Sanktioner mot cyberattacker

Beskrivning av sanktionerna

Sanktionerna består av reserestriktioner och frysning av tillgångar för personer, enheter eller organ. Inga medel får heller tillgängliggöras för personer och enheter som står med på förteckningen av individer mot vilka sanktioner riktas.

Sanktionsregimen är horisontell. Sanktioner kan därmed införas mot de som uppfyller listningskriterierna oavsett nationalitet och var de befinner sig.

Reserestriktioner

Det råder förbud mot in- och genomresa i EU:s medlemsstater för personer och enheter som är ansvariga för cyberattacker eller försök till cyberattacker. Samma restriktioner gäller för personer som tillhandahåller finansiellt, tekniskt eller materiellt stöd till eller på annat sätt är inblandade i cyberattacker eller försök till cyberattacker, bland annat genom att planera, förbereda, delta i, styra, hjälpa till med eller uppmuntra sådana attacker, eller underlätta dem, antingen genom handling eller försummelse, eller som har samröre med dessa personer, enheter eller organ som omfattas av detta.

Behörig myndighet i respektive medlemsstat kan i undantagsfall bevilja in- och genomresa, för att exempelvis uppfylla vissa förpliktelser enligt folkrätten, på basis av brådskande humanitära skäl, eller för att möjliggöra deltagande vid internationella möten och konferenser.

Frysning av tillgångar och förbud att tillgängliggöra medel

Alla tillgångar som ägs, innehas eller kontrolleras av personer, enheter eller organ som är direkt ansvariga för cyberattacker eller försök till cyberattacker ska frysas. Tillgångar ska även frysas för personer, enheter eller organ som tillhandahåller finansiellt, tekniskt eller materiellt stöd till eller på annat sätt är inblandade i cyberattacker eller försök till cyberattacker, bland annat genom att planera, förbereda, delta i, styra, hjälpa till med eller uppmuntra sådana attacker, eller underlätta dem, antingen genom handling eller försummelse, eller som har samröre med dessa. Det råder även förbud att direkt eller indirekt tillgängliggöra medel till dessa personer.

Behörig myndighet i respektive medlemsstat kan i undantagsfall bevilja frigörandet av vissa frysta tillgångar, eller besluta tillgängliggörande av medel.

Relevanta EU-dokument

De restriktiva åtgärderna infördes genom rådsbeslut GUSP/2019/797 den 17 maj 2019 och i EU-förordning EU/2019/796 av samma datum.

Vänligen se EU:s sanktionskarta och EUR-Lex för uppdaterad information om gällande rättsakter.

Ansvariga svenska myndigheter

Regeringen har uppdragit åt Försäkringskassan, Finansinspektionen och Kommerskollegium att vara behöriga myndigheter för prövning av olika frågor med anknytning till restriktiva åtgärder avseende cyberattacker.

Försäkringskassan beviljar undantag från frysning av tillgångar, dock inte vad gäller rutinmässig förvaltning (se Finansinspektionen).

Finansinspektionen tar emot uppgifter om frysta konton samt beviljar undantag från frysning av tillgångar vad gäller rutinmässig förvaltning.

Kommerskollegium beviljar tillstånd till frigörande från frysning av tillgångar avseende andra än fysiska personer (juridiska personer, enheter och organ), dock inte för rutinmässig förvaltning (se Finansinspektionen).

Bakgrund till sanktionerna

Den 19 juni 2017 antog rådet slutsatser om en ram för en gemensam diplomatisk respons mot skadlig it-verksamhet (kallad verktygslådan för cyberdiplomati), där rådet uttryckte oro över den ökande förmågan och viljan hos statliga och icke-statliga aktörer att försöka nå sina mål genom att ägna sig åt skadlig it-verksamhet och bekräftade det växande behovet av att skydda integriteten och säkerheten för unionen, medlemsstaterna och deras medborgare mot cyberhot och skadlig it-verksamhet. Syftet med ramverket var att genom utrikespolitiska instrument förebygga, avvärja och hantera skadligt agerande i cyberrymden, som en del av den gemensamma utrikes- och säkerhetspolitiken.

Den 28 juni 2018 antog Europeiska rådet slutsatser i vilka man framhöll behovet att stärka förmågan att hantera cybersäkerhetshot från länder utanför unionen. Europeiska rådet uppmanade institutionerna och medlemsstaterna att genomföra de åtgärder som avses i det gemensamma meddelandet från kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik, Att öka motståndskraften och stärka kapaciteten att hantera hybridhot, inklusive den praktiska användningen av verktygslådan för cyberdiplomati.

Den 18 oktober antog Europeiska rådet slutsatser där man uppmanade till fortsatt arbete med kapaciteten att reagera på och avskräcka från cyberattacker genom unionens restriktiva åtgärder, med hänvisning till rådets slutsatser av den 19 juni 2017.

Mot denna bakgrund antog Europeiska unionens råd den 17 maj 2019 beslut (Gusp) 2019/797. I beslut (Gusp) 2019/797 upprättas en ram för riktade restriktiva åtgärder för att avskräcka från och reagera på cyberattacker med betydande effekt som utgör ett externt hot för unionen eller dess medlemsstater.

Om det anses nödvändigt för att uppnå Gusp-målen i de relevanta bestämmelserna i artikel 21 i fördraget om Europeiska unionen, får restriktiva åtgärder enligt detta beslut också tillämpas som svar på cyberattacker med betydande effekt på tredjeländer eller internationella organisationer.