Regeringen har lämnat en proposition om en ny lag om motståndskraft hos kritiska verksamhetsutövare. Lagen ska omfatta offentliga och enskilda aktörer som genom myndighetsbeslut identifieras som kritiska verksamhetsutövare.
För att identifieras ska aktören bland annat tillhandahålla en samhällsviktig tjänst, bedriva verksamhet och ha kritisk infrastruktur i Sverige. En incident ska också kunna få en betydande störande effekt på tjänsten eller andra samhällsviktiga tjänster som är beroende av den.
Verksamhetsutövarna ska bedöma och dokumentera risker för incidenter, minst vart fjärde år. Utifrån riskbedömningen ska de vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder, upprätta en plan för motståndskraft samt arbeta med bland annat fysiskt skydd, återhämtning och personalsäkerhet.
För vissa roller krävs befattningsanalys och bakgrundskontroll. Berörda personer ska styrka sin identitet och visa utdrag ur belastningsregistret. Incidenter som medför eller kan medföra en betydande störning ska anmälas senast 24 timmar efter att verksamhetsutövaren fått kännedom om dem.
Tillsynsmyndigheter ska kunna begära uppgifter, få tillträde till lokaler och besluta om sanktionsavgifter. För enskilda verksamhetsutövare föreslås avgiften kunna uppgå till två procent av den globala årsomsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.
Reglerna omfattar elva sektorer, men delar av verksamheter inom bankverksamhet, finansmarknadsinfrastruktur och digital infrastruktur undantas från lagens skyldigheter. Propositionen innehåller även undantag för bland annat viss säkerhetskänslig och brottsbekämpande verksamhet.








