År 2017 infördes nya bestämmelser i lagen om offentlig upphandling (LOU), lagen om upphandling inom försörjningssektorerna (LUF) och lagen om upphandling av koncessioner (LUK) som innebär att en upphandlande myndighet i vissa fall är skyldig att ställa krav på arbetsrättsliga villkor i genomförandet av upphandlingar. De arbetsrättsliga villkoren ska i dessa fall avse lön, semester och arbetstid enligt nivåer i ett centralt kollektivavtal. Kravet på arbetsrättsliga villkor gäller i de fall där det är behövligt.

Syftet med kraven är att motverka oskäliga arbetsvillkor och lönedumpning, särskilt i riskbranscher som exempelvis bygg, städ och transport. Kraven ställs i form av särskilda kontraktsvillkor, vilket innebär att det är krav som leverantören ska uppfylla under kontraktstiden.

I en rapport som nyligen publicerats av Riksrevisionen, RiR 2025:21 – Arbetsrättsliga villkor i offentlig upphandling, framkommer att endast en tredjedel av de granskade upphandlingarna innehåller arbetsrättsliga villkor, trots att upphandlingarna genomförts i högriskbranscher för oskäliga arbetsvillkor. Av de upphandlingar där arbetsrättsliga villkor ställdes genomförde de upphandlande myndigheten en uppföljning i hälften av de fallen. En bedömning av om det var behövligt med arbetsrättsliga villkor gjordes av de upphandlande myndigheterna i hälften av de granskade upphandlingarna, men var inte alltid dokumenterad. I flera av de granskade upphandlingarna ställdes generella krav på arbetsrättsliga villkor, i form av att leverantören ska efterleva ”kollektivavtalsliknande” villkor. Enligt Riksrevisionen är dessa villkor inte ställda på det sätt som anges i lagstiftningen, då villkoren ska formuleras tydligt och förutsägbart i syfte att alla leverantörer ska uppfatta dem på samma sätt. Vidare menar Riksrevisionen att villkor som uppfyller lagstiftningens krav är en förutsättning för att de upphandlingsrättsliga principerna ska följas. Riksrevisionens slutsats är att upphandlande myndigheter inte gör tillräckligt för att säkerställa skäliga arbetsvillkor i upphandlingar och att bristerna förekommer i alla faser av upphandlingar.

Vi rekommenderar er som utgör potentiella leverantörer i upphandlingar att vara uppmärksamma på om arbetsrättsliga krav ställs i de fall där det kan behövas. I de fall där den upphandlande myndigheten avstått från att ställa arbetsrättsliga krav i upphandlingen trots att det kan ha varit behövligt rekommenderas att uppmärksamma myndigheten på bristen under anbudsfasen. Om bristen inte rättas till kan det därefter finnas en möjlighet att ansöka om överprövning av upphandlingen. Det är även möjligt att tipsa Konkurrensverket om bristen.

Tveka inte att höra av er till oss med frågor inom offentlig upphandling.

 

 

Artikel författad av

Michaela Samsagård, jurist Freja Partner

Vi har för vår klients räkning vunnit framgång med ansökan om överprövning av upphandling i Förvaltningsrätten i Stockholm. Målet gällde en upphandling där vår klient yrkade på att upphandlingen skulle rättas genom att ny utvärdering skulle genomföras, där vinnande anbud inte skulle få beaktas.

Förvaltningsrätten gjorde bedömningen att vinnande anbud rätteligen skulle ha förkastats eftersom det inte uppfyllde de obligatoriska kraven i upphandlingen. Förvaltningsrätten beslutade därför att bifalla ansökan om överprövning och förklarade att upphandlingen skulle rättas i enlighet med vår klients yrkande. Vår klient har numera tilldelats upphandlingen.

 

”Överprövningar av offentliga upphandlingar är ofta komplexa. Efter en relativt lång process är det glädjande att förvaltningsrätten gick på vår klients linje” säger Michaela Samsagård, ansvarig jurist hos Freja Partner.

 

Vi tackar vår klient för gott samarbete genom hela processen.

 

EU-domstolen avvisar ogiltighetstalan mot Data Privacy Framework

 

Bakgrund
Den 3 september 2025 meddelade EU-domstolens dom i mål Latombe v Commission (T-553/23). Målet rörde en talan om ogiltigförklaring av kommissionens beslut att anta det nya EU–US Data Privacy Framework (DPF), som reglerar överföringar av personuppgifter från EU till certifierade organisationer i USA.

