är avgjort om det är MSB som i före­skrifter ska ange trösklar eller om även tillsynsmyndigheterna i föreskrifter kan ange trösklar inom sina respektive sektorer för vad som ska räknas som en sam­hälls­viktig tjänst.

Enligt NIS-direktivet ska medlemsstaterna senast den 9 november 2018 ha identi­fi­erat de leverantörer av samhällsviktiga tjänster som är etablerade inom de egna om­rådena. Men MSB bedömer att en komplett lista över samtliga leverantörer i Sverige kan presenteras tidigast 2019.

Genomförande av uppdraget

Enligt uppdraget ska Statskontoret utreda de ekonomiska konsekvenserna för de myn­digheter som får ansvar för löpande tillsyn av samhällsviktiga tjänster och leve­ran­törer av digitala tjänster. Statskontoret ska också utreda om tillsynsverksamheten bör avgiftsfinansieras och föreslå hur en avgiftsfinansiering kan utformas för varje sektor i direktivet. Detta gäller oavsett om vi bedömer att tillsynen ska avgifts­finan­sieras eller inte. I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget innebär för MSB.

I detta avsnitt går vi igenom hur vi har arbetat med respektive uppdragsfråga.

Vad blir de ekonomiska konsekvenserna för tillsynsmyndigheterna?

Regeringens särskilda utredare bedömer att förslagen i betänkandet (SOU 2017:36) kom­mer att öka tillsynsmyndigheternas kostnader för löpande tillsyn och för beslut om administrativa sanktioner samt föreläggande om åtgärder. Samtliga föreslagna till­syns­myndigheterna utövar i dag tillsyn av något slag, men för några av dem inne­bär utredningens förslag avseende säkerhet i nätverk och informationssystem ett helt nytt tillsynsområde.

I våra kontakter med MSB och tillsynsmyndigheterna framgår att det finns relativt stora skillnader i förutsättningar mellan de olika myndigheterna. PTS och Finans­in­spek­tionen har sedan länge bedrivit en tillsyn som ligger nära den som tillkommer med NIS-direktivet, medan myndigheter som IVO och Livsmedelsverket saknar er­faren­het av den typ av tillsyn som det här är frågan om. Både IVO och Livs­medels­verket argumenterar mot att vara tillsynsmyndigheter för NIS-direktivet i sina re­missvar till betänkandet (SOU 2017:36).

Hur stora kostnaderna blir beror enligt utredningen framför allt på tre om­stän­dig­heter:

  • Om den aktuella tillsynsmyndigheten redan i dag utövar en likartad tillsyn över leve­rantörerna
  • Hur många leverantörer som kommer att bli föremål för tillsyn samt frekvensen av tillsynen
  • Hur tillsynen genomförs och vilken informationssäkerhetskompetens som finns på tillsynsmyndigheten

MSB:s ambition är att sektorernas tillsynsformer ska vara relativt enhetliga. Men det kommer att finnas utrymme för anpassningar inom varje sektor, bland annat för att ta hänsyn till komplexiteten i nätverk och informationssystem och omfattningen på verk­samheten, samt myndigheternas olika förutsättningar att genomföra tillsyn.

Vår analys av ovanstående frågor har genomförts samtidigt som MSB och till­syns­myn­digheterna befinner sig i ett initialt skede i diskussionerna om en möjlig gemen­sam utformning och frekvens av tillsyn. Myndigheterna har inte fått något formellt upp­drag om tillsynen från regeringen, och de har svårt att exakt precisera hur mycket resurser som den nya tillsynen kommer att kräva och om den kommer att leda till ny­rekrytering av personal.

För att utreda de ekonomiska konsekvenserna har vi därför bett varje tillsyns­myn­dighet att redovisa en uppskattning av dels de initiala kostnaderna, dels de löpande kost­naderna för den nya tillsynen.

Vi använder oss av en analysmodell i tre steg som presenteras i figur 1.

Figur 1 Modell för analys av ekonomiska konsekvenser för tillsynsmyndigheterna

Flödesschema för analys av ekonomiska konsekvenser för tillsynsmyndighet. Initiala kostnader, löpande kostnader och ekonomiska konsekvenser.

Initiala kostnader för tillsynsmyndigheterna

Enligt utredningen (SOU 2017:36) har samtliga tillsynsmyndigheter god kunskap om verksamheten inom sina respektive sektorer. Men utredningen bedömer att det, oavsett antalet leverantörer som berörs av tillsynen, uppkommer kostnader för sam­tliga tillsynsmyndigheter för att bygga upp ett nytt system för tillsyn. Det kan också upp­komma kostnader för att komplettera ett system som redan används, samt för ar­betet med att ta fram nya föreskrifter, när myndigheterna har fått bemyndigande till det. Vidare behöver ny kompetens utvecklas eller nyrekryteras.

Dessutom bör leverantörer inom de olika sektorerna informeras om den nya lag­stift­ningen. Inom några sektorer behöver tillsynsmyndigheten identifiera i vilken ut­sträck­ning lex specialis-bestämmelser ska tillämpas.[13]

Utredningens bedömning är att samtliga tillsynsmyndigheters resurser bör förstärkas till­fälligt med två årsarbetskrafter under 2018 för att införa direktivet.

De frågor som vi anser är mest relevanta för att analysera de initiala kostnaderna för myn­digheterna är följande:

  • Vad gör de utsedda tillsynsmyndigheterna redan i dag inom området?
  • Vilken kompetens inom området har myndigheterna och vad behöver de komp­lettera med?
  • Finns det engångskostnader för tillsynen? Sådana kostnader kan både vara ini­tiala (som uppstår i samband med tillsynssystemets start) och återkommande.
Löpande kostnader och kostnaden för att besluta om administrativa sanktioner och åtgärdsföreläggande

Den löpande kostnaden för tillsyn och kostnaden för att besluta om administrativa sank­tioner och åtgärdsföreläggande kommer att variera, enligt utredningen (SOU 2017:36). De kommer att variera beroende på:

  • antalet leverantörer som kommer att omfattas av den nya lagens krav på tillsyn
  • frekvensen i tillsynen
  • hur tillsynen genomförs
  • vilken förstärkning av informationssäkerhetskompetens som krävs för att införa den föreslagna lagen.

I vår analys tar vi även hänsyn till hur stora de totala kostnaderna blir per år för varje myndighet, inklusive årsarbetskraft och eventuella overhead-kostnader. Vi har inte gjort någon skillnad mellan kostnader som härrör till investeringar respektive drift.

Samtliga föreslagna myndigheter bedriver någon form av tillsyn i dag. Men vi kon­sta­terar också att för några tillsynsmyndigheter innebär utredningens förslag att de får ett nytt tillsynsområde, säkerhet i nätverk och informationssystem. Det kommer där­för att finnas ett relativt stort mått av osäkerhet när vi bedömer kostnader av en verk­samhet som ännu inte kommit igång och där flera faktorer inte är klarlagda, så­som antalet leverantörer.

Totala ekonomiska konsekvenser

Vi analyserar myndigheternas individuella förutsättningar för att bedöma de ekonomiska konsekvenserna för dem. Efter att vi genomfört den empiriska analysen av de faktorer som påverkar kostnaderna analyserar vi de ekonomiska konse­kven­serna för varje myndighet i kapitel 4. Denna analys är med nödvändighet en kvali­fice­rad bedömning från Statskontorets sida och inte en exakt kostnadsberäkning. Det är inte möjligt att presentera något annat innan samtliga leverantörer av samhälls­viktiga tjänster har identifierats och varje tillsynsmyndighet har klart för sig hur till­synen ska genomföras.

Intervjuer och dokumentstudier

För analysen av de ekonomiska konsekvenserna för tillsynsmyndigheterna har vi inter­vjuat företrädare för tillsynsverksamheten på de utsedda myndigheterna två gån­ger. Vi har dessutom överlämnat ett frågeformulär till respektive myndighet att fylla i och skicka tillbaka till oss (bilaga 2).

Syftet med intervjuerna är att dels klargöra vad myndigheterna redan gör inom området, dels hur de planerar att utföra tillsynen enligt NIS-direktivet. Den första delen omfattar alltså vad myndigheterna redan i dag gör när det gäller tillsyn inom de sektorer som omfattas av NIS-direktivet, hur tillsynen är utformad, om de har kun­skap om verksamheten samt dess sårbarheter, hot och risker, och vilken kom­pe­tens myndigheten har behov av för att möta kraven i NIS-direktivet.

Den andra delen syftar till att utreda hur myndigheterna tänker genomföra tillsynen enligt NIS-direktivet, exempelvis vad som ska ingå och inte ingå, frekvens på till­synen och hur de bedömer de ekonomiska konsekvenserna av tillsynen. Vi har också bett dem att uppskatta antalet leverantörer av tjänster som berörs av direktivet inom varje sektor. För att kunna bedöma graden av tillförlitlighet i myndigheternas upp­skatt­ningar av de ekonomiska konsekvenserna bad vi dem i slutet av arbetet med rap­porten att svara om de, i sina respektive uppskattningar, tagit hänsyn till en serie fak­torer som vi bedömer är betydelsefulla för att genomföra den nya tillsynen. Vår be­dömning är att ju fler faktorer som myndigheterna har tagit hänsyn till i sina upp­skattningar, desto tillförlitligare är deras uppskattningar.

Några av de frågor vi har ställt till myndigheterna diskuteras vid tiden för denna rap­port i MSB:s samarbetsforum med representanter från myndigheterna. Stats­kon­torets projektgrupp deltog på ett möte i samarbetsforumet i december 2017.

Som komplement till intervjuerna har vi också tagit del av tillgänglig myn­dig­hets­intern dokumentation som beskriver hur tillsynsmyndigheterna i förekommande fall arbetar med tillsyn i dag, vad den kostar och vilka avgifter som tas ut.

Vi har också intervjuat representanter för MSB för att kunna utreda myndighetens kost­nader för de uppgifter som utredningen (SOU 2017:36) föreslår.

Vi menar att tillförlitligheten i myndigheternas uppskattningar om de ekonomiska kon­sekvenserna har ökat genom att vi har ställt frågor om hur de har planerat att genom­föra olika delar av den nya tillsynen, och gett dem tid att fundera och svara. I sam­band med att myndigheterna har faktagranskat rapporten har de dessutom haft till­fälle att jämföra varandras uppskattade kostnader. Det har ytterligare främjat trans­parensen om myndigheternas kostnadsposter och uppskattningarnas till­för­lit­lig­het.

Ett av flera sätt att motverka risken för att vi blir alltför beroende av de föreslagna myn­digheternas egna uppskattningar av de eknomiska konsekvenserna är att vi i kapi­tel 3 redogör för deras nuvarande tillsynsverksamhet. Ett viktigt syfte är att ge en bild av hur vana myndigheterna är av tillsyn i stort, och särskilt av tillsyn som lig­ger nära NIS-direktivet. Denna bild ökar förståelsen för hur väl respektive myn­dig­het kan förväntas ha grund för de bedömningar av de ekonomiska konsekvenserna vi redovisar i kapitel 4. Beskrivningen i kapitel 3 ger också en bild av vilka eventuella synergi­effekter med annan tillsyn som myndigheterna kan nå och ger också en upp­fattning om vilken kompetens som redan finns tillgänglig och vilken som måste re­kryteras.

Ska tillsynen vara avgiftsfinansierad och hur kan ett sådant system utformas för varje sektor?

Uppdragets andra fråga är om tillsynsverksamheten bör avgiftsfinansieras och hur den kan utformas för varje sektor.

Av regeringens tillsynsskrivelse (Skr. 2009/10:79) framgår bland annat att tillsyn i normalfallet bör finansieras genom avgifter. Men inom vissa områden kan det ändå vara lämpligt att låta tillsynen finansieras via skattemedel. Det kan exempelvis vara fallet när kostnaderna för att administrera avgiftsuttaget bedöms som höga jämfört med avgiften i övrigt.[14]

Enligt skrivelsen kan det också finnas fördelningspolitiska och effektivitetsmässiga eller andra bärande motiv att låta tillsynen finansieras med skattemedel. Det gäller sär­skilt inom områden där tillsynen riktas mot statligt och kommunalt finansierad verk­samhet. En tillsynsavgift bör motsvaras av en tydlig motprestation, uppfattas som rättvis samt inte snedvrida konkurrensen. Avgifterna bör också vara lätt­be­grip­liga och förutsebara och ge incitament till avsedda beteenden hos tillsynsobjekten.[15]

Om det redan finns avgiftslösningar för de aktuella myndigheternas tillsyn bör Stats­kontoret, enligt uppdraget, överväga om avgiftsbestämmelserna kan kompletteras så att de även omfattar tillsynen enligt NIS-direktivet.

De frågor som vi bedömer vara mest relevanta för att göra denna bedömning är föl­jande:

  • Ungefär hur stor andel av leverantörerna kommer uppskattningsvis att omfattas av tillsynen inom de olika sektorerna?
  • Vilka av de berörda sektorerna har redan ett avgiftsfinansierat system?
  • Kan en avgiftsfinansiering vara konkurrenssnedvridande?
  • Vilka erfarenheter har tillsynsmyndigheterna av avgiftsfinansierade till­syns­sys­tem och vad rekommenderar de i detta fall?
Utgångspunkter för ett avgiftsfinansierat system

För att besvara frågan om och hur ett avgiftsfinansierat system kan utformas för varje sek­tor i direktivet tar vi bland annat hänsyn till ESV:s rapport till Tillsyns­ut­red­ningen, Finansiering av tillsyn,[16] och Statskontorets rapport Tänk till om tillsyn[17]. Vi tar också hänsyn till de avgiftsbestämmelser som tillsynsmyndigheterna redan an­vänder för att se om de kan kompletteras så att de även omfattar tillsynen enligt NIS-direktivet. Givetvis är det också av stor betydelse hur tillsynsmyndigheterna själva anser att avgiftsfinansieringen bör utformas inom respektive sektor.

Intervjuer och dokumentstudier

Våra intervjuer med de föreslagna tillsynsmyndigheterna och de kompletterande fråge­formulären ligger till grund för vår bedömning om tillsynsverksamheten bör av­gifts­finansieras och hur den kan utformas för varje sektor. Syftet med intervjuerna är att få en bild av hur myndigheternas avgiftsfinansiering är utformad i dag och hur de ser på ett avgiftsfinansierat system inom ramen för NIS-direktivets krav. Vi har även intervjuat företrädare för Ekonomistyrningsverket (ESV).

Som komplement till intervjuerna har vi tagit del av underlag och rapporter som handlar om informationssäkerhet och tillsyn i en bredare bemärkelse. Exempel är be­tänkandet om genomförande av NIS-direktivet (SOU 2017:36), Informations­säkerhet för samhällsviktiga tjänster, Tänk till om tillsynen. Om utformningen av statlig tillsyn (Statskontoret, 2012) och Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering (Statskontoret, 2015:17) samt (SOU 2004:100) och ESV:s rapport till Tillsynsutredningen: Finansiering av tillsyn (ESV 2004:16). Rege­ringens Lagrådsremiss, Informationssäkerhet för samhällsviktiga och digitala tjänster (15 februari 2018), regeringens skrivelse (2009/10:79) En tydlig, rättssäker och effektiv tillsyn samt Avgiftsförordningen (1992:191) är också viktiga underlag i sam­manhanget.

De ekonomiska konsekvenserna för MSB

I uppdraget ingår även att utreda vilka ekonomiska konsekvenser som förslaget inne­bär för MSB. MSB:s uppgifter i sammanhanget beskrivs i avsnitt 1.6. Enligt upp­dra­get bör Statskontorets utredning innehålla en redovisning av vilka åtgärder som be­döms ge upphov till kostnader samt en bedömning av storleken på kostnaderna. Vi be­handlar frågan i särskild ordning och inte tillsammans med analysen av till­syns­myndigheternas kostnader.

För att besvara denna fråga har vi utgått från utredningens (SOU 2017:36) förslag till nya uppgifter för MSB om implementering och tillämpning av NIS-direktivet. I kapitel 2 beskriver vi de nya uppgifter som MSB antingen redan har påbörjat eller pla­nerar att arbeta med under genomförandet. Bland uppgifterna ingår att vara natio­nell kontaktpunkt, leda ett samarbetsforum för tillsynsmyndigheterna samt stödja de före­slagna tillsynsmyndigheterna med tillsynsmetoder.

Vi har intervjuat företrädare för myndigheten vid två tillfällen. I slutet av processen bad vi myndigheten att lämna synpunkter och komplettera vår beskrivning av myn­dig­hetens roll och uppgifter. Då bad vi även MSB att uppskatta de nya uppgifternas ekonomiska konsekvenser för myndigheten. Vi redovisar vår beskrivning av MSB:s upp­gifter och deras kostnader för detta i kapitel 2.

Projektgrupp, kvalitetssäkring och samverkan

Rapporten har utarbetats av Eshat Aydin och Sebastian Stålfors (projektledare). En in­tern referensgrupp har varit knuten till projektet.

MSB, de föreslagna tillsynsmyndigheterna och ESV har faktagranskat relevanta delar av rapporten.

Statskontoret har i enlighet med uppdraget samverkat med MSB, ESV och de av ut­redningen föreslagna tillsynsmyndigheterna. Statskontoret ansvarar för innehåll, slut­satser och förslag i rapporten.

Rapportens disposition

Efter detta inledande kapitel redogör vi i kapitel 2 för vilka ekonomiska kon­se­kven­ser som följer av de nya uppgifter som MSB kommer att få med anledning av NIS-direk­tivets införande.

I kapitel 3 presenterar vi kostnader och finansiering för de föreslagna tillsyns­myn­dig­heternas nuvarande tillsyn. Vi presenterar även vilken typ av bemyndiganden res­pek­tive myndighet har för att ta ut avgifter för verksamheten.

I kapitel 4 analyserar vi vad de ekonomiska konsekvenserna blir för de föreslagna till­synsmyndigheterna.

I kapitel 5 behandlar vi frågan om den tillsyn som följer av NIS-direktivet bör vara av­giftsfinansierad eller inte. Vi lämnar också en rekommendation i frågan.

I kapitel 6 behandlar vi frågan om hur avgiftsfinansieringen kan utformas för varje sek­tor i NIS-direktivet samt lämnar rekommendationer i frågan.

I kapitel 7 diskuterar vi framtida utmaningar med den nya tillsynen.

MSB:s nya uppgifter och kostnader

I detta kapitel redogör vi för vilka ekonomiska konsekvenser som följer av de upp­gifter som MSB kommer att få med anledning av NIS-direktivet.

Utökade och nya uppgifter för MSB

I praktiken kommer utredningsförslaget om att införa och tillämpa NIS-direktivet att med­föra att MSB får ett antal utökade och nya uppgifter. Bland dessa ingår exem­pel­vis att

  • vara nationell kontaktpunkt
  • representera Sverige i en strategisk samarbetsgrupp på unionsnivå
  • utöka kapaciteten och förmågan i sin CSIRT-funktion (Computer Security Inci­dent Response Team)
  • representera Sverige i ett operativt CSIRT-nätverk på unionsnivå
  • leda ett samarbetsforum för tillsynsmyndigheter på nationell nivå, och stödja des­sa myndigheter i deras arbete
  • ta fram föreskrifter
  • som stöd för identifiering av leverantörer av samhällsviktiga tjänster
  • med krav på leverantörernas arbete med systematiskt och riskbaserat infor­ma­tionssäkerhetsarbete
  • med krav på rapportering av incidenter för leverantörer av samhällsviktiga tjänster
  • med krav på rapportering av incidenter för leverantörer av digitala tjänster
  • rörande frivillig rapportering av incidenter
  • stödja de föreslagna tillsynsmyndigheterna med tillsynsmetodik
  • utveckla ett tekniskt och administrativt system för mottagning av incident­rap­porter
  • genomföra kommunikationsinsatser för att informera om regelpaketet, kraven och stödet för ett systematiskt och riskbaserat informationssäkerhetsarbete.[18]

MSB har dessutom fått i uppdrag av regeringen att genomföra vissa åtgärder för att för­bereda införandet av direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå av säkerhet i nätverks- och informationssystem i hela unionen. Enligt uppdraget ska MSB:

  • med stöd av IVO, Finansinspektionen, Energimyndigheten, PTS, Transport­sty­rel­sen, Livsmedelsverket och andra relevanta myndigheter upprätta den förteckning som följer av artikel 5 i direktivet 2016/1148/EU
  • i samverkan med PTS identifiera vilka digitala tjänster enligt bilaga 3 i direktivet 2016/1148/EU som finns i Sverige
  • inleda förberedelseåtgärder med anledning av kravet på incidentrapportering.[19]

I det följande beskriver vi MSB:s nya uppgifter.

Nationell kontaktpunkt för Sverige

Enligt NIS-direktivet ska varje medlemsstat utse en gemensam nationell kontakt­punkt för säkerhet i nätverk och informationssystem. Denna kontaktpunkt ska verka för att införa direktivet på ett effektivt sätt. Enligt regeringens särskilda utredare (SOU 2017:36) har MSB den struktur som krävs för att få rollen som nationell kon­takt­punkt, i och med den kompetens och de uppdrag MSB redan har inom området in­forma­tionssäkerhet.[20]

Den nationella kontaktpunkten ska fungera som en sambandsfunktion för de berörda myndigheter i medlemsstaterna, den samarbetsgrupp på unionsnivå som inrättas genom NIS-direktivet och nätverket för de så kallade CSIRT-enheter (Computer Security Incident Response Team) som ska finnas på nationell nivå. Kontaktpunkten ska även, samråda och samarbeta med rättsvårdande myndigheter och dataskydds­myn­digheter nationellt, när det är lämpligt.[21]

Representera Sverige i samarbetsgrupp på unionsnivå

EU kommer att skapa en samarbetsgrupp för att utveckla samarbete och infor­ma­tions­utbyte, samt tilliten mellan medlemsstaterna. Gruppens syfte är att nå en gemen­sam nivå på säkerheten i nätverk för informationssystem.[22]

Varje år ska MSB lämna en sammanfattande rapport till samarbetsgruppen om de inci­denter som myndigheten har tagit emot. Rapporten ska visa hur många incident­rapporter MSB har fått, incidenternas art samt vilka säkerhetsåtgärder som myn­dig­heterna vidtagit.[23]

MSB ska som nationell kontaktpunkt företräda Sverige i samarbetsgruppen. Grup­pens uppgifter omfattar också att hjälpa medlemsstaterna att tillämpa en enhetlig me­tod för att identifiera leverantörer av samhällsviktiga tjänster.[24]

Utredningen anser att samarbetsgruppen kan bygga upp kapacitet och kunskap bland med­lemsstaterna genom att bland annat

  • fungera som ett instrument för utbyte av bästa praxis
  • samarbeta med unionsinstitutioner, -organ, och -byråer
  • ge råd om säkerhetsaspekter på nätverk för informationssystem som kan på­verka deras arbete
  • delta i diskussioner om medlemsstaternas kapacitet och beredskap.[25]

Samarbetsgruppen har möten fyra gånger per år och dessutom möten i arbetsgrupper. Medlemsstaternas kontaktpunkter ska bidra till arbetet med att ta fram vägledningar och bästa praxis-dokument. De ska också leda aktiviteter inom ramen för sam­arbets­gruppens arbetsprogram.

CSIRT-enhet – ett incidenthanteringsorgan

Varje medlemsstat ska utse en nationell CSIRT-enhet som ansvarar för att hantera in­cidenter och risker. Dessa enheter ska garantera att varje medlemsstat kan hantera in­cidenter på ett effektivt sätt. Sveriges enhet, heter CERT-SE och finns hos MSB. Till enhetens uppgifter hör exempelvis att

  • tillhandahålla varningar och larm om risker och incidenter
  • ta emot incidentrapporter och agera utifrån dem
  • fastslå möjliga gränsöverskridande verkningar av incidenterna och om det är läm­pligt att informera medlemsstaterna om hur incidenterna påverkar kon­ti­nui­te­ten i samhällsviktiga tjänster
  • göra analyser och riskbedömningar och upprätthålla en lägesbild
  • delta i och utbyta information i EU:s CSIRT-nätverk.[26]
Väntad ökning av arbetsuppgifterna för den nationella CSIRT-enheten

MSB bedömer att arbetsuppgifterna för MSB och CERT-SE kommer att öka be­tydligt i omfattning, i samband med att kraven på incidentrapportering införs för leve­rantörer av samhällsviktiga och digitala tjänster. Som en jämförelse nämner myn­digheten att MSB och CERT-SE under 2017 tog emot drygt 300 inci­dent­rap­porter från de statliga myndigheterna. Men antalet leverantörer med skyldighet att rapportera incidenter från och med att det nya regelverket börjar gälla uppskattas kun­na bli flera tusen. Därför bedömer MSB att antalet incidentrapporter som ska om­händertas med stor sannolikhet kommer att mångdubblas.

I arbetet med att ta emot incidentrapporter ingår även att vid behov kunna lämna in­formation som underlättar för de berörda aktörerna att hantera de aktuella in­ci­den­terna. Enligt MSB är det mycket viktigt att återkoppla och ge operativt stöd till ak­tö­rerna när det inträffar incidenter för att kunna uppnå syftet med NIS-direktivet. MSB anser att den förstärkta incidenthanteringen kommer att kräva mera resurser än myn­digheten har tillgång till i dag.

Representera Sverige i CSIRT-nätverk på unionsnivå

Enligt direktivet ska ett nätverk av nationella CSIRT-enheter etableras på unions­nivå. Sverige ska företrädas av MSB/CERT-SE i detta nätverk. CSIRT-nätverket och res­pektive CSIRT-enhet ska utveckla metoder och system för att dela information och utbyta erfarenheter. Detta kräver investeringar i säkra kommunikationssystem och rutiner. Nätverket har möten fyra gånger per år.

Nätverket för CSIRT-enheterna ska också kontinuerligt informera den ovan nämnda samarbetsgruppen på unionsnivå (avsnitt 2.1.2) om sin verksamhet. Detta ska nätverket göra genom bland annat en rapport, som exempelvis ska innehålla en bedömning av erfarenheterna av det operativa samarbetet, inklusive slutsatser och rekommendationer.

