Miljonböter och hemliga syndare – Så hårt slår NIS-sanktionerna
NIS-direktivet har skärpt kraven på cybersäkerhet i samhällsviktiga sektorer, men hur många har faktiskt drabbats av sanktionsavgifter? Och varför talas det så lite om detta, trots att vissa myndigheter har varit flitiga med att utfärda böter? En granskning av tillsynsmyndigheternas beslut visar stora skillnader mellan sektorer – och NIS2 kan innebära ännu hårdare tag.
Hur mycket har svenska verksamheter fått betala?
Tillsynsmyndigheterna för NIS – Post- och Telestyrelsen, Energimyndigheten, Transportstyrelsen, Livsmedelsverket, Inspektionen för vård och omsorg (IVO) och Finansinspektionen (FI) – har haft mycket olika strategier när det gäller sanktioner. Vissa har knappt delat ut några alls, medan andra har varit betydligt mer aktiva.
De vanligaste orsakerna till sanktionsavgifter har varit:
- Missad eller försenad anmälan (att inte ha registrerat sig som berörd aktör enligt NIS).
- Bristfällig incidenthantering (att inte rapportera eller hantera en säkerhetsincident korrekt).
- Allvarliga brister i informationssäkerheten (upptäckta vid tillsyn, ofta kopplade till otillräckliga säkerhetsåtgärder).
Så här ser siffrorna ut:
| Brister i anmälan | Incidenthantering | Tillsyn | |
|---|---|---|---|
| Totalt antal | 78 | 4 | 17 |
| Maxbelopp (SEK) | 90 000 | 200 000 | 3 750 000 |
| Snittbelopp (SEK) | 24 000 | 115 000 | 1 155 000 |
Den största sanktionen vi hittat ligger på nästan 4 miljoner kronor, medan det mest frekventa felet – försenad anmälan – har lett till relativt låga avgifter mellan 5 000 och 90 000 kronor beroende på tillsynsmyndighet. Däremot har bristfällig incidenthantering och omfattande brister i säkerhetsarbetet resulterat i mycket högre böter.
Vilka myndigheter har delat ut flest böter?
Tillsynsmyndigheterna har hanterat sanktionsfrågan väldigt olika:
- Transportstyrelsen och Energimyndigheten har varit de mest aktiva och står för de största utdömda beloppen.
- Livsmedelsverket har utfärdat en rad mindre avgifter, men inga större sanktionsbeslut.
- Post- och Telestyrelsen samt Finansinspektionen har inte delat ut några sanktionsavgifter alls.
- Inspektionen för vård och omsorg (IVO) har enbart gett enstaka mindre sanktioner, med låga belopp.
Detta visar att vissa sektorer har granskats hårdare än andra, och att tillsynsmyndigheterna haft skilda strategier för att säkerställa efterlevnaden av NIS-direktivet.
Varför är det så tyst om sanktionsavgifterna?
En av de mest intressanta upptäckterna är hur olika myndigheterna hanterar offentligheten kring sanktionsbesluten. Vissa lämnar öppet ut vilka aktörer som fått böter, medan andra vägrar att avslöja namnen på grund av sekretess.
- Energimyndigheten och Transportstyrelsen hänvisar till säkerhetsskäl och sekretesslagen (OSL 18 kap. 8 §) och döljer därför vilka verksamheter som drabbats.
- Livsmedelsverket har varit mer transparent och har redovisat vilka kommunala vattenleverantörer som fått böter för försenad anmälan.
- Finansinspektionen och Post- och Telestyrelsen har inte behövt ta ställning eftersom de inte utfärdat några sanktioner alls.
Denna brist på offentlighet gör att många organisationer förblir ovetande om vad som faktiskt händer inom NIS-tillsynen. Det finns en tydlig pedagogisk brist – genom att inte lyfta fram exemplen på bristande efterlevnad går samhället miste om en viktig lärdom om vad som faktiskt krävs för att uppfylla NIS-kraven.
Vad innebär detta för NIS2?
Det finns ingen anledning att tro att tillsynsmyndigheterna kommer att bli mildare när NIS2 träder i kraft. Tvärtom:
- Fler verksamheter omfattas, inklusive en rad privata företag som tidigare inte behövt följa NIS-regelverket.
- Sanktionsmöjligheterna blir större – bötesbeloppen kan i vissa fall bli ännu högre än dagens nivåer.
- Ökad transparens – vissa bestämmelser i NIS2 kan kräva att organisationer själva måste offentliggöra varför de fått en sanktionsavgift.
Det innebär att fler företag och organisationer än någonsin kommer att behöva ta cybersäkerhetskraven på allvar. Tidigare har det i vissa branscher varit möjligt att ”flyga under radarn” och undvika tillsyn. Med NIS2 blir detta betydligt svårare – fler aktörer kommer att granskas, fler sanktionsbeslut kan förväntas, och offentliggörandet av säkerhetsbrister kan leda till både ekonomiska och reputationsmässiga konsekvenser.
Slutsats: NIS2 skärper spelet
Om vi utifrån dagens NIS-regelverk redan ser sanktionsavgifter på flera miljoner, kan vi räkna med att NIS2 tar detta till en helt ny nivå. Det blir fler kontroller, skärpta krav och potentiellt ännu högre sanktioner.
Så frågan är: kommer vi att se fler sanktioner framöver? Med tanke på hur myndigheterna har agerat hittills är svaret troligen ja. NIS2 kommer inte bara att påverka fler företag och organisationer – det kommer också att innebära hårdare tillsyn och större konsekvenser för den som inte sköter sig.
Sanktioner under NIS har hittills varit något av en dold verklighet i många sektorer, men NIS2 kan ändra på det. När både fler aktörer granskas och sanktionerade verksamheter själva måste offentliggöra sina misstag, kan vi komma att se en helt ny öppenhet kring cybersäkerhetsbrister – och fler rejäla smällar för den som inte tar säkerhetsfrågorna på allvar.
Stort tack till Mats Karlsson Landré som står för innehåll och bakgrundsfakta till denna text. Du når honom på på https://ot-säkerhet.se
