Sammantagen bedömning

Förslaget innebär ett införlivande av det så kallade NIS2-direktivet som rör nätverks- och informationssystem. Utredningen föreslår att detta huvudsakligen sker genom en ny lag om cybersäkerhet. Regleringen omfattar fler verksamheter än tidigare, men huvudregeln är att mindre företag inte omfattas.

Regelrådet bedömer att det saknas en redovisning av hur många företag som kan komma att påverkas av regleringen. Det finns inte heller någon tydlig beskrivning av påverkan på kostnader, tidsåtgång och verksamhet för berörda företag, vilket är en brist. Beskrivningen av påverkan på konkurrensförhållandena för berörda företag får också anses knapphändig. Resterande delaspekter redovisas på ett godtagbart sätt. Sammantaget bedömer dock Regelrådet att konsekvensutredningen som helhet innehåller alltför lite information om vilka företag som berörs och hur de påverkas av regleringen.

Regelrådet finner därför att konsekvensutredningen inte uppfyller kraven i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.