Enligt utredningen om NIS-direktivets genomförande bör också allmänheten och företag informeras om incidenter. Sådan information finns i vissa fall redan tillgäng­lig via nationella webbplatser. Då fokuserar informationen på nationella incidenter och händelser. Eftersom företagens verksamhet blir mer och mer gränsöverskridande och medborgare använder onlinetjänster, anser utredningen att informationen bör finnas i samlad form på unionsnivå.[27]

Ett nationellt samarbetsforum för tillsynsmyndigheterna

Enligt utredningen ska de föreslagna tillsynsmyndigheterna, den gemensamma natio­nella kontaktpunkten och CSIRT-enheten samarbeta om att införa NIS-direk­tivet i Sverige. I egenskap av nationell kontaktpunkt ska MSB skapa och leda detta forum för samarbete mellan tillsynsmyndigheterna, och stödja dem i deras till­syns­arbete.[28]

Syftet med samarbetsforumet är att införa NIS-direktivet på ett harmoniserat sätt och att öka säkerheten i nätverk och informationssystem när direktivet tillämpas. En av huvudfrågorna i sammanhanget handlar om att koordinera arbetet med tillsyn mellan olika tillsynsmyndigheter. Samarbetsforumet kommer bland annat att föra diskus­sio­ner om hur tillsynen ska genomföras, till exempel konkreta frågor om intervall, metoder och strategier. Forumet kommer också att behandla utkast på föreskrifter, rutiner för samarbete och informationsdelning, utbyte av kompetens och er­faren­heter, samt kommunikationsinsatser och kommunikationsansvar.

MSB har redan bildat ett sådant forum för samarbete där tillsynsmyndigheterna träffas regelbundet och det är MSB som är sammankallande i detta forum (se även kapitel 1). Forumet träffas varje månad och har däremellan möten med under­arbets­grupper, till exempel inom tillsynssamordning respektive kommunikation. MSB har i uppdrag att vägleda tillsynsmyndigheterna i deras kommande arbete och därmed anser MSB att de i stor utsträckning redan har kommit en bit på vägen i arbetet med att skapa en plattform för samarbete och samsyn när det gäller tillämpning av NIS-reglering och tillsyn.

Föreskrifter

I MSB:s uppgifter ingår också att ta fram föreskrifter för leverantörer av sam­hälls­viktiga tjänster och digitala tjänster. Förteckningen över samhällsviktiga tjänster som ska tas fram ska även den ges ut som föreskrift.

Arbetet med föreskrifterna utgår huvudsakligen från de föreskrifter och allmänna råd som myndigheten tidigare har utfärdat för statliga myndigheter (MSBFS 2016:1[29] MSBFS 2016:2[30]). Inriktningen i MSB:s arbete är att föreskrifterna bör börja gälla samtidigt med lag och förordning inom området. I september 2017 påbörjades därför arbetet med följande fem föreskrifter:

  • Föreskrifter om identifiering av samhällsviktiga leverantörer (förteckning)
  • Föreskrifter om krav på systematiskt och riskbaserat informations­säker­hets­arbete
  • Föreskrifter om incidentrapportering för leverantörer av samhällsviktiga tjänster
  • Föreskrifter om incidentrapportering för leverantörer av digitala tjänster
  • Föreskrifter rörande frivillig rapportering av incidenter

Under processen med att ta fram föreskrifterna har tillsynsmyndigheterna fått tillfälle att följa arbetet och lämna synpunkter.

Föreskrifter om identifiering av samhällsviktiga leverantörer – förteckning över samhällsviktiga tjänster

Förteckningen över samhällsviktiga tjänster och digitala tjänster ska stödja leve­ran­törerna. Regeringens uppdrag till MSB att förbereda införandet av NIS-direktivet anger bland annat att ”arbetet med att identifiera samhällsviktiga tjänster måste på­börjas redan nu”[31]. Detta uppdrag redovisades den 15 januari 2018. Regeringen anser att det är viktigt att leverantörerna kan få tid för förberedelser inför att NIS-regle­ringen börjar gälla.

MSB redogjorde i regeringsuppdraget för både vilka tjänster som berörs och vilka kri­terier/tröskelvärden som ska beaktas. Därmed kan aktörerna bedöma om de om­fattas av regleringen, och om de är ”leverantörer av samhällsviktiga tjänster”. I detta arbete inhämtade MSB underlag och förde diskussioner med de föreslagna tillsyns­myn­digheterna.

Enligt den lagrådsremiss som överlämnades till lagrådet 15 februari 2018 ska leve­ran­törer av samhällsviktiga tjänster utan dröjsmål anmäla sig till aktuell till­syns­myn­dighet. Det är viktigt att leverantörerna ger sig tillkänna efter att de har bedömt att de omfattas av regelverket, både för att de ska kunna använda det tekniska stödet för rap­porteringen, för att det ska gå att sammanställa den lista över antalet leverantörer som ska rapporteras till EU i november 2018 och för att möjliggöra tillsyn. MSB kommer att arbeta med riktad information för att leverantörerna ska få vetskap om lagen och de krav som följer av den, även om det blir svårt att nå alla.

MSB bedömer att listan över samtliga leverantörer som de facto omfattas av dire­ktivet inte kommer att vara färdig förrän 2019. Det kan till exempel bli svårt att få privata företag att ge sig tillkänna, eftersom de tenderar att fråga sig vad de själva får ut av det här. Detta ställer framför allt höga krav på kommunikation och mål­grupps­perspektiv.

MSB arbetar nu med att ta fram föreskrifter med en förteckning, inklusive stöd för leverantörer att kunna identifiera sig själva. Enligt NIS-direktivet ska förteckningen upp­dateras vartannat år, vilket gör att föreskriftsarbetet i praktiken nästan behöver be­drivas kontinuerligt.

Föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete

Arbetet med dessa föreskrifter utgår huvudsakligen från de föreskrifter och allmänna råd som MSB har utfärdat för statliga myndigheter (MSBFS 2016:1). Men även stan­dar­den i Ledningssystem för Informationssäkerhet (ISO 27001) är en viktig ut­gångs­punkt för MSB:s arbete med föreskrifter samt för vägledningar och andra former av stöd för tillsyn.

MSB tillhandahåller stöd för att tillämpa de föreskrifterna som gäller systematiskt och riskbaserat arbete. Stödet ges bland annat i form av ett metodstöd som myndig­heten tar fram med hjälp av externa arbets- och referensgrupper.

Föreskrifter om incidentrapportering

MSB:s föreskrifter om incidentrapportering ska tydliggöra för leverantörerna

  • vad som ska rapporteras
  • när det ska rapporteras
  • hur rapporteringen ska gå till.

Föreskrifterna hämtar sin grund från föreskrifterna och allmänna råd om statliga myn­digheters rapportering av it-incidenter (MSBFS 2016:2). När MSB tar fram före­skrifterna stämmer de av arbetet med de som utvecklar det tekniska verktyget för incidentrapportering. Myndigheten undersöker också behoven inom de analys­pro­cesser som ska arbeta med återkoppling av olika slag.

Föreskrifterna för leverantörerna av samhällsviktiga tjänster respektive för leve­ran­törerna av digitala tjänster är snarlika men inte identiska. Den största skillnaden mellan de båda grupperna är att kraven på leverantörer av digitala tjänster tydliggörs i en genomförandetakt som tas fram av EU-kommissionen. Kraven på leverantörer av samhällsviktiga tjänster tas fram av respektive medlemsstat.

Föreskrifter om frivillig rapportering av incidenter

Enligt NIS-direktivet får även enheter som inte har identifierats som leverantörer av samhällsviktiga tjänster och som inte är leverantörer av digitala tjänster frivilligt rapportera incidenter som har en betydande inverkan på kontinuiteten i de tjänster som de tillhandahåller. Utredningen föreslår att MSB får meddela föreskrifter om förutsättningarna för frivillig rapportering av incidenter. MSB arbetar också med att ta fram föreskrifter alternativt anvisningar om hur rapportering ska kunna ske till MSB på frivillig grund.

Stödja tillsynsmyndigheterna med tillsynsmetodik

Utredningen föreslår även att MSB ska få i uppdrag att tillhandahålla det metodstöd som tillsynsmyndigheterna behöver för att kunna bedriva en effektiv tillsyn enligt det föreslagna regelverket.

MSB har utifrån sin tolkning av uppdraget ambitionen att skapa förutsättningar (i form av föreskrifter, vägledning, stöd etc.) för en enhetlig tillsyn över sektorerna. Myn­digheten menar att systemet för tillsyn inte kan skilja sig mycket över sektorerna, eftersom tillsynen utgår från ett gemensamt regelverk och från ge­men­samma krav om systematiskt och riskbaserat informationssäkerhetsarbete samt in­cident­rapportering. MSB bedömer följaktligen att det inte ska behövas så många sektorsspecifika krav. Tanken är att systematiken för tillsynsarbetet ska vara så lika som möjligt.

MSB menar att de berörda tillsynsmyndigheterna är positiva till att samarbeta om ett gemensamt synsätt för att genomföra tillsynen.

Ett tekniskt och administrativt system för incidentrapporter

Parallellt med föreskriftsarbetet behöver MSB ta fram metoder och verktyg för inci­dent­rapportering. Denna metod behöver inkludera hanteringen från det att en aktör identifierat att en incident bör rapporteras till att rapporten mottagits hos MSB och ana­lyserats. MSB behöver även ta fram processer för att identifiera vilket direkt stöd som behövs, varna berörda i Sverige och EU samt delge rapporter till till­syns­myn­digheterna.

MSB arbetar även med att ta fram ett verktyg för it-incidentrapportering så att aktörer med skyldighet att rapportera enligt NIS-direktivet ska kunna rapportera incidenter via en säker webbapplikation. Även de som rapporterar enligt MSBFS 2016:2[32] ska kunna använda detta verktyg. Verktyget ska underlätta för MSB att ta emot och han­tera rapporter, men även stödja myndighetens arbete med att informera respektive till­synsmyndighet.

Erfarenheter från uppstart och hantering av incidentrapporter enligt MSBFS 2016:2 samt tidigare utvecklingsarbete ligger till grund för arbetet med dessa metoder och verk­tyg.

Informationsinsatser gentemot leverantörer

Ett lyckat genomförande av NIS-direktivet kräver att berörda leverantörer får infor­ma­tion om genomförandet och vad som förväntas av dem.

I egenskap av koordinerande funktion behöver MSB lägga mycket resurser på kom­muni­kationsinsatser. Inom ramen för MSB:s samverkansforum med till­syns­myn­dig­heterna har MSB därför startat ett nätverk för kommunikation. Detta nätverk ska bidra till att samordna kommunikationsinsatserna på övergripande och på sektors­specifik nivå. MSB bedömer också att de behöver genomföra regionturnéer när lag och förordning väl är på plats, för att stödja aktörerna i att genomföra NIS-direktivets bestämmelser.

Nya uppgifter får ekonomiska konsekvenser

Av NIS-direktivet framgår att medlemsstaterna ska säkerställa att behöriga myn­dig­heter och de nationella kontaktpunkterna har tillräckliga resurser för att på ett effek­tivt sätt kunna utföra sina uppgifter, och därmed uppnå målen med direktivet (artikel 8.5). Därför bör den nationella kontaktpunkten i varje medlemsstat få alla nöd­vän­diga tekniska, finansiella, och personella resurser för att kunna utföra sina upp­gifter.[33]

Direktivet ska förbättra funktionen för den inre marknaden genom att skapa tillit och förtroende. Därför måste kontaktpunkten bland annat ha en lämplig struktur för att kunna samarbeta med privata aktörer på området. Den nationella CSIRT-enheten på MSB ska också ha de resurser som enheten behöver för att effektivt kunna utföra sina uppgifter. Detta innebär att enheten bland annat behöver ha tillgång till en lämp­lig, säker och motståndskraftig infrastruktur för kommunikation och information.[34]

Nya uppgifter bör finansieras med anslag och avgifter

Enligt MSB behöver myndigheten avsätta totalt 10–11 årsarbetskrafter samt anlita 3 konsulter till arbetet med de nya uppgifterna. 7 av årsarbetskrafterna utgörs av ny­rekryteringar medan 3–4 årsarbetskrafter är befintliga resurser. Myndigheten upp­skattar att de totala kostnaderna för de nya uppgifterna kommer att uppgå till 14 mil­joner kronor per år inklusive overheadkostnader.

MSB planerar att utveckla de tekniska systemen med befintliga resurser, men detta är trots allt en kostnad som följer med de nya uppgifterna.

Utredningen (SOU 2017:36) bedömer att stöd i form av metodutveckling som gäller till­syn, utbildning och informationsinsatser till de berörda tillsynsmyndigheterna bör finansieras med medel från anslaget 2:4 Krisberedskap för utgiftsområde 6.[35] Sådant stöd ryms under åtgärder för funktionalitet och kontinuitet i samhällsviktig verk­sam­het och samhällsviktig informationsinfrastruktur.[36]

När det gäller övriga uppdrag anser utredningen att dessa, ska finansieras inom ut­gifts­området, om de inte ingår i MSB:s nuvarande uppdrag.[37] MSB bedömer att även de uppgifter som ingår i deras nuvarande uppdrag kommer att påtagligt öka i om­fatt­ning. Därför anser MSB att myndigheten behöver ytterligare tillskott av resurser. Detta gäller särskilt resurser för incidentrapportering.

Statskontorets bedömning

NIS-direktivet kommer att medföra betydande merarbete för MSB. Antalet in­ci­dent­rapporter kommer sannolikt att öka från dagens dryga 300 till flera tusen per år. Dess­utom kommer arbetet med att lämna information för att hantera incidenter och åter­koppling till berörda aktörer att öka. Sammantaget kommer MSB därför att be­höva avsätta betydande resurser till sina nya arbetsuppgifter.

Statskontoret bedömer att de ekonomiska konsekvenserna för MSB i stora delar också kommer att avgöras av hur MSB själv väljer att genomföra de nya uppgifterna. Vi har därför ingen anledning att i detta läge ifrågasätta MSB:s egen bedömning av vilka resurser som de nya uppgifterna kräver. Men det går heller inte i nuläget att exakt beräkna hur stora resurser införandet av NIS-direktivet kommer att kräva, var­ken när det gäller MSB eller övriga myndigheter. Det är därför viktigt att MSB och de övriga myndigheterna noga redovisar kostnader och prestationer för det arbete som följer av NIS-direktivet, särskilt under de närmaste åren (se även kapitel 7).

Myndigheternas nuvarande tillsyn

I detta kapitel redogör vi för de föreslagna tillsynsmyndigheternas nuvarande tillsyn. Vi redovisar bland annat innehållet och omfattningen av tillsynen, vad den kostar, hur den finansieras samt vilken typ av bemyndiganden myndigheterna har för att ta ut avgifter. Vår redovisning syftar framför allt till att förstå och kunna bedöma hur vana myndigheterna är vid tillsyn och vilka eventuella synergieffekter det kan finnas mellan den nuvarande tillsynsverksamheten och den nya tillsynen. Redovisningen bidrar även till vår bedömning om tillförlitligheten i myndigheternas uppskattningar av kostnaderna.

Statlig avgiftsbelagd verksamhet

Statlig tillsynsverksamhet kan antingen finansieras med statliga budgetmedel eller genom avgifter från tillsynsobjekten. Enligt Tillsynsutredningen (SOU 2004:100) tar två tredjedelar av de statliga tillsynsmyndigheterna ut någon form av avgift för hela eller delar av sin tillsyn.

En svårighet vid beräkningen av avgiftsintäkter är hur olika myndigheters till­syns­avgifter bör avgränsas. Många myndigheter tar ut avgifter för registrering eller för att utfärda tillstånd. Men avgifterna ska också i vissa fall täcka kostnaderna för till­syn. Men många myndigheter redovisar sina avgiftsintäkter i en klump, utan att kopp­la dem till de olika verksamheterna.[38]

Tillsyn är en offentligrättslig verksamhet

Tillsyn är en offentligrättslig verksamhet som kan innebära myndighetsutövning mot en enskild. Det innebär också att tillsynsobjekten måste betala de avgifter som till­syns­myndigheterna tar ut.[39] Enligt regeringsformen är det riksdagen som ska fatta beslut om att införa avgifter som innebär ingrepp i enskildas ekonomiska för­hål­lan­den. Dessa avgifter kallas offentligrättsliga, tvingande eller belastande. Riksdagen kan delegera rätten att bestämma storleken på de offentligrättsliga avgifterna till rege­ringen eller till kommunerna. Regeringen kan bara överlåta åt en myndighet att be­stämma nivån på en offentligrättslig avgift om riksdagen har medgett detta.[40]

Bemyndiganden styr tillsynsmyndigheternas befogenhet

En myndighet får alltså ta ut avgifter för varor och tjänster, besluta om avgiftens stor­lek och disponera avgiftsinkomsterna om detta följer av lag eller förordning eller av ett särskilt regeringsbeslut. Myndigheten får vanligtvis sitt bemyndigande att be­stäm­ma storleken på och ta ut avgift för frivilligt efterfrågade varor och tjänster i sin in­struktion. Stödet för att disponera inkomsterna i den avgiftsbelagda verksamheten får myndigheten normalt i regleringsbrevet eller i instruktionen.

Regeringen har successivt utvecklat formerna för att styra avgiftsbelagd verksamhet. I avgiftsförordningen (1992:191) framgår att en myndighet behöver ett bemyn­di­gande för att få bestämma storleken på och ta ut en avgift. Där framgår också att full kost­nadstäckning gäller som ekonomiskt mål om inget annat har beslutats. En sådan pris­sättning innebär ett tydligt samband mellan avgiften som myndigheten tar ut och kost­naden för prestationen.[41] Myndigheten behöver också stöd i regelverket för att få disponera avgiftsinkomsterna. Annars tillfaller de statskassan. Viktigt för styr­ningen är också den budget i myndigheters regleringsbrev som avser uttaget av av­gifter.[42]

Fyra huvudmodeller för bemyndiganden

Tillsynsutredningen (SOU 2004:100) redovisar fyra huvudmodeller för myn­dig­he­ter­nas ansvar och bemyndiganden när det gäller tillsynsutgifterna. I praktiken innebär modellerna följande:

  1. I den första modellen får myndigheten inte besluta om avgifternas storlek och inte heller disponera intäkterna.
  2. I den andra modellen får myndigheten inte besluta om avgifternas storlek, men myndigheten får disponera intäkterna.
  3. I den tredje modellen får tillsynsmyndigheten besluta om avgifternas storlek men inte disponera intäkterna.
  4. I den fjärde modellen får myndigheten både besluta om avgifternas storlek och dis­ponera intäkterna.

Modellerna ett och fyra är de vanligaste. Men även om rätten att besluta om storleken på avgifterna har delegerats till en myndighet kan regeringen ange vissa restriktioner, till exempel ett tak för storleken på vissa avgifter. Det är regeringen som beslutar om nivån på tillsynsavgifter för 60 procent av de statliga myndigheterna, och till­syns­myndigheterna som beslutar om de resterande 40 procenten. Myndigheterna dis­po­nerar cirka hälften av avgiftsintäkterna. För kommunala myndigheters avgifter gäller samma regler som för de statliga. Men en skillnad är att kommunerna vanligtvis själva kan bestämma nivån på tillsynsavgifterna inom vissa ramar.[43]

Statskontoret har i en tidigare utredning uppmärksammat svårigheten med att ge en en­tydig bild av hur olika tillsynsavgifter är konstruerade. Variationen är stor och ”pris­listorna” är ofta omfattande och svåra att förstå. Men enligt utredningen är mo­dellen med en årlig och fast avgift från alla tillsynsobjekt vanlig. Men det verkar snarare vara vanligt med enbart rörliga tillsynsavgifter när tillsynen gäller ett relativt stort antal tillsynsobjekt och tillsynen sker regelbundet, till exempel inom miljö­området. Rörliga avgifter beräknas i princip med utgångspunkt i tillsyns­myn­dig­heternas egna kostnader och med krav på delvis eller full kostnadstäckning.[44]

I figuren nedan har vi kategoriserat de föreslagna tillsynsmyndigheterna utifrån Till­syns­utredningens fyra huvudmodeller för bemyndiganden.

Figur 2 Myndigheternas bemyndiganden vad gäller tillsynsavgifter

, En kvadrat indelad i fyra rutor med rubrikerna Inte besluta, besluta över rutorna och Inte disponera och disponera bredvid rutorna., IVO, Finansinspektionen och Energimyndigheten finns i rutan Inte disponera/Inte besluta, dessa myndigheterna har delvis rätt att disponera avgifter, men inte i huvudsak. Transportstyrelsen finns i rutan Inte disponera/Besluta. Rutan Disponera/Inte besluta är tom. i rutan Disponera/Besluta finns PTS och Livsmedelsverket. PTS har i huvudsak rätt att disponera avgifter, men delvis inte.

Källa: Figuren bygger på Statskontoret (2012), Tänk till om tillsyn, s. 32. Statskontorets egen kategorisering av myndigheterna. *Myndigheterna har delvis rätt att disponera avgifter, men inte i huvudsak. **Myndigheten har i huvudsak rätt att disponera avgifter, men delvis inte.

PTS och Livsmedelsverket är de enda myndigheterna som både kan besluta om sina av­gifters storlek och disponera intäkterna. Transportstyrelsen kan besluta om av­gif­ternas storlek men inte disponera intäkterna. IVO, Finansinspektionen och Energi­myn­digheten kan i huvudsak varken besluta om avgifternas storlek eller disponera in­täkterna.

Nästan samtliga myndigheter tar ut avgifter för tillsynen

Det är bara IVO bland de sex föreslagna tillsynsmyndigheterna som endast har en mar­ginell tillsyn som är avgiftsbelagd. De tar ut en avgift för tillsyn av blod- och väv­nads­verksamhet. Skälet är att IVO:s tillsyn gäller vård- och omsorgsområdet, alltså samhällsåtaganden som i huvudsak finansieras med offentliga medel.[45]

Energimyndighetens tillsyn är huvudsakligen finansierad genom anslag. Bland de till­synsområden som myndigheten bedömer ligger nära bestämmelserna i NIS-dire­kti­vet är det endast tillsynen av naturgas som är avgiftsfinansierad. Det är regeringen som beslutar om avgifternas storlek i detta fall, utifrån en schablonkostnad per timme. Det är Energimyndigheten som fastställer denna schablon. Myndigheten får inte disponera intäkterna från dessa avgifter direkt, utan de får dem som anslag efter sär­redovisning av kostnader som faktureras Miljö- och energidepartementet varje år, i efterhand.[46]

Finansinspektionen får ta ut avgifter för tillsyn från finansiella företag och personer som verkar i Sverige, enligt förordningen (2007:1135) om årliga avgifter för finan­siering av myndighetens verksamhet. Finansinspektionen tar ut både årliga avgifter och avgifter för prövning av tillstånd och anmälningar. Det är regeringen som be­slu­tar om storleken på avgifterna efter förslag från Finansinspektionen. Avgifterna dis­po­neras inte direkt, utan går till statsbudgeten. Finansinspektionen får anslag från stats­budgeten varje år. Finansinspektionen använder även viss direkt avgifts­finan­siering inom tillståndsprövningen.[47]

I livsmedelssektorn genomförs stora delar av tillsynen av kommunerna, med stöd i en vägledning och riskklassning som Livsmedelsverket har tagit fram. Livs­medels­verkets avgifter för den kontroll som de själva genomför följer samma principer som kom­munernas avgiftsfinansiering. Enligt förordningen (2006:1166) om avgifter för offentlig kontroll av livsmedel och vissa jordbruksprodukter får myndigheten ta ut av­gifter för tillsyn. Myndigheten får även meddela föreskrifter om avgifternas stor­lek, och disponerar intäkterna från den avgiftsbelagda verksamheten direkt.[48]

PTS tillsyn i enlighet med lagen om elektronisk kommunikation finansieras med av­gifter från operatörer samt från företag och personer som har tillstånd, exempelvis för olika typer av radioanvändning. Myndigheten får föreskriva om avgifter, bland annat med stöd av 11 § förordning om finansiering av Post- och telestyrelsens verk­samhet samt 47 § förordning om elektronisk kommunikation. Större delen av av­gif­terna får myndigheten disponera direkt, men de får inte disponera avgifterna för åt­gärder för att skydda elektroniska kommunikationer mot allvarliga hot och på­frest­ningar i fredstid som sker med stöd av LEK. Viss tillsyn är anslagsfinansierad, näm­ligen tillsynen av betrodda tjänster enligt den så kallade eIDAS-förordningen och till­synen av toppdomäner enligt den så kallade Toppdomänlagen.[49]

Transportstyrelsen får ta ut avgifter för tillsyn enligt de förordningar som styr myn­dig­hetens verksamhet. Som regel disponerar myndigheten inte intäkterna, utan får ett anslag varje år, även om de får disponera en liten del direkt.[50] Avgifterna bygger på den tid som läggs ner inom varje verksamhet och på vilka olika typer av uppgifter som utförs. Myndigheten avgör vilken typ av avgift som bäst lämpar sig för varje verk­samhet. Oavsett om myndigheten disponerar intäkterna direkt eller inte sker be­räkningen av avgifterna med målet att de ska ge full kostnadstäckning på sikt.[51]

I det följande redovisar vi de föreslagna myndigheternas nuvarande tillsyn och dess kostnader. Vi har som mål att redovisa så aktuella siffror som möjligt och därför har vi valt uppgifter för perioden 2015–2017. Men vi har inte kunnat göra det för Energi­myndigheten och PTS eftersom de inte särredovisar kostnader för sin nuvarande till­syn. I fallet Transportstyrelsen har vi endast uppgifter för perioden 2014–2016, efter­som de ännu inte har publicerat några uppgifter för 2017.