Frågan om överföringar av personuppgifter till USA har tidigare varit uppe i EU-domstolen två gånger genom Schrems I och Schrems II. I de båda målen ogiltigförklarade domstolen avtalen, Safe Harbour-avtalet respektive Privacy Shield, eftersom amerikansk lag inte gav ett tillräckligt skydd för EU-medborgares personuppgifter, särskilt mot övervakning från underrättelsetjänster. Konsekvensen av EU-domstolens ogiltigförklarande var att det inte längre fanns något giltigt beslut om adekvat skyddsnivå – överföringar av personuppgifter till USA var således inte längre möjlig med stöd av artikel 45 GDPR. För överföringar till USA krävdes att andra lämpliga skyddsåtgärder vidtogs. Ett exempel är användandet av standardavtalsklausuler (SCC) i enlighet med artikel 46 GDPR. Men Schrems II-domen underströk även att SCC i sig inte alltid är tillräckligt, man måste göra en konsekvensbedömning (Transfer Impact Assessment – TIA) av mottagarlandet och vid behov införa kompletterande säkerhetsåtgärder.

Käranden i målet T-553/23, Latombe, hävdade att EU-kommissionens beslut bröt mot kraven i Dataskyddsförordningen (GDPR) samt i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt respekten för privatlivet och familjelivet (artikel 7) och skydd av personuppgifter (artikel 8).

 

Domstolens bedömning
Domstolen avvisade talan i sin helhet och slog fast att DPF uppfyller kraven på en adekvat skyddsnivå enligt artikel 45 GDPR samt att artikel 7 och 8 i stadgan om de grundläggande rättigheterna inte har åsidosatts. Två huvudfrågor var särskilt viktiga i målet:

1. Oberoende i DPRC
   Käranden gjorde gällande att Data Protection Review Court (DPRC) – en särskild instans i USA dit EU-medborgare kan vända sig till om de anser att deras uppgifter hanteras fel – inte är en oavhängig och opartisk domstol, utan ett organ utanför domstolsväsendet som är beroende av regeringen. Domstolen granskade DPRC och fann dock att DPRC har tillräckliga skydd för domarnas oberoende.
2. Amerikansk underrättelsetjänsts tillgång till personuppgifter
   Frågan om underrättelsetjänsters tillgång till personuppgifter utgjorde en stor del i målet. Käranden gjorde gällande att USA inte säkerställde adekvat skyddsnivå vad gäller landets underrättelsetjänsters bulkinsamling av personuppgifter. Domstolen konstaterade dock att de amerikanska reformerna sedan Schrems I och Schrems II infört tydligare och mer precisa regler för datainsamling.

Domstolen framhöll att prövningen ska ske mot bakgrund av de förhållanden som rådde vid tidpunkten för kommissionens beslut. Vid denna tidpunkt ansåg domstolen att USA kunde uppvisa en adekvat skyddsnivå i den mening som avses i GDPR.

 

Konsekvenser
Domen innebär att överföringar av personuppgifter till USA, när de sker på grundval av DPF, inte strider mot EU-rätten. För företag i EU och USA innebär detta en ökad rättssäkerhet och förutsebarhet efter flera år av rättslig osäkerhet sedan Schrems II. Dock kan utvecklingen inte betraktas som slutgiltig. Precis som tidigare ramverk (Safe Harbor och Privacy Shield) kan DPF bli föremål för vidare rättslig prövning. Om Latombe väljer att överklaga domen kan ett slutligt avgörande dröja minst 18 månader. Fram till dess gäller dock domen, vilket gör att DPF tills vidare står fast.

För företag innebär alltså domen en möjlighet att med större trygghet använda DPF som säkerhetsmekanism, samtidigt som det påminner om att adekvat skydd alltid måste följas upp i praktiken.

 

Den nya domen om EU–US Data Privacy Framework (DPF) ger företag nya möjligheter – men också nya ansvar. Vi hjälper ditt företag att utnyttja fördelarna fullt ut och samtidigt säkerställa att överföringar sker i enlighet med GDPR. Kontakta oss redan idag för praktisk och uppdaterad rådgivning så att ditt företag kan agera tryggt och säkert i internationella dataflöden.

