I mitten av januari trädde cybersäkerhetslagen ikraft. Lagen är en effekt av det så kallade NIS 2-direktivet.

Senaste den 16 februari ska verksamhetsutövare som omfattas av lagen anmäla sin verksamhet till MCF (Myndigheten för civilt försvar, tidigare MSB) – men bara OM bostadsbolaget bedömer att bolaget omfattas av lagen.

Om anmälan inte inkommit senast detta datum kan tillsynsmyndigheterna komma att vidta åtgärder.

– Det är viktigt att bostadsbolaget dokumenterar sin bedömning för att kunna påvisa att man har gjort ett aktivt val, säger Carl Ståhle, digitaliseringsexpert på Sveriges Allmännytta.

Här förklarar Viktor Robertson på advokatfirman Kahn Pedersen vad som gäller för fastighetsägare:

Cybersäkerhetslagen ställer relativt höga krav på de organisationer som omfattas, bland annat när det gäller säkerhet i leveranskedjan. Eftersom cybersäkerhetslagen omfattar många olika typer av verksamheter behöver varje fastighetsägare själv bedöma om den egna verksamheten omfattas av cybersäkerhetslagen.

Tre kriterier

För att omfattas av cybersäkerhetslagen krävs att organisationen uppfyller tre kriterier: etableringskriteriet, storlekskriteriet och verksamhetskriteriet.

Mer information om vad dessa kriterier innebär finns exempelvis i Myndigheten för civilt försvars nyutkomna vägledning om vem som omfattas av cybersäkerhetslagen. För att omfattas krävs som huvudregel att organisationen uppfyller alla tre kriterierna, även om det också finns vissa undantag från denna huvudregel.

Mindre bolag kan undantas

Det kan exempelvis innebära att vissa mindre fastighetsbolag som har färre än femtio anställda och en omsättning och balansomslutning som understiger 10 miljoner euro inte uppfyller storlekskriteriet och därmed inte omfattas av cybersäkerhetslagen. Det räcker dock inte att bara se till det aktuella bolagets egen storlek, utan exempelvis kan bolag som ingår i samma koncern behöva räknas samman i bedömningen.

Den svåraste frågan i bedömningen av om ett fastighetsbolag omfattas av cybersäkerhetslagen är ofta om bolaget bedriver sådan verksamhet som omfattas av lagen, alltså frågan om verksamhetskriteriet är uppfyllt.

Ett fastighetsbolag som bedriver traditionell fastighetsförvaltning som enbart omfattar uthyrning av lägenheter och lokaler, bedriver troligtvis inte någon sådan verksamhet som omfattas av cybersäkerhetslagen.

Egen elproduktion kan påverka

Fastighetsbolag som däremot exempelvis har installerat en större mängd solceller, vilka producerar el, eller som tillhandahåller laddtjänster för el-bilar till allmänheten, kan behöva utreda djupare om dessa eller andra delar av bolagets verksamhet innebär att bolaget omfattas av lagen. I den granskningen behöver det utredas vilket slags verksamhet som faktiskt bedrivs, och kontrollera om denna verksamhet är sådan att den omfattas av lagen.

Oavsett vilket behöver en bedömning göras. Myndigheten för civilt försvar har angett att detta gäller oavsett om bedömningen i slutändan leder fram till att verksamheten omfattas eller inte.

Ytterligare stöd från Sveriges Allmännytta

Sveriges Allmännytta har tidigare tagit fram följande stöd till medlemsföretagen bolag för att ta reda på om bostadsföretaget omfattas eller inte:

  • En rapport togs fram av advokatfirman Kahn Pedersen i samarbete med www.redi.city som hjälper bostadsföretaget med hur företaget ska tänka i den egna bedömningen (NIS 2 och fastighetsbolagen – se länk nedan).
  • Sveriges Allmännytta har en kanal i teamsgruppen ”D-nätverket” där diskussion och delande sker mellan medlemsföretagen för att hjälpa varandra (mejla Carl Ståhle om du vill bli inbjuden till nätverket)
  • Sveriges Allmännytta har nyligen bildat ett Cybersäkerhetsnätverk för de bostadsföretag som vet att de omfattas av lagen. Nätverket har haft en första digital träff. I början på mars har nätverken sin första fysiska träff. Kontakta Carl Ståhle om ni vill anmäla ert intresse för nätverket.

Länk till Myndigheten för civilt försvar dit anmälan ska göras: Att anmäla en verksamhet enligt cybersäkerhetslagen