Energimyndigheten

Myndighetens ska bland annat förvalta frågor om tillförsel och användning av energi i samhället. Uppdraget omfattar också att ha tillsyn över och pröva frågor om bered­skaps­lagring av olja, trygg naturgasförsörjning och elcertifikat. Dessa områden lig­ger nära de områden som ska tillsynas enligt NIS-direktivet.[52]

Energimyndighetens nuvarande tillsyn

Energimyndigheten har i dag ingen tillsyn inom områdena informationssäkerhet eller systematiskt säkerhetsarbete. Dessa områden ingår i tillsynen enligt NIS-direk­tivet. Myndigheten har viss tillsyn över systematiskt riskarbete i delar av natur­gas­branschen. Myndigheten har omvärldsbevakning och gör risk- och sårbarhets­ana­lyser för hela energisektorn, ett arbete som delvis kan ligga till grund för en risk­baserad tillsyn. Energimyndigheten arbetar kontinuerligt med stöd och utveckling, genom information och vägledning till de objekt som är föremål för tillsyn. Syftet är att underlätta för tillsynsobjekten att förstå regelverket utifrån sin verksamhet, och på så sätt förebygga fel.[53]

När det gäller tillsynsområdena i NIS-direktivet bedriver myndigheten närliggande tillsyn inom områdena olja, gas och el.

Tillsynsområde olja

Inom beredskapslagring av olja kontrollerar Energimyndigheten större importörer, för­säljare och förbrukare av olja och drivmedel, samt större lagringsbolag. Totalt kon­trollerades cirka 70 objekt under 2017. Tillsynen är främst regelbunden och kon­trol­lerande, men även förebyggande. Vanliga metoder för tillsyn är löpande dialog, plats­besök och begäran om kompletteringar.

Inom hållbarhetskriterier för bränslen och drivmedel (HBL) kontrolleras leve­ran­törer av drivmedel och bränslen från biomassa, samt större egenanvändare (som gruv­drift). Det rör sig i dag om cirka 150 företag, vilka söker skattelättnader genom ett hållbarhetsbevis.

Inom området drivmedelslagen kontrollerar Energimyndigheten aktörer som leve­rerar alla typer av drivmedel och bränslen. Antalet leverantörer är cirka 40 företag 2017, men myndigheten bedömer att antalet kommer att öka till ungefär 70 företag under 2018. Även en beräkning av andelen förnybara drivmedel och deras påverkan på växthuseffekten sker av tillsynsobjekten själva. De har mandat att i första hand själva kontrollera rimligheten i beräkningarna.

Inom samtliga områden lämnar tillsynsobjekten in dokumenterade underlag och ana­lyser, som myndigheten sedan kontrollerar.

Myndigheten har inte kunnat ange antalet tillsyner som genomförs inom verk­sam­hets­området olja per år. Myndigheten uppger att 30 av de cirka 70 tillsynsobjekten som är aktuella inom beredskapslagring av olja och drivmedel rapporterar en gång per månad. Alla 70 objekt rapporterar minst en gång per år.

Tillsynsområde gas

Inom området gas genomför Energimyndigheten i första hand förebyggande, men även reaktiv och repressiv tillsyn. Konkreta medel för granskningen är dialog, plats­besök och begäran om rapportering. För naturgasföretagen tillämpar myndigheten främst regelbunden och kontrollerande tillsyn.

Energimyndigheten har inte heller kunnat ange antalet tillsyner som genomförs inom området gas. Men myndigheten konstaterar att större slutförbrukare lämnar in verk­sam­hets­rapporter per månad och år.

Även naturgasföretagen lämnar årliga rapporter till Energimyndigheten. Myn­dig­he­ten ordnar också forummöten fyra gånger per år. Därutöver arrangerar myndigheten in­formationsmöten ett par gånger per år för de naturgasföretag som myndigheten har tillsyn över.

Tillsynsområde el

Myndighetens tillsyn inom området elcertifikat är i huvudsak kontrollerande. Myn­dig­heten kontrollerar ansökningar från nya aktörer som vill in i systemet. Därtill sker auto­matiserad avvikelsekontroll inom elområdet, samt regelbunden och kon­trol­lerande tillsyn av vanligt förekommande fel. Även repressiv tillsyn genomförs vid ett par tillfällen per år. Några gånger per år anmäler också bolagen själva fel och bris­ter som kan resultera i tillsyn från myndigheten. Antalet tillsynsobjekt inom detta om­råde är cirka 6 000–7 000, enligt Energimyndigheten.

Myndigheten uppger att alla aktörer inom området som är föremål för tillsyn rap­por­terar när de kommer in i systemet. Tillsynsobjekten lämnar timvisa mätvärdes­rapporter varje timme, sammanställningar varje dygn, och en samlad deklaration en gång per år. Myndigheten har inte kunnat ange antalet tillsyner som myndigheten ge­nom­för inom verksamhetsområdet.

Myndigheten bedriver också tillsyn över ursprungsgarantier för el. Tillsynen inom detta område är kontrollerande. För 2017 har regelbunden tillsyn skett i begränsad om­fattning, men enligt myndigheten har även reaktiv och repressiv tillsyn före­kommit vid behov.

Energimyndighetens kostnader för nuvarande tillsyn

Energimyndigheten uppger att det inte är möjligt att särredovisa övergripande kost­nader för tillsynen. Det beror på att tillsynen är beroende av annan verksamhet inom myn­digheten, som till exempel hantering av tillstånd, olika rapporteringar, statistik, regel­utveckling och omvärldsbevakning.

Enligt myndigheten tillkommer också EU:s ökande inflytande inom sektorn. Sam­ver­kan med Regeringskansliet, myndigheter och branschorganisationer blir också allt viktigare för reglering, tillsyn och marknadskontroll.

I våra intervjuer betonar Energimyndigheten bland annat skillnaden i kostnader mel­lan myndighetsutövning och tillsyn för sina tillsynsområden. Som exempel fram­håller myndigheten elcertifikaten eller HBL, där kostnaden för den faktiska tillsynen ligger på ungefär 50 000 kronor per år. Men om myndigheten tar hänsyn till hela driften är kostnaden i elcertifikatens fall snarare 1,2–1,5 miljoner kronor, och 500 000 kronor för tillsynen under ursprungsmärkningen av el, HBL och driv­medels­lagen. Dessa kostnader rör inte tillsyn i egentlig mening, men är ändå nödvändiga för­utsättningar för att tillsynen ska fungera.

Transportstyrelsen

Myndigheten ansvarar för regelgivning, tillståndsprövning och tillsyn inom tran­sport­området, och för att verka för de transportpolitiska målen. Verksamheten är sär­skilt inriktad på att bidra till ett transportsystem som är internationellt kon­kur­renskraftigt, miljöanpassat och säkert.[54]

Transportstyrelsens nuvarande tillsyn

Den nuvarande tillsynsverksamheten vid Transportstyrelsen berör endast i en be­gränsad omfattning området informationssäkerhet eller systematiskt säkerhetsarbete. När­mare bestämt gäller detta inom området luftfart.

Tran­sportstyrelsens tillsyn gäller kontroll av aktörer med tillstånd att bedriva verk­sam­het inom transportsektorn, och omfattar allt från att granska ett företags säk­er­hets­kultur till att inspektera fartyg. I uppgifterna ingår också att bedöma orga­ni­sa­tioners egna kontrollsystem, tillsyn av miljö och säkerhet, och att granska flyg- och järnvägsbolagens ekonomi.[55]

Enligt gällande föreskrifter för varje område omfattar tillsynen

  • järnvägs-, tunnelbane- och spårvägssystemen
  • den civila sjöfarten, särskilt sjösäkerhet, sjöfartsskydd och hamnskydd
  • den civila luftfarten, särskilt flygsäkerhet och luftfartsskydd
  • inom vägtransportsystemet.[56]

Myndigheten har även i uppgift att följa om avreglerade marknader fungerar – till ex­empel inom flyg, järnväg och fordonsbesiktning. Denna uppföljning ska säkra en sund konkurrens på marknaden. En stor del av tillsynsarbetet innebär att samla in och analysera statistik över olyckor och tillbud. Inom luft- och sjöfart går statistiken in i en internationell databas, för större och bättre analysunderlag. Myndigheten an­svarar även för informationssystemet STRADA, som innehåller skadestatistik inom hela vägtransportsystemet.[57]

Tillsynen är riskbaserad. Det innebär att kontroller utförs där de största riskerna finns och där de förväntas ge störst effekt. En avvägning av effekter i förhållande till kost­nader styr alltid tillsynsarbetet. För tillsynen inom olika trafikslag ska myndigheten an­vända enhetliga definitioner, angreppssätt och principer.[58]

Kostnader för nuvarande tillsyn

Antalet tillsyner har minskat under perioden 2014–2016 (tabell 1). Myndigheten för­klarar detta med bland annat ett förändrat arbetssätt och regelbestämda till­syns­intervaller.

Inom områden som järnväg och luftfart är minskningen av antal tillsyner 2016 kraftig. Transportstyrelsen förklarar detta med att myndigheten genomfört tillsyn mot större aktörer, vilket har krävt mer tid än om tillsynen riktat sig mot mindre ak­törer. För luftfart förklarar de minskningen jämfört med 2014 med att myn­dig­heten har delegerat flygproven till kontrollanterna.

Tabell 1 Antal genomförda tillsyner av Transportstyrelsen, 2014–2016

Trafikslag

Antal tillsyner

2014

2015

2016

Järnväg

343 

322

178

Luftfart

3 809

2 794

2 951

Sjöfart*

2 425

3 335

2 752

Vägtrafik

4 338

4 038

4 403

Totalt

10 915

10 489

10 284

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

Förändringen av antal tillsyner inom sjöfartsområdet beror på färre tillsyner av ham­nar och av svavelkontroller, men också på variation mellan åren. Det högre antalet till­syner inom vägtrafiken 2016 förklarar myndigheten främst med att den har resurs­för­stärkt inom yrkestrafiken.

Tabell 2 respektive 3 nedan visar totala kostnader för tillsynen respektive kostnad per tillsyn. Ökande kostnader för järnvägstillsynen förklarar myndigheten med att den riskbaserade tillsynen och uppföljningen av verksamhetsutövarnas åtgärder krä­­­ver mer resurser per tillsyn.

Tabell 2 Transportstyrelsens totala kostnader för tillsynen, 2014–2016, (tkr)

Trafikslag

Total kostnad

2014

2015

2016

Järnväg

35 932

37 020

44 357

Luftfart

228 444

215 732

205 165

Sjöfart*

84 024

67 991

63 014

Vägtrafik

98 555

88 201

92 535

Totalt

446 954

408 944

405 070

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

Tillsynens totala kostnader för luftfart är markant lägre 2016 jämfört med tidigare år. Det beror delvis på att medlemsavgiften till den europeiska samarbets­orga­ni­sa­tionen Eurocontrol har minskat. Effektiviseringar inom tillsynen av flygoperativ verk­samhet kan också förklara minskningen, vilket även förklarar den lägre kost­naden per tillsyn för 2016.

Tabell 3 Transportstyrelsens kostnader per tillsyn, 2014–2016, (tkr)

Trafikslag

Kostnad/tillsyn

2014

2015

2016

Järnväg

104 757

114 970

249 197

Luftfart

59 975

77 213

69 524

Sjöfart*

34 649

20 387

22 898

Vägtrafik

22 719

21 843

21 016

Medel

40 949

38 988

39 388

* Jämförelsetalen för 2014 och 2015 har räknats om utifrån den definition av genomförd tillsyn som används för 2016.

De förändrade kostnaderna för sjöfartstillsynen beror på att antalet tillsyner av ham­nar och antalet svavelkontroller har minskat. Ökningen av de totala kostnaderna inom vägtrafik beror däremot på fler genomförda tillsyner 2016. Den resurs­för­stärk­ning Transportstyrelsen nämner som skäl till detta har ökat de totala kostnaderna för tillsynen inom området, samtidigt som kostnaden per tillsyn har minskat något.

Finansinspektionen

Finansinspektionens ska bidra till ett stabilt finansiellt system präglat av högt för­troende, med väl fungerande marknader som ser till hushållens och företagens behov av finansiella tjänster samtidigt som de har ett högt skydd för konsumenter. Verk­sam­heten går ut på tillsyn, regelgivning och prövning av tillstånd för finansiella mark­nader och företag. Inspektionen ansvarar också för att samordna tillsyn av åt­gär­der mot penningtvätt och finansiering av terrorism samt för finansiell folk­bild­ning genom riktade insatser till specifika målgrupper.[59]

Finansinspektionens nuvarande tillsyn

Finansinspektionen utför i dag en riskbaserad tillsyn som även inkluderar områdena informationssäkerhet och kontinuitetshantering, det vill säga den process som säker­ställer att organisationen kan driva den kritiska verksamheten på en tolerabel nivå, oav­sett vilka störningar som inträffar. Bland de företag som omfattas av myn­dig­hetens tillsyn ingår bland annat leverantörer av banktjänster samt infra­struk­tur­företag. Den tillsyn som gäller informationssäkerhet och kontinuitetshantering ligger en­ligt myndigheten ganska nära den nya tillsyn som följer av NIS-direktivets be­stäm­melser.

Finansinspektionen delar in sin tillsyn i följande tre kategorier:

  • Löpande tillsyn – Myndigheten övervakar riskutvecklingen och följer upp att företag följer gällande regler. De analyserar tillsynsobjektens inrapporterade data och följer upp att företag följer kapitaltäckningsreglerna. Myndigheten an­vän­der även annan begärd information och kontakter med ansvariga för it-verk­samhet och informationssäkerhet hos de aktörer myndigheten bedömer som sta­bi­litetskritiska.
  • Undersökningar – Myndigheten genomför djupare granskning av ett företag, eller ett tematiskt område, för att exempelvis bedöma kvaliteten i ett företags styr­ning, riskhantering och kontroll inom informationssäkerhetsområdet. Detta är en metod för att effektivt kunna påverka företag och beteenden på finans­mark­naden.
  • Händelsestyrd tillsyn – Detta handlar om risker som redan har inträffat eller har hög sannolikhet att inträffa. Denna reaktiva tillsyn kan till exempel handla om
  • företag som får akuta problem i samband med incidenter som gäller infor­ma­tionssäkerhet
  • företag som genomför en större förändring av sin it-verksamhet
  • företag som blir uppköpta av ett annat företag, vilket kan innebära för­änd­rade tillstånds- och tillsynsmässiga förutsättningar.

Tillsynsobjekten är eller kan bli föremål för alla tre former av insatser, vilka enligt Finans­inspektionen alla går in i varandra och är nödvändiga för tillsynen. Till exem­pel är analysen och kunskapen från löpande tillsyn en viktig förutsättning för att pla­nera relevanta undersökningar.

Finansinspektionen klassificerar sina företag utifrån risk. Risken är relaterad till före­tagens eventuella påverkan på finansiell stabilitet, välfungerande marknader eller konsumentskyddsaspekter. Inspektionen tar också hänsyn till förhållanden som rela­terar till företagens storlek, komplexitet och omfattning av gränsöverskridande verk­samhet.

Tillsynsinsatserna varierar till såväl inriktning som i omfattning beroende på den tillsynade verksamhetens karaktär och betydelse utifrån myndighetens mål. Det går att bryta ned insatserna i underaktiviteter, som exempelvis regelbundna eller ad-hoc möten, uppföljningar och analyser. Men Finansinspektionen anser ändå att det inte är möjligt att kvantifiera insatserna i ett specifikt antal tillsyner. Fördelningen mellan olika tillsynsaktiviteter skiljer sig också åt beroende på vem som är föremål för till­synen. Den löpande tillsynen för en av landets storbanker, liksom för de system­viktiga infrastrukturföretagen, kan till exempel ske varje dag, även om fördelningen över året när det gäller fysiska möten varierar. Men när det gäller mindre företag, där regleringen har ett mer renodlat konsumentskyddsperspektiv, kan det i vissa fall gå både ett och två år utan någon aktiv tillsynsdialog.

Kostnader för nuvarande tillsyn

Nuvarande tillsyn består av ett antal olika områden (tabell 4). Dessa områden är till exempel finansiell analys, löpande tillsyn, undersökningar, sanktioner och ingri­pan­den, utveckling av system och metoder samt förvaltning och drift av system för till­syns­arbetet. Till detta kan läggas en del internationellt arbete som faller inom ramen för tillsynsverksamheten.

Tabell 4 Finansinspektionens tid och kostnader för tillsyn, 2015–2017 (tkr)

Typ av tillsyn

2015

2016

2017

Timmar

Kostnad

Timmar

Kostnad

Timmar

Netto-
kostnad

Finansiell analys

46 779

63 332

37 777

49 468

43 554

56 897

Löpande tillsyn

89 562

121 254

118 704

142 283

152 909

182 912

Undersökningar

51 998

70 397

29 551

36 442

30 251

36 726

Sanktioner och ingripande

11 750

15 908

7 106

8 565

8 199

9 851

Internationellt arbete

22 813

30 885

16 563

23 563

15 667

22 438

System- och metodutveckling

17 330

23 462

29 545

44 875

19 601

50 783

Systemförvaltning och drift**

-

-

13 939

61 164

7 425

44 128

Samverkan med andra
myndigheter

-

-

-

-

2 671

3 518

Totalt

240 232

325 238

253 185

366 360

280 277

407 254

Den tid som myndigheten ägnar åt tillsyn ökade med drygt 5 procent under 2015–2016 och med 11 procent under 2016–2017. Enligt myndighetens uppgifter står den löpa­nde tillsynen för nästan hälften av den totala tiden som de lägger ner på tillsyn. Den totala tillsynen gäller alla de aktiviteter och åtgärder som framgår av tabellen ovan, inklusive det som tabellen kallar för löpande tillsyn. Denna tillsyn bygger på ana­lys av inrapporterade data och annan information, enligt uppgifter i myn­dig­hetens årsredovisning för 2017.[60] Antalet timmar som Finansinspektionen ägnar åt den löpande tillsynen har ökat under 2017. Samtidigt kan vi konstatera att många av de övriga aktiviteterna har minskat sedan 2015.

Tabellen visar att jämfört med 2016 ökade de totala kostnaderna för Finans­in­spek­tionens tillsyn 2017 med ungefär 41 miljoner kronor. Enligt uppgifter från års­redovisningen för 2017 var andelen av de totala kostnaderna som myndigheten lade på tillsyn 63 procent jämfört med 61 procent 2016. Tillsynen ökade följaktligen både i absoluta och i relativa tal, något som enligt myndigheten har varit ett uttalat mål. Sam­tidigt framhåller myndigheten att det i praktiken inte finns några skarpa gränser mellan Finansinspektionens olika huvudaktiviteter tillsyn, tillståndsgivning och regel­givning. Det beror på att aktiviteterna enligt myndigheten ytterst har samma mål och i högsta grad påverkar varandra.

IVO

IVO ansvarar för tillsyn över hälso- och sjukvård, hälso- och sjukvårdspersonal, social­tjänst samt verksamhet enligt lagen om stöd och service till vissa funk­tions­hindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. Myn­digheten ansvarar också för viss tillståndsprövning.

IVO:s nuvarande tillsyn

IVO:s nuvarande tillsyn omfattar områden som anmälnings- och under­rättelse­skyl­dig­het angående vårdskada och missförhållanden (enligt lex Maria och lex Sarah), an­mälan av hälso- och sjukvårdspersonal, klagomål på hälso- och sjukvård och social­tjänst, författningsreglerad tillsyn av boenden för barn och unga, blod- och vävnads­verksamhet, egeninitierad tillsyn av verksamhet samt av hälso- och sjuk­vårds­personal.

Endast en begränsad del av denna tillsyn omfattar informationssäkerheten hos vård­givare. Ur ett patientsäkerhetsperspektiv granskar IVO att vårdgivare följer be­stäm­melserna i patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och all­män­na råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården (tidigare SOSFS 2008:14). Dessa författningar reglerar hur per­sonuppgifter får behandlas inom hälso- och sjukvården samt vilka krav som ställs på journalföring.

NIS-direktivet kan ha beröringspunkter med den tillsyn IVO utövar i dag. Om det uppstår brister i informationstekniken kan det få direkta konsekvenser för patienterna och deras säkerhet. Men IVO utövar i dag inte tillsyn över själva infor­mations­tek­niken. Det betyder att de informationstekniska delarna som följer av NIS-direktivet blir ett nytt område för IVO.

Kostnader för nuvarande tillsyn

Tabell 5 IVO:s tillsyn fördelat efter typ av tillsyn, 2015–2017

Typ av tillsyn

Antal tillsyner

2015

2016

2017

Anmälan lex Maria

2 820

2 494

2 751

Frekvenstillsyn blod och vävnader

46

35

37

Initiativ hälso-och sjukvård

437

483

469

Klagomål på hälso- och sjukvården

8 661

7 064

7 531

Tillsyn av hälso-och sjukvårdspersonal, anmälan och initiativ

523

603

698

Tillsyn av hälso-och sjukvårdspersonal, beslutad prövotid

29

35

44

Totalt

12 506

10 716

11 530

Antalet tillsyner inom respektive delområde varierar något från år till år (tabell 5), och kostnaden per tillsyn skiljer sig åt mellan de olika delområdena (tabell 6). Total­kost­naderna i tabellen är endast en uppskattning baserad på myndighetens års­redo­vis­ning för respektive år.

Tabell 6 IVO:s totala kostnader fördelat efter typ av tillsyn, 2015–2017 (tkr)

Typ av tillsyn

Total kostnad

2015

2016

2017

Anmälan om blod-, vävnads- och transplantationsverksamhet

628

709

808

Anmälan - säkerhetsbrister inom rättspsykiatrisk vård eller psykiatrisk
tvångsvård

1 374

1 476

1 510

Anmälan lex Maria

39 488

32 089

35 921

Anmälan och information om negativa händelser med medicinteknisk
produkt

1 670

1 256

1 850

Frekvenstillsyn blod och vävnader

3 881

2 996

2 918

Initiativ hälso-och sjukvård

32 217

26 283

33 768

Klagomål på hälso-och sjukvården

205 259

159 150

188 275

Tillsyn av hälso-och sjukvårdspersonal, anmälan och initiativ

26 345

33 684

42 578

Tillsyn av hälso-och sjukvårdspersonal, beslutad prövotid

2 957

2 646

4 136

Åtgärder mot verksamhet och personal

9 571

11 649

7 685

Övriga kostnader hälso- och sjukvård

3 317

1 605

841

Totalt

326 707

273 543

320 290

Även uppgifterna om kostnader per tillsyn, som framgår av tabell 7 nedan, är enbart upp­skattningar baserade på myndighetens årsredovisning för respektive år.

Tabell 7 IVO:s uppskattade kostnader per tillsyn fördelat efter ärendeslag, 2015–2017 (tkr)

Typ av tillsyn

Kostnad per tillsyn

2015

2016

2017

Anmälan lex Maria

14

13

13

Frekvenstillsyn blod och vävnader

84

86

79

Initiativ hälso-och sjukvård

75

57

72

Klagomål på hälso-och sjukvården

24

23

25

Tillsyn av hälso-och sjukvårdspersonal, anmälan och initiativ

51

58

61

Tillsyn av hälso-och sjukvårdspersonal, beslutad prövotid

102

76

94

Medel

58

52

57

IVO har i dag bred kunskap om hälso- och sjukvården samt lång erfarenhet och god vana att genomföra tillsyn i olika former. Myndigheten har upparbetade relationer till många vårdgivare och har ett gott anseende hos dem, enligt myndighetens för­tro­ende­mätningar. Däremot håller IVO på att utreda förutsättningarna för dem att bredda den existerande tillsynen och kunskapen inom området, samt integrera nya kom­petenser och kunskaper till att även omfatta den tillsyn som följer av NIS-direk­tivet.

IVO planerar även att utreda de praktiska möjligheterna att integrera tillsynen enligt NIS-direktivet med exempelvis den begränsade tillsyn över informationssäkerheten som myndigheten bedriver redan i dag. Ett annat alternativ kan vara att myndigheten införlivar den nya tillsynen i den tillsyn med systemansats av verksamheters styrning och ledning som IVO har påbörjat under år 2017.

Livsmedelsverket

Livsmedelsverket har som förvaltningsmyndighet för livsmedelsfrågor till uppgift att i konsumenternas intresse arbeta för säkra livsmedel, redlighet i livsmedels­han­te­ringen och bra matvanor. Myndigheten arbetar för säker mat och bra dricksvatten, att informationen om maten är pålitlig samt med att främja bra matvanor. I praktiken inne­bär det att Livsmedelsverket värderar, hanterar och kommunicerar risk- och nytto­aspekter av ämnen i livsmedel och av matvanor. Livsmedelsverket utför även kon­troll av de livsmedelsanläggningar som pekas ut i livsmedelsförordningen (2006:813).

Livsmedelsverkets nuvarande tillsyn

Livsmedelsverket har kunskap om säkerhetsarbete inom livsmedelssektorn och kunskap om dricksvattenanläggningar. Myndigheten har för närvarande inget till­syns­ansvar när det gäller leverans och distribution av dricksvatten, det vill säga den sektor som ingår i NIS-direktivet.

Inom Livsmedelsverkets område omfattas leverantörer och distributörer av dricks­vatten av NIS-direktivet. Dricksvatten är allt vatten som är avsett för dryck, mat­lagning, beredning av livsmedel eller för andra hushållsändamål. Detta gäller både i vattnets ursprungliga tillstånd eller efter beredning. Det gäller också oberoende av vattnets ursprung och oavsett om det tillhandahålls genom ett distributionsnät, från tank­­bil eller tankbåt, i flaskor eller i behållare.[61]

Livsmedelsverket kontrollerar verksamheten vid cirka 1 460 livsmedels­an­lägg­ningar. Myndigheten ansvarar också för gränskontrollen av främst animaliska livs­medel som förs in till Sverige från länder utanför EU. Kontrollen av livs­medels­före­tag sker direkt mot objekten, med inspektioner och platsbesök. Kontrollen vid slak­teri- och vilthanteringsanläggningar sköter myndigheten genom närvaro vid an­lägg­nin­gen, medan övriga anläggningar står under riskbaserad kontroll som sker genom kon­trollbesök.

Under 2017 hade myndigheten 273 årsarbetskrafter som arbetade med kontroll (in­klu­sive stödfunktioner). Arbetet är indelad i följande verksamhetsprocesser:

  • Utveckla regler
  • Leda livsmedelskontrollen
  • Utföra offentlig kontroll
  • Verka för hälsosamma matvanor

Samtliga processer har bäring på myndighetens tillsynsverksamhet. Men ur NIS-di­rek­tivets perspektiv blir det enligt Livsmedelsverket mest intressant att bedöma kost­naderna för verksamhetsprocesserna utveckla regler respektive utföra offentlig kont­roll.