 

Artikel författad av

Zandra Larsen, jurist och dataskyddssamordnare på Freja Partner

Regeringen har nyligen lagt fram proposition 2024/25:208 Ett mer heltäckande straffansvar vid angrepp på företagshemligheter. Att frågan nått hela vägen till lagstiftningsbordet visar tydligt hur centrala och skyddsvärda företagshemligheter är för näringslivet. Men vad räknas egentligen som en företagshemlighet och hur kan lagen utgöra ett skydd för just ditt företag?

 

Vad är egentligen en företagshemlighet – och vad säger lagen?

Det är inte ovanligt att begreppet ”företagshemlighet” används i vardagligt tal. Det kan handla om ett recept, en produktionsteknik, en affärsstrategi eller något annat värdefullt som det finns skäl att hålla inom ett företag. Vad många inte känner till är att det finns en rättslig definition av vad som är en företagshemlighet och dessutom en särskild lag som berör företagshemligheter; nämligen Lag (2018:558) om företagshemligheter. Den här artikeln syftar till att reda ut vad som rättsligt är en företagshemlighet samt vilket skydd lagen om företagshemligheter erbjuder.

En företagshemlighet är information om (i) affärs- eller driftsförhållanden i en näringsidkares rörelse, (ii) som inte är allmänt känd eller lättillgänglig för den som normalt har tillgång till information av det aktuella slaget, (iii) som näringsidkaren vidtagit rimliga åtgärder för att hemlighålla och (iv) vars röjande är ägnat att medföra skada i konkurrenshänseende för innehavaren.

Initialt är det en stor mängd uppgifter som skulle kunna omfattas av definitionen och därmed vara en företagshemlighet. Termen ”affärs- eller driftförhållanden” fångar inte bara in rent kommersiella uppgifter, utan träffar även mer allmän information så som marknadsundersökningar, prissättningskalkyler, strategier och planerade reklam­kampanjer.

Kravet på att informationen inte ska vara allmänt känd eller lättillgänglig för den som normalt har tillgång till information av det aktuella slaget medför att kretsen av personer som har tillgång till informationen måste vara begränsad och sluten. Därtill kan även samman­ställningar av information då beståndsdelarna är lättillgängliga kunna anses som en företagshemlighet om själva sammanställningen av informationen uppfyller definitionen av en företagshemlighet.

En aspekt av definitionen som sorterar bort ganska mycket information är att innehavaren måste ha vidtagit rimliga åtgärder för att hemlighålla den aktuella informationen. Detta innebär ett krav på att näringsidkaren måste ha vidtagit någon form av aktivitet i syfte att hemlighålla informationen. Sådan aktivitet kan exempelvis vara att näringsidkaren märker dokument innehållande informationen med ”konfidentiellt”, ingår sekretessförbindelser eller upplyser i anställningsavtal om att den anställda kommer hantera information inom ramen för sin anställning som omfattas av sekretess. Noterbart är att faktumet att närings­idkaren själv avstår ifrån att sprida informationen inte utgör tillräcklig aktivitet för att tillräckliga åtgärder för hemlighållande ska anses ha vidtagits.

Även att röjande av informationen ska vara ägnat att medföra skada i konkurrens­hänseende för innehavaren sorterar bort information från lagen tillämpningsområde, då mycket information inte har förmågan att påverka ett företags konkurrensförmåga negativt. Det kan exempelvis röra sig om information av mer administrativ karaktär som inte har ett sådant värde att röjande av den aktuella informationen medför en skada i konkurrenshänseende.  Förvisso är det tillräckligt att ett röjande av den aktuella informationen typiskt sett medför skada i konkurrenshänseende och det är med andra ord inte nödvändigt att faktiskt skada uppstår vid röjande.

Information som skulle kunna omfattas av definitionen av en företagshemlighet är exempelvis kundregister, affärsplaner, recept på materialblandningar, tillverknings­metoder eller strategier.

Skyddet för företagshemligheter

Lagen om företagshemligheter utgör ett skydd för företagshemligheter genom att ställa upp ett skadeståndsansvar för den som uppsåtligen eller av oaktsamhet obehörigen angriper en företagshemlighet. Noterbart är att lagen bara gäller så kallade obehöriga angrepp på företagshemligheter, det vill säga situationer när någon utan innehavarens samtycke bereder sig tillgång till, tillägnar sig, anskaffar, utnyttjar eller röjer en företagshemlighet. Som obehörigt angrepp anses aldrig att någon angriper en företagshemlighet i syfte att offentliggöra eller avslöja något som skäligen kan misstänkas utgöra brott med fängelse i straffskalan, utgör något annat missförhållande eller då offentlig­görandet sker i syfte att skydda allmänintresset.