Kostnader för nuvarande tillsyn

Frekvensen på myndighetens nuvarande tillsyn framgår av tabell 8 nedan. Dessa upp­gifter omfattar köttkontroll, gränskontroll samt kontroll av livsmedelsföretag. Kost­naderna och de nuvarande avgiftssystemen skiljer sig åt mellan de olika typerna av kontroller. Kontroll av livsmedelsföretagare baseras på den kontrolltid som Livs­medels­verket fastställer. Gränskontrollen har en fast avgift per sändning (kontroll­tillfälle). Köttkontrollen skiljer ut sig eftersom Livsmedelsverket ska kontrollera alla djur före slakt och besikta samtliga kroppar och organ efter slakt. Denna kontroll finansieras med en bemanningsavgift.

Tabell 8 Antal tillsynstimmar, antal tillsyner, totala kostnader och kostnad per tillsyn för Livsmedelsverket, 2015–2017.

2015

2016

2017

Antal utförda kontrolltimmar inom köttkontrollen per år

195 399

205 824

213 557

Totala kostnader för köttkontrollen (tkr)

161 372

173 834

191 677

Antal utförda kontrolltimmar kontroll av livsmedelsföretagare

23 773

24 523

34 895

Genomförda kontroller av livsmedelsföretagare

9 948

9 195

10 137

Totala kostnader för kontroll av livsmedelsföretagare (tkr)

34 321

36 794

38 168

Antal genomförda och avslutade gränskontroller

5801

4 885

4 643

Kostnad per gränskontroll (kr)

1 900

2 290

2 220

Totala kostnader gränskontroll (tkr)

10 376

11 179

10 311

Antalet tillsyner av livsmedelsföretagare och gränskontroller har varierat något un­der perioden 2015–2017. Kontrollerna för livsmedelsföretagare har minskat under 2015–2016 med omkring nio procent, medan kontrollerna har ökat med cirka 10 pro­­cent under perioden 2016–2017. Däremot har antalet gränskontroller kon­ti­nuer­ligt minskat under perioden 2015–2017.

Myndighetens kostnader för kontroll av livsmedelsföretagare under samma period har å andra sida ökat stadigt (tabell 8). Under 2017 var kostnaderna för kontroll av livs­medelsföretagare dryga 5 procent högre än året innan. Under 2016 ökade kost­na­­derna med cirka 7 procent jämfört med 2015. Kostnaderna för utförda gräns­kon­troller ökade med cirka 7 procent 2015–2016, men minskade däremot med ungefär 8 procent 2016–2017.

Både de totala kostnaderna och kostnaden per enskild tillsyn avser gränskontroll och livsmedelskontroll. Förklaringen till de ökade kostnaderna är troligen att antalet tillsyner per år har minskat under motsvarande period.

De totala kostnaderna har ökat främst på grund av ökad bemanning samt ökade till­hörande kostnader (overhead). Kostnaden per tillsyn har ökat både för att de totala kost­naderna har ökat samt att antal kontrolltimmar har ökat samtidigt som antal till­syner har minskat.

PTS

PTS bevakar områdena elektronisk kommunikation och post i Sverige. Begreppet elektronisk kommunikation innefattar telekommunikationer, it och radio. Arbetet sker genom tillsyn och beslut utifrån de bestämmelser som reglerar verksamheten. Myn­digheten bedriver även ett främjandearbete, där PTS agerar och påverkar genom att analysera och beskriva marknaden, informera, föra dialog och samverka.[62]

PTS:s nuvarande tillsyn

Myndighetens tillsyn är uppdelad på olika områden inom postverksamhet respektive elek­tronisk kommunikation. Tillsynen omfattar allt från klagomål till konsument­till­syn, marknadstillsyn och radiotillsyn samt marknadskontroller.[63]

Myndighetens tillsyn är såväl händelsestyrd efter inträffade incidenter som planlagd. Det innebär att PTS granskar vissa teman hos flera tillsynsobjekt. PTS bedriver sin till­syn dels genom att granska skriftliga underlag med tillhörande möten, dels som in­spektionsliknande kontroller med personal som besöker tillsynsobjektet. Även en kom­bination av dessa två typer av granskningar förekommer. PTS:s tillsyn av till­handahållare av betrodda tjänster (icke kvalificerade) är enbart händelsestyrd, i en­lig­het med gällande regelverk.

Tillsynen följer myndighetens tillsynsprocess, där varje tillsyn genomförs på ett unikt sätt med unika frågor och bedömningar. Till varje tillsyn tar myndigheten fram till­synspromemorior, en projektplan med målformulering, tidplan och resurser.

Utredningen föreslår att PTS ska få tillsynsansvar för områdena digital infrastruktur och digitala tjänster. Inom dessa områden har myndigheten i dag ett begränsat till­synsansvar som omfattar enstaka aktörer som finns inom digital infrastruktur men inte inom digitala tjänster.

Kostnader för nuvarande tillsyn

Inom området digital infrastruktur har myndigheten alltså endast bedrivit en mycket begränsad tillsyn mot de aktörer som kan omfattas av de nya reglerna. Det gäller säker­het för toppdomäner enligt toppdomänlagen, där senaste tillsynen inom säkerhetsområdet skedde före 2014. Myndigheten har inte särredovisat kostnader för om­rådet, och PTS uppger att det heller inte är möjligt att få fram kostnaderna för till­syn inom säkerhetsområdet enligt lagen om elektronisk kommunikation mot inter­netknutpunkter (IXP) eller tillsyn inom säkerhetsområdet enligt toppdomänslagen.

PTS uppger att myndigheten inte har något tillsynsuppdrag som gäller digital infra­struktur eller digitala tjänster i dag. Därför kan de inte heller redovisa kostnader för dessa verksamhetsområden.

PTS ansvar och arbete i dag innebär att myndigheten har viss kompetens inom infor­ma­tionssäkerhets- och tillsynsområdet. Totalt uppgår årsarbetskraften till ungefär 18,5 stycken varav 16 stycken arbetar med tillsyn och normgivning vid Nät­säker­hetsavdelningen på PTS. Tillsynen gäller regelverken för driftsäkerhet, säker och kon­fidentiell kommunikation enligt lagen om elektronisk kommunikation, betrodda tjän­ster enligt den så kallade eIDAS-förordningen samt tillsyn över toppdomäner en­ligt den så kallade toppdomänlagen. Inom dessa områden tar PTS emot cirka 100 in­cidentrapporter per år och genomför i genomsnitt omkring 30 tillsynsärenden per år.

Myndigheten uppger vidare att de inte kan särskilja antalet rena tillsyner eller kost­naderna per tillsyn.

Sammanfattning av tillsynsmyndigheternas nuvarande kostnader

Tabell 9 sammanställer myndigheternas totala kostnader för tillsynsverksamhet under perioden 2014–2017, utifrån respektive myndighets årsredovisningar. Även om flera myndigheter endast kan redogöra för ungefärliga kostnader för sina respek­tive tillsyner, ger översikten ändå en antydan om omfattningen av myndigheternas till­syn i dag. Enligt företrädare för Energimyndigheten och PTS går det inte ens att sär­redovisa några övergripande kostnader för tillsynen inom det egna sek­tors­an­svaret.

Kostnaderna för verksamheten är relativt konstant för de fyra myndigheter som vi kan redovisa uppgifter för. Medelkostnaden för den redovisade perioden varierar från 234 miljoner kronor (Livsmedelsverket) till 420 miljoner kronor (Tran­sport­sty­rel­sen).

Tabell 9 Total kostnad för myndigheternas tillsyn 2014–2017 (mkr)

Tillsynsmyndighet

2014

2015

2016

2017

Medel

Energimyndigheten

-

-

-

-

-

Transportstyrelsen

447 

409

405

-

420

Finansinspektionen

325

366

407

366

IVO

327

274

320

307

Livsmedelsverket

241

220

240

234

PTS

-

-

-

-

-

Endast två av myndigheterna redovisar antalet utförda tillsyner i sina års­redo­vis­nin­gar. Under perioden 2015–2017 genomförde IVO i genomsnitt cirka 11 600 tillsyner per år. Transportstyrelsen genomförde 10 500 kontroller per år under perioden 2014–2016.

De ekonomiska konsekvenserna för myndigheterna

I detta kapitel redogör vi för de ekonomiska konsekvenserna för de myndigheter som får tillsynsansvar enligt NIS-direktivet.

Särskilda utmaningar med att uppskatta ekonomiska konsekvenser

Det finns flera särskilda utmaningar med att analysera de framtida ekonomiska kon­sekvenserna för tillsyn enligt NIS-direktivet. De föreslagna tillsynsmyndigheternas nya uppdrag är ännu inte beslutade av regeringen, uppdragens omfattning är inte klar­lagd och tillsyn av informationssäkerhet innebär ett nytt tillsynsområde för de flesta av myndigheterna.

Det finns dessutom indikationer på att det även i efterhand är svårt att bedöma de kost­nader som genereras av tillsyn inom olika områden. En tidigare rapport från Stats­kontoret visar att detta beror på att tillsynsmyndigheternas metoder för att be­räkna kostnaderna skiljer sig åt.[64] Tillsynsutredningen (SOU 2002:14) gjorde ett för­sök och kom i en grov skattning då fram till en total kostnad på mellan fyra och fem mil­jarder kronor för de statliga och kommunala myndigheternas till­syns­verk­samheter. I sitt slutbetänkande (SOU 2004:100) ansåg utredningen att svårigheterna beror på att begreppet tillsyn inte används på samma sätt av alla myndigheter, vilket gör att uppskattningar om kostnaderna blir osäkra. Dessutom särredovisas inte alltid myn­digheternas tillsyn. Det innebär att till exempel kostnader och avgiftsintäkter också måste uppskattas.[65]

Tillvägagångssätt för att bedöma ekonomiska konsekvenser

Samtliga föreslagna tillsynsmyndigheter framhåller i våra intervjuer att det är en stor utmaning att bedöma de ekonomiska konsekvenserna av den nya tillsynen. De har ändå uppskattat sina initiala och löpande kostnader för den nya tillsynen utifrån bland annat ett antal kostnadsdrivande faktorer som vi har presenterat för dem (bi­laga 2). Myndigheterna har också fått motivera hur de har kommit fram till dessa kost­nader. I de fall de inte har kunnat bedöma exempelvis frekvensen på tillsynen eller vilka kostnader de uppskattar att informationsinsatserna kommer att få, har de fått förklara varför.

I de följande avsnitten redovisar vi myndigheternas bedömningar och motiveringar av de initiala och löpande kostnaderna för tillsynen enligt NIS-direktivet. Efter denna genomgång sammanställer vi uppgifterna samt diskuterar deras tillförlighet.

Energimyndigheten

Initiala kostnader

Vid tiden för denna utredning kan Energimyndigheten inte uppskatta sina initiala kost­nader. Men de understryker att deras befintliga kompetens inom området infor­ma­tionssäkerhet är mycket begränsad, vilket innebär att de behöver rekrytera nya med­arbetare tidigt i processen. Myndigheten uppskattar kostnaden för den interna kom­petensutvecklingen till ungefär 200 000 kronor.

Löpande kostnader

Energimyndigheten framhåller att det även är svårt att uppskatta de löpande kost­na­derna för tillsynen. Det beror på att antalet leverantörer som ska tillsynas inte är klar­lagt.

Osäkert om antal leverantörer och frekvens

Energimyndighetens nuvarande tillsyn är uppdelad på områdena, olja, naturgas och el (se även kapitel 3). Myndigheten anser att antalet berörda aktörer bör vara mellan 100 och 400 stycken. Den mest realistiska bedömningen är 200 stycken, enligt Ener­gi­myndigheten.

De är också osäkra när det gäller tillsynens frekvens. Det beror enligt Energi­myn­dig­heten på att det ännu är oklart vad myndigheten ska utöva tillsyn över. Men samt­liga bolag som faller inom ramen för NIS-direktivet kommer att bli föremål för till­syn inom två-års cykler. Det betyder att varje tillsynsobjekt ska kontrolleras minst en gång vartannat år.

Myndigheten kan i dagsläget inte heller uppskatta kostnaderna per tillsyn. Men de planerar att införa liknande tillsynssystem för samtliga tre områden (olja, gas och el).

De löpande kostnaderna beräknas till 8 miljoner kronor

Den preliminära uppskattningen av de löpande kostnaderna bygger på att myn­dig­he­ten kommer att kontrollera 200 objekt eller leverantörer. Behovet av resurser upp­går enligt myndigheten till 3 årsarbetskrafter för själva tillsynen. En schablonkostnad per årsarbetskraft på 1,1 miljoner kronor medför då en kostnad på 3,3 miljoner kronor. Till detta kommer en kostnad för konsultinsatser på 3 miljoner kronor, samt ytter­ligare 1 miljon kronor för utgifter för stödinsatser för tillsynen.

Detta innebär kostnader på cirka 7,3 miljoner kronor, inklusive overheadkostnader. Därutöver kalkylerar myndigheten med följande insatser:

  • Jurister, 20 procent av heltid: cirka 220 000 kronor per år
  • Kommunikatörer, 20 procent av heltid: cirka 220 000 kronor per år
  • Avdelningen forskning och innovation, cirka 20 procent av heltid: cirka 220 000 kronor per år

Energimyndigheten framhåller att den inte ensam kan genomföra tillsynen. Därför planerar myndigheten för att samarbeta med två närliggande myndigheter, vilket kan på­verka vissa av kostnaderna för tillsynen. De myndigheter som är aktuella i detta sam­manhang är

  • Affärsverket Svenska Kraftnät, som för närvarande har tillsyn över stora delar av elenergiförsörjningen vilket har bäring på informationssäkerhet, systematiskt säker­hetsarbete och risk- och sårbarhetsanalys
  • Energimarknadsinspektionen som i dag har tillsyn över elnätsbolagen, med bäring på bolagens risk- och sårbaranalys och åtgärdsplaner.

Transportstyrelsen

Initiala kostnader

Den tillsyn som tillkommer innebär enligt myndigheten endast att den tillsyn som redan pågår utökas. Transportstyrelsen bedömer att förutsättningarna är goda för att bredda den nuvarande tillsynen till att även omfatta den nya. Tillsynen enligt NIS-direk­tivet behöver inte heller vara samordnad med den övriga tillsynen, eftersom myn­digheten anser att den skiljer sig väsentligt från den tillsynsverksamhet som de be­driver i dag.

De initiala kostnaderna beräknas till 4 miljoner kronor

Initiala kostnader uppgår enligt myndigheten till cirka 4 miljoner kronor, inklusive over­headkostnader, uppdelat i följande poster:

  • Framtagande av föreskrifter: cirka 500 000 kronor. Föreskrifterna tas fram i samarbete med MSB.
  • Informationsinsatser: cirka 300 000–500 000 kronor. Detta gäller information till berörda leverantörer inom transportsektorn. Merparten är interna kostnader enligt myndigheten.
  • Intern kompetensinventering: under 100 000 kronor. Den egna personal­av­del­ningen kommer att genomföra detta arbete.
  • Interna resurser: 3–4 årsarbetskrafter för att förbereda den nya tillsynen under 2018 och för att genomföra den under kommande år. Tjänsterna kommer att bestå av en projektledare, en jurist, och två resurser från kärnavdelning/kom­mu­nikation.
  • Engångskostnad: Det kan behövas en extern resurs med kompetens inom infor­ma­tionssäkerhet för att bygga upp ny sakverksamhet. Myndigheten kan inte ange den eventuella kostnaden för detta.

Löpande kostnader

Transportstyrelsen anser att det för att kunna precisera de löpande kostnaderna är av­görande att fastställa antalet leverantörer som ska kontrolleras. Det är också av­gö­rande att klargöra frekvensen på tillsynen och hur tillsynen ska genomföras.

De löpande kostnaderna uppskattas bero på:

  • Antal leverantörer. Antalet uppskattas till cirka 160 organisationer av ungefär 1 000 möjliga. Tillsynsobjekten fördelas per transportområde enligt följande:
  • Järnväg: 20 av cirka 500 objekt
  • Väg: 4 av cirka 290 objekt
  • Sjö: 73 av cirka 128 objekt
  • Luft: 64 av cirka 75 objekt

Men Transportstyrelsen framhåller också att antalet leverantörer kan ändras på grund av undantag från lagstiftningen samt på grund av att myndigheten ännu inte har iden­ti­fierat alla leverantörer.

Faktorer som påverkar genomförandet och dess kostnader

Följande faktorer kommer att påverka genomförandet av tillsynen.

  • Frekvens: Transportstyrelsen kommer att arbeta med riskbaserad tillsyn, och kan därför inte definiera frekvensen exakt i förväg. Målet är att göra cirka 80 till­syner per år.
  • Tillsynens genomförande: Genomförandet sker troligtvis enligt samma pro­ces­ser och strategier som den nuvarande tillsynen. Det som kommer till är nya ak­törer och nya eller förändrade krav.
  • Årsarbetskraft: Myndigheten bedömer att de behöver 7–8 årsarbetskrafter för att kunna bedriva den nya tillsynen.

Kostnaden per tillsynsobjekt är däremot svårare att avgöra. Det beror på att antalet tillsynsobjekt är svårt att bedöma. Det är inte heller klart vilka it-system som kommer att omfattas av tillsynen. Men myndigheten uppskattar kostnaden per tillsynsobjekt pre­liminärt till ungefär 95 000 kronor per år.

De löpande kostnaderna beräknas till 15 miljoner kronor

Transportstyrelsen uppskattar att de löpande kostnaderna för tillsynen kommer att vara omkring 15 miljoner kronor per år, inklusive overheadkostnader. Transport­sty­rel­sen bedömer att kostnaderna bör finansieras med ett utökat anslag på omkring 8 mil­joner kronor, och resterande 7 miljoner kronor genom en omfördelning av re­sur­ser inom myndigheten till den nya tillsynen. Overheadkostnader är cirka 30 procent av kostnaderna, exempelvis intern administration, utveckling, utbildning och rese­kost­nader. Därutöver ska verksamheten bära sin andel av gemensamma kostnader för ekonomi, registratur, stab och it.

Den nya tillsynen kommer att ske i form av systemtillsyn med stickprov, förarbete, genom­förande och efterarbete. Momenten följer gemensamma processer, där två per­soner genomför insatsen. Systemtillsynen kommer att fokusera på lednings­system och på att det finns framtagna rutiner och att de används. Funktionen kommer att verifieras genom stickprov. Myndigheten kommer därmed inte att genomföra någon detaljerad tillsyn där alla dokumenterade händelser granskas.

Finansinspektionen

Initiala kostnader

De initiala kostnaderna för Finansinspektionen blir relativt begränsade. Det beror på att myndighetens nuvarande tillsyn inom området informationssäkerhet i stora delar redan berör NIS-direktivets krav och i hög omfattning överlappar med de företag som kan komma att omfattas inom sektorerna för banktjänster och finansmarknads­infra­strukturföretag.

Myndighetens befintliga och riskbaserade tillsyn över företagens arbete med infor­ma­tions­säkerhet omfattar bland annat

  • regelbundna möten med stabilitetskritiska företag om deras arbete med infor­ma­tions­säkerhet och kontinuitetshantering
  • företagsspecifika och tematiska undersökningar på plats hos företagen och/eller på Finansinspektionen
  • händelsestyrd analys, avstämning och uppföljning av bland annat infor­ma­tions­säkerhetsrelaterade incidenter.

Finansinspektionen får enligt sitt nuvarande uppdrag ingripa genom att förelägga om att vidta åtgärd, anmärkning eller varning, sanktionsavgifter och ytterst att återkalla ett företags tillstånd. Finansinspektionen bedömer att den nuvarande tillsynen har en am­bitionsnivå som bör motsvara NIS-direktivets miniminivå. Men myndigheten anser också att frågan om ambitionsnivå i NIS-tillsynen behöver analyseras vidare i sam­arbete med MSB och övriga tillsynsmyndigheter.

Goda förutsättningar att bredda nuvarande tillsyn

Förutsättningarna är därför relativt goda för att bredda dagens tillsyn till att även omfatta NIS-området. I teorin skulle myndigheten kunna arbeta efter samma meto­der och processer som i dag och endast överföra dessa arbetsmetoder på de aktörer som eventuellt tillkommer i och med NIS-direktivet.

Myndigheten bedömer att det framför allt är områdena informationssäkerhet och kon­tinuitetshantering som kan kopplas till kraven från NIS-direktivet. De är väsent­liga områden i Finansinspektionens nuvarande tillsynsarbete inom området operativa risker.

Det är för tidigt att bedöma behovet av rekrytering

Det är också för tidigt att uppskatta behovet av nyrekrytering eller förstärkning av kompetensen inom området informationssäkerhet, enligt myndigheten. Nuvarande verk­samhet, generella metoder och arbetssätt innebär att myndigheten har kom­petens att fullfölja de nya uppgifter som NIS-direktivet medför. Men det kan behövas ytterligare kompetens, beroende på vilka och hur många de nya tillsynsobjekten blir, och på att myndigheten kan behöva genomföra ett eller flera regelgivningsprojekt.

De initiala kostnaderna beräknas till 3 miljoner kronor

Finansinspektionen bedömer att det är troligt att de kommer att behöva resurser för att bland annat ta fram föreskrifter och information till nya tillsynsobjekt. Behovet av sådana initiala resurser uppskattar myndigheten till två årsarbetskrafter under pe­rio­den 2018–2019. Finansinspektionen anser att kostnaderna för regelgivning är störst och svårast att bedöma. Myndighetens erfarenhet är att regelgivningsprojekt av detta slag är komplexa och kräver mycket resurser.

Även engångskostnader kan uppkomma. Kraven på rapportering av infor­ma­tions­säker­hetsincidenter enligt NIS-direktivet kan leda till behov av att utveckla eller in­föra nya it-system, och då kan kostnaderna komma att bli högre.

De initiala kostnaderna för två årsarbetskrafter uppskattar myndigheten till 3 mil­joner kronor inklusive overheadkostnader.

Löpande kostnader

De löpande kostnaderna beror i första hand på antalet leverantörer som kommer att beröras av NIS-direktivet. Finansinspektionen menar att det är svårt att göra en säker uppskattning om antalet i dag. Den uppskattning som myndigheten gör inom de två sektorer som kan komma ifråga är att det sannolikt rör sig om cirka 160 företag. Des­sa företag kan delas in enligt följande:

Kreditinstitut

  • 90 banker
  • 35 kreditmarknadsbolag
  • 32 utländska instituts filialer

Finansmarknadsinfrastrukturföretag

  • 3 operatörer av handelsplatser
  • 1 central motpart, (Nasdaq)
  • Utländska instituts gränsöverskridande verksamhet (till exempel clearing vid aktie­handel)
Svårt att precisera tillsynens frekvens

Finansinspektionen menar att det är svårt att bedöma frekvensen på den kommande tillsynen, men att den bör vara anpassad till behov och förutsättningar inom respek­tive sektor. För att möta tillsynsbehoven enligt NIS-direktivet planerar myndigheten därför att använda samma former för tillsyn som den redan i dag använder. Det innebär att de kommer att använda riskbaserad tillsyn med utgångspunkt i sektor­spe­ci­fika överväganden, i form av löpande tillsyn, undersökningar och reaktiv tillsyn.

Den gränsöverskridande verksamheten skiljer sig från andra sektorer

En aspekt som eventuellt kan särskilja den finansiella sektorn från andra sektorer är att flera av de större leverantörernas verksamhet är gränsöverskridande eller ingår i u­tländska koncerner. Företagens interna regler och processer är i dessa fall ofta kon­­cern­övergripande. Finansinspektionens befintliga tillsyn för de här företagen sker ofta i samverkan med tillsynsmyndigheter i de övriga länder där företaget be­driver verk­samhet.

Den verksamhet som de större leverantörerna bedriver är i sig relativt komplex, vilket även återspeglar sig i deras informationshantering och underliggande it-verk­sam­het. Detta påverkar i förlängningen också förutsättningarna för tillsynen.

Behov av kompetensförstärkning

Finansinspektionen bedömer att de sannolikt kommer att behöva kom­pe­tens­för­stärkning inom området informationssäkerhet för den löpande tillsynen. Behovet av ökade informationssäkerhetsspecifika tillsynsresurser är tydligast för tillsynen av ut­ländska bankers verksamhet i Sverige genom filial. Myndigheten bedömer även att den löpande tillsynen av vissa av de aktuella företagen kan leda till att de behöver mer tillsynsresurser inom området informationssäkerhet.

De löpande kostnaderna beräknas uppgå till 3 miljoner kronor

Sammantaget uppskattar Finansinspektionen att de behöver kompletterande kom­pe­tens för den löpande tillsynen som motsvarar två årsarbetskrafter.

Myndigheten behöver ytterligare två årsarbetskrafter från och med 2018. Kostnaden för två årsarbetskrafter uppskattas till 3 miljoner kronor, inklusive over­head­kost­na­der.

IVO

Initiala kostnader

NIS-direktivet innebär ett helt nytt tillsynsområde för IVO. Myndigheten bedömer att organisationen därför behöver ny kompetens och andra insatser tidigt för att pla­nera och utarbeta rutiner och metoder för den nya tillsynen. Arbetet handlar om infor­mation till och dialog med tillsynsobjekten i början. Det ger dem möjlighet och tid att följa kraven, samt att hantera incidentrapporter. Antalet identifierade leve­ran­törer kommer också att påverka hur mycket resurser IVO behöver initialt.

IVO:s nuvarande uppdrag omfattar inte att utfärda normerande föreskrifter, vilket den nya tillsynen enligt NIS-direktivet kräver. Den uppgiften ligger i dag på Social­sty­relsen, en uppdelning som syftar till att renodla tillsynsverksamheten för vård och om­sorg. Om IVO ändå ska utfärda föreskrifter för det nya området kommer det att med­föra extra kostnader för myndigheten.

Svårt att uppskatta kostnaden för föreskrifter

IVO har svårt att uppskatta myndighetens kostnader för att kunna utfärda dessa före­skrifter. Det beror på att arbetets omfattning delvis beror på hur detaljerade MSB:s före­skrifter blir. Arbetstiden för en jurist kommer att vara den huvudsakliga kost­naden. En jämförelse med dagens arbete som gäller verkställighetsföreskrifter kan i det­ta fall tjäna som utgångspunkt, även om IVO bedömer att dessa före­skrifter har be­tydligt enklare karaktär än normerande föreskrifter. Kostnaderna för dessa upp­­gick till cirka 150 000 kronor under 2017.