Sådana situationer som innebär att företagshemligheter obehörigen angrips är exempelvis då anställda kopierar eller exporterar filer i syfte att göra filerna till sina eller att en anställd utan arbetsgivarens samtycke tar med sig fysiska dokument från arbetsplatsen i syfte att göra dokumenten till sina.

En intressant aspekt av skyddet för företagshemligheter är att det erbjuder ett visst skydd även efter avslutad anställning. Arbetstagare som avslutat sin anställning är inte längre bunden av sin lojalitetsplikt mot den tidigare arbetsgivaren och är därmed inte längre skyldig att agera i arbetsgivarens bästa intresse och inte skada dennes verksamhet. Lagen om företagshemligheter erbjuder dock ett skydd som liknar en kvardröjande lojalitetsplikt, då lagen uppställer ett skadeståndsansvar även i de situationer då en arbetstagare som avslutat sin anställning angriper en företagshemlighet. Dock, för att skadeståndsansvar ska utgå för en anställd då denne efter avslutad anställning angripit en företagshemlighet krävs det att synnerliga skäl föreligger.

Situationer som medför att en tidigare anställd kan hållas skadeståndsansvarig efter avslutad anställning är exempelvis om en anställd innan avslutad anställning har förberett ett överförande av företagshemligheter till en konkurrerande verksamhet eller om en anställd i samband med avslutande av anställning uppmanas av en arbetsgivare att lämna tillbaka dokument innehållande företagshemligheter och medvetet avstår ifrån att göra så.

Det är uppenbart att lagstiftningen om företagshemligheter erbjuder ett viktigt verktyg, vilket näringsidkare kan nyttja för att tillvarata och skydda sin verksamhet. Dock behöver du som näringsidkare vara medveten om hur skyddet fungerar för att kunna nyttja det på bästa sätt. Har du frågor om företagshemligheter eller vill du säkerställa att viktig information inom ditt företag skyddas som just företagshemligheter? Kontakta oss på Freja Partner!

 

 

Artikel författad av

Elin Cedås, jurist Freja Partner

I fredags avgjordes den nionde upplagan av Freja Partner Invitational uppe på Sankt Jörgen Park Resort. ⛳

Stort grattis till vinnarna och stort tack till alla golfare och grymma hålvärdar som ställer upp även om inte vädret visade upp sig från sin bästa sida.

Nästa år är det 10:års-jubileum, vi hoppas vi ses då!

 

Tack till alla hålvärdar som förgyllde dagen:

@Viña de Vida vinimport
Nya Kvadrat Kommersiellt
Sales Collective
Go!Sales.
RaDirekt
Macforum AB
Boomr Group AB
Noir Properties
Brandt Bil
Mjuk Biltvätt
Kaffegreven
Business Event Network
Kommunikationsbyrån i Väst AB
Svenska Golfkuponger AB
Algebäck Group
@Qubit Sverige
Skandia

 

Freja Partner har haft nöjet att agera rådgivare till ägarna vid försäljning av Bellis Växtmiljö i Partille AB till Hässelby Blommor.

Bellis Växtmiljö har arbetat med växtinredning i offentlig miljö sedan 1982 och bolaget har varit ett av Sveriges ledande växtinredningsföretag. Bolaget är baserat i Partille, strax utanför Göteborg, och sköter växter hos över 1000 företag i Västsverige. Bolaget förvärvas nu av Hässelby Blommor och bildar nu ”Sveriges starkaste företagsgrupp inom växtinredning, utemiljö och grön arkitektur – med över 100 medarbetare i Sverige”.

 

”Vi är otroligt nöjda med den hjälp vi har fått från Freja Partner under försäljningsprocessen. Deras kunskap och professionalitet har gjort att vi har känt oss trygga från början till slut, vilket har varit viktigt för oss. Vi vill rikta ett extra varmt tack till vår kontaktperson Andreas, som hela tiden har varit engagerad och lyhörd för våra önskemål samt snabb på att svara på våra frågor, stora som små. De har vårt största förtroende och vi kan varmt rekommendera Freja Partner för de som står inför liknande process” säger Caroline Everhult, delägare Bellis Växtmiljö.

 

Ansvariga projektledare från Freja Partner har varit Andreas Kristensen, samt Johannes Törnklev som legal rådgivare.

 

Vi tackar för samarbetet och önskar alla parter lycka till framöver!

NIS2-direktivet (Network and Information Systems Directive 2) (NIS2) trädde i kraft den 14 december 2022. Därefter har EU:s medlemsstater haft 21 månader på sig att införliva direktivet i nationell rätt. I Sverige förväntas den nya lagstiftningen börja gälla den 1 januari 2026. Den proposition som enligt tidigare tidplan skulle ha presenterats i maj 2025 har dock ännu inte lagts fram. Förseningen beror på att ett omfattande utredningsarbete fortfarande pågår kring hur det svenska regelverket ska utformas. Flera centrala och komplexa frågor återstår att besvara innan ett färdigt lagförslag kan presenteras och implementeringen slutföras.

Syftet med NIS2-direktivet är att uppnå en hög gemensam nivå på cybersäkerhet – det vill säga nätverks- och informationssäkerhet – inom hela EU. Ett centralt mål är att harmonisera regelverket och minska de rättsliga skillnaderna mellan medlemsstaterna. Jämfört med det tidigare NIS1-direktivet (NIS1) innehåller NIS2 mer detaljerade och skärpta krav, bland annat gällande säkerhetsåtgärder och incidentrapportering. Dessutom utökas tillämpningsområdet avsevärt, då antalet berörda sektorer ökar från sju till arton, vilket innebär att många fler aktörer kommer att omfattas av regleringen.

I Sverige har NIS1-direktivet implementerats genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”). Därtill finns säkerhetsskyddslagen (2018:585) som också ställer krav på robusthet och resiliens, liknande dem som återfinns i NIS-lagen. Till skillnad från NIS-lagen, som har ett unionsrättsligt perspektiv och syftar till att stärka cybersäkerheten inom hela EU, är säkerhetsskyddslagen inriktad på att skydda Sveriges nationella säkerhetsintressen. Den har således ett uttalat nationellt fokus och gäller oberoende av EU-rättsliga harmoniseringssträvanden.

Omfattas mitt företag av NIS2?

För att omfattas av NIS2-direktivet krävs det, som huvudregel, att den juridiska personen uppfyller kriterierna för att klassificeras som ett medelstort företag (250 anställda eller fler och vars årsomsättning överstiger 50 miljoner euro eller vars balansomslutning överstiger 43 miljoner euro på ett år) samt bedriver sådan verksamhet inom någon av de sektorer som anges i bilaga I eller II till direktivet. Bilaga 1 omfattar så kallade högkritiska sektorer och Bilaga II avser andra kritiska sektorer.

Till de högkritiska sektorerna hör energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster, offentlig förvaltning samt rymden.

De andra kritiska sektorerna inkluderar post- och budtjänster, avfallshantering, tillverkning/produktion/distribution av kemikalier, produktion/bearbetning/distribution av livsmedel, tillverkningsverksamhet, digitala leverantörer samt forskning.

För att fullt ut förstå vilka typer av verksamheter som omfattas krävs en noggrann genomgång av bilagorna till direktivet. Där specificeras sektorerna med hänvisning till andra unionsrättsakter och gällande definitioner enligt dessa.

Som huvudregel klassificeras verksamhetsutövare inom de högkritiska sektorerna som väsentliga entiteter medan verksamhetsutövare inom andra kritiska sektorer kan utgöra antingen väsentliga eller viktiga entiteter. Denna distinktion har betydelse för vilka skyldigheter som gäller enligt direktivet – något som behandlas vidare i den följande delen av artikeln.

Vilka krav ställs på mig som omfattas av NIS2?

Om man kan identifiera sig som en entitet inom NIS2-direktivets tillämpningsområde utgör nästa steg att fastställa vilka konkreta åtgärder som krävs enligt direktivets bestämmelser.

Krav på cybersäkerhetsåtgärder

Artikel 21.2 i NIS2-direktivet anges tio specifika riskhanteringsåtgärder som samtliga omfattande entiteter som minimum ska vidtas. Dessa är:

1. Policyer (”strategier”) för riskanalys och informationssystemsäkerhet,
2. Incidenthantering,
3. Kontinuitetsplanering (”driftskontinuitet”), exv. hantering av säkerhetskopiering och krishantering,
4. Säkerhet i leveranskedjan,
5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripen hantering av sårbarheter samt sårbarhetsinformation,
6. Policyer (”strategier”) och metoder (”förfaranden”) för att utvärdera effekten av vidtagna riskhanteringsåtgärder,
7. Grundläggande cyberhygien och utbildning i cybersäkerhet,
8. Policyer (”strategier”) och processer (”förfaranden”) för användning av kryptografi – och när lämpligt kryptering,
9. Personalsäkerhet, åtkomstkontrollspolicyer och resursförvaltning (”tillgångsförvaltning”),
10. Användning av flerfaktors- och kontinuerlig autentisering (”multifaktorautentisering”) samt säkrad kommunikations- och nödkommunikationssytem.