IVO räknar med engångskostnader och nyrekrytering

IVO räknar också med engångskostnader för kompetensutveckling och infor­ma­tions­insatser i form av konferenser vid behov.

IVO anser att utredningens (SOU 2017:36) bedömning att tillsynsmyndigheternas re­surser tillfälligt bör förstärkas med två årsarbetskrafter under 2018 är lågt räknad. IVO motiverar detta med hänsyn till uppskattningen om informationsinsatser, re­kry­terings- och planeringsarbete, metodutveckling och föreskriftsarbete.

De initiala kostnaderna beräknas till 3,5 miljoner kronor

IVO uppskattar att de initiala kostnaderna kommer att bestå av följande poster:

  • en kommunikatör på halvtid, 400 000 kronor
  • en projektledare på halvtid till projektgrupp för att utarbeta metoder och pro­ces­ser för informationssäkerhet, 450 000 kronor
  • en specialist inom informationssäkerhet på halvtid, 500 000 kronor
  • föreskrifter, 150 000 kr
  • extern information på regional nivå, 1 miljon kronor
  • intern kompetensutveckling för berörda inspektörer, omkring 1 miljon kronor.

Kostnaderna för intern och extern information är baserade på vad myndighetens in­terna IVO-forum och de externt riktade IVO-dagarna kostar i dag.

IVO:s initiala kostnader beräknas följaktligen till omkring 3,5 miljoner kronor, in­klu­­sive overheadkostnader.

Löpande kostnader

IVO:s löpande kostnader beror som för övriga myndigheter bland annat på antalet leverantörer som blir föremål för tillsynen. Eftersom det inom hälso- och sjuk­vårds­sektorn ännu är oklart hur samhällsviktiga tjänster ska definieras, uppger IVO att det är svårt att uppskatta antalet leverantörer i dag.

Möjligen kan det även uppstå vissa oförutsebara kostnader. Det går exempelvis inte att på förhand uppskatta antalet incidentrapporter. Om det kommer in ett stort antal rap­porter på kort tid redan initialt kan hanteringen av dessa ta mycket resurser i an­språk. Det kan i sin tur leda till ett akut behov av personalförstärkningar.

IVO:s och MSB:s definitioner av samhällsviktiga tjänster skiljer sig åt

MSB har efter samverkan med IVO föreslagit vad en definition av samhällsviktiga tjänster inom hälso- och sjukvårdssektorn ska avse.[66] Detta förslag säger att de­fi­ni­tio­nen ska avse

  • hälso- och sjukvårdsverksamhet som omfattas av hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125) eller detaljhandel med läkemedel enligt lagen (2009:366) om handel med läkemedel, och
  • omfattar minst 20 000 patientbesök per år, eller
  • minst 20 000 expedieringar per år, eller
  • har ett upptagningsområde där avståndet till likvärdig tjänst uppgår till minst 200 kilometer.

IVO har därefter fortsatt att arbeta med frågan och föreslår nu att definitionen ska vara avgränsad till akutsjukvård och katastrofmedicinsk beredskap. Men det är MSB som beslutar hur föreskrifterna med förteckning över samhällsviktiga tjänster ska lyda. Detta kommer således att vara klart först efter vårt utredningsarbete.

Fler faktorer än antal leverantörer påverkar tillsynens omfattning

Men det finns fler faktorer som påverkar omfattningen av tillsynen enligt IVO. Enligt myndigheten blir begreppet leverantör sannolikt liktydigt med vårdgivare inom hälso- och sjukvårdssektorn. Då återstår att avgöra hur stora och vilka delar av res­pektive leverantörs verksamhet som omfattar samhällsviktiga tjänster. Som exempel nämner IVO att varje landsting/region är en vårdgivare. Därför behöver man klar­göra

  • hur många akutmottagningar varje landsting har
  • i vilken omfattning samt var och hur de bedriver akutsjukvård i övrigt
  • på vilket sätt deras katastrofmedicinska beredskap är organiserad, och så vidare.

När detta har klarlagts kan myndigheten mer precist uppskatta tillsynens omfattning.

Tillsynen bör vara riskbaserad

IVO:s utgångspunkt är att tillämpa dagens riskbaserade tillsyn även i den nya till­synen. Den information som ligger till grund för tillsynen över kvaliteten i vården kom­mer i dag via klagomål, uppgifter till Upplysningstjänsten, anmälningar om legi­ti­merad personal och lex Maria-anmälningar. Men det kommer inte att finnas upp­gifter om tänkbara brister i vårdgivares informationssäkerhetsarbete. IVO kommer därför sannolikt att bedriva såväl skrivbordstillsyn genom att hämta in underlag från till­synsobjektet, som inspektioner där myndigheten besöker tillsynsobjektet för egna iakt­tagelser och samtal med personal.

Inte möjligt att uppskatta frekvensen eller kostnad per tillsyn

Det är inte möjligt att på förhand ange frekvensen för tillsynen eftersom myn­dig­heten har som mål att tillämpa riskbaserad tillsyn för informations­säker­hets­om­rådet. Även fortlöpande samordning med övriga utsedda tillsynsmyndigheter kan enligt IVO komma att påverka antalet tillsyner.

IVO har också svårt att uppskatta kostnaden per tillsyn. Den kan eventuellt bli i paritet med dagens nivå, om en helt ny organisation för tillsyn byggs upp på myn­dig­heten. Kostnaden kan också bli lägre om den nya tillsynen införs som ett inslag i den tillsyn som redan pågår. IVO saknar i dag uppgifter om kopplingen mellan kost­nad och tillsynsobjekt, men bedömer att den löpande tillsynen kräver ökad kom­pe­tens inom informationssäkerhetsområdet för att komplettera myndighetens befintliga kompetens.

De löpande kostnaderna beräknas till 19,2 miljoner kronor

Myndigheten har svårt att bedöma behovet av nyrekrytering. Utöver särskild it-kom­petens och kompetens inom området informationssäkerhet kan IVO till exempel be­höva fler inspektörer med sjukvårdsbakgrund. IVO uppskattar ändå behovet av ny­re­krytering till cirka 10 personer. Lönekostnaderna för dessa beräknas till ungefär 9 mil­joner per år. Det tillkommer vissa övriga kostnader, som kostnader för it- och kom­petensutveckling. IVO beräknar dessa kostnader till cirka 100 000 kronor per år och person.

Den totala kostnaden inklusive overheadkostnader för dessa nyrekryteringar blir då 19,2 miljoner kronor. IVO utgår då från myndighetens schablontimkostnad som är 1 000 kr per timme. 20 arbetsdagar 12 månader per år för 10 personer ger 19 200 arbets­timmar.

Livsmedelsverket

Initiala kostnader

Livsmedelsverkets föreskrifter (LIVSFS 2008:13) om åtgärder mot sabotage och annan skadegörelse riktad mot dricksvattenanläggningar innehåller bestämmelser som ligger nära NIS-direktivet när det gäller informations- och it-säkerhet, men med ett delvis annat syfte än direktivet. Myndigheten har kompetens inom dricks­vatten­området och kännedom om de kommunala anläggningarna, men de har inte kom­petens om it-säkerhetsaspekterna inom dricksvattensektorn. Detta område är nytt för myn­digheten, vilket kommer att leda till att arbetet kräver mer tid än vanligt i form av informationsinhämtning och inläsning.

Myndigheten bedömer även att informationsinsatser kommer att medföra vissa ini­ti­ala kostnader. Information kommer att ges genom webben, samt som riktad in­for­ma­tion och möten med berörda leverantörer.

Små möjligheter att bredda den befintliga tillsynen

Möjligheterna att bredda den befintliga tillsynen till att även omfatta NIS-området är enligt myndigheten inte goda. Det är ett helt nytt ansvarsområde där Livs­medels­verket saknar kompetens om frågorna. Detta innebär att myndigheten behöver re­kry­tera ny kompetens för den nya tillsynen.

Eventuellt behov av nytt it-system

Det är svårt att i detta skede uppskatta de faktiska kostnaderna som tillsynsuppdraget kom­mer att medföra. Livsmedelsverket bedömer att det kan uppkomma engångs­kostnader med anledning av en eventuell uppbyggnad av ett it-system med hög säker­het för att hantera tillsynens information. Myndighetens nuvarande system är inte anpassat till denna typ av tillsyn, utan kräver förändringar för att kunna ta emot sekretessbelagd information. Det är svårt att bedöma dessa kostnader vid tiden för Statskontorets utredning. Ett alternativ är en så kallad stand alone-lösning där myn­digheten arbetar enligt samma rutiner för hantering av hemlig information som för närvarande, med till att börja med fem personer som arbetar operativt med tillsyn. Denna lösningen skulle medföra behov av datorer för att hantera hemlig information, framtagande av mallar i Word, Excel och kanske någon databas. Denna lösning är den troligaste, enligt myndigheten. En sådan lösning skulle kosta ungefär 1 miljon kronor och medföra förvaltningskostnader årligen beräknat som 20 procent av inves­teringen.

De initiala kostnaderna beräknas till ungefär 10 miljoner kronor

Livsmedelsverket bedömer att de initiala kostnaderna under 2018 kommer att vara cirka 9 miljoner kronor. Summan fördelar sig då på följande poster:

  • it-system
  • fem årsarbetskrafter. inklusive lön och arbetsgivarkostnader samt overhead­kost­nader per tjänst om 70 procent
  • informations- och föreskriftsarbete om cirka 700 000 kronor

Övriga initiala kostnader, som alltså uppkommer efter 2018, uppgår enligt myn­dig­heten till 1 miljon kronor och gäller exempelvis konsulttjänster. Sammanlagt upp­skat­tar Livsmedelsverket således att de initiala kostnaderna uppgår till ungefär 10 mil­joner kronor, inklusive overheadkostnader.

Löpande kostnader

De löpande kostnaderna beror bland annat på antalet leverantörer som ska tillsynas. Det är inte Livsmedelsverket som avgör detta, men myndigheten bedömer att antalet tillsynsobjekt bör bli ungefär 120 stycken. Men frågan är ännu inte färdigutredd och an­talet påverkas av det kommande nationella regelverket.

Livsmedelsverket vill att frekvensen ska vara enhetlig

Tanken är att tillämpa en systemtillsyn med inslag av djupare revisioner på plats. Första steget för Livsmedelsverket blir att ta del av varje enskild leverantörs analys enligt NIS-lagstiftningen för att kunna identifiera relevanta risker. Därefter kan myn­digheten värdera dessa risker och ha dem som grund för en tillsynsplan.

Myndigheten ska utarbeta ett system för tillsyn

Myndigheten har anlitat konsulter för att ta fram ett lämpligt system för tillsyn. Tan­ken är att tillämpa en systemtillsyn med inslag av djupare kontroll på plats. Det inne­bär att myndigheten ska granska rutinerna för hur leverantören ska utföra arbetet, hur utförandet faktiskt blir, resultatet av det och om det följer lagens krav. Denna me­tod kräver att leverantören förvarnas så att ansvariga för de områden som ska kon­trolleras är på plats och redogör för leverantörens rutiner och verksamhet. Myn­dig­heten menar att tillsynens omfattning också kommer att bero på om en tredje part gran­skar enskilda leverantörer inom ramen för exempelvis en certifiering enligt ISO-standard.

Enligt myndigheten är dess nuvarande kontroll relativt komplex, och sker mot tek­niska rättsakter som reglerar bland annat hantering och tillverkning av livsmedel. Före­tagen har ansvar för att följa lagstiftningen och att de livsmedel som kommer ut är säkra. Därför ska företagen analysera alla faror som kan kopplas till råvaror, pro­ces­stegen, och den färdiga produkten. Resultatet blir en lista över säkerhetsfaror som måste förebyggas eller elimineras av företagen.

De löpande kostnaderna beräknas till närmare 9 miljoner kronor

Myndigheten uppger att de löpande kostnaderna för tillsyn per år består av följande poster:

  • Kostnaden för fem årsarbetskrafter uppskattar myndigheten till sju miljoner kronor, inklusive lön och arbetsgivarkostnader samt overheadkostnader på 70 procent per tjänst.
  • Övriga kostnader utöver overhead beräknar myndigheten till sammanlagt cirka 1 miljon kronor för de fem tjänsterna. Detta gäller exempelvis externa drifts­kostnader som resor, kontorsmaterial, förbrukningsmaterial, kurs och konferens, post- och teletjänster.
  • Driftskostnader för it-systemet uppgår till cirka 200 000 kronor.
  • Övriga kostnader som myndigheten anser tillkommer kan myndigheten inte upp­skatta kostnaden för. Detta gäller exempelvis konsulttjänster.

De totala kostnaderna för den löpande tillsynen uppgår till närmare 9 miljoner kronor per år, inklusive overheadkostnader.

PTS

Initiala kostnader

Myndighetens tillsyn inom områdena driftsäkerhet och konfidentiell och säker kom­munikation enligt LEK omfattar regelverk som liknar de som finns i NIS-direktivet. De snarlika regelverken innebär att myndighetens nuvarande metoder troligen även kan användas i den nya tillsynen. Detta gör att PTS bedömer att myndigheten har en generell tillsynskompetens för de nya uppgifterna.

Begränsade förutsättningar att bredda den nuvarande tillsynen

En förutsättning för att bredda den existerande tillsynen till att även omfatta NIS-området är enligt PTS att myndigheten får resurser med bransch-, tillsyns- och informationssäkerhetskompetens. Dessa kompetenser behövs eftersom de nya uppgifterna i praktiken berör

  • nya tjänster som myndigheten inte riktar sin verksamhet till
  • annan teknik
  • andra aktörer
  • objekt i ett tidigare oreglerat område, som är ovana vid reglering och tillsyn
  • aktörer som arbetar med andra affärsmodeller och kundrelationer
  • att incidentrapporter från MSB kräver mer operativ koordinering.

För att kunna bredda den nuvarande tillsynen till att inkludera den nya regleringen och sektorerna menar PTS att de behöver kompetensutveckling. Myndigheten kom­mer därför att behöva mer resurser för att utöva tillsyn enligt NIS-direktivet. Den nya tillsynen kommer även att kräva en annan finansiering, eftersom finansieringen av nuvarande tillsyn sker genom avgifter för LEK-området och via anslag för om­rå­dena toppdomänlagen och betrodda tjänster.

De initiala kostnaderna går inte att beräkna

PTS kan inte uppskatta myndighetens initiala kostnader men understryker att det kräver mycket resurser att ta fram nya föreskrifter och att regelbundet revidera dessa. Myn­digheten har identifierat att de behöver förstärka kompetensen inom infor­ma­tions­säkerhetsområdet för det initiala skedet. Men behovet är inte begränsat till en­bart det området, utan gäller även bransch- och tillsynskompetens.

Myndigheten påpekar även att de behöver kompetensutveckling av befintlig per­sonal som ska arbeta inom området. Denna kompetensutveckling gäller de exakta be­stämmelserna i NIS-regleringen och arbetet med föreskrifter. PTS framhåller även att de behöver förstärka resurserna för att kunna arbeta med tillsyn inom ett nytt om­råde.

PTS kommer även att ha kostnader för informationsinsatser till nya leverantörer. Dessa handlar inledningsvis om att hitta former och forum för att nå aktörerna, men även att ta fram informationsunderlag. Detta behöver ske fortlöpande, och därför räk­nar inte PTS detta som enbart en initial kostnad.

Myndigheten har också identifierat eventuella oförutsebara engångskostnader. Det finns en osäkerhet i normgivningskompetensen, och flera frågor om gränsdragningar som kan kräva omfattande rättsutredningar. Det finns även en osäkerhet kring frågor om bland annat

  • hur styrningen och koordineringen blir nationellt
  • hur resurskrävande styrning och koordinering blir
  • vad som kommer som genomförandetakter
  • vad PTS kan behöva föreskriva om.

Löpande kostnader

PTS är också osäkra när det gäller frågan om antalet aktörer som de ska kontrollera, en faktor som är direkt avgörande för de löpande kostnaderna. PTS uppskattar antalet aktörer på området digital infrastruktur till

  • 1–3 registreringsenheter för toppdomäner
  • 2–8 för internetknutpunkter
  • 20–40 leverantörer av DNS-tjänster.

Det är svårare att bedöma antalet aktörer för digitala tjänster, enligt PTS. Utifrån MSB:s slutsatser, i deras svar på regeringsuppdrag att redovisa aktörer som till­handa­håller digitala tjänster, rör det sig om omkring 100 tjänster som tillhandahålls av cirka 70 leverantörer.

Osäkerhet om incidentrapportering och frekvens

Antalet möjliga incidentrapporter är också osäkert. Antalet tillsyner per år påverkar de löpande kostnaderna. Detta antal kommer enligt PTS att vara anpassat efter sek­torns behov och förutsättningar. Tillsynen inom digitala tjänster blir i stora delar hän­delse­styrd och baserad på misstänkta och inträffade incidenter. För digital infra­struktur blir den delvis händelsestyrd, men också planlagd och proaktiv. Det är också aktu­ellt att utöva skriftlig tillsyn och inspektionsliknande tillsyn, samt en kom­bi­na­tion av dessa.

Ur praktisk synvinkel går tillsynen ut på att kommunicera regler och till­syns­av­göranden till de berörda objekten. Digital infrastruktur och digitala tjänster är en tidigare oreglerad sektor med aktörer som är ovana vid reglering. PTS bedömer att detta medför en relativt hög grad av komplexitet för tillsynen inom området, med unika ärenden, frågor och analyser.

Kostnader per tillsyn och tillsynsobjekt är enligt myndigheten inte möjliga att förutse så här tidigt i processen. PTS bedömer att det blir fråga om en hög fast kostnad oberoende av antalet tillsyner, för att upprätthålla myndighetens beredskap och tillsynskompetens och annan verksamhet inom NIS-området. En mindre rörlig del av kostnaden beror på antalet aktörer och incidentrapporter.

De löpande kostnaderna beräknas till 5,2 miljoner kronor

Myndigheten bedömer behovet av förstärkning och stöd till totalt fyra årsarbetskrafter enligt följande:

  • tre årsarbetskrafter för tillsyn och normgivning
  • en årsarbetskraft för stöd från andra avdelningar

Dessa resurser kommer årligen att hantera uppskattningsvis omkring

  • 20 incidentrapporter
  • 6 tillsynsärenden

Utöver att hantera incidenter och tillsynsärenden kommer resurserna även att arbeta med normgivning och kommunikation med aktörer som omfattas av reglerna.

Den totala kostnaden för denna resursförstärkning uppskattar PTS till 5,2 miljoner kronor per år. Denna summa täcker behovet av ny personal, utgifter för föreskrifter samt ledning, övriga stödfunktioner och overheadkostnader.

Sammanställning av de ekonomiska konsekvenserna för myndigheterna

Det empiriska underlag som vi redovisat i avsnitten 4.2–4.7 bygger alltså på de före­slagna tillsynsmyndigheternas egna uppskattningar och bedömningar. I detta avsnitt redo­visar vi en samlad bild av dessa uppskattningar.

Initiala kostnader för tillsynen

I tabell 10 redovisar vi myndigheternas uppskattade kostnader för varje faktor som på­verkar deras initiala kostnader för den nya tillsynen.

Tabell 10 Sammanställning av kostnader och kostnadsdrivande faktorer som påverkar de initiala ekonomiska konsekvenserna för myndigheterna (tkr)

Myndighet

Föreskrifter

Kompetens*

Information

Engångs-kostnader

Energimyndigheten

Kan ej uppge

200

Kan ej uppge

Kan ej uppge

Transportstyrelsen

500

4 000–5 500

300–500

Kan ej uppge

Finansinspektionen

Kan ej uppge

3000

Kan ej uppge

Kan ej uppge

IVO

150

950

1 400

1 000

Livsmedelsverket

500

7 000

200

2 300

PTS

Kan ej uppge

Kan ej uppge

Kan ej uppge

Kan ej uppge

*Kompetens inkluderar intern kompetensinventering, rekrytering samt lönekostnader.

Uppgifterna i tabellen visar att Transportstyrelsen, IVO och Livsmedelsverket pla­nerar för relativt omfattande insatser under den inledande fasen, det vill säga främst under 2018. De tre myndigheternas initiala kostnader kommer att överskrida den nivå som utredningen (SOU 2017:36) bedömer är rimlig under 2018, det vill säga två årsarbetskrafter. Exempelvis planerar Livsmedelsverket och Transportstyrelsen för fem respektive tre eller fyra årsarbetskrafter under den inledande fasen. Där­ut­över tillkommer olika informationsinsatser och arbete med föreskrifter. Livs­medels­verket planerar även för omfattande investeringar i it-system under den närmaste tiden.

Finansinspektionen planerar för två årsarbetskrafter för bland annat informations­insatser och kompetensutveckling. Energimyndigheten har vid tiden för denna ut­red­ning svårt att uppskatta de initiala ekonomiska konsekvenserna för den nya till­synen. PTS kan inte precisera sina initiala kostnader enligt den metod vi använder oss av (se bilaga 2). Men de framhåller att myndighetens löpande kostnader på 5,2 mil­joner kronor kommer att uppstå redan under 2018.

Löpande kostnader för tillsynen

Regeringens särskilda utredare (SOU 2017:36) bedömer att de kostnadsdrivande faktorer som påverkar de löpande kostnaderna för den nya tillsynen är antalet leve­ran­törer, frekvens av tillsynen och hur den genomförs (se även kapitel 1). Men vårt em­piriska underlag visar att myndigheterna i stor utsträckning inte har tillräcklig in­for­mation för att göra kvalificerade bedömningar kring dessa faktorer. Myn­dig­heterna har med stöd av sin erfarenhet från annan tillsyn eller andra verk­sam­hets­om­råden ändå uppskattat kostnaden för den nya tillsynen.

Tabell 11 sammanställer antalet årsarbetskrafter samt kostnaderna för den löpande tillsynen.

Tabell 11 Sammanställning av antal årsarbetskrafter och årliga kostnader för den löpande tillsynen

Myndighet

Antal årsarbetskrafter

Kostnad för löpande tillsyn i tkr
(inkl. overhead)

Energimyndigheten

3

8 000

Transportstyrelsen

7–8

15 000

Finansinspektionen

2

3 000

IVO

10

19 200

Livsmedelsverket

5

9 000

PTS

4

5 200


Vid sidan av själva kostnaderna väljer vi att även redovisa antalet årsarbetskrafter för den löpande tillsynen. Årsarbetskrafterna är den största enskilda kostnadsposten för myndigheterna och är också en kostnad som samtliga myndigheter har redovisat i sina uppskattningar till Statskontoret. Vid sidan av lönekostnaderna innehåller kost­na­derna naturligtvis även andra väsentliga utgifter, som resor, it-system och kon­sult­tjänster.

Sammanställningen i tabell 11 visar på relativt stora skillnader i ekonomiska kon­se­kvenser mellan myndigheterna när det gäller de löpande kostnaderna för tillsynen per år, inklusive overheadkostnader.

IVO uppskattar att den nya tillsynen kommer att kosta 19,2 miljoner kronor per år. Därefter följer i tur och ordning Transportstyrelsens 15 miljoner kronor, Livsmedels­verkets 9 miljoner kronor, Energimyndighetens 8 miljoner kronor, PTS 5,2 miljoner kronor och Finansinspektionens 3 miljoner kronor.

Den totala kostnaden för tillsynen

Tabell 12 sammanfattar de ovanstående tabellerna. Den innehåller myndigheternas redo­visade uppskattade initiala kostnader och löpande kostnader för den nya till­sy­nen.

Tabell 12 Sammanställning av initiala kostnader och löpande kostnader för myndigheterna (tkr)

Myndighet

Initiala kostnader

Löpande kostnader

Energimyndigheten

200

8 000

Transportstyrelsen

4 000

15 000

Finansinspektionen

3 000

3 000

IVO

3 500

19 200

Livsmedelsverket

10 000

9 000

PTS

Kan ej uppge

5 200

Totalt

17 200

59 400


Den sammanlagda initiala kostnaden för de myndigheter som vid tiden för denna ut­redning kan göra en uppskattning uppgår till 17,2 miljoner kronor. Spännvidden mel­lan myndigheterna är påfallande. Energimyndigheten uppskattar sina kostnader till 200 000 kronor medan Livsmedelsverket uppskattar sina kostnader till 10 mil­joner kronor.

De löpande kostnaderna uppgår sammanlagt till 59,4 miljoner kronor per år med ett medeltal på 9,9 miljoner kronor per myndighet. Det är endast Livsmedelsverket som uppskattar den initiala kostnaden till större än ett års löpande kostnad. Det beror på att Livsmedelsverket planerar för en relativt omfattande investering i ett nytt it-sys­tem. Därefter hamnar alltså myndighetens löpande kostnader på 9 miljoner kronor, vil­ket är något under medeltalet.

Finansinspektionens uppskattning av de ekonomiska konsekvenserna är den lägsta bland myndigheterna. Enligt myndigheten beror den jämförelsevis låga kostnaden på att den nya tillsynen ganska problemfritt kan införlivas i myndighetens nuvarande tillsyn.

Hur tillförlitliga är våra beräkningar?

De ovanstående beräkningarna bygger som sagt på myndigheternas egna upp­skatt­ningar av kostnaderna. Området är dessutom ganska komplext och än så länge saknas centrala uppgifter om till exempel antalet tillsynsobjekt. Det finns därför goda skäl att fråga sig hur tillförlitliga de beräkningar vi presenterat i detta kapitel egentligen är.

Uppgifterna är preliminära

Myndigheterna kan vid tiden för vår utredning i bästa fall lämna preliminära upp­skattningar av de kostnadsdrivande faktorer som påverkar deras initiala och löpande kostnader. I sämsta fall kan de inte lämna några uppgifter alls. Exempelvis är IVO och Livsmedelsverket de enda myndigheterna som uppskattar samtliga initiala faktorer. Men de saknar, i likhet med andra myndigheter, möjlighet att precisera antal leve­rantörer som ska tillsynas, tillsynens frekvens och kostnaden per tillsyn. Ett annat exempel är att endast Livsmedelsverket i våra intervjuer uppger vad inves­te­ringar i it-system kan innebära för engångskostnaderna.