I nuläget saknas detaljerad vägledning för en bättre förståelse för kraven avseende respektive riskhanteringsåtgärd. I väntan på vägledning på EU-nivå kan viss vägledning hämtas från nationella föreskrifter, särskilt från Myndigheten för samhällsskydd och beredskap (MSB). Exempelvis innehåller MSBFS 2018:8 om informationssäkerhet för leverantörer av samhällsviktiga tjänster och MSBFS 2020:7 om säkerhetsåtgärder i informationssystem för statliga myndigheter praktisk vägledning kring hur verksamheter kan arbeta med informationssäkerhet i form av processer, policyer och rutiner.

Enligt 5 § MSBFS 2018:8 ska leverantörer bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna ISO 27001 och ISO 27002. Även om det fortfarande saknas exakt vägledning om vad detta innebär i förhållande till NIS2 kan verksamheter som redan arbetar strukturerat med dessa standarder förväntas ha ett försprång i anpassningen till det nya regelverket.

Vidare anges i 2 § 2018:8 att informationssäkerhetsarbetet även ska omfatta den hantering av nätverk och informationssystem som utkontrakteras till en extern aktör. Denna bestämmelse avser alltså säkerheten i leverantörskedjan. Vad man särskilt bör tänka på gällande denna bestämmelse är att parterna på avtalsrättslig väg bör reglera frågor såsom uppföljning av cybersäkerhetsåtgärder, ansvarsfördelning i det systematiska säkerhetsarbetet samt rutiner för incidentrapportering etc.

Krav på rapportering av cyberincidenter och cyberhot

Enligt artikel 23.1 i NIS2-direktivet är både viktiga och väsentliga entiteter skyldiga att utan onödigt dröjsmål rapportera betydande incidenter till sin CSIRT-enhet (Computer Security Incident Response Team) eller till behörig myndighet. I Sverige har denna funktion hittills utförts av CERT-SE, som är en del av Myndigheten för samhällsskydd och beredskap (MSB).

Syftet med rapporteringsskyldigheterna är att begränsa den potentiella spridningen av betydande incidenter, att göra det möjligt för berörd entitet att söka bistånd och att dra lärdomar inför framtida incidenter.

Vad är det då som måste rapporteras? Begreppet ”incident” definieras i artikel 6.6 i NIS2-direktivet som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.

För att det ska finnas en skyldighet att rapportera om incidenten så räcker det dock inte med att den uppstått, utan incidenten måste även kunna klassificeras som ”betydande”. Enligt artikel 23.3 i NIS2-direktivet anses en incident vara betydande om:
a) den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten,
b) den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Indikatorer såsom i vilken utsträckning tjänstens funktion påverkas, hur länge incidenten pågår eller hur många tjänstemottagare som drabbas kan spela en viktig roll när man fastställer om tjänstens driftsstörning är allvarlig.

Vid en betydande incident ska berörd entitet enligt artikel 23.4 i NIS2-direktivet rapportera till myndighet i tre olika steg:

1. Tidig varning

Den tidiga varningen ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 24 timmar och bör endast innehålla den information som är nödvändig för att göra myndigheten medveten om den betydande incidenten samt ge den berörda entiteten möjligheten att söka bistånd.

1. Incidentanmälan

Incidentanmälan ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 72 timmar i syfte att uppdatera den information som lämnats via den tidiga varningen och göra en inledande bedömning av den betydande incidenten, inbegripet dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.

• Slutrapport

Senast en månad efter inlämningen av incidentanmälan ska slutrapport lämnas som ska innehålla en mer detaljerad beskrivning av incidenten, inkluderat dess allvarlighetsgrad och konsekvenser.

Även delrapporter om relevanta statusuppdateringar kan komma att behövas inges på begäran.

Om så är lämpligt ska berörd entitet utan onödigt dröjsmål även meddela mottagarna av deras tjänster om sådana betydande incidenter sannolikt inverkar negativt på tillhandahållandet av tjänsterna. Berörd entitet ska dessutom i vissa fall utan onödigt dröjsmål underrätta mottagarna om betydande cyberhot i enlighet med artikel 23.2 NIS2-direktivet.