Ett ytterligare exempel är att majoriteten av myndigheterna inte hade inkluderat over­headkostnader i sina respektive kostnadsberäkningar för årsarbetskraften i ett första skede av vår undersökning. Men samtliga myndigheter har kommit in med kom­pletterande uppgifter som även inkluderar overheadkostnaderna, efter att ha tagit del av varandras preliminära uppskattningar under faktagranskningen.

En av de viktigaste orsakerna till att uppgifterna endast är preliminära är att myn­digheterna ännu inte har fått regeringens formella uppdrag om den föreslagna till­synen. Därför anser de att de saknar information om vad ett sådant uppdrag kommer att innebära i praktiken. Exempelvis återkommer samtliga myndigheter till det fak­tum att antalet leverantörer som ska tillsynas inom respektive sektor inte är fastställt.

Det pågår dessutom diskussioner i MSB:s samarbetsforum om vilka delar i tillsynen som kan vara enhetliga över sektorsgränserna. Diskussionen rör exempelvis infor­ma­tionsinsatser, föreskrifter och tillsynsfrekvens. Några myndigheter vill invänta re­sul­tatet av denna process innan de gör en mer exakt uppskattning av de initiala kost­naderna.

Uppgifterna vilar på en någorlunda stabil grund

Myndigheternas uppskattningar utgår inte från ett visst antal tillsynsobjekt, till­synens frekvens eller kostnaden per tillsyn. Majoriteten av myndigheterna saknar möj­lighet att göra en bedömning i dessa frågor.

Trots det menar vi att uppgifterna i tabell 12 vilar på en någorlunda god grund. Vi har sammanställt en bruttolista med 29 faktorer som vi bedömer kan påverka kost­naden för den nya tillsynen (se även kapitel 1). Majoriteten av faktorerna nämns i be­tänkandet (SOU 2017:36) som viktiga för kostnaderna, resterande bygger på olika kost­nadsposter som minst en myndighet har nämnt i våra intervjuer och som vi be­dömer kan vara viktig för samtliga myndigheter att ta hänsyn till.

Vi bad varje myndighet i slutet av processen att svara om de olika faktorerna ingår i deras uppskattning eller inte samt om faktorn är relevant eller inte för just den myn­dig­heten.

Myndigheterna kunde välja mellan följande svar per faktor:

  • Ingår i vår uppskattning
  • Ingår ej i vår uppskattning, men är relevant
  • Ej relevant

Vi bedömer att ju fler faktorer som myndigheterna indikerar ingår i respektive upp­skatt­ning desto tillförlitligare är beräkningen. På motsvarande sätt gäller att ju fler fak­torer som myndigheterna indikerar ingår ej, men är relevant, desto osäkrare är be­räkningen.

Vi bedömer att svaret ej relevant indikerar att faktorn är onödig eller saknar be­ty­delse för tillsynen för en specifik myndighet och att den därför inte bör ingå i upp­skatt­ningen. Statskontorets anser att myndigheterna vet bäst om det förhåller sig på det ena eller andra viset. Vi betraktar således svaret ej relevant som varken positivt eller negativt, utan som neutralt för att bedöma tillförlitligheten i uppskattningarna.

Bedömning av myndigheternas uppskattningar för de initiala kostnaderna

Vi har delat upp faktorerna i två tabeller. Tabell 13 redovisar i vilken grad myn­dig­he­terna har beaktat 9 faktorer som påverkar de initiala kostnaderna och tabell 15 redo­visar resultatet för de resterande faktorerna som påverkar de löpande kost­na­derna.

I enlighet med vår hypotes ovan har vi markerat svar som indikerar att myn­dig­he­terna beaktat faktorn i sina respektive uppskattningar (ingår) med grön färg. Svar som indikerar att myndigheterna inte har beaktat faktorn, men borde ha gjort det om det var möjligt (ingår ej, men relevant) har vi markerat med röd färg. Svar som indikerat att en viss faktor saknar relevans för en specifik myndighet (ej relevant) har vi markerat med gul färg.

Tabell 13 Faktorer som påverkar myndigheternas initiala kostnader, och myndigheternas svar om de har beaktat dessa faktorer i sina uppskattningar eller inte (antal grönmarkerade svar inom parantes).

Faktorer

EM (4)

TS (7)

FI (8)

IVO (7)

LiV (6)

PTS (6)

Föreskrifter

Ingår

Ingår

Ingår

Ingår

ingår

Ingår

Informationsinsatser mot
leverantörer

Ingår

Ingår

Ingår

Ingår

ingår

Ingår

Utbildningsinsatser mot
leverantörer

Ingår

Ej
relevant

Ej
relevant

Ingår

Ej
relevant

Ingår ej,
men
relevant

Kompetensinventering
internt

Ingår

Ingår

Ingår

Ingår

Ej relevant

Ingår

Rekrytering ny
kompetens för initialt
arbete

Ingår ej,
men
relevant

Ingår

Ingår

Ingår

Ingår

Ingår

Engångskostnader

Ingår ej,
men
relevant

Ingår

Ingår

Ingår

ingår

Ingår

It-system –
ställningstagande om
befintligt eller skapa nytt

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår

Ingår

ingår

Ingår ej,
men
relevant

Behov av särskilda
insatser från konsulter

Ingår ej,
men
relevant

Ingår

Ingår

Ingår ej,
men
relevant

Ingår

Ingår

Riskbedömning kring
oförutsedda kostnader
eller händelser

Ingår ej,
men
relevant

Ingår

Ingår

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Tabell 13 visar att uppskattningarna från Energimyndighetens och PTS är de mest osäkra när det gäller de initiala kostnaderna. De har markerat fyra respektive tre fak­torer som relevanta trots att faktorerna inte ingår i respektive myndighets upp­skattning. Resultatet är inte överraskande eftersom de båda myndigheterna, anser att de inte har möjlighet att bedöma den nya tillsynens initiala kostnader. Undantaget är Ener­gi­myndighetens bedömning som gäller kompetensutveckling för 200 000 kro­nor.

Finansinspektionen är den myndighet som har beaktat flest faktorer i sin upp­skatt­ning, åtta av nio faktorer. Men myndigheten anser att faktorn Utbildningsinsatser mot leverantörer inte är relevant, vilket ytterligare två myndigheter gör. Vi bedömer att det beror på att faktorn delvis överlappar med faktorn Informationsinsatser mot leve­rantörer. Eventuellt kan utbildningsinsatser bli aktuella i ett senare skede.

Övriga tre myndigheter, IVO, Transportstyrelsen och Livsmedelsverket, har beaktat en klar majoritet av faktorerna när de har gjort sina respektive kostnads­upp­skatt­ningar.

Sammanfattningsvis kan vi konstatera att faktorerna till drygt 70 procent är beaktade av myndigheterna i deras uppskattningar till Statskontoret. Om vi bortser från de svar som indikerar att en specifik myndighet finner en faktor irrelevant, stiger resul­tatet till 73 procent.

Tabell 14 sammanställer hur stor andel av faktorerna som myndigheterna har beaktat när de har uppskattat sina initiala kostnader. Tabellen visar också resultatet om vi bortser från de neutrala svaren, det vill säga de faktorer som myndigheterna anser vara irrelevanta.

Tabell 14 Andel faktorer som myndigheterna har beaktat i sina uppskattningar av de initiala kostnaderna, i procent.

EM

TS

FI

IVO

LiV

PTS

Andel beaktade faktorer

45

78

89

78

67

67

Andel beaktade faktorer exklusive svaret ej relevant

45

88

100

78

86

67


Bedömning av myndigheternas uppskattningar för de löpande kostnaderna

Tabell 15 redovisar om myndigheterna har beaktat 20 faktorer som påverkar de lö­pa­nde kostnaderna.

Tabell 15 Faktorer som påverkar myndigheternas kostnader för löpande tillsyn, och myndigheternas svar om de har beaktat dessa faktorer i sina uppskattningar eller inte (antal grönmarkerade svar inom parantes).

Faktorer

EM (16)

TS (16)

FI (16)

IVO (13)

LiV (8)

PTS (14)

Antal leverantörer

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår

Ingår

Tillsynsfrekvens

Ingår

Ej
relevant

Ingår

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår

Kostnad per tillsyn

Ingår ej,
men
relevant

Ingår

Ingår ej,
men
relevant

Ingår

Ingår ej,
men
relevant

Ej r
elevant

Kostnad per tillsynsobjekt

Ingår ej,
men
relevant

Ingår

Ingår ej,
men
relevant

Ingår

Ingår ej,
men
relevant

Ej
relevant

Möjligt att inkorporera ny
tillsyn i befintlig tillsyn

Ingår

Ingår ej,
men
relevant

Ingår

Ingår

Ingår

Ej
relevant

Möjligt att använda
befintliga arbetssätt och
metoder

Ingår

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår

Nödvändigt att ta fram
nya arbetssätt och
metoder

Ingår

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår

Det nya tillsynsområdets
sårbarhet, hot och risker

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår[67]

Behov av rekrytering för
löpande tillsyn

Ingår

Ingår

Ingår

Ingår

Ingår

Ingår

Kostnader för
interna/befintliga resurser
– utöver nyrekryteringar

Ingår

Ingår

Ingår

Ingår

Ej
relevant

Ingår

Behov av konsulter

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår

Ej
relevant

Kostnad per
årsarbetskraft

Ingår

Ingår

Ingår

Ingår

Ingår

Ingår

Overheadkostnader är
inkluderade i kostnaden
för årsarbetskraften

Ingår

Ingår

Ingår

Ingår

Ingår

Ingår

Behov
kompetensutveckling av
befintliga resurser

Ingår

Ingår

Ingår

Ingår

Ej
relevant

Ingår

It-system – kostnader för
underhåll och
uppdateringar, oavsett
anpassad eller nytt

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår

Ingår

Ingår ej,
men
relevant

Kostnad för nya it-system

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår ej,
ej
relevant

Ingår

Ingår ej,
men
relevant

Uppföljning/uppdatering
av föreskrifter

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ej
relevant

Ingår

Bedömning avseende
antal incidentrapporter
och hanteringen av dessa

Ingår

Ingår

Ingår

Ingår ej,
men
relevant

Ingår ej,
men
relevant

Ingår

Så kallade
återföringskonferenser –
för återapporteringar till
tillsynsobjekten

Ingår

Ingår

Ingår ej

Ingår

Ingår ej,
men
relevant

Ingår

Besluta om administrativa
sanktioner för
överträdelser av
bestämmelser i den nya
lagen

Ingår

Ingår

Ingår

Ingår

Ej
relevant

Ingår

Tabell 16 sammanställer hur stor andel av faktorerna som myndigheterna har beaktat när de uppskattat sina löpande kostnader. Tabellen visar också resultatet om vi bort­ser från de neutrala svaren, det vill säga de faktorer som myndigheterna anser vara irre­levanta.

Tabell 16 Andel faktorer som myndigheterna har beaktat i sina uppskattningar av de löpande kostnaderna, i procent.

EM

TS

FI

IVO

LiV

PTS

Andel beaktade faktorer

80

80

80

65

40

70

Andel beaktade faktorer exklusive svaret ej relevant

80

84

80

65

50

88

Energimyndigheten, Transportstyrelsen och Finansinspektionen har samtliga indi­kerat att de har beaktat 16 av 20 faktorer, vilket motsvarar 80 procent. PTS, IVO och Livs­medelsverket har beaktat faktorer 14 (70 procent), 13 faktorer (65 procent) res­pek­tive 8 faktorer (40 procent). Dessa svar är något osäkra, särskilt när det gäller Livs­medelsverket.

Men om vi avlägsnar de neutrala svaren, ej relevant, från ekvationen blir resultatet bättre. Livsmedelsverkets resultat visar att myndigheten har beaktat 8 av 16 faktorer, alltså 50 procent, medan resultatet för PTS blir 14 av 16, det vill säga 88 procent. IVO:s resultat blir detsamma eftersom myndigheten inte anser att någon faktor är irrelevant.

Även om myndigheterna har svårt att bedöma antalet leverantörer, tillsyns­frek­ven­sen och antalet tillsyner per år har de flesta ändå tagit med dessa faktorer i sina res­pek­tive uppskattningar. Vi menar att detta visar att myndigheterna har en föraning, om än begränsad, om hur stort antalet tillsynsobjekt kan bli inom respektive sektor.

Sammanfattningsvis kan vi konstatera att faktorerna som påverkar de löpande kost­naderna är till 69 procent är beaktade av myndigheterna i deras uppskattningar till Stats­kontoret. Dessutom stiger resultatet till 75 procent om vi bortser från de svar som indikerar att en specifik myndighet finner en faktor irrelevant. Vi anser därför att beräkningarna vilar på en någorlunda stabil grund, även om myndigheternas upp­skattningar är preliminära.

Finansieringen av tillsynen

Enligt Tillsynsutredningen (2004:100) är den statliga tillsynen till omkring 60 pro­cent avgiftsfinansierad och till 40 procent anslagsfinansierad. I detta kapitel bedömer vi vilken av de båda finansieringsformerna som är mest lämpligt för den nya till­synen, genom en jämförande analys.[68]

Analys av fördelar och nackdelar med avgiftsfinansiering kontra anslagsfinansiering

Regeringen anger i sin skrivelse (Skr. 2009/10:79) att avgiftsfinansiering bör använ­das i normalfallet för att finansiera tillsynsverksamhet. Regeringen motiverar detta med att tillsynsobjekten står för kostnaden vid en avgiftsfinansiering med full kost­nads­täckning. Enligt regeringen tydliggör detta kostnaderna för tillsynsinsatsen, vilket ger tillsynsmyndigheten incitament till att genomföra en kostnadseffektiv till­syn. Ett annat skäl som regeringen för fram är att skatteuttaget kan begränsas och stats­budgeten därmed avlastas.

Tillsynsutredningen (SOU 2004:100) menar också att det främsta skälet för en av­giftsfinansierad tillsyn är att den inte belastar statsbudgeten. Dessutom kan myndig­heterna bedriva mer tillsyn om både avgifts- och skattefinansiering tillämpas, än om enbart skattefinansiering tillämpas. Dessutom kan avgifter från tillsynsobjekten vara det enda sättet att finansiera offentlig tillsyn över en viss verksamhet.[69]

Enligt Tillsynsutredningen (SOU 2004:100) bör dessutom avgiftsfinansiering alltid tillämpas när den tillsynspliktiga verksamheten inte är ett skattefinansierat samhälls­åtagande. Det innebär att avgiftsfinansiering bör förekomma då det går att ta ut av­gifter från tillsynsobjekt som huvudsakligen är verksamma utanför den offentliga sektorn.[70] När det gäller tillsynen enligt NIS-direktivet är det flera sektorer som helt eller delvis inte utgör ett skattefinansierat samhällsåtagande, exempelvis finans, trans­­port och energi. De är i stället sektorer där privata bolag verkar. Detta skulle alltså motivera en avgiftsfinansierad tillsynsmodell.

Det finns alltså goda skäl för ett avgiftsfinansierat system. Trots det visar Stats­kontorets intervjuer att de särskilda förutsättningar som NIS-direktivet innebär gör att endast Finansinspektionen av de sex föreslagna tillsynsmyndigheterna ställer sig positiv till en avgiftsfinansiering. Finansinspektionen bedömer utsikterna som mycket goda att utgå från myndighetens befintliga tillsynsstrategi och tillsyns­pro­ces­ser även när det gäller tillsyn som avser NIS-området.

Risk för snedvriden konkurrens

Tre av de föreslagna tillsynsmyndigheterna framhåller i våra intervjuer risken för att sned­vrida konkurrensen som ett av de viktigaste argumenten mot en avgifts­finansierad tillsyn. Detta är också något som både Tillsynsutredningen (SOU 2004:100) och utredningen (SOU 2017:36) om informationssäkerhet för sam­hällsviktiga och digitala tjänster för fram i sina respektive betänkanden. Enligt Tillsynsutredningen (SOU 2004:100) hämmar avgiftsfinansiering generellt sett alltid näringsverksamhet till viss del. Det beror på att avgifterna innebär kostnader för tillsynsobjekten. Exempelvis kan avgifter som är relativt höga i förhållande till före­tagens ekonomiska storlek hindra små företag från att vilja etablera sig på en marknad. Om betalningsförmågan bland tillsynsobjekten varierar mycket kan vissa avgiftskonstruktioner också upplevas som orättvisa. Det kan till exempel handla om att samtliga tillsynsobjekt inom samma ”avgiftskollektiv” inte kan identifieras. Detta kan medföra att vissa tillsynsobjekt tvingas betala avgifter medan andra slipper, trots att de borde betala.[71] Ju fler tillsynsobjekt som identifieras desto lägre avgift behöver tas ut av tillsynsmyndigheten om full kostnadstäckning ska vara huvudprincipen. En­ligt regeringens skrivelse bör full kostnadstäckning vara huvudprincipen.[72]

Regeringens särskilda utredare framhåller i sitt betänkande (SOU 2017:36) att samt­liga leverantörer inom de aktuella sektorerna som omfattas av NIS-direktivet inte kom­mer att bli föremål för tillsyn. Det kan medföra att en avgiftsfinansierad tillsyn kan påverka konkurrensen negativt.[73]

Detta är något som även flera av de utpekade tillsynsmyndigheterna håller med om. Exem­pelvis framhåller Energimyndigheten i våra intervjuer att ett system med avgifts­finansiering blir orättvist på energimarknaderna. Det beror på att myndigheten kanske inte fullt ut lyckas med att hitta den exakta tröskelgränsen för vilka bolag som ska kontrolleras och vilka som inte ska kontrolleras. Det innebär att myndig­heten riskerar att missa eller inte hinna med vissa leverantörer, medan andra leve­rantörer kommer att få högre krav än vad som egentligen är rimligt. Detta beror på att tröskelvärdet aldrig kan bli helt rättvist, utan alltid kommer att innehålla en viss godtycklighet.

Enligt PTS är avgiftsfinansiering olämpligt för både sektorn för digital infrastruktur och sektorn för digitala tjänster. Det beror på att enbart vissa aktörer som konkurrerar på marknaden påverkas av den kommande NIS-lagens skyldigheter, medan andra inte gör det. Det riskerar att snedvrida konkurrensen på marknaden.

I Transportstyrelsens fall kan årsavgiften för varje tillsynsobjekt komma att uppgå till 95 000 kronor för att kunna täcka kostnaderna för tillsynen. Myndigheten bedö­mer att det kan innebära både en snedvridning av konkurrensen och ett etab­lerings­hinder. Transportstyrelsen bedömer att endast 160 leverantörer av 1 000 möjliga företag och organisationer inom de olika transportsektorerna kommer att beröras av den nya tillsynen. Transportstyrelsen ser en påtaglig risk att vissa leverantörer av sam­hälls­viktiga tjänster i transportsektorn som omfattas av NIS-direktivet inte kommer att identifiera sig som direktivet föreskriver. Detta är i sammanhanget sär­skilt viktigt att ta hänsyn till eftersom Tillsynsutredningen (SOU 2004:100) har under­strukit vikten av att avgifterna inte bör motverka syftet med tillsyns­verk­sam­heten.[74]

Men Finansinspektionen ser ingen risk för att tillsynsavgiften kan snedvrida konkurrensen bland tillsynsobjekten, eftersom myndigheten bedömer att avgiften för varje tillsynsobjekt kommer att vara begränsad. Som framgick av avsnit 4.4 består Finans­inspektionens tillsynsobjekt av bland annat banker, kreditmarknadsbolag och andra företag med stora tillgångar. De upplever sannolikt inte att en tillsynsavgift är lika betungande för dem som för andra företag inom andra sektorer.

Avgiften riskerar att bli relativt hög för ett fåtal tillsynsobjekt

Fyra myndigheter framhåller i våra intervjuer att avgiften för den nya tillsynen kommer att bli för hög för ett fåtal tillsynsobjekt. Det beror på att avgifterna, ska beräknas så att den långsiktiga självkostnaden täcks, så kallad full kostnads­täck­ning.[75] Detta gäller om inte regeringen har föreskrivit något annat. Det innebär att avgifterna ska beräknas så att intäkterna täcker kostnaderna på ett eller flera års sikt. Dessa myndigheter anser att en utökad anslagsram är att föredra framför ett avgifts­finan­sierat system, eftersom det alltså finns en överhängande risk för att avgiften kommer att bli hög för ett fåtal objekt. Skulle de faktiska kostnaderna för tillsynen läggas på de leverantörer som kontrolleras blir avgiften alldeles för hög.

Energimyndigheten anser dessutom att det blir svårt att räkna ut vad bolagen som kontrol­leras ska betala. Enligt myndigheten innebär regeringens cyberstrategi (Na­tionell strategi för samhällets informations- och cybersäkerhet) att tillsynsavgiften inte ska bero på storleken på tillsynsobjektet utan snarare på en riskbedömning av hot­bilden mot den tjänst som tillsynsobjektet arbetar med. Men hotbilden förändras hela tiden. Om tillsynen ska vara riskbaserad så kommer avgiften att bli för stor för mindre bolag medan större bolag kommer undan billigare om de levererar tjänster som har en lägre hotbild. PTS för fram samma resonemang om riskbaserad tillsyn i våra intervjuer.

I likhet med Energimyndigheten har PTS erfarenhet av avgiftsfinansierad tillsyn som fungerar väl på en marknad med ett stort antal aktiva tillsynsobjekt som avgiften kan fördelas på. Men PTS bedömer att det här är fråga om en marknad med få aktörer och därför anser de att avgiftsfinansiering är olämplig, eftersom kostnaderna då blir stora per aktör. Det riskerar att bidra med incitament för företag att inte etablera sig på den svenska marknaden, utan att kanske hellre söka sig till länder som använder en skattefinansierad tillsyn. Detta är också en risk som regeringens särskilda utredare upp­märksammar i sitt betänkande (SOU 2017:36).

Högre kostnader för administration

Ett annat skäl som talar emot avgiftsfinansiering är att det alltid innebär kostnader hos både tillsynsmyndigheten och tillsynsobjektet för att administrera avgiftssys­te­met. Administrationen omfattar bland annat arbete med att beräkna storleken på av­gif­terna, budgetering och uppföljning av intäkter och kostnader, arbete med myn­dig­hets­föreskrifter om betalning, information och fakturering.[76]

IVO bedriver i dag i stort sett inte någon egentlig avgiftsfinansierad tillsyn. De fram­håller i våra intervjuer att administrationskostnaderna är ett viktigt argument mot avgifter, eftersom det skulle bli för administrativt kostsamt att bygga upp och driva systemet. I slutändan skulle det leda till negativa effekter hos de verksamheter som ska kontrolleras, menar IVO.

Regeringen anser att avgiftsfinansiering är den finansieringsform som bör användas i normalfallet. Men inom vissa områden kan det, enligt regeringen, vara lämpligt att fina­nsiera tillsynen via skattemedel. Det kan exempelvis vara fallet när kostnaderna för att administrera ett avgiftsuttag bedöms som höga i relation till avgiften i övrigt. Även fördelningspolitiska och effektivitetsmässiga eller andra skäl kan vara grund för att skattefinansiera tillsyn. Detta gäller särskilt när tillsynen avser statligt och kom­munalt finansierad verksamhet.

Det finns ytterligare skäl till varför IVO:s tillsyn av skattefinansierad verksamhet inte bör vara avgiftsfinansierad. Enligt Tillsynsutredningen (SOU 2004:100) bör anslags­finansiering alltid övervägas då den tillsynspliktiga verksamheten är ett skatte­finansierat samhällsåtagande, det vill säga när den i huvudsak är avgiftsfri för med­borgarna, oavsett om verksamheten bedrivs i offentlig eller privat regi. Till­synsutredningen (SOU 2004:100) anser att ett införande av tillsynsavgifter på dessa områden endast skulle innebära en omfördelning av offentliga medel. Det innebär att avgifterna i verkligheten inte skulle finansiera tillsynen.

Svårt att bestämma en avgift innan leverantörerna är kända

Utredningen (SOU 2017:36) om informationssäkerhet för samhällsviktiga och digi­tala tjänster påpekar också att det är svårt att bedöma omfattningen av den kom­mande tillsynen. Verksamheterna inom de berörda sektorerna skiljer sig åt, liksom kom­plexiteten i olika nätverk och informationssystem. Utredningen (SOU 2017:36) note­rar även att teknisk utveckling och digitalisering kan påverka tillsynens om­fattning och innehåll.[77]

Transportstyrelsen anser dessutom att det är svårt att tillämpa en avgiftsfinansiering av tillsyn i en verksamhet med två stora osäkerhetsfaktorer. Dels är antalet till­syns­objekt inte helt fastställt, dels är uppskattningen av kostnaden per tillsyn osäker. Enligt myndigheten kommer dessa faktorer sannolikt att generera ett myndighets­internt överskott eller underskott i finansieringen av tillsynen. Enligt avgifts­för­ord­ningen (1992:191) ska detta underskott respektive överskott balanseras efter räken­skaps­årets slut, om det ekonomiska målet är full kostnadstäckning. Detta innebär att ny­tillkommande tillsynsobjekt kan få betala för tidigare års underskott, enligt Tran­sportstyrelsen.

Svårt att påvisa en motprestation

Både ESV och regeringens särskilda utredare (SOU 2017:36) anser att valet av ett avgifts­finansierat system för tillsyn förutsätter att principen om en motprestation från tillsynsmyndighetens sida ska gälla.[78], Detta följer av att det är rimligt att leve­ran­törerna förväntar sig att den avgift de betalar går att koppla till den tillsyn som genomförs. Om tillsynsobjekten upplever att de betalar för en tillsyn som antingen inte genomförs eller i så ringa omfattning att de uppfattar tillsynen som meningslös kan det urholka legitimiteten för tillsynsverksamheten. Vikten av en tydlig mot­pres­tation för avgiften är något också tillsynsmyndigheterna själva understryker. Exem­pel­vis Livsmedelsverket påpekar att en tydlig koppling mellan debitering och pres­tation bidrar till att kontrollen uppfattas som kompetent och oberoende.