I artikel 6.10 NIS2-direktivet definieras ”cyberhot” på samma sätt som i artikel 2.8 i förordning (EU) 2019/881 (Cybersäkerhetsakten) som en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer. ”Betydande cyberhot” definieras i artikel 6.11 NIS2-direktivet som ett cyberhot som, på grund av dess tekniska egenskaper, kan antas ha potential att ha en allvarlig påverkan på en entitets nätverks- och informationssystem eller användarna av entitetens tjänster genom att vålla betydande materiell eller immateriell skada.

Den huvudsakliga skillnaden mellan en incident och ett cyberhot är att ett cyberhot inte förutsätter att någon skada faktiskt har uppstått, utan att det endast föreligger ett hot om att en sådan skada ska inträffa.

Som jag nu nämnt så finns det två olika typer av rapporteringsskyldighet:
1. skyldigheten att rapportera till MSB samt
2. skyldigheten att underrätta sina tjänstemottagare.

Myndighetsrapportering är endast tillämplig vid betydande incidenter medan mottagarrapportering kan vara tillämplig både vid betydande incidenter och betydande cyberhot.

Alltså, både vid betydande incidenter och betydande cyberhot kan det bli aktuellt att utan onödigt dröjsmål underrätta mottagaren av tjänsten, men vem är då mottagare? Då detta begrepp inte definieras i NIS2-direktivet måste en bedömning göras i varje enskilt fall. Formuleringen ”som sannolikt inverkar på tillhandahållandet av tjänsten” i artikel 23.1 i NIS2-direktivet bör tolkas som att underrättelsen vid betydande incidenter ska göras till alla tjänstemottagare i alla led i kedjan. Underrättelsen vid betydande incidenter bör således omfatta en vidare krets av mottagare än den krets av mottagare som ska underrättas vid betydande cyberhot då formuleringen ovan skiljer sig åt jämfört med formuleringen ”de mottagare av deras tjänster som kan påverkas” i andra punkten artikel 23 NIS2-direktivet. Vi saknar dock vidare vägledning i hur formuleringarna ska tolkas men hänsyn ska även tas till den berörda entitetens faktiska möjlighet att uppfylla sin skyldighet att underrätta mottagarna av deras tjänster.

Ytterligare ett krav för att vara skyldig att underrätta mottagare av sina tjänster om betydande incident är att sådan underrättelse är lämplig. En bedömning ska göras i varje enskilt fall. I dagsläget saknas det dock både definition och vägledning av vad som ska anses vara lämpligt och hur bedömningen ska göras.

Vad underrättelsen av betydande incident ska innehålla förklaras inte vidare i NIS2-direktivet. Däremot klargörs att underrättelsen av betydande cyberhot ska innehålla eventuella åtgärder eller avhjälpande arrangemang som mottagarna kan vidta för att begränsa de risker som följer av ett betydande cyberhot.

Vad händer om jag som företag inte efterlever kraven som åligger mig enligt NIS2-direktivet?

För att säkerställa att NIS2-direktivet ska få genomslag och tillämpas enhetligt inom hela EU innehåller direktivet detaljerade krav på hur medlemsstaterna ska organisera tillsynen över de entiteter som omfattas. Tillsynen ska utföras av behöriga myndigheter som varje medlemsstat är skyldiga att utse. Vilka svenska myndigheter som kommer att ansvara för tillsyn över respektive sektorer och entitetstyper är i skrivande stund ännu inte slutgiltigt fastställt. Det står dock klart att direktivet skiljer mellan väsentliga och viktiga entiteter vad gäller tillsynens omfattning och former. Enligt artikel 32 i NIS2-direktivet får tillsynsmyndigheterna utöva mer ingripande kontroll av väsentliga entiteter, inklusive möjligheten att genomföra oannonserade platsrevisioner (ad hoc-revisioner). För viktiga entiteter är tillsynsmöjligheterna mer begränsade då det exempelvis inte är möjligt att utföra ad-hoc revisioner enligt artikel 33 i NIS2-direktivet. Det är viktigt att notera att de uppräknade tillsynsbefogenheterna i artiklarna 32 och 33 inte är uttömmande, utan utgör minimikrav. Medlemsstaterna kan alltså införa ytterligare befogenheter eller verktyg för tillsyn.

För att säkerställa efterlevnad innehåller NIS2-direktivet också krav på att tillsynsmyndigheterna ska ha möjlighet att vidta effektiva sanktioner vid överträdelser. Enligt artikel 32 i NIS2-direktivet kan dessa innefatta varningar och förelägganden samt påförande av administrativa sanktionsavgifter. De administrativa sanktionerna ska vara effektiva, proportionella och avskräckande. De administrativa sanktionsavgifterna vid bristande regelefterlevnad för väsentliga enheter kan komma att uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, och för viktiga enheter 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna i det enskilda fallet i enlighet med artikel 34.4 och 34.5 i NIS2-direktivet.

Som tidigare nämnts gör NIS2-direktivet en tydlig åtskillnad mellan väsentliga och viktiga entiteter, vilket framför allt märks i omfattningen av tillsyn och sanktionsmöjligheter. Väsentliga entiteter omfattas av en strängare reglering, vilket avspeglas i mer omfattande tillsynsbefogenheter för myndigheterna och högre sanktionsnivåer vid bristande efterlevnad.

En särskilt långtgående sanktionsmöjlighet riktas mot individnivå. Utöver administrativa åtgärder och sanktionsavgifter mot den juridiska personen, möjliggör artikel 32.5 b i NIS2-direktivet att sanktioner kan riktas direkt mot dess legala ställföreträdare. Om en väsentlig entitet underlåter att vidta tidigare förelagda åtgärder inom föreskriven tid, får den behöriga myndigheten begära att en domstol meddelar ett tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör har ledningsansvar i den väsentliga entiteten att utöva ledningsfunktion i den aktuella enheten. Det saknas dock en närmare definition av vad som avses med begreppet legal ställföreträdare, vilket kan skapa osäkerhet kring dess exakta innebörd men det vi vet i skrivande stund är att behörig myndighet kan komma att besluta att personer inte får utföra sitt ledningsuppdrag i de fall tidigare begärda åtgärder inte har vidtagits. Det personliga ansvaret är en långtgående sanktion och bör användas först när samtliga övriga tillsynsåtgärder visat sig verkningslösa.

 

Avslutande reflektion

Genom tydliga krav på säkerhetsåtgärder, rapporteringsskyldighet och skärpt tillsyn stärker NIS2-direktivet den gemensamma motståndskraften mot cyberhot i ett alltmer digitaliserat samhälle. För svenska verksamheter som omfattas av NIS2-regleringen innebär detta både ett utökat ansvar och ett krav på att granska och justera sina interna processer, styrdokument och leverantörsavtal. Det är avgörande att redan nu vidta åtgärder för att säkerställa efterlevnad av NIS2-direktivet, inte minst med tanke på de kännbara sanktioner som kan bli aktuella vid bristande regelefterlevnad, både för juridiska personer och för fysiska personer.

 

Behöver ni hjälp att komma igång eller uppdatera er verksamhet kring detta? Tveka inte på att höra av er.

 

 

Freja Partner genom

Zandra Larsen, jurist och dataskyddssamordnare

Vi på Freja Partner har alltid gillat nätverk. Vi gillar också idrott och fotboll. Och vi gillar IFK Göteborg. Så nu var det äntligen dags, Freja Partner har i år gått in som stolt partner till hela stadens lag.

 

Kamratskapet innebär att vi nu blir en del av ett affärsnätverk som andas gemenskap, engagemang och framtidstro. Samt att vi även får stötta upp IFK Göteborgs organisation vid juridiska spörsmål och utmaningar.

 

”IFK Göteborg har alltid legat oss varmt om hjärtat så vi är mycket glada för detta partnerskap.”, säger Fredrik Weiss, VD på Freja Partner.

 

 

Vi har för vår klients räkning vunnit framgång i Hovrätten för Västra Sverige.

Tvisten ifråga gällde ett fastighetsköp där vår klient yrkade på rätt till prisavdrag mot bakgrund av att fastighetens area avvek från vad som utfästs vid försäljningstillfället.

Tvisten avgjordes i tingsrätten förra året och överklagades därefter till hovrätten. Det är glädjande för vår klient att hovrätten gick på tingsrättens linje vad gäller fastställande av prisavdrag.

Ansvarig jurist hos Freja Partner har varit Sofia Tegel.

 

Målnummer: T 5049-24 Hovrätten för Västra Sverige

 

Har du frågor om fel i fastighet eller står inför ett potentiellt förvärv av en fastighet? Tveka inte att höra av dig till oss.