Finansinspektionen tar ut årliga avgifter från företag och personer som står under deras tillsyn. De argumenterar att en eventuell avgiftshöjning med anledning av till­syn enligt NIS-direktivet kommer att motsvaras av en ökad arbetsinsats. Mot bak­grund av att omfattningen på myndighetens tillsyn i stora delar styrs av risk­klass­ificering blir motprestationen, om myndigheten skulle genomföra den nya tillsynen efter samma modell, inte särskilt transparent. Detta eftersom en ökad arbetsinsats i form av till exempel fler tillsyner inte nödvändigtvis behöver omfatta alla aktörer i av­giftskollektivet, utan enbart sådana som klassificeras utgöra en risk utifrån sin bety­delse i det finansiella systemet. De aktörer som myndigheten bedömer att de inte utgör någon större risk kommer inte att kontrolleras i lika stor utsträckning. De kan då uppleva att de betalar för något som de inte får.

Även Transportstyrelsen och IVO har svårt att relatera avgiftens skälighet för den nya tillsynen till en tydlig motprestation.

Statskontorets förslag

  • Statskontoret föreslår att tillsynen enligt NIS-direktivet ska anslagsfinansieras.

Statskontoret bedömer att det finns goda skäl som talar för både avgiftsfinansierad och anslagsfinansierad tillsyn. Men vår analys visar att nackdelarna med en avgifts­finansierad tillsyn överväger fördelarna för fem av de sex aktuella myndigheterna. Finansinspektionen kan på ett relativt enkelt sätt utvidga sin nuvarande tillsyn till att även omfatta tillsynen enligt NIS-direktivet och fortsätta med nuvarande avgifts­system.

De huvudsakliga skälen för vår bedömning

Det är framför allt fyra skäl som talar emot att tillsynsobjekten ska betala en avgift för tillsynen. Dessa är

  • risken för konkurrenssnedvridande effekter
  • de jämförelsevis högre administrationskostnaderna hos tillsynsmyndigheterna
  • svårigheterna med att få utforma tillsynen på ett enhetligt sätt över sektorerna
  • svårigheterna med att visa på en tydlig motprestation som kan motivera avgiften.

Ett avgiftsfinansierat system för tillsyn enligt NIS-direktivet riskerar att snedvrida kon­kurrensen inom framför allt sektorerna digital infrastruktur, transporter och energi – sektorer som helt eller delvis inte utgörs av skattefinansierade samhälls­åtaganden. Eftersom de löpande kostnaderna för tillsynsmyndigheterna kommer att fördelas på tillsynsobjekten, enligt principen om full kostnadstäckning, kan det medföra att vissa tillsynsobjekt tvingas betala relativt höga avgifter medan andra slipper, trots att de borde betala. Skälet till det är att samtliga tillsynsobjekt inom samma ”avgiftskollektiv” riskerar att inte identifieras inom ramen för tillsynen enligt NIS-direktivet. Exempelvis bedömer PTS att kostnaderna per tillsynsobjekt på en liten marknad som digital infrastruktur och digitala tjänster kan innebära att företag inte kommer att etablera sig på den svenska marknaden. I stället kan de välja länder som använder en skattefinansierad tillsyn. Även Energimyndigheten och Tran­sport­styrelsen resonerar på ett liknande sätt (se ovan).

Risken med konkurrenssnedvridande effekter behöver analyseras noga. Detta lyfts särskilt fram i utredningen (SOU 2017:36) om informationssäkerhet för samhälls­vik­tiga och digitala tjänster, samt i en av Statskontorets tidigare rapporter.[79] Med det är inte endast de tillsynsmyndigheter som agerar inom näringslivssektorer som anser att kostnaderna per tillsynsobjekt skulle bli oskäligt höga. Även Livsmedelsverket fram­håller i våra intervjuer att avgiften för tillsynen kommer att bli för hög för de kom­muner som blir aktuella för tillsyn enligt NIS-direktivet.

Ett annat skäl talar emot avgiftsfinansiering av den nya tillsynen, enligt vår bedöm­ning. Det är att ett sådant system generellt sett kostar mer i form av administ­ra­tions­kostnader än om tillsynen finansieras via statsbudgeten. Förutom kostnader för fak­tu­rering och annan administration kan systemet ibland också medföra kostnader för information till företagen om avgifterna eller om betalning. Avgiftssystemet måste också fortlöpande underhållas och anpassas till nya omvärldsfaktorer. Flera av de före­slagna tillsynsmyndigheterna måste också bygga upp nya administrativa rutiner för den nya tillsynen. Därför bedömer särskilt IVO, som i dag har en mycket begrän­sad erfarenhet av avgiftsfinansierad tillsyn, att kostnaderna kommer att överstiga nyttan med avgifterna. Under den period när myndigheterna bygger upp sin kapacitet att genomföra den nya tillsynen bör de inte belastas med att bygga upp och admi­ni­strera ett avgiftssystem, enligt Statskontoret. Detta är något som också regeringens särskilda utredare förordar.[80] Utredningen föreslår att en ny utredning kan bedöma möj­ligheten att införa ett system med tillsynsavgifter efter att leverantörerna som ska till­synas har identifierats.

Ett ytterligare skäl för Statskontorets bedömning är att ett avgiftsfinansierat system kan försvåra en enhetlig utformning av tillsynen över sektorerna. Detta gäller under för­utsättning att målet för avgiftsuttaget är full kostnadstäckning, vilket enligt rege­ringens skrivelse bör vara huvudprincipen.[81] Vi menar att en gemensam tillsyns­modell skulle underlätta för myndigheterna att kontinuerligt utbyta erfarenheter och att lära av varandra. Det skulle i hög grad gynna de tillsmyndigheter, i synnerhet IVO och Livsmedelsverket, som i dag inte genomför någon tillsyn inom de områden de är föreslagna att göra. En enhetlig tillsyn kan även bidra till att främja den nya till­synens legitimitet bland tillsynsobjekten, eftersom samtliga aktörer blir föremål för samma form av tillsyn.

Visserligen skulle också ett system med avgifter kunna utformas så att tillsynen blir lika över landet. Men vi bedömer, i linje med Tillsynsutredningen (SOU 2004:100), att ett anslagsfinansierat system för tillsyn erbjuder jämförelsevis bättre förut­sätt­ningar att skapa en tillsyn som är enhetlig för hela landet. Vi menar att myndig­he­terna inom ramen för MSB:s samarbetsforum har större möjligheter att utforma en gemen­sam modell för tillsyn utan att de samtidigt behöver komma överens om en gemen­sam nivå på avgifterna. Det kan ta tid innan samtliga myndigheter har lika stora kostnader för tillsynen. Så länge samtliga myndigheterna inte har samma kost­nader för tillsynen kan de inte heller harmonisera storleken på avgifterna, om full kostnadstäckning är målet. Tillsynsobjekten skulle kunna uppleva systemet som orättvist om tillsynen utförs på samma sätt över sektorerna samtidigt som avgifterna skiljer sig åt. Detta skulle då kunna skada tillsynens legitimitet. Anslagsfinansiering mini­merar också risken för att tillsynen skulle styras av ekonomiska hänsyn som inte har med tillsynens syfte att göra.[82]

Om målet med avgiftsuttaget inte är full kostnadstäckning går det naturligtvis lättare att utforma en enhetlig tillsynsmodell över sektorerna utan att avgiften behöver vara olika mellan sektorerna. Då blir de myndigheter som har större kostnader kom­penserade av staten för de utgifter som avgifterna inte täcker.

Vi bedömer att principen om att sambandet mellan avgift och motprestation bör beak­tas vid avgiftsfinansiering kan bli problematiskt ur vissa aspekter. Ett exempel är att tillsynsmyndigheter som Finansinspektionen, IVO och Transportstyrelsen på­pe­kar att det kommer att saknas en tydlig motprestation som på ett självklart sätt kan motivera den avgift som de skulle ta ut.

Möjligtvis går det att argumentera för en kollektiv motprestation, där samtliga ak­törer som ingår i avgiftskollektivet i längden tjänar på att it-säkerheten höjs och att sys­temen blir mer robusta. Detta förutsätter i sådana fall att samtliga aktörer inom det givna kollektivet ska kontrolleras. Men tillsyn enligt NIS-direktivet innebär en­ligt de flesta tillsynsmyndigheterna att det inom många sektorer bara är ett fåtal ak­törer som berörs av de nya bestämmelserna. Därmed är det svårt att argumentera för detta.

Utformningen av en avgiftsfinansierad tillsyn

Statskontoret bedömer att tillsynen enligt NIS-direktivet inte ska avgiftsfinansieras (se även kapitel 5). Men i vårt uppdrag ingår även att föreslå hur en avgifts­finan­sie­ring skulle kunna utformas för varje sektor i NIS-direktivet, oavsett denna be­döm­ning.

Enhetlighet över sektorerna

I kapitel 5 framhåller vi vikten av en gemensam utformning av tillsynen för att under­lätta att myndigheterna kontinuerligt utbyter erfarenheter och för att underlätta läran­det inom MSB:s samarbetsforum. Detta skulle särskilt gynna IVO och Livs­medels­verket som för närvarande inte genomför någon tillsyn inom de områden de är före­slagna att utöva tillsyn över.

Även ESV stödjer en enhetlig utformning av avgiftsfinansiering i sin rapport Finansiering av tillsyn. Enligt ESV bör operativ tillsyn som omfattar flera närligg­ande områden ta ut avgifter på ett liknande sätt i varje tillsynsområde. Avgifterna bör därför göras enhetliga för att skapa större förståelse för den som betalar av­gi­f­ten.[83]

Det finns skillnader mellan de sektorer som omfattas av den nya tillsynen, och till­synen är inte heller en exakt parallell till ESV:s resonemang. Men vi menar ändå att en avgiftsfinansierad tillsyn enligt NIS-direktivet bör upplevas på samma sätt för den en­skilda betalaren oavsett vilken sektor som betalaren tillhör. Detta skulle öka legi­timiteten för den nya tillsynen.

Vi argumenterar för att avgiftens storlek över sektorerna bör vara enhetlig om det blir aktuellt att finansiera tillsynen med avgifter (se kapitel 5). Men vi anser inte att stor­leken behöver vara enhetlig från början. Kostnaderna för den nya tillsynen kom­mer att bli olika för myndigheterna (se även kapitel 4). Vi anser att avgifterna inom varje sektor bör anpassas efter respektive tillsynsmyndighets kostnader enligt prin­cipen om full kostnadstäckning. Men det finns också anledning för de föreslagna till­synsmyndigheterna att sträva efter att närma sig varandra i avgiftsuttag. Målet bör vara att på längre sikt harmoniera avgifterna i så hög utsträckning som möjligt. Det kan ske genom att myndigheterna lär av varandra för att göra tillsynen så lika som möj­ligt över sektorerna när det gäller exempelvis frekvens och genomförande. Vi menar att detta ytterligare skulle främja den nya tillsynens legitimitet och effektivitet ur betalarnas perspektiv.

En administrativt enkel och effektiv avgiftskonstruktion

Enligt ESV bör avgiftsfinansieringens konstruktion bland annat inte vara för kom­p­licerad och inte heller kräva stora kostnader att administrera.[84] Den bör dessutom gärna vara förutsebar över tiden för att underlätta tillsynsobjektens planering. Den bör alltså vara förenad med låga kostnader för administration samt vara enkel och lätt­begriplig så att det går att undvika resurskrävande diskussioner om tolkningen av avgifts­uttagen. Dessutom har avgiftskonstruktionen betydelse för att minimera sned­vrid­ningen av konkurrensen mellan tillsynsobjekten om det rör sig om företag.

I det följande kommer vi att redogöra för om avgiften bör

  • vara rörlig eller fast
  • betalas i efterhand eller på förhand.

Vårt förslag utgår från att full kostnadstäckning är det ekonomiska målet med av­giften, vilket regeringen i sin skrivelse anser vara huvudprincipen för ett avgifts­system.[85] Men enligt ESV kan det finnas skäl för regeringen att bestämma ett annat eko­nomiskt mål om det skulle vara effektivare. Det beror på att syftet med till­syns­verksamheten bör vara överordnat det ekonomiska målet. Ett lägre pris kan då sub­ven­tioneras med anslag.[86] Trots det har vi valt att i möjligaste mån utgå från att till­synsavgiften har full kostnadstäckning som mål.

Bör avgiften vara rörlig eller fast?

En viktig fråga är hur avgiften ska beräknas för varje tillsynsobjekt inom respektive sektor. ESV ger tre exempel på olika typer av avgiftskonstruktioner som kan till­ämpas.[87]

  • Rörlig avgift, till exempel X procent av företagets omsättning
  • Tidtaxa, till exempel Y kronor per timme
  • Fast avgift, till exempel Z kronor per år
Rörlig avgift är ett komplicerat alternativ

Enligt utredningen Statlig tillsyn – Granskning på medborgarnas uppdrag (2002:14) är det vanligt med en årlig och fast avgift från samtliga tillsynsobjekt. Denna avgift kan i sin tur vara anpassad till verksamhetens omfattning, tillsynsobjektets storlek eller på något annat sätt.[88]

Inom andra tillsynsområden förekommer även enbart rörliga avgifter. Denna av­gifts­form verkar vara särskilt vanlig inom områden med ett relativt stort antal tillsyns­objekt och där myndigheternas tillsyn är regelbundna. Avgifternas storlek beräknas då i princip utifrån tillsynsmyndighetens egna kostnader.[89]

Statskontorets analys visar att någon typ av rörlig avgift är den vanligaste avgifts­konstruktionen bland de föreslagna tillsynsmyndigheterna. Tillsynen eller kontrol­lerna görs på basis av företagens betalningsförmåga, exempelvis efter omsättning eller storlek.

Vi vill även framhålla att flera av de föreslagna myndigheterna genomför tillsyn där de bedömer att de största riskerna finns, och där tillsyn och kontroll förväntas ge störst effekt. En sådan klassificering efter risk baseras på strukturella förhållanden som företagens storlek och komplexitet. Ett exempel är inom Finansinspektionens nu­varande tillsynsområden.

Med andra ord handlar det inte om risk i meningen sannolikhet för negativa hän­delser. Det handlar i stället i första hand om vilka konsekvenserna skulle bli för sys­tem, marknader och konsumenter om ett visst företag eller grupp av företag drab­bades av allvarliga problem.

Det medför att särskilt riskfyllda verksamheter inom en sektor får betala mer än mindre riskfyllda verksamheter inom samma sektor. Eventuellt kan det innebära att min­dre företag, med hög riskfaktor, får betala en hög avgift medan större företag, med en mindre riskfaktor, får betala en mindre avgift.

En sådan avgiftskonstruktion skulle innebära att de föreslagna tillsynsmyndigheterna måste genomföra en riskbedömning av de identifierade leverantörerna av samhälls­viktiga tjänster inom respektive sektor. Dessutom behöver denna klassificering efter risk sannolikt uppdateras kontinuerligt, vilket gör det administrativa systemet mindre effektivt. Statskontoret menar därför att nackdelarna med en rörlig avgift, baserad på företagens storlek eller risk, överväger fördelarna för tillsyn enligt NIS-direktivet.

Tidtaxa riskerar att leda till fel förväntningar hos tillsynsobjekten

Statskontoret har tidigare utrett utformningen av avgiftsfinansiering inom livs­medels­kontrollen. I den utredningen framhåller Statskontoret att kvantitativa och tids­angivna mål riskerar att skapa fel incitament när myndigheter planerar och genom­för tillsyn. Ett system som mäter tillsyn i antal timmar leder lätt till fel för­väntningar hos tillsynsobjekten. Hellre än att se till tillsynsresultatet kan objekten komma att intressera sig mer för att få den mängd kontroll som de betalar för.

För den enskilde företagaren är ett besök på anläggningen ofta den mest påtagliga delen av tillsynen. Men insatser i form av för- och efterarbete är en förutsättning för besöken, och är därför också en viktig del av tillsynen. Det gäller till exempel plane­ring och förberedelse inför besök, samråd med andra myndigheter om anläggningen, doku­mentation och beslut. Men dessa insatser är inte lika påtagliga för företagaren, även om kostnaderna för dem också ska täckas av de avgifter företagaren betalar. Där­med ingår de också i tillsynstiden.

Statskontorets slutsats i rapporten om livsmedelskontroller är att initiativ för att ut­veckla och effektivisera tillsynen inte uppmuntras med ett system som mäter i tim­mar. I stället bör tillsynen fokusera på antalet besök, eftersom det ger större utrymme att anpassa arbetstiden efter behovet av tillsyn. Detta är också något som de flesta av de föreslagna tillsynsmyndigheterna föredrar.

Men för några myndigheter kan det finnas goda skäl att anpassa avgifts­kon­struk­tionen efter myndighetens nuvarande avgiftssystem, om det ur ett kostnads- och admi­nistrativt hänseende är mer effektivt. Det gäller framför allt Livsmedelsverket och Transportstyrelsen. De anser att avgifter bör beräknas efter nerlagd tid, det vill säga antal timmar som används för tillsynen, och inte baseras på det antal tillsyner som utförs. Exempelvis anser Livsmedelsverket att tillsynen bör utgå från redan be­fintliga standardiserade kontrolltider.

För Transportstyrelsen är tidsredovisningen grunden för de nuvarande avgifterna. De anser att avgiften för NIS-tillsynen bör beräknas utifrån ett antagande om den totala kost­naden för tillsynen. Avgiften beräknas då efter antalet timmar per tillsyn samt till­synens frekvens.

Men vi bedömer, i enlighet med Statskontorets tidigare slutsatser, att avgiftssystemet inte bör vara baserat på antal tillsynstimmar. I stället menar vi att avgifts­kon­struk­tio­nens legitimitet hos betalarna och den administrativa enkelheten för tillsyns­myn­digheterna främjas av att avgiften baseras på antalet tillsynstillfällen samt på de övriga kostnaderna för tillsynen, som förberedelse och efterarbete. Vi anser även att det finns fler fördelar än nackdelar av att konstruktionen är enhetlig över sektorerna (se ovan).

Fast avgift är förutsebar och effektiv

Begreppet rättvisa både upplevs och beskrivs på olika sätt. Men vi bör ändå efter­sträva en avgiftskonstruktion som betalarna så långt det är möjligt upplever som åt­min­stone rimligt rättvis och legitim.

En fast avgift som är lika stor för samtliga tillsynsobjekt kan upplevas som orättvis mot exempelvis de mindre företagen. Samtidigt kan mindre företag utgöra en större infor­mationssäkerhetsrisk än ett större företag.

Statskontoret anser att tillsynssystemets förutsebarhet och administrativa effektivitet väger tungt. En rörlig avgift riskerar att i ett inledande skede bli en onödig börda för till­synsmyndigheterna att bygga upp och administrera. Flera tillsynsmyndigheter framhåller också betydelsen av att systemet till en början är så enkelt som möjligt. Det beror på att tillsynsverksamheten i sig är ny samt att tillsynsobjekten kan vara ovana att bli kontrollerade och ovana att lämna de nödvändiga uppgifterna till myn­digheter. Uppgifter om företagsstorlek och omsättning är uppgifter som också vari­erar år från år och det riskerar att belasta både tillsynsmyndigheterna och till­synsobjekten att införskaffa dessa uppgifter.

Konsekvensen av en fast avgift kan alltså bli att mindre företag får betala lika mycket som ett stort företag. Exempelvis uppskattar Transportstyrelsen kostnaden per till­syns­objekt till nästan 95 000 kronor, vilket kan upplevas som en hög summa av ett mindre företag. Om tillsynsobjekten i stället skulle betala en rörlig avgift baserad på deras omsättning skulle företagen betala efter bärkraft. Men Statskontoret anser att det är upp till regeringen att bedöma om full kostnadstäckning ska vara det eko­no­miska målet för tillsynen. Om målet inte är full kostnadstäckning, kan myn­dig­he­terna ta ut en lägre avgift av tillsynsobjekten och därefter bli kompenserade av staten för de kostnader som avgiften inte täcker.

Ska avgiften betalas i efterhand eller på förhand?

Statskontoret framhåller i rapporten om livsmedelskontroller att förhandsbetalning fun­gerar dåligt som system.[90] Till exempel skapar modellen en del pedagogiska prob­lem gentemot den enskilda livsmedelsföretagaren. Det beror på att tillsynen ibland utförs under senare delen av året och andra gånger först nästkommande år eller ett par år därefter. På samma sätt kan det också uppstå problem om den be­räk­nade tiden inte stämmer överens med den som tillsynsmyndigheten faktiskt an­vän­der, eller om tillsynen helt uteblir.[91]

Betalning i efterhand främjar upplevelsen av motprestation

I rapporten framgår det att branschorganisationerna som företräder livsmedels­företagen är särskilt kritiska till förhandsbetalning. De menar att överenstämmelsen mellan avgift och motprestation förbättras om företagen betalar i efterhand. För­troendet för kontrollen vilar bland annat på att den avgift som branschen betalar svarar mot kostnaderna för kontrollen. Branschorganisationerna menar också att betalning i efterhand kan ge starkare incitament för tillsynsmyndigheterna att ge­nom­föra kontrollerna, i detta fall kommunerna. Branschen ser även en pedagogisk vinst i efterhandsbetalning, eftersom en avgift på förhand för en kontroll som ännu inte har utförts kan skapa förvirring.[92]

Statskontoret understryker i rapporten även att det finns en reell risk att undergräva tilltron till avgiftssystemet för livsmedelskontrollen och i förlängningen legitimiteten för tillsynsverksamheten. Detta gäller särskilt om företagare tvingas betala för kon­t­roll som utförs långt senare, eller till och med uteblir i vissa fall.

Våra intervjuer med de föreslagna tillsynsmyndigheterna visar att det råder delade me­ningar bland de som anser att denna fråga är viktig. Livsmedelsverket och Finans­inspektionen anser att efterhandsdebitering är att föredra. De anser att kopplingen mellan debitering och utförd prestation måste vara tydlig för att kontrollen ska upp­fattas som kompetent och oberoende. Transportstyrelsen anser däremot att faktu­re­ring bör ske genom förskottsbetalning. Fakturering i efterskott är inte lämpligt efter­som myndigheten inte kan efterfakturera tillsynen efter räkenskapsårets slut.

Men vi bedömer att de skäl som talar för efterhandsbetalning väger tyngre än för­delarna med förhandsbetalning. Eventuella problem med efterhandsbetalningar på grund av budget- eller redovisningstekniska skäl bör lösas på respektive myndighet.

Men det kan däremot bli svårt att vid varje tillfälle koppla en årsavgift till en ge­nom­förd tillsyn. Exempelvis kan en eller flera föreslagna tillsynsmyndigheter välja att genomföra sina kontroller enligt en tvåårs-cykel eller en treårs-cykel. Det enskilda tillsynsobjektet kan då få betala en årsavgift trots att ingen tillsyn har blivit gjord just det året. Vi menar att tillsynsmyndigheterna bör vara tydliga med konsekvenserna av en årlig och fast avgift för att undvika missförstånd och upprätthålla legitimiteten i systemet.

Betalningen bör ske genom en årsavgift

Tillsynsmyndigheterna vill helst att tillsynen betalas en gång om året och att den då inkluderar hela tillsynsverksamheten. Exempelvis menar IVO att årsavgifter är det billigaste alternativet att administrera. Transportstyrelsen förespråkar också en årlig avgift och framhåller att branschföreträdare har påtalat vikten av förutsebarhet och stabi­litet när det gäller avgifter, vilket en årsavgift ger.

Statskontoret anser att en årsavgift främjar principerna om förutsebarhet och admini­st­rativ enkelhet.

Tillsynsmyndigheterna bör inte få besluta om avgifternas storlek eller disponera intäkterna

Kapitel 3 redogör för fyra huvudmodeller för myndigheternas ansvar och bemyn­di­ganden när det gäller tillsynsutgifterna. Statskontoret anser att den första modellen bäst främjar en tillsyn som är enhetlig samt effektiv och enkel ur ett administrativt per­spektiv. I den modellen får tillsynsmyndigheten inte besluta om avgiftens storlek och inte heller disponera intäkterna.

I vår intervju med representanter för ESV framgår det att myndigheten inte anser att tillsynsavgifter bör disponeras av myndigheter. Huvudprincipen är i stället att statens inkomster och utgifter ska redovisas brutto på inkomsttitlar och anslag. För att frångå den principen krävs att riksdagen har fattat beslut om detta. Om riksdagen eller rege­ringen fattar beslut om avgifternas storlek så kan risken minska för att avgifterna blir ifrågasatta av tillsynsobjekten.

Livsmedelsverket och i viss mån PTS är de enda myndigheterna som i nuvarande sys­tem både beslutar och disponerar tillsynsavgifterna (se figur 2 i kapitel 3). De övriga fyra myndigheterna disponerar inte intäkterna för sin nuvarande tillsyn. Tran­sport­styrelsen får visserligen besluta över avgifternas storlek, men disponerar inte in­täkterna. Energimyndigheten, Finansinspektionen och IVO varken beslutar över av­gifternas storlek eller disponerar intäkterna. Därför kan de använda sin nuvarande modell även för den nya tillsynen.

Framtida översyn av avgiftssystemet

Vi vill framhålla att förutsättningarna mellan de enskilda tillsynsmyndigheterna varierar mycket. Det innebär att det kan vara ändamålsenligt med en viss anpassning efter varje sektors och tillsynsmyndighets förutsättningar. Vi anser därför att det avgifts­system som vi föreslår kan behöva revideras om några år, när tillsynsobjekten inom respektive sektor har identifierats och de enskilda tillsynsmyndigheternas ruti­ner och metoder har kommit på plats. Vi menar att det därefter är rimligt att diskutera om avgiftssystemet i det enskilda fallet bör bygga på en rörlig avgift i stället för en fast avgift eller om avgiften ska vara riskbaserad eller inte. Inom ramen för sam­arbets­forumet bör därför MSB ta initiativ till en översyn av avgiftssystemet inom tre år.

Statskontorets förslag

Statskontoret anser att tillsynen inte bör finansieras med avgifter. Men om rege­ringen ändå väljer att införa avgifter för tillsynen föreslår Statskontoret

  • att regeringen ger ett särskilt uppdrag till tillsynsmyndigheterna att utforma sin avgiftsfinansiering så enhetligt som möjligt över sektorerna, med undantag för av­giftens storlek.
  • att regeringen bör införa en avgiftskonstruktion som består av en fast årlig avgift vars storlek är densamma för samtliga tillsynsobjekt inom respektive sektor.
  • att MSB inom ramen för myndighetens samarbetsforum verkar för att de före­slagna tillsynsmyndigheterna på sikt harmoniserar sin tillsyn när det gäller exem­pelvis frekvens och genomförande.
  • att MSB rapporterar till regeringen om vilken grad av enhetlighet i tillsyns­av­gifternas storlek som MSB och tillsynsmyndigheterna anser är möjlig att uppnå och vid vilken tidpunkt.
  • att tillsynsmyndigheten inte får besluta om avgiftens storlek och inte heller dis­ponera intäkterna.
  • att utformningen av avgiftsfinansiering tas upp till förnyad diskussion i MSB:s samarbetsforum inom tre år för att kunna ta hänsyn till de enskilda sektorernas och tillsynsmyndigheternas förutsättningar i utformningen av avgifts­kon­struk­tionen. I samband med detta bör MSB och myndigheterna väga fördelarna och nack­delarna med en sådan anpassning mot att i stället behålla eller öka en­het­ligheten av tillsynen över sektorerna (se övriga förslag).

Statskontorets övergripande synpunkter inför det fortsatta arbetet

I detta kapitel diskuterar vi några övergripande frågor som är viktiga att ta hänsyn till i det fortsatta arbetet med den nya tillsynen.

Det är möjligt att uppskatta de ekonomiska konsekvenserna mer exakt när tillsynsobjekten är kända

De föreslagna tillsynsmyndigheterna framhåller att de inte kan precisera hur mycket resurser i form av exempelvis årsarbetskrafter och investeringar i it-system som den nya tillsynen kommer att kräva. De har inte fått något formellt uppdrag från rege­ringen att genomföra tillsynen och för de flesta innebär NIS-direktivet ett nytt till­synsområde. Men vi menar att de beräkningar som vi presenterar i kapitel 4 ändå är en förhållandevis kvalificerad uppskattning av respektive myndighets kostnader.

Den faktor som utredningen (SOU 2017:36) och de föreslagna tillsyns­myn­dig­he­terna anser vara den viktigaste för att kunna precisera kostnaderna är antalet objekt som ska tillsynas, alltså leverantörer av samhällsviktiga tjänster. Enligt den lag­råds­remiss som överlämnades till lagrådet den 15 februari 2018, ska dessa leverantörer utan dröjsmål anmäla sig till respektive tillsynsmyndighet. Detta förutsätter natur­lig­tvis att de berörda leverantörerna får relevant information inom rimlig tid för att kunna ta ställning till om de omfattas av det nya regelverket eller inte. Därför kom­mer MSB att arbeta med riktad information för att leverantörerna ska få vetskap om lagen och de krav som följer av den, även om det blir svårt att nå alla. MSB bedömer att en komplett lista över leverantörer kommer att vara klar först under 2019 (se även kapitel 1).

Statskontoret anser att MSB inom ramen för samarbetsforumet, och med stöd från myn­digheterna, kan göra en mer exakt beräkning av de framtida kostnaderna för till­synen när tillsynsobjekten är kända.

MSB:s samarbetsforum är viktigt inför fortsättningen

Statskontoret anser att de diskussioner som pågår mellan de föreslagna tillsyns­myn­dig­heterna i MSB:s samarbetsforum är av central betydelse för att den nya tillsynen ska kunna genomföras på ett så effektivt sätt som möjligt. Vi bedömer att det utbyte av kunskap och erfarenheter mellan myndigheterna som sker i forumet är av särskild betydelse för IVO och Livsmedelsverket. Dessa två myndigheter föreslås få tillsyn över för dem nya områden.

I kapitel 6 visar vi att förutsättningarna mellan de enskilda tillsynsmyndigheterna varie­rar mycket. Detta innebär att MSB bör initiera en diskussion inom ramen för sam­arbetsforumet om avgiftssystemet på sikt bör konstrueras utifrån de om­stän­digheter som råder i varje enskilt fall. Vi menar att det kan vara relevant att föra en diskussion om ett avgiftssystem inom en specifik sektor exempelvis bör vara baserad på rörlig avgift, bestämmas av den enskilda tillsynsmyndigheten, baseras på risk etcetera. Denna diskussion ka föras när tillsynsobjekten inom respektive sektor har iden­­tifierats och övriga rutiner och metoder har kommit på plats

Det är därför angeläget, enligt Statskontoret, att MSB och myndigheterna även i fort­sätt­ningen upprätthåller samarbetet på samma nivå som vid tidpunkten för denna rap­­port.

Dialogen mellan tillsynsmyndigheterna och tillsynsobjekten främjar förankring och legitimitet

Vi anser att dialogen om utformning av tillsynen inte bör begränsas till MSB:s sam­arbetsforum. Vi menar att det kan finnas stora vinster i att tillsynsmyndigheterna tar initiativ till dialog med branschorganisationer som representerar tillsynsobjekten inom respektive sektor. Det innebär att branschorganisationerna bör få möjlighet att lämna synpunkter på utformningen av avgiftssystemet, om ett sådant ska införas.

Vi tror att en förankring hos berörda branscher främjar förutsättningarna för att bran­schen ska uppfatta utformningen av en eventuell avgiftsfinansiering som rimlig, rätt­vis och legitim. Enligt ESV kan en förankring hos berörda branscher även minska risken för överklaganden av avgifter, och även risken för resurskrävande diskus­sioner om finansieringen.[93] Statskontoret framhåller också i en tidigare rapport bety­del­sen av att de principer som ligger till grund för avgiftssättningen ska uppfattas som rimliga och tillämpas av tillsynsmyndigheterna.[94]

Uppföljning av prestationer och kostnader

MSB bedömer att det sannolikt kommer att dröja till 2019 innan samtliga leve­ran­törer som ska tillsynas är identifierade. Men även efter det att antalet leverantörer blivit känt, bedömer vi att det kommer gå ytterligare en tid innan tillsyns­myn­dig­heterna har etablerat en fungerande organisation för den nya tillsynen och verk­sam­heten löper på regelbundet. Det kommer således ta några år innan det går att beräkna de exakta kostnaderna för respektive tillsynsmyndighet.

Statskontoret anser att regeringen bör ställa krav på att myndigheterna åtminstone för de kommande åren ska redovisa tillsynsverksamhetens kostnader och pres­ta­tio­ner, det vill säga framförallt antalet utförda tillsyner. En sådan redovisning ger rege­ringen möjlighet att justera resurserna om de väljer att finansiera tillsynen med an­slag. Om tillsynen ska avgiftsfinansieras fyller redovisningen också ett syfte genom att den ökar sannolikheten för att myndigheterna tar ut rätt avgift, det vill säga att den varken blir för hög eller för låg i förhållande till vilka resurser den kräver. Redo­visningen kan också bidra till att effektivisera tillsynen genom att myndigheternas kostnader och prestationer i viss mån kan jämföras med varandra. Därtill kan redo­vis­ningen minska riskerna för att verksamheten korssubventioneras genom andra an­slag eller avgifter.

Referenser

Avgiftsförordning (1992:191).

Energimyndigheten (Diarienr 2017–6954): Underlag till kartläggning av existerande tillsynsverksamhet – inför implementationen av NIS-direktivet. Analysavdelningen, Enheten för trygg energiförsörjning 2017-11-17.

Ekonomistyrningsverket (ESV 2014:52): Sätt rätt pris! Prissättning och kalkylering för statliga myndigheter.

Ekonomistyrningsverket (ESV 2004:16): Finansiering av tillsyn – rapport till Tillsynsutredningen.

Finansinspektionen; Avgifter hos Finansinspektionen, september 2017.

Förordning (2014:520) med instruktion för Statens energimyndighet.

Förordning (2009:93) med instruktion för Finansinspektionen.

Förordning (2013:176) med instruktion för Inspektionen för vård och omsorg.

Förordning (2009:1426) med instruktion för Livsmedelsverket.

Förordning (2007:951) med instruktion för Post- och telestyrelsen

Förordning (2008:1300) med instruktion för Transportstyrelsen.

Livsmedelsverkets hemsida: https://kontrollwiki.livsmedelsverket.se/artikel/89/finansiering-av-offentlig-livsmedelskontroll

MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Myndigheten för samhällsskydd och beredskap (MSB dnr 2015:5690): Inriktning för att söka medel från anslag 2:4 Krisberedskap 2017.

Myndigheten för samhällsskydd och beredskap (MSB dnr: Ju2017/05786/L4): Redovisning av vissa vidtagna åtgärder för att förbereda genomförandet av NIS-direktivet, lämnat den 15 januari 2018.

Post- och telestyrelsens hemsida: https://www.pts.se/sv/om-pts/verksamhet/avgifterekonomi/fragor-och-svar-om-avgifter/

Post- och telestyrelsen (PTS-ER-2009:26): Tillsyn på PTS - en beskrivning.

Regeringsbeslut (Ju2017/05786/L4): Uppdrag att förbereda genomförandet av di­re­­ktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkerhet i nät­verks- och informationssystem i hela unionen. Justitiedepartementet, 2017-06-29.

Regeringsbeslut (Ju2017/08091/L4): Uppdrag att utreda kostnader för och finan­sie­ring av tillsynsverksamhet enligt NIS-direktivet. Justitiedepartementet, 2017-10-19:

Regeringens lagrådsremiss: Informationssäkerhet för samhällsviktiga och digitala tjänster (Stockholm den 15 februari 2018)

Regeringens skrivelse 2009/10:79: En tydlig, rättssäker och effektiv tillsyn. Stockholm den 17 december 2009.

SOU 2017:36: Informationssäkerhet för samhällsviktiga och digitala tjänster. Betänkande av Utredningen om genomförande av NIS-direktivet.

SOU 2015:46: Skapa tilltro. Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen.

SOU 2004:100: Tillsyn. Förslag om en tydligare och effektivare tillsyn. Del 1 i till­syns­utredningen.

Statskontoret (2012): Tänk till om tillsynen. Om utformningen av statlig tillsyn.

Statskontoret (2015:17): Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering.

Transportstyrelsens hemsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/vart-uppdrag-och-arbetssatt/tillsyn, den 30 oktober 2017.

Transportstyrelsens hemsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/Avgifter/principer-for-avgifter1/

Transportstyrelsen (Dnr/Beteckning TSG 2015–698): Förslag till hantering av över- och underuttag av avgifter. Ekonomiavdelningen 2015-05-04.

Årsredovisningar

Energimyndigheten - Årsredovisning 2016

Finansinspektionens - Årsredovisning 2016

Inspektionen för vård och omsorg - Årsredovisning 2016

Livsmedelsverket - Årsredovisning 2016

Post- och telestyrelsen - Årsredovisning 2016.

Transportstyrelsen - Årsredovisning 2016

Uppdraget

Frågeformulär till myndigheterna

Frågorna är uppdelade i följande två kategorier:

  • Frågor för bedömning av ekonomiska konsekvenser för tillsynen
  • Frågor för bedömning om och hur tillsynen ska avgiftsfinansieras

Ekonomiska konsekvenser

För att utreda de ekonomiska konsekvenserna för varje tillsynsmyndighet behöver Stats­­kontoret ta hänsyn till

  • de initiala kostnaderna för respektive myndighet och
  • myndigheternas löpande kostnader för tillsynen.
Initiala kostnader
  1. Vad gör [namn på myndighet] för typ av tillsyn idag?
  2. Med vilken frekvens (antal tillsyner per år) har [namn på myndighet] genomfört tillsyn 2014–2016[95]? (Fyll i uppgifterna i tabellen nedan.)

Tillsynsmyndighet

Antal tillsyner

2014

2015

2016

Energimyndigheten

Transportstyrelsen

Finansinspektionen

Inspektionen för vård och omsorg

Livsmedelsverket

Post- och telestyrelsen

  1. Vad är [namn på myndighet] totala kostnader för tillsynen? (Fyll i uppgifterna i tabellen nedan.) [96]

Tillsynsmyndighet

Total kostnad (tkr)

2014

2015

2016

Energimyndigheten

Transportstyrelsen

Finansinspektionen

Inspektionen för vård och omsorg

Livsmedelsverket

Post- och telestyrelsen

  1. Vad är [namn på myndighet] kostnader per tillsyn? (Fyll i uppgifterna i tabellen nedan.) [97]

Tillsynsmyndighet

Kostnad per tillsyn (tkr)

2014

2015

2016

Energimyndigheten

Transportstyrelsen

Finansinspektionen

Inspektionen för vård och omsorg

Livsmedelsverket

Post- och telestyrelsen

  1. Har något av den tillsyn som [namn på myndighet] genomför idag berörings­punkter med NIS-området?
  1. Om ja, på vilket sätt?
  1. Hur ser förutsättningarna ut för att bredda tillsynen till att även omfatta NIS-området?
  2. Finns det tillsynsområden inom er verksamhet som ni bedömer är så nära det som behöver göras på NIS-området att det kan gå att koppla ihop de två om­rå­dena?
  3. Föranleds någon förstärkning av informationssäkerhetskompetens på [namn på myn­dighet] i ett initialt skede?
  4. Om ja, hur stort bedömer ni behovet av informationssäkerhetskompetens vara? Uppge behov av resurser i form av t.ex. rekrytering av personal i års­arbets­kraft, eko­no­miska medel eller liknande.
  5. Bedömer ni att [namn på myndighet] kommer att ha kostnader för föreskrifter för tillsynen?
  1. Om ja, vad bedömer ni kostnaderna blir?
  1. informationsinsatser till leverantörer av samhällsviktiga tjänster inom [namn på sektor]?
  1. Om ja, vad bedömer ni kostnaderna blir?
  1. intern kompetensinventering?
  • Om ja, vad bedömer ni kostnaderna blir?
  1. engångskostnader i samband med tillsynssystemets start?
  • Om ja, vad bedömer ni kostnaderna blir?
  1. återkommande engångskostnader?
  • Om ja, vad bedömer ni kostnaderna blir?
  1. Kan det uppstå problem i form av t.ex. nya oförutsebara kostnader?
  • Om ja, kan ni ge något eller några exempel?
  1. engångskostnader i samband med tillsynssystemets start?
  • Om ja, vad bedömer ni kostnaderna blir?
  1. återkommande engångskostnader?
  • Om ja, vad bedömer ni kostnaderna blir?
  1. Regeringens särskilda utredare (SOU 2017:36) bedömer att samtliga tillsyns­myn­­digheters resurser bör förstärkas tillfälligt med två årsarbetskrafter under 2018 för genomförandet. Är det en rimlig bedömning vad gäller [namn på myn­­dighet]? Motivera svaret.
Löpande kostnader
  1. Vilken form av tillsyn kommer ni att använda för [namn på sektor]?
  2. Vad bedömer ni kommer att ingå i er tillsyn, respektive inte ingå?
  3. Vilken komplexitet vad gäller tillsynen finns det i [namn på sektor]?
  4. Vilken frekvens (antal tillsyner per år) ska tillsynen ha? (Tillsynen kan t.ex. vara standardiserad och enhetlig för samtliga sektorer som berörs av NIS-direktivet eller anpassad till respektive sektors behov och förutsättningar.)
  5. Vad är antalet leverantörer av samhällsekonomiska tjänster som berörs av direk­ti­vet inom [namn på sektor] (ungefär)?
  6. Vad uppgår kostnaden per tillsyn (ungefär)?
  7. Vad uppgår kostnaden per tillsynsobjekt (ungefär)?
  8. Föranleds någon förstärkning av informationssäkerhetskompetens på [namn på myndighet] för den löpande tillsynen?
  1. Om ja, hur stort bedömer ni behovet av informationssäkerhetskompetens vara? Uppge behov av resurser i form av t.ex. rekrytering av personal i års­arbets­kraft, ekonomiska medel eller liknande.

Om tillsynen bör avgiftsfinansieras och hur ett sådant system kan utformas

  1. Vilka erfarenheter har ni av avgiftsfinansierade tillsynssystem?
  2. Vad rekommenderar ni i detta fall? Motivera svaret.
  3. Om ett avgiftsfinansierat tillsynssystem redan finns på [namn på myn­dig­het], kan detta kompletteras så att det även omfattar tillsynen enligt NIS-direk­tivet? Motivera svaret.
  4. Hur anser ni att avgiftsfinansieringen bör utformas för er sektor?
  5. Anser ni att avgiftsfinansieringen bör beräknas efter antalet timmar tillsynen tar i an­språk eller efter antal tillsynstillfällen? Motivera svaret.
  6. Anser ni att ett avgiftssystem med förhandsbetalning eller efterhandsbetalning är att föredra i detta fall? Motivera svaret.
  7. Hur stor andel (ungefär) av leverantörer av samhällsviktiga tjänster inom [namn på sektor] kommer uppskattningsvis att omfattas av tillsynen?
  8. Kan en avgiftsfinansiering vara konkurrenssnedvridande?
  9. Vilken avgift anser ni vara skälig för den tillsyn ni ska genomföra?
  10. På vilket sätt är denna avgift skälig i förhållande till kostnaderna för att ad­mi­nistrera avgiftsuttaget?
  11. Kommer det att finnas en tydlig motprestation som motiverar avgiften?

Fotnoter

  1. Det betänkande som ligger till grund för att genomföra NIS-direktivet (SOU 2017:36) föreslår att följande myndigheter får tillsynsansvar: Statens energimyndighet, Transport­styrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen.

  2. Lagrådsremiss Informationssäkerhet för samhällsviktiga och digitala tjänster, 15 februari 2018.

  3. SOU 2017:36, Informationssäkerhet för samhällsviktiga tjänster, sid. 43.

  4. SOU 2017:36, sid. 203 ff.

  5. SOU 2017:36, sid. 168 ff.

  6. Statskontoret (2012): Tänk till om tillsynen. Om utformningen av statlig tillsyn, sid 23 ff.

  7. Statskontoret (2012), sid 23 ff.

  8. SOU 2015:46: Skapa tilltro. Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen, sid. 66 f.

  9. SOU 2015:46, sid. 71 f, samt Statskontoret (2012).

  10. Skr. 2009/10:79: En tydlig, rättssäker och effektiv tillsyn, sid. 11.

  11. SOU 2017:36, sid. 164.

  12. Justitiedepartementet (Ju2017/05786/L4): Uppdrag att förbereda genomförandet av direktivet 2016/1148/EU om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

  13. Lex specialis eller speciallag är inom juridiken en lag som reglerar ett visst område. En sådan speciallag har i lagtolkningen företräde framför en lag som enbart reglerar allmänna frågor (lex generalis).

  14. Skr. 2009/10:79, sid. 19.

  15. Skr. 2009/10:79, sid. 19–20.

  16. ESV 2004:16.

  17. Statskontoret (2012): Tänk till om tillsyn. Om utformningen av statlig tillsyn.

  18. SOU 2017:36, sid. 268 ff.

  19. Regeringsuppdrag Ju2017/05786/L4.

  20. SOU 2017:36, sid. 219 ff.

  21. SOU 2017:36, sid. 219 ff.

  22. SOU 2017:36, sid. 238 f.

  23. SOU 2017:36, sid. 221.

  24. SOU 2017:36, sid. 238 f.

  25. SOU 2017:36, sid. 238 f.

  26. SOU 2017:36, sid. 229 ff, samt bilaga I i NIS-direktivet.

  27. SOU 2017:36, sid. 229 ff, samt bilaga I i NIS-direktivet.

  28. SOU 2017:36, sid. 228 ff.

  29. MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet.

  30. MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter.

  31. Regeringsuppdrag Ju2017/05786/L4.

  32. Obligatorisk it-incidentrapportering för statliga myndigheter.

  33. SOU 2017:36, sid. 268 f.

  34. SOU 2017:36, sid. 268 f.

  35. Under vissa förutsättningar och under en begränsad period kan särskilda medel beviljas för att förstärka effekten av samhällets samlade krisberedskap eller den samlade förmågan att hantera kriser. Riksdagen anslår därför årligen i budgetpropositionen för utgiftsområde 6 cirka en miljard kronor till sådana insatser genom anslag 2:4 Krisberedskap.

  36. Inriktning för att söka medel från anslag 2:4 Krisberedskap 2017, MSB dnr 2015:5690.

  37. SOU 2017:36, sid. 268 f.

  38. SOU 2004:100: Tillsyn. Förslag om en tydligare och effektivare tillsyn, del 1, sid. 83 ff. och Statskontoret (2002): Tänk till om tillsynen. Om utformningen av statlig tillsyn, sid. 31 ff.

  39. Statskontoret (2002), sid. 32.

  40. ESV (2014:52): Sätt rätt pris! Prissättning och kalkylering för statliga myndigheter, sid. 10.

  41. ESV (2014:52), sid. 12.

  42. ESV (2014:52), sid. 9.

  43. SOU 2004:100, sid. 83 ff. och Statskontoret (2012) sid. 31 ff.

  44. Statskontoret (2012), sid. 33 f.

  45. Uppgifterna från IVO:s webbsida samt myndighetens årsredovisning för 2016, förordning (2013:176) med instruktion för Inspektionen för vård och omsorg, samt skriftligt underlag från IVO.

  46. Energimyndigheten (Diarienr 2017–6954): Underlag till kartläggning av existerande tillsynsverksamhet – inför implementationen av NIS-direktivet, Analysavdelningen, Enheten för trygg energiförsörjning 2017-11-17.

  47. Finansinspektionen (2017): Avgifter hos Finansinspektionen, september 2017, sid. 4.

  48. Förordning (2009:1426) med instruktion för Livsmedelsverket, samt Livsmedelsverkets webbsida: https://kontrollwiki.livsmedelsverket.se/artikel/89/finansiering-av-offentlig-livsmedelskontroll

  49. Förordning (2007:951) med instruktion för Post- och telestyrelsen, samt PTS:s webbplats: https://www.pts.se/sv/om-pts/verksamhet/avgifterekonomi/fragor-och-svar-om-avgifter/.

  50. Förordning (2008:1300) med instruktion för Transportstyrelsen, se även Transportstyrelsens webbplats:

    https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/Avgifter/principer-for-avgifter1/.

  51. Transportstyrelsen (Dnr/Beteckning TSG 2015–698): Förslag till hantering av över- och underuttag av avgifter, Ekonomiavdelningen 2015-05-04, sid. 10 ff.

  52. Energimyndigheten (Diarienr 2017–6954).

  53. Energimyndigheten (Diarienr 2017–6954).

  54. Förordning (2008:1300) med instruktion för Transportstyrelsen.

  55. Förordning (2008:1300) med instruktion för Transportstyrelsen, samt Transportstyrelsens webbsida: https://www.transportstyrelsen.se/sv/Om-transportstyrelsen/vart-uppdrag-och-arbetssatt/tillsyn, den 30 oktober 2017.

  56. Förordning (2008:1300) med instruktion för Transportstyrelsen.

  57. Transportstyrelsens webbplats, den 30 oktober 2017.

  58. Transportstyrelsens webbplats, den 30 oktober 2017.

  59. Uppgifterna från Finansinspektionens hemsida samt myndighetens årsredovisning för 2016, samt förordning (2009:93) med instruktion för Finansinspektionen.

  60. Finansinspektionen: Årsredovisning 2017, sid. 21 f.

  61. Uppgifterna från Livsmedelsverkets hemsida samt myndighetens årsredovisning för 2016, samt förordning (2009:1426) med instruktion för Livsmedelsverket.

  62. Uppgifterna kommer från PTS:s webbplats samt myndighetens årsredovisning för 2016, samt förordning (2007:951) med instruktion för Post- och telestyrelsen.

  63. Post- och telestyrelsen: Tillsyn på PTS - en beskrivning - PTS-ER-2009:26, sid. 12 f.

  64. Statskontoret (2012): Tänk till om tillsynen. Om utformning av statlig tillsyn, sid. 31.

  65. Tillsynsutredningen del 1(2004:100), sid. 82.

  66. Regeringsuppdrag Ju2017/05786/L4: Redovisning av vissa vidtagna åtgärder för att förbereda genomförandet av NIS-direktivet, lämnat den 15 januari 2018.

  68. Som framgick i kapitel 1 disponerar tillsynsmyndigheten inte alltid över tillsyns­av­gif­terna. Myndigheternas tillsyn finansieras då formellt via anslag, även om staten alltså har en avgiftsintäkt. I de fall finansieringen av tillsynen är konstruerad på detta sätt, be­näm­ner vi den som avgiftsfinansierad.

  69. Tillsynsutredningen (2004:100), s. 89.

  70. Tillsynsutredningen (SOU 2004:100), s. 98.

  71. Tillsynsutredningen (SOU 2004:100), sid. 90.

  72. Skr 2009/10:79.

  73. Tillsynsutredningen (SOU 2004:100), sid. 90.

  74. Tillsynsutredningen (SOU 2004:100), sid. 99.

  75. Avgiftsförordning (1992:191).

  76. Tillsynsutredningen (2004:100), sid. 90.

  77. Tillsynsutredningen (2004:100), sid. 90.

  78. ESV (2004:16), sid. 31 och SOU 2017:36, sid. 273.

  79. Statskontoret (2002).

  80. SOU 2017:36, sid. 276.

  81. Skr. 2009/10:79.

  82. Tillsynsutredningen (2004:100), sid. 89.

  83. ESV (2004:16), sid. 31.

  84. ESV (2004:16).

  85. Skr 2009/10:79.

  86. ESV (2014:52), sid. 22.

  87. ESV (2004:16), sid. 33.

  88. SOU 2002:14, sid. 85

  89. SOU 2002:14, sid. 85.

  90. Statskontoret.

  91. Statskontoret (2015:17), sid. 67 ff.

  92. Statskontoret (2015:17), Avgifter i livsmedelskontrollen. Förslag på en mer effektiv avgiftsfinansiering.

  93. ESV (2004:16), sid. 29.

  94. Statskontoret (2015:17), sid. 74.

  95. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt.

  96. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt.

  97. Statskontoret har efter det myndigheterna besvarade frågorna i december 2017 och januari 2018 försökt komplettera med uppgifter för 2017 där så har varit möjligt.

Senast uppdaterad: