S:t Erik Försäkring: Följer de reglerna? Kvartalsrapport 2026.

[28 Rapport Q1 2026 regelefterlevnad.pdf] Till Styrelsen i S:t Erik Försäkrings AB Rapport för perioden 1 januari – 26 februari 2026 avseende regelefterlevnad 1. Inledning Genom denna rapport redovisar funktionen för regelefterlevnad resultatet av senast genomförda kontroll av S:t Erik Försäkrings AB:s, nedan Bolaget, regelefterlevnad samt redogör för de övriga åtgärder som funktionen har vidtagit under perioden. 2. Händelser av relevans under perioden 2.1. Regelbevakning och relevanta sanktionsbeslut Under perioden har följande nyhetsbrev tillställts Bolaget. Dessa återfinns i sin helhet i bilaga 1. - IMY:s beslut mot Sportadmin i Skandinavien AB - FI ger SBB sanktion för brister i koncernredovisningen - Krishantering och ändrade rörelseregler för försäkringsföretag 2.2. Kontroll av Bolagets regelefterlevnad Kontroll av Bolagets regelefterlevnad har ägt rum genom ett möte med representanter från Bolaget samt genom granskning av handlingar. Kontrollen utgår från den årsplan som funktionen för regelefterlevnad har upprättat inför verksamhetsåret och redogörs för närmare nedan. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se Område Kontroll Compliancerisk (Grön/Gul/Röd) Outsourcing Uppdragsavtal Kontrollen har inte föranlett några synpunkter. Outsourcing Uppdragstagare och leverantörer Kontrollen har inte föranlett några synpunkter. Anpassning till nya eller DORA-förordningen Bolaget har mottagit ett antal förändrade regelverk rekommendationer från funktionen för internrevision beträffande justeringar i styrdokument m.m. Bolaget och funktionen för regelefterlevnad delar uppfattningen att vissa saker kan förtydligas och kommer att arbete med detta under år 2026. Anpassning till nya eller Omarbetning av Solvens II- Kontrollen har inte föranlett förändrade regelverk direktivet några synpunkter. Övrig regelefterlevnad Avbrottsfri verksamhet Kontrollen har inte föranlett några synpunkter. Metod Periodens kontroll har till övervägande del bestått i att följa upp Bolagets anpassning till DORA- förordningen, vilket innefattar bl.a. kontroll av revideringar i processer och riktlinjer, samt uppföljning av avtalsanpassningar. Vidare har kontrollen innefattat uppföljning och kontroll avseende outsourcing och då primärt fokuserat på kontroll av riktlinjer samt Bolagets rutiner för uppföljning och kontroll av leverantörer. Därtill har Funktionen följt upp kommande ändringar i Solvens II-direktivet och hur dessa kan komma att träffa Bolaget samt kontrollerat Bolagets IT-avbrottsplan för att säkerställa att Bolaget kan upprätthålla en avbrottsfri verksamhet. 2 (5) I anslutning till kontrollen har även funktionen för internrevisions rapport avseende bl.a. DORA- förordningen genomgåtts tillsammans med Bolaget. Ett antal justeringsförslag har lyfts däri, vilka funktionen för regelefterlevnad kommer bistå Bolaget med att hantera. Funktionen för regelefterlevnad har vidare följt upp den tidigare anmärkningen beträffande Bolagets dataskyddsombud och dess oberoende. Relevanta regler och riktlinjer Periodens kontroller baseras på följande regelverk och styrdokument i Bolagets verksamhet: - Försäkringsrörelselag (2010:2043) - FFFS 2015:8 om Försäkringsrörelse - Kommissionens delegerade förordning 2015/35 om upptagande och utövande av försäkringsverksamhet - DORA-förordningen - Riktlinjer för uppdragsavtal inklusive checklista för kontraktsuppföljning - IT-avbrottsplan inklusive bilagor - IKT-riktlinjer Outsourcing - kontroll Granskning av Bolagets uppdragsavtal samt Bolagets uppföljning av uppdragstagare i syfte att säkerställa att Bolaget uppfyller kraven på innehåll i sådana avtal enligt dels försäkringsrörelselagen (2010:2043) (FRL), dels Finansinspektionens föreskrifter och allmänna råd om försäkringsrörelse (FFFS 2015:8), samt även Kommissionens delegerade förordning 2015/35 om upptagande och utövande av försäkringsverksamhet. Kontrollen har vidare syftat till att säkerställa att Bolaget har en fullgod uppföljning av Bolagets uppdragstagare. Därtill har funktionen följt upp stadens uppföljningsprocess avseende IKT-leverantörer. Processen är fortsatt under utarbetning, men bedöms redan nu vara fullgod och även innebära att Bolaget har möjlighet att begära relevant dokumentation för uppföljning från såväl leverantörer som underleverantörer inom ramen för de tjänster som Bolaget köper in från staden. Funktionen för regelefterlevnad har inte haft några synpunkter på nuvarande utformning av avtal eller uppföljningsprocess av uppdragstagare. 3 (5) Anpassning till nya eller förändrade regelverk - kontroll Uppföljning och kontroll av Bolagets anpassning till dels DORA-förordningen, dels omarbetningen av Solvens II-direktivet. Kontrollen har syftat till att säkerställa att Bolaget har anpassat rutiner och processer efter de nya regelverken. Beträffande anpassningen till DORA-förordningen så är detta arbete färdigställt sett till justeringar i policydokument och hantering av leverantörer samt register. Likaså att börja arbeta utefter de dokumenterade processerna för avtalsuppföljning och leverantörskontroll, samt säkerställa att alla IKT-avtal är på plats med de justeringar som behövs, med undantag för stadens interna process som omnämnts ovan. I tiden efter utförd kontroll har Bolaget och funktionen för regelefterlevnad mottagit vissa rekommendationer avseende justeringar från funktionen för internrevision. Funktionen delar uppfattningen att vissa justeringar och förtydliganden behövs i vissa styrdokument kopplade till informationssäkerhet och kommer följa upp det arbetet under år 2026. Beträffande anpassningen till omarbetningen av Solvens II-direktivet så består dessa förändringar i bl.a. förändrade regler kring hållbarhet, primärt avseende scenarion i ORSA, uppdatering av vissa styrdokument m.m. De omarbetade reglerna börjar gälla år 2027, så funktionen för regelefterlevnad bedömer att översyn av nuvarande riktlinjer och processer kan påbörjas under verksamhetsåret. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Övrig regelefterlevnad-kontroll Uppföljning och kontroll av Bolagets riktlinjer för avbrottsfri verksamhet. Kontrollen har syftat till att säkerställa att riktlinjerna följer relevanta regler. Funktionen har tagit del av och granskat Bolagets IT-avbrottsplan inklusive bilagor. Funktionen för regelefterlevnad har inte haft några synpunkter på utformningen av riktlinjerna, samt kan konstatera att dessa reviderats för att efterleva DORA-förordningen. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 2.3. Råd och stöd Funktionen för regelefterlevnad har under perioden funnits tillgänglig för att svara på frågor och lämna råd och stöd till Bolagets anställda. 4 (5) 3. Funktionen för regelefterlevnads bedömning De synpunkter funktionen för regelefterlevnad noterat, framgår under avsnitt 2.2 ovan. I övrigt har funktionen för regelefterlevnad vid fullgörandet av sitt uppdrag inte funnit något som innebär att Bolaget sammantaget inte lever upp till de krav som uppställs i de lagar, förordningar, föreskrifter och allmänna råd som gäller för Bolagets tillståndspliktiga verksamhet. Stockholm den 26 februari 2026 Johan Grenefalk 5 (5) Bilaga 1 Nyhetsbrev Ang. IMY:s beslut mot Sportadmin i Skandinavien AB 26 januari 2026 1. Inledning Integritetsskyddsmyndigheten (IMY) har den 26 januari 2026 efter tillsyn enligt Dataskyddsförordningen1 meddelat beslut mot Sportadmin i Skandinavien AB, nedan Sportadmin. Beslutet avser en personuppgiftsincident som inträffat i januari 2025 och som omfattat personuppgifter för drygt två miljoner personer, huvudsakligen barn och ungdomar. IMY har konstaterat att Sportadmin har brustit i sina skyldigheter enligt artikel 32.1 Dataskyddsförordningen genom att inte ha vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder och har därför beslutat att påföra bolaget en administrativ sanktionsavgift om sex miljoner kronor. Beslutet är av särskilt intresse ur ett dataskyddsrättsligt perspektiv eftersom det ger vägledning om hur kravet på en riskbaserad säkerhetsnivå enligt Dataskyddsförordningen ska tillämpas i praktiken. 2. Bakgrund till incidenten och IMY:s tillsyn Sportadmin tillhandahåller digitala kommunikationstjänster till idrottsföreningar, bland annat för medlemshantering, fakturering och intern kommunikation. I januari 2025 utsattes bolagets system för ett dataintrång genom en extern angripare. Intrånget genomfördes den 16 januari 2025 genom en så kallad SQL-injektion via en variabel i en av Sportadmins webbsidor som saknade skydd mot denna typ av attacker. Av utredningen framgår att upprepade försök till SQL-injektioner hade förekommit redan dagarna innan intrånget upptäcktes. Sårbarheten har uppkommit i samband med en kodändring i juni 2022, då en befintlig variabel återanvänts utan att omfattas av bolagets skydd mot SQL-injektioner. Den oskyddade variabeln har därefter använts direkt vid kommunikation med databasen, vilket möjliggjort intrånget. På grund av alltför generösa behörigheter i de berörda systemen kunde angriparen 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ bereda sig tillgång till servermiljön och föra ut data. Den 14 mars 2025 har den uthämtade informationen, innehållande personuppgifter, publicerats på Darknet. IMY:s tillsyn har fokuserat på huruvida Sportadmin, före och vid tidpunkten för incidenten, hade vidtagit sådana säkerhetsåtgärder som krävs enligt artikel 32 Dataskyddsförordningen för att skydda de personuppgifter som behandlats i bolagets tjänster. 3. Kravet på lämpliga skyddsåtgärder och IMY:s riskbedömning Enligt artikel 32.1 Dataskyddsförordningen ska personuppgiftsansvariga och personuppgiftsbiträden vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till riskerna med behandlingen. Bedömningen ska göras utifrån bland annat behandlingens art, omfattning och ändamål samt de risker som behandlingen innebär för de registrerades rättigheter och friheter. IMY framhåller i beslutet att Dataskyddsförordningen bygger på ett riskbaserat angreppssätt och att kravet inte är ett absolut skydd mot alla incidenter, utan att vidtagna åtgärder ska vara proportionerliga och tillräckliga i ljuset av kända eller förutsebara risker. IMY har bedömt att behandlingen i Sportadmins tjänster varit förenad med särskilt höga risker, främst mot bakgrund av det stora antalet registrerade, att merparten av dessa varit barn samt att behandlingen omfattat både känsliga personuppgifter och särskilt skyddsvärda uppgifter såsom personnummer. Ett obehörigt röjande eller obehörig åtkomst till dessa uppgifter skulle enligt IMY medföra allvarliga konsekvenser för de registrerade, vilket ställt krav på en hög säkerhetsnivå och effektiva skyddsåtgärder. Mot denna bakgrund har IMY identifierat tre omständigheter som sammantaget visar att Sportadmin inte har vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder. För det första har bolagets förebyggande skydd ansetts vara otillräckligt. Trots att risker för SQL- injektioner varit kända under flera år har en oskyddad variabel kvarstått i systemen till följd av en kodändring redan år 2022. Sportadmin hade dessutom avstått från att införa ytterligare skyddslager, såsom web application firewall (WAF), och tillämpat alltför generösa behörigheter, vilket bidragit till att intrångets omfattning blivit större än nödvändigt. För det andra har IMY konstaterat brister i bolagets förmåga att upptäcka svagheter i redan vidtagna säkerhetsåtgärder. Den aktuella sårbarheten har varken identifierats vid kodgranskning eller vid senare säkerhetsgenomlysningar, trots att den enligt IMY varit av grundläggande karaktär och borde ha upptäckts genom löpande uppföljning. 2 (4) ’ IMY konstaterar att Sportadmins säkerhetsåtgärder för övervakning inte varit tillräckliga för att upptäcka eller varna för intrångsförsöken i ett tidigt skede. Intrångsförsöken har inletts den 14 januari 2025 men uppmärksammats först den 16 januari 2025, när servrarna slutat svara. Mot bakgrund av de höga riskerna i verksamheten bedömer IMY att Sportadmin borde ha haft ett övervakningssystem som möjliggjort automatisk identifiering av intrång eller intrångsförsök i nära realtid, i syfte att tidigare kunna begränsa konsekvenserna för de registrerade. 4. Vad innebär beslutet för företagen? IMY:s beslut mot Sportadmin tydliggör att kraven enligt artikel 32 Dataskyddsförordningen är höga, särskilt i verksamheter som behandlar stora mängder personuppgifter om barn och andra särskilt skyddsvärda uppgifter. Beslutet klargör att identifierade risker inte får stanna vid övergripande bedömningar, utan måste leda till faktiska, verifierbara och kontinuerligt uppföljda säkerhetsåtgärder. Beslutet visar att kända risker inte kan tillåtas bestå över tid. I Sportadmins fall hade risker för SQL-injektioner identifierats under flera år utan att bolaget säkerställt att samtliga delar av systemen faktiskt omfattats av relevanta skyddsåtgärder. För företag innebär detta att riskanalyser i sig inte är tillräckliga, utan måste kompletteras med systematiska kontroller som säkerställer att åtgärder är korrekt implementerade och fungerar i praktiken, även vid kodändringar och i tekniskt komplexa miljöer. Beslutet understryker även vikten av strukturerade rutiner för kodgranskning, förändringshantering och behörighetsstyrning. Subjektiva eller informella granskningsprocesser är inte tillräckliga när risknivån är hög. Företag förväntas i stället ha tydliga krav på granskning, använda automatiserade säkerhetstester och regelbundet se över behörigheter i syfte att begränsa konsekvenserna av ett eventuellt intrång. Vidare klargörs att restriktiv behörighetsstyrning är en grundläggande säkerhetsåtgärd, eftersom alltför generösa rättigheter kan få stor betydelse för ett intrångs omfattning. Slutligen visar beslutet att förmåga till övervakning i nära realtid är en förväntad del av ett lämpligt säkerhetsskydd vid höga risker. Att enbart förlita sig på manuell logggranskning i efterhand är otillräckligt. Förmågan att snabbt upptäcka och reagera på intrång eller intrångsförsök kan vara avgörande för att begränsa såväl skador för de registrerade som företagets ansvar enligt Dataskyddsförordningen. 3 (4) ’ 5. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att företag bör se över sina rutiner kring de tekniska och organisatoriska åtgärder som vidtas enligt artikel 32 Dataskyddsförordningen, för att bedöma om dessa är ändamålsenliga i förhållande till de risker som personuppgiftsbehandlingen innebär. Särskild uppmärksamhet bör ägnas åt hur identifierade risker hanteras i praktiken i hela systemmiljön, hur kodändringar granskas och följs upp, hur behörigheter begränsas samt om det finns förutsättningar att i ett tidigt skede upptäcka och hantera intrång eller intrångsförsök. En sådan översyn kan bidra till att stärka skyddet för personuppgifter och minska konsekvenserna av eventuella incidenter. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 4 (4) Nyhetsbrev Ang. FI ger SBB sanktion för brister i koncernredovisningen 19 februari 2026 1. Inledning Den 18 februari 2026 meddelade FI beslut om att ge Samhällsbyggnadsbolaget i Norden AB (SBB) en erinran samt att påföra bolaget en sanktionsavgift om 80 miljoner kronor med anledning av brister i bolagets koncernredovisning för räkenskapsåret 2021. Beslutet avser överträdelser av bestämmelserna om regelbunden finansiell information enligt lagen (2007:528) om värdepappersmarknaden. FI:s granskning visar att SBB har redovisat fastigheter till för höga värden samt felaktigt klassificerat vissa förvärv som tillgångsförvärv i stället för rörelseförvärv. Dessa brister har medfört att koncernens resultat före skatt redovisades cirka 3,6 miljarder kronor för högt. FI bedömer att felen varit väsentliga och att de rimligen kan ha påverkat investerares och andra intressenters beslut. 2. Bakgrund till ärendet och FI:s redovisningstillsyn SBB är ett svenskt aktiebolag vars aktier är upptagna till handel på Nasdaq Stockholm och står därmed under FI:s tillsyn avseende regelbunden finansiell information samt de internationella redovisningsstandarder1 som antagits av Europeiska kommissionen. Bolaget är moderbolag i en koncern vars affärsidé är att äga, förvalta, renovera och bygga samhällsfastigheter i Norden. Ett svenskt aktiebolag, vars aktier är upptagna till handel på en reglerad marknad, ska följa de bestämmelser om regelbunden finansiell information som finns i 16 kap. lagen (2007:528) om värdepappersmarknaden. FI har tillsyn över att dessa bestämmelser följs, men har överlämnat den löpande övervakningen av den finansiella rapporteringen till Nämnden för svensk redovisningstillsyn, som är ett sakorgan under Föreningen för god sed på värdepappersmarknaden. 1 De internationella redovisningsstandarder som avses, enligt artikel 2 i IAS-förordningen, är International Accounting Standards (IAS-standarder) och International Financial Reporting Standards (IFRS-standarder) med tillhörande tolkningar från Standard Interpretations Committee (SIC) och International Financial Reporting Interpretations Committee (IFRIC). HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ I det aktuella ärendet konstaterade nämnden efter sin granskning att SBB:s koncernredovisning för 2021 inte hade upprättats i enlighet med gällande regler och att bristerna inte var av ringa betydelse. Ärendet överlämnades därför till FI som därefter under 2023 inledde en egen undersökning och genomförde en självständig prövning av om bolaget hade åsidosatt sina skyldigheter som följer av 16 kap. lagen (2007:528) om värdepappersmarknaden. 3. Värdering av fastigheter till verkligt värde 3.1. FI:s iakttagelser Under 2020 och 2021 förvärvade SBB två större fastighetsportföljer i Norge, de så kallade LV- och TB-fastigheterna2, som huvudsakligen bestod av förskolefastigheter med långsiktiga hyresavtal. LV-fastigheterna förvärvades 2020 för 4 750 miljoner kronor och värderades till 7 250 miljoner kronor vid utgången av 2021. TB-fastigheterna förvärvades i december 2021 för 4 977 miljoner kronor och värderades tre veckor senare till 6 670 miljoner kronor. Vid värderingarna tillämpade SBB låga direktavkastningskrav, vilket ledde till uppskrivningar under 2021. Fastigheterna bedömdes som jämförbara när det gäller kassaflöden, hyresavtal och riskprofil, men värderades med olika avkastningskrav. Enligt SBB berodde skillnaderna på variationer i hyresavtalens längd. Värderingarna baserades på nivå 3-indata, det vill säga icke observerbara marknadsuppgifter, som huvudsakligen hämtades från jämförelsetransaktioner av andra typer av fastigheter. Uppgifter från bolagets eget förvärv av TB-fastigheterna gavs begränsad betydelse. 3.2. FI:s bedömning I FI:s bedömning använde SBB inte den under omständigheterna bästa tillgängliga informationen vid värderingen av TB- och LV-fastigheterna. Bolaget borde ha utgått från det egna förvärvet av TB-fastigheterna, som var en ordnad transaktion och motsvarade verkligt värde vid förvärvstidpunkten. De 21 dagar som förflöt mellan förvärv och värdering motiverade inte att förvärvspriset gavs begränsad betydelse. 2 Fastigheterna förvärvades från företaget TB (TB-fastigheterna) respektive företaget LV (LV-fastigheterna). 2 (4) ’ FI ansåg vidare att uppgifterna från TB-förvärvet även borde ha använts vid värderingen av LV-fastigheterna, eftersom fastigheterna var mycket jämförbara. Genom att inte göra detta redovisades fastigheterna till för höga värden. Enligt FI innebar detta att koncernens resultat före skatt för 2021 redovisades cirka 3,6 miljarder kronor för högt, vilket motsvarar omkring 12 procent. Felen bedömdes som väsentliga och innebar att koncernredovisningen inte hade upprättats i enlighet med de internationella redovisningsstandarderna IAS 40, IAS 8 och IAS 1 samt artikel 4 i IAS- förordningen. 4. Redovisning av förvärv som tillgångsförvärv 4.1. FI:s iakttagelser Under 2021 fick SBB bestämmande inflytande över Offentliga Hus i Norden AB och Amasten Fastighets AB, två börsnoterade fastighetsbolag med anställda, löpande verksamhet och omfattande fastighetsbestånd i Sverige. Vid förvärven genomförde SBB ett koncentrationstest enligt IFRS 3 och bedömde att de förvärvade fastigheterna utgjorde likartade tillgångar. Förvärven redovisades därför som tillgångsförvärv. Av uppgifter som SBB lämnat till FI framgår att om förvärven i stället hade redovisats som rörelseförvärv skulle goodwill ha uppgått till cirka 1,2 miljarder kronor för Amasten och cirka 1,1 miljarder kronor för Offentliga Hus, samt uppskjuten skatt till cirka 2,4 miljarder kronor respektive 1,5 miljarder kronor. Bedömningen grundades på vissa kvalitativa och kvantitativa riskegenskaper, såsom fastighetstyp, storlek, geografisk spridning, hyresgäster och direktavkastningskrav, vilka varierade mellan 3,6 och 7,6 procent för Offentliga Hus och mellan 1,85 och 5,85 procent för Amasten. 4.2. FI:s bedömning FI bedömde att kriterierna i koncentrationstestet inte var uppfyllda vid förvärven av Offentliga Hus och Amasten, eftersom fastigheterna hade olika typer, lägen, hyresgäster och riskprofiler. De kunde därför inte anses utgöra likartade tillgångar. FI konstaterade vidare att båda bolagen vid förvärvstidpunkten utgjorde rörelser. De omfattade fastigheter, anställda, hyresavtal och löpande förvaltningsprocesser som var 3 (4) ’ nödvändiga för att generera hyresintäkter. Den löpande fastighetsförvaltningen bedömdes som en betydande process, och de förvärvade verksamheterna innehöll organiserade arbetsstyrkor med nödvändig kompetens. Enligt FI borde förvärven därför ha redovisats som rörelseförvärv enligt IFRS 3. Genom att i stället redovisa dem som tillgångsförvärv uteblev redovisning av goodwill, uppskjuten skatt och föreskrivna upplysningar. FI bedömde att dessa fel var väsentliga. Goodwill och uppskjuten skatt som inte redovisats uppgick till betydande belopp, och nödvändiga upplysningar saknades trots att de förvärvade fastigheterna utgjorde en väsentlig del av koncernens tillgångar. Bristerna bedömdes rimligen ha påverkat de beslut som användarna av koncernredovisningen fattar på grundval av rapporten samt haft betydande påverkan på den övergripande bilden av bolagets finansiella ställning. Sammanfattningsvis fann FI att koncernredovisningen för 2021 inte hade upprättats i enlighet med tillämpliga bestämmelser och att SBB därmed hade åsidosatt sina skyldigheter. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att företag bör beakta följande mot bakgrund av FI:s beslut. Bestämmelserna om regelbunden finansiell information är centrala för att säkerställa ett gott investerarskydd. Brister i redovisningen kan försämra investerares möjligheter att fatta välgrundade beslut och riskerar att undergräva förtroendet för värdepappersmarknaden. Mot denna bakgrund bör företag: • säkerställa att finansiell rapportering och värderingar sker i enlighet med gällande regelverk och tillsynspraxis, • dokumentera väsentliga antaganden, modeller och bedömningar på ett transparent sätt, samt • upprätthålla en effektiv intern kontroll och löpande uppföljning av den finansiella informationen. Genom detta kan företag minska risken för tillsynsåtgärder, stärka investerarskyddet och bidra till en välfungerande kapitalmarknad. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 4 (4) Nyhetsbrev Ang. Krishantering och ändrade rörelseregler för försäkringsföretag 24 februari 2026 1. Krishantering och ändrade rörelseregler för försäkringsföretag Regeringen har i betänkandet SOU 2025:97 Krishantering och ändrade rörelseregler för försäkringsföretag presenterat förslag till hur det nya EU-direktivet om återhämtning och resolution för försäkringsföretag1 (IRRD) samt ändringar i Solvens II-direktivet2 ska genomföras i svensk rätt. Finansinspektionen har i sitt remissvar den 12 januari 2026 i huvudsak tillstyrkt förslagen, men samtidigt framhållit behovet av vissa förtydliganden och justeringar. Den 16 februari 2026 har även den europeiska försäkrings- och tjänstepensionsmyndigheten EIOPA publicerat utkast till riktlinjer och tekniska standarder för genomförandet av IRRD. Förslagen innebär sammantaget en omfattande reform av direktivet för försäkringsföretag, med ökat fokus på krisberedskap, riskhantering och långsiktig finansiell stabilitet. Samtidigt föreslås vissa undantag från kraven för mindre och icke-komplexa företag. IRRD och ändringarna av Solvens II-direktivet ska börja tillämpas den 30 januari 2027. 2. Föreslagna ändringar i Solvens II-direktivet 2.1. Hållbarhetsrisker i riskhanteringen De föreslagna ändringarna i Solvens II-direktivet innebär att hållbarhetsrisker tydligare integreras i försäkringsföretagens riskhantering. Företagen ska ha strategier, riktlinjer, processer och system för att identifiera, mäta, hantera och följa upp miljörelaterade, sociala 1 Europaparlamentets och rådets direktiv (EU) 2025/1 av den 27 november 2024 om inrättande av en ram för återhämtning och resolution av försäkrings- och återförsäkringsföretag och om ändring av direktiven 2002/47/EG, 2004/25/EG, 2007/36/EG, 2014/59/EU och (EU) 2017/1132 och förordningarna (EU) nr 1094/2010, (EU) nr 648/2012, (EU) nr 806/2014 och (EU) 2017/1129. 2 Europaparlamentets och rådets direktiv (EU) 2025/2 av den 27 november 2024 om ändring av direktiv 2009/138/EG vad gäller proportionalitet, tillsynskvalitet, rapportering, långsiktiga garantiåtgärder, makrotillsynsverktyg, hållbarhetsrisker samt grupptillsyn och gränsöverskridande tillsyn, och om ändring av direktiven 2002/87/EG och 2013/34/EU. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ och styrningsrelaterade risker på kort, medellång och lång sikt. Definitioner av hållbarhetsrisker och hållbarhetsfaktorer kommer att införas i försäkringsrörelselagen. Vidare ska försäkringsföretag upprätta särskilda planer med kvantifierbara mål och tydliga processer för att övervaka och beakta de finansiella risker som uppstår till följd av hållbarhetsfaktorer. Planerna ska ta hänsyn till EU:s klimat- och omställningsmål och följas upp löpande, med närmare krav som preciseras genom tekniska standarder. Företagen ska dessutom årligen offentliggöra de mål som ingår i planerna. Kraven på planer för hantering av hållbarhetsrisker ska anpassas efter företagets affärsmodell samt arten, omfattningen och komplexiteten i dess hållbarhetsrisker. Målen, förfarandena och åtgärderna i planerna ska därför stå i proportion till den riskexponering som företaget har. 2.2. Styrdokument om ersättning och mångfald Direktivet ställer krav på att försäkringsföretag ska ha styrdokument om ersättning och mångfald. Företagen ska anta ett styrdokument som främjar mångfald i styrelsen, bland annat genom mål om en jämn könsfördelning, samt tydliga riktlinjer för ersättningssystemen. Syftet är att stärka bolagsstyrningen och motverka osunda incitament. 2.3. Plan för likviditetshantering Enligt de nya förslagen ska försäkringsföretag upprätta och regelbundet uppdatera en plan för likviditetsriskhantering för att förebygga och hantera betalningsproblem. Planen ska visa hur företaget klarar sina in- och utbetalningar på kort sikt i förhållande till tillgångar och skulder, hur det agerar vid ekonomisk stress samt innehålla en kortsiktig analys av inkommande och utgående kassaflöden. Planen ska lämnas in till Finansinspektionen och kan på myndighetens begäran behöva utvidgas till att även omfatta medellång och lång sikt. Ett försäkringsföretag som använder en matchningsjustering eller volatilitetsjustering ska få kombinera en plan för likviditets- riskhantering med en likviditetsplan. Små och icke-komplexa företag kan undantas från detta krav, och företag som ingår i en koncern kan i vissa fall omfattas av en gemensam plan på gruppnivå. 2.4. Oberoende mellan centrala funktioner Reglerna om centrala funktioner förtydligas. Som huvudregel ska olika personer ansvara för riskhantering, regelefterlevnad, aktuariefunktion och internrevision för att minska risken för 2 (6) ’ intressekonflikter. Mindre och icke-komplexa företag kan i vissa fall kombinera funktioner, dock inte internrevisionen, och endast om intressekonflikter kan hanteras på ett tillfredsställande sätt. 2.5. SFCR-rapport och ORSA Ändringarna i Solvens II-direktivet innebär även förändringar i rapporteringen. Solvens- och verksamhetsrapporten (SFCR) delas upp i två delar. Den ena delen riktar sig till försäkringstagare och ska innehålla lättillgänglig information om företagets verksamhet, riskprofil, solvenssituation och hållbarhetsrisker. Den andra delen riktar sig till branschaktörer och tillsynsmyndigheter och innehåller mer detaljerad information om bolagsstyrning, riskhantering och värderingsmetoder. Vidare införs krav på att Solvens II-balansräkningen ska granskas av en oberoende revisor. Revisorn ska säkerställa att uppgifterna är korrekta och upprättade enligt gällande standarder samt lämna en särskild granskningsrapport till Finansinspektionen. Detta stärker kvaliteten och tillförlitligheten i den finansiella rapporteringen. Inom ramen för ORSA skärps kraven på analys av makroekonomiska faktorer. Försäkringsföretagen ska, utifrån sin risknivå och verksamhetens komplexitet, analysera den makroekonomiska utvecklingen och situationen på finansmarknaderna, inklusive hur konjunkturnedgångar, börsfall och andra negativa händelser kan påverka solvensen. Större och mer riskutsatta företag förväntas genomföra mer avancerade analyser, medan små och icke-komplexa företag kan omfattas av förenklade krav eller undantag. ORSA ska dessutom omfatta en bedömning av företagets samlade betalningsförmåga. Det innebär att företaget inte bara ska ha tillräckligt kapital, utan även tillräcklig likviditet för att fullgöra sina betalningsförpliktelser under både normala och stressade marknadsförhållanden. 2.6. Sanktionssystemet Det nuvarande taket på 50 miljoner kronor för sanktionsavgifter avskaffas. I stället ska avgiftens storlek bestämmas på samma sätt som enligt andra regelverk på finansmarknadsområdet, exempelvis 15 kap. 8 § lagen om bank- och finansieringsrörelse. Detta innebär att sanktionsavgiften kan anpassas efter överträdelsens allvar, omfattning och företagets storlek. 3 (6) ’ 2.7. Förlagslån Utredningen föreslår att försäkringsföretag ska få använda förlagslån, dvs. efterställda skulder, i större utsträckning för att stärka sin kapitalbas, upp till åtta procent av primärkapitalet. Syftet är att ge företagen ökad flexibilitet i sin kapitalstruktur. Finansinspektionen avstyrker dock förslaget i dess nuvarande utformning. Avstyrkandet avser förslagets konkreta utformning och motivering och innebär inte ett generellt ställningstagande mot framtida lättnader i lånebegränsningsreglerna. Finansinspektionen anser att frågan bör analyseras närmare innan eventuella förändringar genomförs. 2.8. Långsiktiga aktieinvesteringar och kapitalkrav Förslaget innebär att försäkringsföretag, efter godkännande från Finansinspektionen, får tillämpa ett lägre kapitalkrav för vissa aktieinnehav som hålls långsiktigt. För att omfattas av lättnaden måste företaget visa att investeringarna är stabila och inte behöver avyttras vid marknadsoro eller kriser. Om kraven inte längre uppfylls ska företaget vidta åtgärder, annars förloras rätten att använda metoden. Syftet är att främja långsiktigt sparande och bidra till ökad finansiell stabilitet. 3. Ett nytt ramverk för krishantering och resolution Genom införandet av EU:s krishanteringsdirektiv för försäkringsföretag (IRRD) stärks direktivet för hantering av finansiella kriser inom försäkringssektorn. Direktivet syftar till att säkerställa att företag i svårigheter kan återhämta sig eller avvecklas på ett ordnat sätt, utan att försäkringstagare drabbas i onödan eller att den finansiella stabiliteten äventyras. Enligt de nya reglerna ska försäkringsföretag upprätta detaljerade återhämtningsplaner som beskriver hur verksamheten kan stabiliseras vid olika typer av krissituationer. Planerna ska innehålla så kallade ”tänk om”-scenarier och utgöra en integrerad del av företagens styrning och riskhantering. Samtidigt ges tillsyns- och resolutionsmyndigheterna utökade befogenheter att ingripa i ett tidigt skede om ett företag hamnar i finansiella svårigheter. Detta kan exempelvis ske genom krav på omorganisation, kapitalåtgärder eller andra stabiliserande insatser. Direktivet stärker även det gränsöverskridande samarbetet mellan myndigheter genom ökat informationsutbyte och samordning. I Sverige genomförs direktivet genom en ny lag om resolution av försäkringsföretag (resolutionslagen). Lagen reglerar förutsättningarna för resolution, ansvarsfördelningen mellan myndigheter och de verktyg som kan användas vid en kris. I praktiken innebär 4 (6) ’ regleringen inte några omedelbara förändringar i den dagliga verksamheten, men den ställer ökade krav på företagens förberedelser och krisberedskap. Sammantaget innebär IRRD ett skifte från reaktiv krishantering till ett mer förebyggande och strukturerat arbetssätt, med fokus på motståndskraft, stabilitet och skydd för försäkringstagare. Den 16 februari 2026 har EIOPA publicerat det första paketet med riktlinjer och utkast till tekniska standarder för genomförandet av IRRD. Paketet omfattar bland annat vägledning om innehållet i förebyggande återhämtningsplaner, kriterier för vilka företag som ska upprätta sådana planer, krav på innehåll i resolutionsplaner, samt kriterier för identifiering av kritiska funktioner och bedömning av resolvabilitet. Syftet med riktlinjerna och standarderna är att stödja en enhetlig och praktisk tillämpning av direktivet i hela EU och att underlätta för både försäkringsföretag och tillsynsmyndigheter att förbereda sig inför IRRD:s ikraftträdande år 2027. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att försäkringsföretag, mot bakgrund av de föreslagna regeländringarna och den fortsatta implementeringsprocessen, redan nu påbörjar sitt anpassningsarbete, även om direktivet befinner sig i ett tidigt skede. Regeringen kommer förhoppningsvis under sommaren eller i höst att lägga fram en proposition som ytterligare klargör hur kraven slutligt kommer att utformas i svensk lag. Under året väntas även kompletterande riktlinjer och tekniska standarder som preciserar tillämpningen i praktiken. Företagen bör se över sina styrnings- och riskhanteringssystem, särskilt avseende integreringen av hållbarhetsrisker i befintliga processer och styrdokument, vilket även kan underlätta arbetet inom ORSA. Vidare bör företagen säkerställa att kraven på makroekonomiska analyser och bedömningen av den samlade betalningsförmågan inom ORSA uppfylls och är anpassade till verksamhetens riskprofil. Vidare rekommenderas att företagen genomför en översyn av sina centrala funktioner, styrdokument för ersättningar och mångfald samt rutiner för rapportering och intern kontroll, för att säkerställa att organisationen och styrningen är anpassade till de nya kraven. Företag som kan komma att omfattas av kraven på återhämtnings- och resolutionsplaner bör i ett tidigt skede kartlägga kritiska funktioner, interna beroenden och möjliga krisscenarier, samt säkerställa att relevanta beslutsprocesser och ansvarsfördelningar är tydligt dokumenterade. 5 (6) ’ HSA Söderqvist Advokatbyrå kommer att bevaka utvecklingen på EU-nivå och den fortsatta lagstiftningsprocessen noggrant, inklusive EIOPA:s riktlinjer och tekniska standarder, och löpande informera om hur dessa påverkar försäkringsföretagens verksamhet. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 6 (6) --- [29 Vandelsprövning 2025.pdf] Till Styrelsen i S:t Erik Försäkrings AB Rapport avseende vandelsprövning år 2025 1. Inledning HSA Söderqvist Advokatbyrå KB, nedan Advokatbyrån, har erhållit som uppdrag av S:t Erik Försäkrings AB, nedan Bolaget, att utföra vandelsprövning avseende relevanta personer i Bolaget i enlighet med lagen (2018:1219) om försäkringsdistribution, nedan LFD. Prövningen avser verksamhetsåret 2025 och inleddes i oktober 2025. Genom denna rapport redovisar Advokatbyrån resultatet av den genomförda vandels- prövningen inom Bolaget samt redogör för eventuella åtgärder som Bolaget rekommenderas att vidta med anledning av vandelsprövningen. 2. Uppdragets omfattning De personer som omfattats av denna prövning är: (1) medlemmar i ledningen samt ersättare för dessa, (2) anställda som direkt deltar i Bolagets försäkringsdistribution, samt (3) personer som internt ansvarar för centrala funktioner och de personer som utför arbete i de centrala funktionerna. Vandelsprövningen har innefattat kontroll av att ovan nämnda personer uppfyller de i LFD nämnda lämplighetskraven, innefattande i lagen nämnda kvalifikationer samt anseende. För samtliga personer som omfattats har det kontrollerats att de uppfyller kravet på skötsamhet i ekonomiska angelägenheter i enlighet med 2 kap. 7 § LFD och 6 kap. 2 § Finansinspektionens föreskrifter om försäkringsdistribution (FFFS 2018:10). HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se För samtliga personer har det vidare kontrollerats att ingen förekommer i det register som förs enligt lagen (1998:620) om belastningsregister avseende vissa allvarliga förmögenhetsbrott eller viss allvarlig ekonomisk brottslighet. Utöver ovan har det för anställda som direkt deltar i försäkringsdistributionen dessutom kontrollerats att de inte är i) underåriga, ii) försatta i konkurs, iii) har näringsförbud eller iv) har förvaltare. 3. Underlag för prövning Kontroll av samtliga personer har genomförts genom att Advokatbyrån begärt in automatiserad IDD-kontroll från UC. Samtliga personer har vidare på begäran av Advokatbyrån ombetts att skicka oöppnade utdrag ur belastningsregistret, alternativt digitala utdrag, till Advokatbyrån. Advokatbyrån ansvarar för att dokumentera och lagra uppgifter som framkommer i vandelsprövningen i tre år i enlighet med 3 kap. 2, 3 och 5 §§ FFFS 2018:10. Avseende kontroll i belastningsregister dokumenterar Advokatbyrån i enlighet med 3 kap. 5 § förordning (2018:1231) om försäkringsdistribution genom anteckning att utdraget har visats upp. 4. Slutsats Advokatbyrån har vid fullgörandet av sitt uppdrag inte funnit något som innebär att Bolagets ledning, anställda, ansvariga för centrala funktioner eller någon som utför arbete i de centrala funktionerna inte lever upp till de krav som uppställs i LFD avseende vandelsprövning. Bolaget bedöms således ha uppfyllt kraven utan anmärkningar. Stockholm den 11 november 2025 Johan Grenefalk 2 (2) --- [30 Årsrapport 2025 inkl bilaga.pdf] Till Styrelsen i S:t Erik Försäkrings AB Årsrapport 2025 avseende regelefterlevnad 1. Inledning Styrelsen i S:t Erik Försäkrings AB, nedan Bolaget, har uppdragit åt HSA Söderqvist Advokatbyrå i Stockholm KB att upprätthålla funktionen för regelefterlevnad. Inom ramen för uppdraget har funktionen för regelefterlevnad åtagit sig att kontrollera och regelbundet bedöma om de åtgärder och rutiner som Bolaget vidtagit för att minimera riskerna för att Bolaget inte fullgör sina förpliktelser enligt de författningar som reglerar Bolagets verksamhet är lämpliga och effektiva, utvärdera de åtgärder som vidtagits för att avhjälpa eventuella brister i Bolagets regelefterlevnad samt lämna råd och stöd till relevanta personer, så att verksamheten bedrivs i enlighet med för Bolaget gällande regelverk. Funktionen för regelefterlevnads närmare skyldigheter framgår av det avtal som träffats med Bolaget. I avsnitt 2 nedan redovisas i sammandrag de åtgärder som funktionen för regelefterlevnad vidtagit inom ramen för ovan nämnda uppdrag under år 2025. I avsnitt 3 nedan redovisas funktionen för regelefterlevnads övergripande bedömning av Bolagets regelefterlevnad avseende perioden. 2. Händelser av relevans under året 2.1. Kontroll av Bolagets regelefterlevnad 2.1.1. Kvartal 1 GDPR - kontroll Granskning av Bolagets interna rutiner och riktlinjer i syfte att säkerställa att Bolaget uppfyller kraven på personuppgiftshantering i enlighet med dataskyddsförordningen. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se Funktionen för regelefterlevnad har begärt in och granskat dels Bolagets interna riktlinjer för personuppgiftshantering, dels information som tillhandahålls publikt på hemsidan. Bolaget har redogjort för interna rutiner och riktlinjer för hantering av personuppgifter och därvid informerat funktionen för regelefterlevnad om att några större förändringar inte har varit påkallade sedan funktionens senaste kontroll och att det inte inträffat några personuppgiftsincidenter. Därtill har funktionen för regelefterlevnad granskat dataskyddsombudets årsrapport avseende år 2024. Bolaget har vidare informerat funktionen för regelefterlevnad om att man har sett över olika alternativ för att byta ut Bolagets dataskyddsombud. Bolaget har överenskommit med Stockholm Stads serviceförvaltning att serviceförvaltningen ska biträda med denna tjänst fr.o.m. år 2025. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Rapportering - Kontroll Granskning av Bolagets interna rutiner och riktlinjer för rapportering till Finansinspektionen. Kontrollen har syftat till att säkerställa att Bolaget vidtar rimliga åtgärder för att säkerställa ändamålsenlig rapportering till Finansinspektionen samt att det finns dualitet i Bolaget och rutiner för att rapportera till Finansinspektionen inom utsatt tid. Vid mötet har Bolaget redogjort för Bolagets rutiner för att säkerställa ändamålsenlig rapportering i enlighet med ovan. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Övrig regelefterlevnad - Kontroll Uppföljning av Bolagets riktlinjer för riskhantering. Kontrollen har syftat till att säkerställa att riktlinjerna är ändamålsenliga och har det innehåll som krävs enligt bl.a. försäkringsrörelselagen (2010:2043) och Finansinspektionens föreskrifter och allmänna råd (FFFS 2015:8) om försäkringsrörelse. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Uppföljning och kontroll av Bolagets riktlinjer samt rutiner för återförsäkring. Kontrollen har syftat till att säkerställa att Bolagets regler och rutiner avseende återförsäkring är upprättade enligt gällande regelverk. 2 (7) Funktionen för regelefterlevnad har granskat relevanta riktlinjer. Därtill har Bolaget och funktionen diskuterat återförsäkringsprogrammet samt justeringar som skett däri under år 2024. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 2.1.2. Kvartal 2 Outsourcing - kontroll Granskning av Bolagets uppdragsavtal samt Bolagets uppföljning av uppdragstagare i syfte att säkerställa att Bolaget uppfyller kraven på innehåll i sådana avtal enligt dels försäkringsrörelselagen (2010:2043) (FRL), dels Finansinspektionens föreskrifter och allmänna råd om försäkringsrörelse (FFFS 2015:8), samt även Kommissionens delegerade förordning 2015/35 om upptagande och utövande av försäkringsverksamhet. Kontrollen har vidare syftat till att säkerställa att Bolaget har en fullgod uppföljning av Bolagets uppdragstagare. Funktionen för regelefterlevnad har inte haft några synpunkter på nuvarande utformning av avtal eller uppföljningsprocess av uppdragstagare. Anpassning till nya eller förändrade regelverk - kontroll Uppföljning och kontroll av Bolagets anpassning till dels DORA-förordningen, dels omarbetningen av Solvens II. Kontrollen har syftat till att säkerställa att Bolaget har anpassat rutiner och processer efter de nya regelverken. Beträffande anpassningen till DORA-förordningen så är detta arbete färdigställt sett till justeringar i policydokument och hantering av leverantörer samt register. Återstående arbete består primärt i att börja arbeta utefter de dokumenterade processerna för avtalsuppföljning och leverantörskontroll, samt säkerställa att alla IKT-avtal är på plats med de justeringar som behövs. Funktionen kommer att bistå i detta arbete och ha en genomgång med Bolagets styrelse inför sommaren 2025 där den sedan tidigare framtagna färdplanen genomgås. Beträffande anpassningen till omarbetningen av Solvens II-direktivet så består dessa förändringar i nuläget i förändrade regler kring hållbarhet, primärt avseende scenarion i ORSA m.m. De omarbetade reglerna börjar gälla tidigast år 2027, så funktionen för regelefterlevnad bedömer att översyn av nuvarande riktlinjer och processer kan påbörjas vid ett senare tillfälle. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 3 (7) Övrig regelefterlevnad - kontroll Uppföljning och kontroll av Bolagets riktlinjer för avbrottsfri verksamhet. Kontrollen har syftat till att säkerställa att riktlinjerna följer relevanta regler. Funktionen har tagit del av och granskat Bolagets IT-avbrottsplan inklusive bilagor. Funktionen för regelefterlevnad har inte haft några synpunkter på utformningen av riktlinjerna, samt kan konstatera att dessa reviderats för att efterleva DORA-förordningen. 2.1.3. Kvartal 3 Intressekonflikter - kontroll Uppföljning av identifiering och hantering av intressekonflikter. Kontrollen har syftat till att följa upp om Bolaget identifierat några nya intressekonflikter som behövt hanteras. Bolaget har redogjort för Bolagets interna rutiner för att identifiera och hantera intressekonflikter. Funktionen för regelefterlevnad har vidare tagit del av Bolagets interna riktlinjer för hantering av intressekonflikter som omfattar samtliga anställda och Bolagets ledning. Utöver att det finns en anmälningsskyldighet avseende intressekonflikter i verksamheten så är det även en stående punkt vid varje styrelsesammanträde i Bolaget. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Kunskap och kompetens hos anställda - kontroll Granskning av Bolagets interna rutiner och riktlinjer för kunskap och kompetens. Kontrollen har syftat till att säkerställa att Bolaget vidtar rimliga åtgärder för att efterleva kunskaps- och fortbildningskravet i försäkringsdistributionsregelverket (IDD). Bolaget har redogjort för Bolagets interna rutiner för fortbildning och kunskapstest som omfattar de anställda som direkt deltar i Bolagets försäkringsdistribution. Bolaget bedöms ha goda rutiner för löpande fortbildning. Bolagets anställda ska avlägga kunskapstest avseende år 2025, den 13 oktober. Funktionen för regelefterlevnad bedömer sammantaget att Bolaget har goda rutiner och riktlinjer för att säkerställa efterlevnad av kraven på kunskap och kompetens enligt IDD. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 4 (7) Fit & proper-kontroll Uppföljning av styrelsens samlade kompetens. Kontrollen har syftat till att säkerställa att Bolagets styrelse efterlever kraven som ställs i Solvens II-regelverket på styrelsens samlade kompetens samt följa upp om det finns behov av kompetensutveckling. Bolagets styrelse har under år 2024 genomfört den årliga ”fit & proper” övningen där samtliga styrelseledamöter skattat dels sin egen enskilda kunskap och kompetens, dels styrelsens samlade kompetens. I denna övning identifieras eventuella behov av kompetensutveckling och Bolaget följer upp och justerar styrelsens utbildningsplan för kommande år. Årets fit & proper kommer att genomföras den 26 september 2025. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 2.1.4. Kvartal 4 Försäkringsverksamhet Kontroll av Bolagets skadereglering. Kontrollen har syftat till att säkerställa att Bolaget har ändamålsenlig skadereglering och skadehantering. Bolaget har redogjort för Bolagets skadereglering och skadehantering samt vilka rutiner och processer som finns på plats. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. Produktfaktablad Uppföljning och kontroll avseende Bolagets produktfaktablad. Kontrollen har syftat till att granska Bolagets produktfaktablad avseende olycksfall för att säkerställa att detta är upprättat i enlighet med gällande regelverk. Funktionen för regelefterlevnad har mottagit och granskat produktfaktabladet utan synpunkter. Övrig regelefterlevnad a) Uppföljning av Bolagets organisation och intern kontroll. Kontrollen har syftat till att följa upp eventuella förändringar i verksamheten som skulle kunna innebära någon risk i regelefterlevnadshänseende. 5 (7) Bolagets organisation har diskuterats. Bolaget har under året inte företagit några förändringar i verksamheten. Vidare har Bolagets rutiner för internkontroll diskuterats samt rutinbeskrivningar granskats. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. b) Uppföljning av Bolagets framåtblickande bedömning av egna risker och det egna kapitalet (ORSA). Kontrollen har syftat till att säkerställa att Bolaget ser över och genomför nödvändiga uppdateringar i Bolagets ORSA för det fall detta är påkallat. Bolaget har informerat funktionen för regelefterlevnad om att scenarier i ORSA ses över regelbundet, scenarion i september, affärsrisker i november och då även budget. Styrelsen har vid sammanträde i mars godkänt ORSA för år 2025. Funktionen för regelefterlevnad har inte haft några synpunkter med anledning av kontrollen. 2.2. Regelbevakning Under år 2025 har funktionen för regelefterlevnad löpande informerat Bolaget om regelförändringar och löpande tillställt Bolaget nyhetsbrev. Nyhetsbreven återfinns i sin helhet i bilaga 1. Nyhetsbrev Q1 – Q3 - Dora - Tjänster som bör anses vara IKT-tjänster enligt Dora - Nyhetsbrev ang. hållbarhetsrisker i skadeförsäkringsföretagens Orsa-rapporter - Högsta domstolens beslut om bakgrundskontroller - Överföring av personuppgifter till USA - Sanktion mot Pensionsmyndigheten - FI:s sanktionsbeslut mot Anoto Group AB - EIOPA:s uttalanden om Solvens II-direktivet - Finansinspektionen ingriper mot Dina Försäkringar AB - EU:s Tillgänglighetsdirektiv - Tillstånd för valutaväxling och betaltjänster - Riktlinjer för hantering av ESG-risker - Finansinspektionen utfärdar en sanktionsavgift mot Magnasense AB - ESMA:s principer för myndigheters tillsyn av tredjepartsrisker - Guide avseende tillsyn av tredjepartsleverantörer enligt DORA 6 (7) Nyhetsbrev Q4 - Central åtkomstpunkt om finans och hållbarhet i EU - Finansinspektionen ger Avida Finans AB en anmärkning och sanktionsavgift - EIOPA:s uttalande om användning av AI inom försäkring - Kritiska IKT-tredjepartsleverantörer - Finansinspektionen ger Garantum anmärkningar och sanktionsavgifter - Finansinspektionen ger Svea bank anmärkning och sanktionsavgift - Digital Omnibus 2.3. Råd och stöd Funktionen för regelefterlevnad har löpande under år 2025 lämnat råd och stöd till Bolagets anställda avseende den tillståndspliktiga verksamheten. 2.4. Närvaro vid styrelsesammanträden Funktionen för regelefterlevnad har den 12 mars 2025 deltagit vid styrelsesammanträde hos Bolaget och därvid bl.a. redogjort för föregående års årsrapport. Därtill har funktionen deltagit vid samtliga ordinarie styrelsemöten hos Bolaget och bl.a. redogjort för respektive kvartalskontroller och regelefterlevnadsrapporter, med undantag för styrelsemötet den 26 september 2025. 3. Funktionen för regelefterlevnads bedömning Funktionen för regelefterlevnad har vid fullgörandet av sitt uppdrag inte funnit något som innebär att Bolaget sammantaget inte lever upp till de krav som uppställs i de lagar, förordningar, föreskrifter och allmänna råd som gäller för Bolagets tillståndspliktiga verksamhet. Stockholm den 13 januari 2026 Johan Grenefalk 7 (7) Bilaga 1 Nyhetsbrev Ang. Dora-förordningen 17 januari 2025 1 Digital operativ motståndskraft inom finanssektorn Idag ska EU:s förordning om digital operativ motståndskraft (Dora) börja tillämpas. Detta ställer krav på finansiella entiteter att hantera risker kopplade till informations- och kommunikationsteknik vilket innefattar att ställa krav på avtalsparter som levererar IKT-tjänster och att anpassa sina interna riktlinjer och rutiner. Bland annat ska ett informationsregister upprättas och sändas in till Finansinspektionen i april 2025. Registret ska innehålla uppgifter om tredjepartsleverantörer av IKT-tjänster och deras underleverantörer. Det är därför viktigt att företagen har koll på vad som utgör en IKT-tjänst och vilka leverantörer som måste upptas i registret. Ett uppdaterat register ska därefter årligen skickas till Finansinspektionen och företagen bör därför ha rutiner för att kontinuerligt uppdatera registret när nya avtal som rör IKT-tjänster träffas. Vidare ska finansiella entiteter uppmärksamma och rapportera allvarliga IKT-relaterade incidenter till Finansinspektionen. Eftersom tidsfristerna för inrapportering är relativt snäva måste företagen ha förmågan att snabbt upptäcka och identifiera när en allvarlig IKT-relaterad incident har ägt rum. För att klassificera incidenter ska företagen använda sig av olika tröskelvärden som i vissa fall kan vara svåra att överblicka. Det kan till exempel avse vilken geografisk spridning en incident har haft eller hur företagets anseende har påverkats. När en allvarlig IKT-relaterad incident har inträffat ska initialt en första rapport tillställas Finansinspektionen, följd av delrapport och slutrapport. 2 Wesslau Söderqvist Advokatbyrås rekommendationer Implementeringen av Dora kräver ett helhetsgrepp kring hur företagen arbetar med digital säkerhet och motståndskraft mot förluster och avbrott. Det är därför viktigt att företagen har klart för sig vilka åtgärder som behöver vidtas, samt i vilken utsträckning ytterligare data måste hämtas in för att fullgöra lagkraven. Vi på Wesslau Söderqvist Advokatbyrå har följt lagstiftningsarbetet från start och har bistått både finansiella entiteter och tredjepartsleverantörer av IKT-tjänster i implementeringsarbetet. Vi bevakar även löpande det pågående lagstiftningsarbetet beträffande frågor som ännu inte har klarlagts. Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se #2566847 Om ni har frågor med anledning av Dora eller önskar vår hjälp i det fortsatta arbetet är ni varmt välkomna att höra av er till Wesslau Söderqvist Advokatbyrå. 2 (2) #2566847 Nyhetsbrev Ang. Tjänster som bör anses vara IKT-tjänster enligt Dora 28 januari 2025 1 Bakgrund Europeiska kommissionen, nedan Kommissionen, har besvarat en fråga om vilka tjänster som bör anses vara IKT-tjänster enligt EU:s förordning om digital motståndskraft inom finanssektorn, nedan DORA. Eftersom IKT-tjänster är ett nyckelbegrepp i DORA är det av stor vikt att alla aktörer som omfattas av regleringen har förståelse för begreppets definition för att säkerställa en korrekt efterlevnad av lagstiftningen. Svarsdokumentet som publicerats av EIOPA är avsett som ett stöd för att tolka begreppet ”IKT-tjänst” och är ett rent deskriptivt dokument som varken avser att ersätta relevant lagtext eller utgöra något juridiskt bindande dokument. Nedan redogörs för förklaringen av begreppet som Kommissionen specificerar i det publicerade svarsdokumentet. 2 Frågeställning Frågan som besvarats avser artikel 3.21 i DORA som behandlar definitionen av IKT-tjänster. Enligt artikeln är IKT-tjänster digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare. Frågan som ställs är vilka typer av tjänster som bör anses vara IKT-tjänster. 3 Kommissionens svar Kommissionen betonar inledningsvis att IKT-tjänster medvetet har givits en bred tillämpning. Detta framkommer av skäl 35 i DORA som klargör att för att upprätthålla en hög nivå av digital operativ motståndskraft bör definitionen förstås i bred bemärkelse, under förutsättning att sådana tjänster omfattar digitala tjänster och datatjänster som tillhandahålls fortlöpande genom IKT-system. De finansiella entiteternas ansvar är därför att genomföra en bedömning med beaktande av denna breda tillämpning för att kunna avgöra om de tjänster som används är IKT-tjänster enligt DORA. I den bedömningen ska också skäl 63 beaktas som anger att DORA omfattar ett brett Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se spektrum av tredjepartsleverantörer av IKT-tjänster, inbegripet finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter. Finansiella tjänster kan innefatta en IKT-komponent. Om finansiella entiteter tillhandahåller IKT- tjänster till andra finansiella entiteter, bör de mottagande finansiella entiteterna bedöma om: i) tjänsterna utgör en IKT-tjänst enligt DORA, samt ii) de tillhandahållande finansiella entiteterna och de finansiella tjänsterna som de tillhandahåller är reglerade enligt unionslagstiftning eller nationell lagstiftning i en medlemsstat eller i ett tredjeland. Om svaren på både i) och ii) är ”ja”, ska den relaterade IKT-tjänsten anses vara en finansiell tjänst, inte en IKT-tjänst enligt artikel 3 i DORA. Kommissionen förtydligar därtill att om tjänsten tillhandahålls av en reglerad finansiell entitet som erbjuder reglerade finansiella tjänster men är oberoende eller inte relaterad till sådana reglerade finansiella tjänster, bör tjänsten anses vara en IKT-tjänst. Detta gäller också för hjälpande tjänster som tillhandahålls av en finansiell entitet, beroende på om de är reglerade finansiella tjänster eller tjänster som är oåtskiljbara från, förberedande eller nödvändiga för tillhandahållandet av en reglerad finansiell tjänst och inte tillhandahålls på ett fristående sätt. 4 Wesslau Söderqvist Advokatbyrås rekommendationer Förtydligandet av skillnaden mellan finansiella tjänster och IKT-tjänster påverkar inte kraven som gäller för finansiella enheter enligt DORA, utöver kraven relaterade till hantering av risker från IKT-tredjeparter. Förtydligandet från Kommissionen innebär att om en reglerad finansiell entitet tillhandahåller en tjänst som inte har ett direkt samband med de reglerade finansiella tjänsterna som entiteten erbjuder, eller om tjänsten är oberoende av sådana tjänster, ska den anses vara en IKT-tjänst enligt definitionen i artikel 3.21 i DORA. Wesslau Söderqvist Advokatbyrå rekommenderar att alla tjänster som köps från en finansiell entitet ska bedömas utifrån Kommissionens tillhandahållna svar. Klassificeringen påverkar hur tjänsten regleras och vilken riskhantering som ska tillämpas enligt DORA. Den centrala frågan är alltså hur nära kopplad tjänsten är till de reglerade finansiella tjänsterna. Om kopplingen saknas eller är svag anses tjänsten falla under DORA:s definition av IKT-tjänster. Wesslau Söderqvist 2 (3) Advokatbyrå rekommenderar även att slutsatserna ska dokumenteras för att ha en tydlig spårbar process för klassificeringen för att underlätta intern efterlevnad och externa revisioner eller tillsynsaktiviteter. Oaktat om en tjänst bedöms som en finansiell tjänst, ska finansiella entiteter bedöma den IKT- risk som kan följa av avtalsförhållandet. Det kan vara risker kopplade till exempelvis incidenter som sker hos den finansiella entiteten som tillhandahåller tjänsten och hur de påverkar den egna verksamheten. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Hållbarhetsrisker i skadeförsäkringsföretagens Orsa-rapporter 21 februari 2025 1 Sammanfattning Finansinspektionen har analyserat hur ett urval av skadeförsäkringsföretag har inkluderat hållbarhetsrisker i sina risk- och solvensbedömningar, nedan Orsa-rapporter, för år 2023. Analysen visar att exponeringen mot risker är påtaglig för samtliga skadeförsäkringsföretag samt att det är rapportering och analys av fysiska risker som genomgående håller högst nivå, medan analysen av andra hållbarhetsrelaterade risker varit nästintill obefintlig. Sedan år 2022 ställs det krav på försäkringsföretag att identifiera och bedöma hållbarhetsrisker i företagsstyrningen. Därtill ska företagen beakta hållbarhetsrisker i bedömningen av det totala solvensbehovet och i Orsa-rapporterna.1 I slutet av år 2024 har det införts ändringar i Solvens 2- direktivet som i Sverige ska tillämpas från den 30 januari 2027.2 Härigenom kommer ett krav införas på att analysera och rapportera om klimatförändringsscenarier. I företagens identifiering och bedömning av lång- och kortsiktiga risker i Orsa-rapporterna ska det också bedömas om företaget har någon väsentlig exponering för klimatförändringsrisker. Om så är fallet ska företaget redogöra för minst två långsiktiga klimatförändringsscenarier. Mot bakgrund av detta har Finansinspektionen formulerat kriterier för sin granskning som i korthet innebär att Orsa-rapporterna, när de nya kraven börjar gälla, ska innehålla en sammanställning av all väsentlig exponering för klimatförändringsrisker. Om klimatförändringsriskerna inte är väsentliga för företaget bör rapporten innehålla en förklaring till det. 2 Finansinspektionens granskning Finansinspektionen har granskat hur skadeförsäkringsföretag med väsentlig exponering för klimatförändringsrisker har inkluderat hållbarhetsrisker i sina Orsa-rapporter. Granskningen 1 Kommissionens delegerade förordning (EU) 2021/1256 av den 21 april 2021 om ändring av delegerad förordning (EU) 2015/35 vad gäller integrering av hållbarhetsrisker i försäkrings- och återförsäkringsföretags företagsstyrning (Solvens 2-förordnignen). 2 Europaparlamentets och rådets direktiv (EU) 2025/2 av den 27 november 2024 om ändring av direktiv2009/138/EG, vad gäller proportionalitet, tillsynskvalitet, rapportering, långsiktiga garantiåtgärder, makrotillsynsverktyg, hållbarhetsrisker samt grupptillsyn och gränsöverskridande tillsyn, och om ändring av direktiven 2022/87/EG och 2013/34/EU (Solvens 2-förordningen). Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se visar att det finns betydande utrymme för förbättringar på flera centrala områden, varigenom följande områden särskilt betonas. 2.1 Skadeförsäkringsföretag måste utveckla sina väsentlighetsbedömningar Skadeförsäkringsföretagen måste utveckla sina väsentlighetsbedömningar inför att kravet på väsentlighetsbedömningar i Solvens 2-direktivet ska börja tillämpas. Varje skadeförsäkringsföretag måste göra en väsentlighetsbedömning av klimatförändringsriskerna. Detta innebär att företaget ska identifiera de klimatförändringsrisker som företaget är exponerat för och bedöma omfattningen av denna exponering. Bedömningen ska vara både kvalitativ och kvantitativ och metoden som använts måste kunna redovisas. Mot bakgrund av detta finner Finansinspektionen att många av företagen redogjort ytterst knapphändigt för sina väsentlighetsbedömningar och vissa av dem inte alls. Finansinspektionen betonar vikten av att arbeta vidare med väsentlighetsbedömningarna, då dessa är grundläggande för att kunna bedöma kvaliteten på och relevansen av övriga delar i Orsa- rapporterna. Därutöver påverkar väsentlighetsbedömningen helhetsbedömningen, vilket innebär att en bristande helhetsbedömning kan begränsa förståelsen för potentiella klimatrelaterade konsekvenser för företagets affärsmodell, riskprofil och solvensbehov. 2.2 Försäkringsföretag måste inkludera en långsiktig scenarioanalys Om företaget identifierar väsentliga risker ska dessa analyseras utifrån scenarioanalyser. Företag som har väsentlig exponering för klimatförändringsrisker ska ta fram minst två olika långsiktiga klimatscenarioanalyser, utöver att bedöma kortsiktig klimatpåverkan. Granskningen visar att många försäkringsföretag behöver förbättra sin rapportering av scenarioanalyser. Trots att nästintill samtliga företag hade inkluderat scenarioanalyser i sin rapportering hade långt ifrån alla tagit med scenarier med ett långsiktigt perspektiv, i vilka ska redogöras för hur hållbarhetsrisker kan komma att påverka företagets affärsmodell på sikt. 3 Wesslau Söderqvist Advokatbyrås rekommendationer Finansinspektionen signalerar tydligt att försäkringsföretagen behöver fokusera på klimatförändringsrisker i sina Orsa-rapporter. I takt med att regelverket träder i kraft i början av år 2027 kommer Finansinspektionen att följa upp efterlevnaden av de nya reglerna i Solvens 2- direktivet. 2 (3) Wesslau Söderqvist Advokatbyrå rekommenderar mot bakgrund av det som presenterats i granskningen att försäkringsföretagen ska se över och uppdatera rutinerna för Orsa- rapporterna avseende just klimatförändringsrisker i förhållande till försäkringsföretaget. Av särskild vikt är att analysera och redogöra för på vilket sätt företaget är exponerat för klimatförändringsrisker och i det fall väsentliga risker anses föreligga upprätta scenarioanalyser som utgår från ett långsiktigt perspektiv. Har ni frågor med anledning av det ovanstående eller önskar stöd med det fortsatta arbetet med implementeringen av det förändrade hållbarhetsregelverket är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Högsta domstolens beslut om bakgrundskontroller 10 mars 2025 1 Bakgrund Med hänsyn till EU:s dataskyddsförordning (GDPR) har Högsta domstolen tidigare ansett att det förelegat sekretess när en nyhetsbyrå och ett bakgrundskontrollsföretag begärt att få ut ett större antal domar och andra handlingar i brottmål. Handlingarna har emellertid lämnats ut ändå, dock med förbehåll. Många arbetsgivare använder sig av olika söktjänster, eller anlitar externa bakgrundskontrollsföretag när de har behov av att göra sådana kontroller. Möjligheten att få del av information på detta sätt kommer nu att starkt begränsas. 2 Högsta domstolens beslut Högsta domstolen har meddelat beslut i två mål som rör utlämnande av brottmålsdomar till bl.a. ett bakgrundskontrollsföretag som tillhandahåller information med stöd av ett så kallat frivilligt utgivningsbevis. Högsta domstolen har endast ändrat hovrättens beslut på det sättet att förbehållets utformning har justerats för att i större utsträckning möjliggöra att bakgrundskontrollsföretag fortsatt ska kunna bedriva sin journalistiska verksamhet, bl.a. genom att publicera redaktionellt bearbetad nyhetstext. Högsta domstolen konstaterar i avgörandet att bakgrundskontrollsföretagets verksamhet omfattas av grundlagsskydd och att lagstiftaren får anses ha avsett att GDPR inte alls ska tillämpas på det grundlagsskyddade området. En sådan ordning innebär att brottmålsdomar ska lämnas ut, också när begäran avser en större mängd handlingar, och att det finns mycket begränsade möjligheter att ingripa mot den efterföljande behandlingen. Högsta domstolen gör bedömningen att en sådan ordning inte kan anses vara förenlig med GDPR. Högsta domstolen har därefter prövat frågan om sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen och kommit fram till att sekretess föreligger. Med den utgångspunkten har Högsta domstolen justerat förbehållet så att det tar sikte på att förhindra dels att handlingarna – med de personuppgifter som finns i dem – tillhandahålls av nyhetsbyrån, dels att uppgifterna Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se görs sökbara för andra, men samtidigt inte förhindrar att personuppgifterna används i t.ex. nyhetstexter eller nyhetsunderlag som byrån producerar. 3 Bakgrundskontroller och utgivningsbevis Kortfattat innebär ett frivilligt utgivningsbevis att ett bolag har ett grundlagsskydd för sin informationshantering. Innebörden av detta har fram till och med nu ansetts vara att dessa bolag har kunnat behandla personuppgifter utan att i princip tillämpa GDPR. Högsta domstolens beslut innebär att detta synsätt inte gäller längre, vilket får direkta konsekvenser för dessa bolags fortsatta inhämtning av information om bl.a. brottmålsdomar. I praktiken innebär det att bakgrundskontrollsföretagen inte längre med stöd av det frivilliga utgivningsbeviset kan behandla brottmålsdomar för att därefter tillhandahålla personuppgifter ur dem för bakgrundskontroller. Med största sannolikhet får det också konsekvenser för bakgrundskontrollsföretagens möjligheter att över huvud taget hantera personuppgifter. Detta påverkar i sin tur de arbetsgivare som har ett berättigat behov av att genomföra kontroller och som hittills kunnat nyttja söktjänsterna i detta syfte. 4 Wesslau Söderqvist Advokatbyrås rekommendationer Högsta domstolens nu meddelade beslut skapar ett starkare skydd för den personliga integriteten än vad som tidigare varit fallet. Samtidigt så försvårar beslutet genomförandet av nödvändiga bakgrundskontroller. Wesslau Söderqvist Advokatbyrå rekommenderar bolag som utför bakgrundskontroller att i nödvändig mån säkerställa att det finns laglig grund för att den behandling som utförs avseende personuppgifter faktiskt är tillåten. Speciallagstiftning reglerar ofta när information får och ska behandlas för nödvändiga bakgrundskontroller, men om det inte finns något legalt stöd behöver en närmare utvärdering göras innan behandling påbörjas. Har ni frågor med anledning av det ovanstående, eller vill diskutera lämpliga tillvägagångsätt avseende behandling av personuppgifter, är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 2 (2) Nyhetsbrev Ang. Överföring av personuppgifter till USA 12 mars 2025 1 Bakgrund Dataskyddsförordningen, nedan GDPR, tillåter överföring av personuppgifter till andra länder inom EU och EES. Därutöver får personuppgifter överföras till länder utanför gemenskapen, så kallade ”tredjeländer”, under vissa förutsättningar. En sådan förutsättning är att EU- kommissionen har fattat ett beslut om adekvat skyddsnivå för det relevanta landet enligt artikel 45 i GDPR. Sedan år 2023 finns ett beslut om adekvat skyddsnivå för USA vilket innebär att EU- kommissionen har bedömt att USA säkerställer en tillräckligt hög skyddsnivå för att personuppgifter ska kunna överföras dit utan att ytterligare skyddsåtgärder behöver vidtas. Beslutet är baserat på en överenskommelse om hur personuppgifter som överförs från EU- och EES-länderna ska skyddas i USA, det så kallade EU-U.S. Data Privacy Framework, nedan DPF. Beslutet innebär att det är tillåtet att överföra personuppgifter till amerikanska verksamheter som har anslutit sig till ramverket och som därmed är uppförda på den så kallade DPF-listan.1 Sedan president Donald Trump tillträdde som president i USA har flera åtgärder vidtagits som kan få långtgående konsekvenser för överföringen av personuppgifter till USA. Detta har skapat osäkerhet kring legaliteten av att överföra personuppgifter till USA. 2 Hur påverkas beslutet om adekvat skyddsnivå av politiska förändringar i USA? Beslutet om adekvat skyddsnivå baseras på flera faktorer varav en viktig del är att dataskyddet i USA överses av en särskild tillsynsnämnd, Privacy and Civil Liberties Oversight Board, nedan PCLOB. Den oberoende nämnden har i uppdrag att övervaka bland annat amerikansk underrättelsetjänst och säkerställer därigenom att individers rättigheter inte kränks när personuppgifter samlas in. Donald Trump har nyligen avskedat tre av tillsynsnämndens fyra ledamöter, vilket har gjort nämnden obehörig att fatta beslut. Eftersom PCLOB spelar en nyckelroll för att säkerställa att 1 https://www.dataprivacyframework.gov/list Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se DPF-överenskommelsen fungerar har detta väckt frågor om hur EU-kommissionens beslut om adekvat skyddsnivå kan komma att påverkas. I detta avseende kan konstateras att det är just EU-kommissionen som ansvarar för att kontinuerligt övervaka utvecklingen i de länder för vilka beslut om adekvat skyddsnivå finns. I det fall det finns information som visar att ett adekvat skydd inte längre kan säkerställas kan EU- kommissionen återkalla eller upphäva beslut om adekvat skyddsnivå. Därutöver kan EU- domstolen ogiltigförklara ett sådant adekvansbeslut. Mot bakgrund av att varken EU-kommissionen eller EU-domstolen ännu har fattat beslut om att upphäva eller ogiltigförklara adekvansbeslutet för USA är beslutet fortfarande gällande. Således är det tillåtet att överföra personuppgifter till organisationer i USA som är uppförda på DPF- listan i samma utsträckning som innan de politiska förändringarna. 3 Vad händer om EU-kommissionen skulle upphäva adekvansbeslutet? Om EU-kommissionen skulle ogiltigförklara adekvansbeslutet för USA skulle det fortfarande vara möjligt att överföra personuppgifter under vissa förutsättningar. Den personuppgiftsansvarige skulle då behöva vidta lämpliga skyddsåtgärder enligt artikel 46 i GDPR i form av exempelvis bindande företagsbestämmelser eller standardavtalsklausuler. Bindande företagsbestämmelser är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera personuppgiftsbehandling. Integritetsskyddsmyndigheten eller någon annan tillsynsmyndighet i EU måste godkänna dessa. Standardavtalsklausuler har å sin sida antagits av EU-kommissionen för överföring av personuppgifter till tredjeland och genom dessa är det möjligt att ingå avtal med någon utanför EU eller EES. Utöver dessa skyddsåtgärder finns ytterligare skyddsåtgärder presenterade i artikel 46 i GDPR, så som att det måste säkerställas att det finns lagstadgade rättigheter och möjligheter att överklaga personuppgiftsbehandlingen och få sin sak prövad i domstol. Slutligen kan ytterligare åtgärder krävas om skyddsnivån i mottagarlandet bedöms vara otillräcklig, exempelvis om standardavtalsklausulerna inte kan upprätthållas i praktiken. 4 Wesslau Söderqvist Advokatbyrås rekommendationer Wesslau Söderqvist Advokatbyrå rekommenderar att ni följer utvecklingen kring EU- kommissionens beslut om adekvat skyddsnivå för att säkerställa att er behandling av personuppgifter följer gällande regelverk. Advokatbyrån rekommenderar därtill att beroendet av amerikanska tjänster där överföringen av personuppgifter är nödvändig ska ses över och 2 (3) inventeras, för att en bedömning av om huruvida beredskap krävs i form av alternativa tjänster sedan ska kunna göras. Vid en sådan bedömning är såklart riskerna för att personuppgifter förvanskas eller nyttjas felaktigt viktiga att beakta och ställa i paritet till de kommersiella överväganden som behöver göras kopplade till att tjänster byts ut. EU-kommissionens beslut om adekvat skyddsnivå för USA fortsätter att gälla tills det återkallas eller upphävs av EU-kommissionen eller ogiltigförklaras av EU-domstolen. Genom de förändringar som sker i USA:s regelverk och myndighetsstruktur kan det heller inte uteslutas att situationen kan komma att förändras framöver. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Finansinspektionens sanktionsbeslut mot Pensionsmyndigheten för bristande riskkontroll vid investeringar i Heimstaden Bostad AB 13 mars 2025 1 Sammanfattning FI har undersökt om Pensionsmyndigheten har följt reglerna i samband med investeringar i Heimstaden Bostad AB, nedan Heimstaden Bostad. Undersökningen avser perioden 2021 – 2023 och visar att Pensionsmyndigheten har brustit i sin riskkontroll. Det innebär att Pensionsmyndigheten inte har uppfyllt de krav som ställs i lagen för att få göra investeringarna. Den risk som undersökningen varit inriktad på avser risken för att de investerade medlen går förlorade. Undersökningen visar att Pensionsmyndigheten har vidtagit åtgärder för att skaffa sig kunskap om de omständigheter som påverkar den risken. Det handlar bland annat om skillnader i incitament och inflytande mellan ägarna, avtalat pris på aktier och skyldighet att återinvestera medel i bolaget. Pensionsmyndighetens åtgärder har emellertid inte varit tillräckliga. Pensionsmyndigheten får därför en anmärkning. 2 Bakgrund och Finansinspektionens ärende Pensionsmyndigheten är förvaltningsmyndighet för ålderspensionssystemet. Det innebär att myndigheten har i uppdrag att administrera och betala ut pensioner. Den största delen av Pensionsmyndighetens verksamhet består i att sköta den allmänna ålderspensionen, det vill säga den pension som alla får som har arbetat eller bott i Sverige. Huvuddelen av den allmänna ålderspensionen är den inkomstgrundade ålderspensionen och som i sin tur är indelad i inkomstpension och premiepension. Under den tid som den enskilda pensionsspararen sparar ihop sin premiepension fungerar den som en fondförsäkring för pensionsspararen och det är pensionsspararen som står den finansiella risken för värdeutvecklingen hos de fonderade medlen. Pensionsmyndigheten är försäkringsgivare för premiepensionen. Pensionsmyndigheten delar i sin förvaltning in de premiepensionsmedel som pensionsspararna har valt att ta ut i form av livränta i två portföljer. De tillgångar som svarar mot de garanterade beloppen förvaltas i en portfölj med räntebärande värdepapper, medan de tillgångar som svarar mot tilläggsbeloppen förvaltas i en portfölj kallad tillväxtportföljen. Den senare portföljen Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se bestod fram till 2021 av tre upphandlade breda globala aktiefonder som vid utgången av 2020 uppgick till sammanlagt cirka 18 713 miljoner kronor, vilket då motsvarade cirka 35,1 procent av tillgångarna som förvaltades inom den traditionella försäkringen. Under 2021 beslutade Pensionsmyndigheten att bredda investeringarna inom tillväxtportföljen till att omfatta även direkta innehav av onoterade aktier genom att köpa aktier i fastighetsbolaget Heimstaden Bostad. FI inledde i januari 2024 en undersökning av Pensionsmyndighetens investeringar i Heimstaden Bostad. Syftet med undersökningen var att granska om Pensionsmyndigheten i samband med investeringarna följde lagbestämmelserna för sin försäkringsverksamhet i premiepensionssystemet under perioden 2021 – 2023. 3 Finansinspektionens bedömning FI har undersökt om Pensionsmyndigheten har följt de bestämmelser som gäller för deras investeringsverksamhet i samband med Pensionsmyndighetens investeringar i fastighetsbolaget Heimstaden Bostad. Enligt den lagbestämmelse om riskkontroll som gäller för Pensionsmyndighetens investeringsverksamhet, 3 kap. 5 § lagen 2017:230 om Pensionsmyndighetens försäkringsverksamhet i premiepensionssystemet, får myndigheten bara investera i tillgångar vars risker myndigheten kan identifiera och hantera. Pensionsmyndigheten har under den aktuella perioden investerat drygt 2 500 miljoner kronor i Heimstaden Bostad. FI:s undersökning visar att bolagsordningen i Heimstaden Bostad, och de aktieägaravtal som Pensionsmyndigheten har ingått, ger upphov till en förhöjd risk för att de medel som Pensionsmyndigheten har investerat helt eller delvis går förlorade. Det handlar bl.a. om skillnader i incitament och inflytande mellan ägarna, avtalat pris på aktier och skyldighet att återinvestera medel i bolaget. Inspektionens undersökning visar vidare att Pensionsmyndigheten faktiskt har vidtagit åtgärder för att skaffa sig kunskap om de omständigheter som påverkar risken för förlust av investerade medel. Dessa åtgärder har emellertid inte varit tillräckliga. Myndigheten har inte heller förvissat sig om att den kan hantera denna risk. Härigenom har Pensionsmyndigheten brustit i sin riskkontroll och agerat i strid med den ovan nämnda lagbestämmelsen. FI har bedömt att överträdelserna varit sådana att det funnits skäl att ingripa mot Pensionsmyndigheten och ger därför Pensionsmyndigheten en anmärkning. 2 (3) 4 Wesslau Söderqvist Advokatbyrås rekommendationer Sanktionsärendet visar tydligt på vikten av kunskap och erfarenhet kring hur ett bolag ska bedöma såväl underliggande risker i verksamheten som risker förknippade med olika typer av placeringar i den finansiella marknaden. Vidare beskriver beslutet vikten av välutarbetade rutiner för riskhantering samt att dessa rutiner efterlevs och kontrolleras, såväl genom intern kontroll som genom oberoende uppföljning och kontroll. Wesslau Söderqvist Advokatbyrå rekommenderar att aktörer ser över sin hantering av relevanta risker mot bakgrund av beslutet och fäster särskild vikt vid frågan om kunskap och kompetens kring specifika investeringar och vilka risker dessa investeringar kan vara förknippade med. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Finansinspektionen ingriper mot Anoto Group AB 13 mars 2025 1 Sammanfattning Finansinspektionen har beslutat att ge Anoto Group AB, nedan Bolaget, en erinran och en sanktionsavgift på 900 000 kronor för överträdelser av regler om upprättande av års- och koncernredovisning. Vid en undersökning har det visat sig att Bolaget inte lämnade erforderliga upplysningar om goodwill i koncernredovisningen för räkenskapsåret 2020. Vidare har Bolaget felaktigt redovisat fordringar på ett koncernföretag som omsättningstillgångar i stället för anläggningstillgångar samt i övrigt inte lämnat de upplysningar som krävs för koncerninterna fodringar. 2 Bakgrund Bolaget är ett svenskt aktiebolag vars aktier är noterade på Nasdaq Stockholm. Verksamheten består i att utveckla och tillverka digitala pennor med tillhörande programvara. Bolaget är moderbolag i en koncern som år 2023 bestod av tio bolag. Bolaget är skyldigt att följa bestämmelserna om regelbunden finansiell information i 16 kap. lagen (2007:528) om värdepappersmarknaden (LV). Bolaget har varit skyldigt att senast fyra månader efter utgången av varje räkenskapsår offentliggöra sin årsredovisning och koncernredovisning. Eftersom Bolagets aktier var noterade har, utöver årsredovisningslagen, även IAS-förordningen varit tillämplig för Bolaget. Detta innebär att koncernredovisningen ska upprättas enligt de internationella redovisningsstandarder som har antagits av EU- kommissionen. Dessa redovisningsstandarder är IAS-standarder och IFRS-standarder med tillhörande tolkningar från SIC och IFRIC. 3 Identifierade överträdelser Finansiella rapporter ska ge en rättvisande bild av ett företags finansiella ställning, finansiella resultat och kassaflöde. Rapporteringen ska därför vara tillförlitlig och motsvara verkliga förhållanden. Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se I utredningen som genomfördes av Finansinspektionen identifierades flera brister i Bolagets redovisning och i huvudsak noterades brister kopplade till redovisning av goodwill samt att koncerninterna fordringar felklassificerades. 3.1 Felaktig redovisning av goodwill Goodwill representerar framtida ekonomiska fördelar som uppkommer från andra tillgångar förvärvade i ett rörelseförvärv än enskilt identifierbara och separat redovisade tillgångar. Det kan exempelvis vara synergier, kompetent personal eller tillgång till en specifik marknad. Det noterades att Bolaget hade genomfört nedskrivningstester för goodwill och antagit en budgeterad tillväxt för 2021 i Livescribe om 68 procent och i Anoto Korea om 59 procent. Dessa två var kassagenererande enheter som hade förvärvats. Antagandena låg utanför de intervall för antaganden om tillväxt som angavs i noterna till koncernredovisningen. Det innebar enligt Finansinspektionen att upplysningarna gav ett felaktigt intryck av att företaget i nedskrivningstesterna hade använt mer försiktiga antaganden än vad som faktiskt varit fallet. Därför ansågs informationen i koncernredovisningen inte vara tillförlitlig och Bolaget hade därmed inte presenterat en rättvisande bild av Bolagets finansiella ställning. Med hänsyn till att goodwillen utgjorde nästan hälften av koncernens balansomslutning bedömde Finansinspektionen att felen var väsentliga. 3.2 Felaktig klassificering av koncerninterna fordringar Enligt årsredovisningslagen ska det med anläggningstillgångar förstås tillgångar som är avsedda att stadigvarande brukas eller innehas i verksamheten. Övriga tillgångar utgör omsättnings- tillgångar. Enligt IAS styrs klassificeringen av syftet med tillgången, dess art och tidpunkt för förväntad realisering. Om en tillgång förväntas realiseras inom 12 månader efter rapporteringsperioden ska den klassificeras som en omsättningstillgång. Finansinspektionen uppmärksammade att Bolaget hade redovisat fordringar på koncernföretag som omsättningstillgångar, trots att de inte förväntats att realiseras inom 12 månader. Felklassificeringen ansågs ge en missvisande bild av Bolagets likviditet och inverkade således på beslutsunderlaget för investerare. Därutöver noterades att årsredovisningen saknade de upplysningar om Bolagets koncerninterna fordringar som gör det möjligt för användare att bedöma karaktären på och omfattningen av de risker som uppstår genom fordringarna. I beslutet betonar Finansinspektionen att förhållandet att det rör sig om koncerninterna fordringar inte innebär att det saknas ett behov av upplysningar. I stället bedömdes det som 2 (3) högst relevant för användarna hur villkoren för återbetalning av lån respektive aktieägartillskott som lämnats till koncernföretag har sett ut. Sammantaget fann Finansinspektionen att Bolaget, genom brister, hade åsidosatt god redovisningssed. 4 Finansinspektionens ingripande På grund av att Bolaget hade åsidosatt både åligganden enligt IAS-förordningen och årsredovisningslagen vid upprättandet av års- och koncernredovisningen förelåg skäl för Finansinspektionen att ingripa. Bristerna i redovisningen utgjordes av felaktiga och uteblivna upplysningar och uppgifter om tillgångar som utgjorde en mycket stor del av Bolagets och koncernens samtliga tillgångar. De ansågs därför vara nödvändiga för att en användare skulle kunna bedöma om värderingen av tillgångarna var korrekt eller inte. Mot den bakgrunden, samt omständigheterna i övrigt, kunde överträdelserna inte ses som ringa eller ursäktliga. Redovisningen innehöll flera fel som rimligen kunde antas påverka beslut som användare skulle fatta på grundval av rapporten. Felen berörde dessutom centrala poster och ansågs ha haft en betydande påverkan på den övergripande bilden av Bolagets finansiella ställning. Därför beslutade Finansinspektionen att ingripandet skulle förenas med en sanktionsavgift. Sanktionsavgiftens storlek fastställdes till 900 000 kronor som ansågs vara en proportionerlig åtgärd utifrån överträdelsernas omfattning och Bolagets ekonomiska förutsättningar. 5 Wesslau Söderqvist Advokatbyrås rekommendationer Beslutet tar sikte på åsidosättande av redovisningsregler för bolag vars aktier är upptagna till handel på en reglerad marknad. Wesslau Söderqvist Advokatbyrå bedömer att beslutet även har viss relevans för bolag inom den finansiella sektorn som inte är börsnoterade, men som investerar i noterade bolag eller har andra affärsrelationer med dem. Beslutet belyser vikten av att genomföra grundlig due diligence inför investeringsbeslut och att det inte kan tas för givet att företags offentliga rapporter motsvarar verkliga förhållanden. Det kan till exempel vara lämpligt att analysera målbolagets historiska regelefterlevnad och förekomsten av sanktioner. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. EIOPA:s uttalanden om Solvens II-direktivet 8 maj 2025 1 Bakgrund Den 30 januari 2027 införlivas nya krav i svensk rätt med anledning av ändringarna i Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet, nedan Solvens II- direktivet. Solvens II-direktivet trädde i kraft i januari 2016 och är tillsynsordningen för försäkrings- och återförsäkringsföretag i EU och har i Sverige genomförts primärt i Försäkringsrörelselagen. I Solvens II-direktivet fastställs krav som är tillämpliga på försäkrings- och återförsäkringsföretag i EU och syftet är att säkerställa ett adekvat skydd för försäkrings- och förmånstagare. Europeiska försäkrings- och tjänstepensionsmyndigheten, nedan EIOPA, har i uppdrag att besluta om ett antal kompletterande dokument och revideringar av vissa befintliga dokument till följd av ändringarna i Solvens II-direktivet. EIOPA har således framfört förslag till kompletterande bestämmelser för Solvens II-direktivet i form av bl.a. tekniska standarder och riktlinjer. Syftet med förslagen är att förbättra tillsynseffektiviteten, riskhanteringen, proportionaliteten och den finansiella stabiliteten inom EU:s försäkringssektor. Innan EIOPA fastställer dokumenten kommer offentliga samråd att genomföras för att inhämta synpunkter från berörda intressenter. Dokumenten har publicerats under hösten 2024 och våren 2025. Flera av dokumenten är fortfarande öppna och EIOPA uppmuntrar intressenter att bevaka vilka dokument som EIOPA publicerar samt besvara frågorna i relevanta dokument. Svensk Försäkring är en av de intressenter som har besvarat några av frågorna och anfört att EIOPA:s förslag riskerar att öka den administrativa bördan för försäkringsbolag.1 Relevanta samrådsdokument som EIOPA har publicerat på deras hemsida om tekniska standarder och riktlinjer anförs nedan.2 1 Svensk Försäkring - EIOPAs förslag ökar den administrativa bördan 2 Consultations and surveys - EIOPA Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se 2 Tekniska standarder De tekniska standarderna avser tillsyn och genomförande. EIOPA:s uttalanden omfattar ämnen som sträcker sig från gränsöverskridande tillsyn och likviditetshantering av försäkringsgivare till kriterierna för att identifiera exceptionella sektoromfattande chocker. I utkastet till tekniska tillsynsstandarder om planer för hantering av likviditetsrisker fastställs kriterierna för vilka företag och grupper som bör inkludera analyser i sina planer vid hantering av likviditetsrisker. Kriterierna inkluderar även en specifikation av planernas innehåll samt när de bör uppdateras. Företag ska således utveckla indikatorer för att identifiera, övervaka och hantera potentiella likviditetsrisker. EIOPA har även redovisat kriterier som tillsynsmyndigheterna bör utgå ifrån för att identifiera väsentliga händelser och mer omfattande incidenter över hela försäkringssektorn. EIOPA har även belyst viktiga faktorer vid identifiering av försäkringsföretag som har ett dominerande, alternativt betydande, inflytande över ett annat företag. Syftet är att tillsynsmyndigheterna ska kunna identifiera och effektivt övervaka försäkringsgrupper. Svensk Försäkring anser att detta bör förtydligas. Svensk Försäkring anser att identifikation och effektivt övervakande endast bör genomföras när tillsynsmyndigheternas bedömning visar att en sådan identifiering faktiskt skulle kunna förbättra tillsynen. EIOPA har även introducerat en förenkling vid värdering av livförsäkringsförpliktelser. Förenklingen avser att användas av särskilt små och icke-komplexa försäkrings- och återförsäkringsföretag. EIOPA har dessutom redovisat villkor och kriterier som tillsynsmyndigheterna måste beakta när de avgör om ett försäkringsbolag utför gränsöverskridande verksamhet. Gränsöverskridande verksamhet avser försäkringsverksamhet som bedrivs i ett eller flera andra medlemsstater utöver det land där företaget har sitt huvudsakliga säte. I EIOPA:s samrådsdokument om den tekniska tillsynsstandarden för makrotillsynsanalyser föreslås både kvantitativa och riskbaserade kriterier för att avgöra vilka företag och koncerner som bör beakta makrotillsynselement i sina egna risk- och solvensbedömningar. Dokumentet behandlar hur makrotillsynsperspektivet ska integreras i ORSA (Own Risk and Solvency Assessment) och PPP (Prudent Person Principle/Försiktighetsprincipen). PPP syftar till att förbättra motståndskraften inom försäkringssektorn och försäkrings- och återförsäkringsföretag. ORSA återspeglar företagets förmåga att stå emot systemrisker. Makrotillsynsperspektivet i ORSA innebär att företag ska analysera hur makroekonomiska scenarier kan påverka deras solvens och affärsmodell. 2 (3) 3 Riktlinjer EIOPA har publicerat flertalet samrådsdokument i syfte att revidera och uppdatera riktlinjerna i samband med förändringarna i Solvens II-direktivet. Ett av dokumenten behandlar hur försäkrings- och återförsäkringsföretag bör identifiera och behandla närstående företag. Närstående företag utgör dotterbolag och andra finansiella enheter inom en viss försäkringsgrupp. Syftet med revideringen är att anpassa riktlinjerna till uppdaterad lagstiftning genom att undersöka försäkringsgruppers finansiella stabilitet. EIOPA föreslår även riktlinjer som förtydligar när det är motiverat att utesluta ett eller flera företag från omfattningen av gruppbaserad tillsyn. EIOPA anför att uteslutning inte bör tillåtas när det finns betydande interna transaktioner inom försäkringsgruppen. EIOPA föreslår reviderade riktlinjer för hur marknadsandelar ska bestämmas vid rapportering enligt Solvens II-direktivet. Dessa riktlinjer syftar till att säkerställa en konsekvent och jämförbar metod mellan medlemsstaterna för att bestämma marknadsandelar. Marknadsandelar bör huvudsakligen beräknas utifrån objektiva uppgifter. Riktlinjerna avser att underlätta arbetet för tillsynsmyndigheterna vid beslutsfattandet om vilka företag som är mest relevanta för rapportering och tillsyn. 4 Wesslau Söderqvist Advokatbyrås rekommendationer Wesslau Söderqvist Advokatbyrå rekommenderar er att gå igenom relevanta samrådsdokument och undersöka hur er verksamhet potentiellt kan påverkas av EIOPA:s föreslagna justeringar av Solvens II-direktivet. Flera samrådsdokument är fortfarande öppna och EIOPA uppmuntrar intressenter att bevaka vilka dokument som EIOPA publicerar samt besvara frågorna i relevanta dokument. EIOPA föreslår att ett makrotillsynsperspektiv integreras i ORSA och framhåller att en utökad tillämpning av ORSA bör baseras på de specifika risker som den enskilda verksamheten exponeras för. EIOPA:s förslag till kompletterande bestämmelser för Solvens II-direktivet i form av tekniska standarder och riktlinjer är fortfarande endast förslag, vilket innebär att de kan komma att revideras efter att berörda intressenter yttrat sig. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Finansinspektionen ingriper mot Dina Försäkringar AB 14 maj 2025 1 Sammanfattning Finansinspektionen, nedan FI, har beslutat att ge Dina Försäkringar AB, nedan Bolaget, en anmärkning och en sanktionsavgift om 10 000 000 kronor för brister i efterlevnad av de regler som bl.a. avser företagsstyrningssystemet och Bolagets centrala funktioner. Vid FI:s undersökning har det visat sig att Bolaget brutit mot relevanta bestämmelser genom att aktuariefunktionen har saknat förutsättningar att utföra sina uppgifter på ett oberoende sätt under en stor del av undersökningsperioden, och att såväl funktionen för internrevision som funktionen för regelefterlevnad har underlåtit att utföra uppgifter som de har varit skyldiga att utföra. 2 Bakgrund Bolaget är ett skadeförsäkringsaktiebolag som har Finansinspektionens tillstånd att driva försäkringsrörelse enligt försäkringsrörelselagen (2010:2043), nedan FRL. Tillståndet gäller både för direkt försäkring och för mottagen återförsäkring i flera skadeförsäkringsklasser. I mars 2023 inledde FI en undersökning av Bolaget för att kontrollera om Bolaget följde de bestämmelser om företagsstyrning som avser aktuariefunktionens oberoende, regelefterlevnadsfunktionens uppgifter och internrevisionsfunktionens uppgifter. Inom ramen för undersökningen har FI begärt in dokumentation från Bolaget och genomfört platsbesök hos Bolaget. FI har därutöver tagit del av de uppgifter som Bolaget har lämnat skriftligen, bl.a. i yttrande över inspektionens iakttagelser och preliminära bedömningar samt över inspektionens övervägande om att ingripa mot Bolaget. Det är av stor betydelse för samtliga centrala funktioner att de kan utföra sitt uppdrag på ett objektivt, korrekt och oberoende sätt. Därför innehåller regelverket också krav på hur försäkringsföretagen ska införliva funktionerna och deras rapporteringsvägar i sin organisationsstruktur på ett sätt som garanterar frihet från påverkan och som kan äventyra funktionernas oberoende ställning. Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se 3 Identifierade överträdelser För att ett företags verksamhet ska kunna bedrivas ansvarsfullt, sunt och stabilt över tid krävs att organisationen styrs på ett tillfredställande sätt. En effektiv företagsstyrning anses särskilt viktigt för de kategorier av finansiella företag som är av större betydelse för en väl fungerande finansmarknad. Utöver grundläggande associationsrättsliga bestämmelser i exempelvis aktiebolagslagen (2005:551) innehåller därför regleringen på finansmarknadsområdet särskilda bestämmelser om företagsstyrning. Undersökningen visar att aktuariefunktionen har saknat förutsättningar att utföra sina uppgifter på ett oberoende sätt under en stor del av undersökningsperioden och att såväl funktionen för internrevision som funktionen för regelefterlevnad har underlåtit att utföra uppgifter som de har varit skyldiga att utföra. 3.1 Aktuariefunktionen Bolaget har under undersökningsperioden organiserat sig på så sätt att ansvaret för att utföra aktuarieuppgifter i den operativa affärsverksamheten (första linjen) placerats på den s.k. aktuariegruppen. Aktuariegruppens ansvar var bl.a. att genomföra beräkningar av försäkringstekniska avsättningar, utföra bokslutsrelaterade uppgifter och att upprätthålla återförsäkringsskyddet. Under samma tid bestod aktuariefunktionen (andra linjen) huvudsakligen av den person som ansvarade för funktionen. Därtill har den som ansvarade för aktuariefunktionen samtidigt varit chef för aktuariegruppen, det vill säga gruppen av aktuarier i den operativa verksamheten. Samma person hade även uppdrag av Bolagets styrelse att bl.a. vara delaktig i Bolagets lönsamhetsarbete och operativt delaktig i Bolagets prissättning. FI anser att aktuariefunktionen under perioden 1 januari 2020 – 25 februari 2022 har saknat förutsättningar att utföra sina uppgifter på ett sätt som garanterat frihet från påverkan som kan äventyra funktionens förmåga att utföra sina uppgifter på ett objektivt, korrekt och oberoende sätt. Det innebär även att Bolaget under samma tid inte har införlivat aktuariefunktionen på det sätt som krävs enligt artikel 268.1 i Solvens II-förordningen. 2 (5) 3.2 Funktionen för internrevision Ett försäkringsföretag ska enligt 10 kap. 1 § FRL ha ett företagsstyrningssystem som säkerställer att företaget styrs på ett sunt och ansvarsfullt sätt och systemet ska ses över regelbundet av företaget. Det yttersta ansvaret för att så sker ligger hos styrelsen. För att styrelsen ska ges förutsättningar att fatta beslut om nödvändiga ändringar och justeringar av företagsstyrningen krävs en regelbunden översyn av företagsstyrningssystemet. En central funktion i det sammanhanget är funktionen för internrevision som har i uppgift att på styrelsens uppdrag utvärdera företagsstyrningssystemet, rapportera sina iakttagelser och lämna rekommendationer till styrelsen. Ingen av de granskningar som funktionen för internrevision genomförde under 2021 och 2022 har omfattat någon annan del av företagsstyrningssystemet än systemet för internkontroll. Rapporterna från de granskningar av motorskaderegleringsprocessen och kompetensförsörjningsprocessen som funktionen genomförde under 2022 innehåller exempelvis inte något som gör det möjligt att dra slutsatsen att granskningarna omfattade andra delar av företagsstyrningssystemet. Detsamma gäller rapporterna från de granskningar som utfördes respektive inleddes under 2021 och som avsåg företagets utvecklingsprocess samt översyn och upphandling av it-drift, utbetalningsprocessen och affärsplaneringsprocessen. Bolaget har anfört att vissa av granskningarna innehöll bedömningar av företagsstyrningssystemets lämplighet och effektivitet, men FI menar att detta inte har varit möjligt att utläsa av underlaget. FI har i undersökningen konstaterat att de granskningar som funktionen för internrevision genomförde under 2021 och 2022 inte har omfattat någon utvärdering av andra delar av företagsstyrningssystemet än systemet för internkontroll. Att funktionen fört en dialog med övriga centrala funktioner om utvärderingsmetodik avseende företagsstyrningssystemet ändrar inte den bedömningen. 3.3 Funktionen för regelefterlevnad FI har under undersökningsperioden granskat regelefterlevnadsfunktionens riskanalyser och årsplaner samt underlaget för riskanalyserna. FI har även granskat funktionens kvartalsrapporter och årsrapporter. Därutöver har FI granskat dels dokumentationen av regelefterlevnadsfunktionens kontroller av Bolagets produktgodkännandeprocess och produkttillsyn, dels de handlingar som rör funktionens utvärdering av intern styrning och kontroll samt intressekonflikter under 2022. 3 (5) I det granskade underlaget använder Bolaget begreppen monitorering, kontroller och granskningar för att beskriva olika typer av utvärderingar av verksamheten som regelefterlevnadsfunktionen utför. Enligt Bolaget särskiljer sig begreppen främst på så sätt att granskningar är mer djupgående och omfattande än funktionens kontroller, som i sin tur är mer omfattande än den monitorering som funktionen utför. Bolagets funktion för regelefterlevnad har kvartalsvis för 2021 och 2022, och även för helåret 2021, rapporterat till styrelsen och den verkställande direktören om vilka aktiviteter som funktionen har utfört. Av rapporterna framgår att funktionen under 2021 och 2022 inte har genomfört några granskningar av Bolagets regelefterlevnad. De kontroller som funktionen har utfört under samma tid har enligt funktionens rapporter begränsat sig till att under 2021 avse Bolagets process för produktgodkännande och produkttillsyn och under 2022 avse en årlig uppföljande kontroll av processen för produktgodkännande. Av utredningen framgår att de rapporter som funktionen tillställt den verkställande direktören och styrelse under undersökningsperioden inte innehåller några redogörelser för Bolagets regelefterlevnad inom det reglerade ansvarsområdet. Att funktionen för regelefterlevnad i sina riskanalyser omnämnt olika riskområden på ett övergripande sätt innebär inte att riskerna identifierats, bedömts och rapporterats på det sätt som krävs enligt 10 kap. 16 § FRL. 4 Finansinspektionens ingripande FI:s undersökning visar att det har funnits brister i Bolagets företagsstyrning. Bristerna har avsett centrala funktioner i Bolaget och har i huvudsak förelegat under två av de tre år som undersökningen avsett. Överträdelserna kan inte anses vara ringa eller ursäktliga. Den omständigheten att Bolaget vid ett möte med FI 2016 påstår sig ha informerat företrädare för inspektionen om att den ansvarige för aktuariefunktionen även var chef för aktuariegruppen, föranleder inte någon annan bedömning eftersom det inte gjorts gällande att inspektionen meddelat något beslut i frågan och då det inte heller framkommit någon annan omständighet i dialogen med inspektionen som gett Bolaget anledning att utgå från att inspektionen lämnat sitt godkännande. FI beslutade att överträdelserna var av sådan karaktär att det inte fanns utrymme att avstå från att ingripa. Sanktionsavgiftens storlek fastställdes till 10 000 000 kronor som ansågs vara en proportionerlig åtgärd utifrån överträdelsernas omfattning och Bolagets ekonomiska ställning. 4 (5) 5 Wesslau Söderqvist Advokatbyrås rekommendationer Wesslau Söderqvist Advokatbyrå anser att beslutet ger en bra inblick i vad FI bedömer såväl som oberoende som vad som är en lägsta nivå för vad olika typer av kontrollfunktioner behöver göra i tillståndspliktig verksamhet. Därtill påvisar också beslutet att kontrollfunktionerna behöver upprätthållas på ett sådant sätt att oberoendet kan upprätthållas samt att tillräckliga resurser ges funktionerna för att fullt ut kunna kontrollera en verksamhet i enlighet med gällande regler. Därtill visar beslutet på vikten av tydligt dokumenterade riskanalyser som faktiskt dokumenteras och arbetas efter, samt att arbete i enlighet med riskanalyser och planer faktiskt genomförs på så vis som de är tänkta då de författades. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 5 (5) Nyhetsbrev Ang. EU:s tillgänglighetsdirektiv 20 maj 2025 1 Bakgrund Den 28 juni 2025 träder lagen (2023:254) om vissa produkters och tjänsters tillgänglighet i kraft, nedan Tillgänglighetslagen. Lagen genomför EU:s tillgänglighetsdirektiv (EU) 2019/882, nedan Tillgänglighetsdirektivet, och syftar till att förbättra tillgängligheten för personer med funktionsnedsättning och säkerställa att fler produkter och tjänster blir tillgängliga för alla. Det handlar om att skapa en inkluderande digital miljö där alla kan delta fullt ut. För att uppnå detta ställs krav på hur vissa produkter och tjänster ska vara utformade. Många aktörer berörs av Tillgänglighetsdirektivet och avgörande är vilken typ av tjänst som aktören tillhandahåller. Bland annat omfattar Tillgänglighetsdirektivet tjänster som tillhandahålls konsumenter, såsom banktjänster. Det innebär att vissa finansiella aktörer, exempelvis fondbolag, försäkringsbolag och värdepappersbolag, måste säkerställa att deras tjänster är tillgängliga för personer med funktionsnedsättning. Detta nyhetsbrev ger en översikt över vilka finansiella aktörer som träffas av regleringen och vilka krav som genom Tillgänglighetsdirektivet ställs på dessa. 2 Tillgänglighetsdirektivets krav för vissa finansiella tjänster 2.1 Tjänster som omfattas av direktivet Tillgänglighetsdirektivet omfattar ett urval av produkter och tjänster som bedöms vara av särskild betydelse i det digitala samhället. De tjänster som omfattas är främst elektroniska kommunikationstjänster såsom internetanslutningstjänster och interpersonella kommunikationstjänster, audiovisuella medietjänster och e-handelstjänster. Därutöver omfattas ett antal finansiella tjänster för konsumenter. I Tillgänglighetsdirektivet benämns de som banktjänster för konsumenter och inbegriper kreditavtal mellan kreditgivare och konsumenter, tjänster som mottar och vidarebefordrar order i fråga om ett eller flera finansiella instrument, tjänster som utför order på kunders uppdrag, portföljförvaltning eller investeringsrådgivning. Även betaltjänster, tjänster kopplade till öppnandet, användandet och avslutandet av betalkonton och elektroniska pengar, omfattas av Tillgänglighetsdirektivet. Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se Till detta kommer att vissa sidotjänster till dessa banktjänster omfattas. Sidotjänsterna omfattar förvaring och administration av finansiella instrument för kunders räkning, bland annat värdepappersförvaring och liknande tjänster, lämnande av kredit eller lån till en investerare för att möjliggöra för investeraren att genomföra en transaktion i ett eller flera finansiella instrument i de fall företaget som ger krediten eller lånet deltar i transaktionen, valutatjänster om de har samband med investeringstjänster och slutligen investerings- och finansanalys och andra former av allmänna rekommendationer gällande handel med finansiella instrument. För banktjänster och finansiella tjänster som omfattas av regleringen kommer den nya Tillgänglighetslagen att vara tillämplig vid sidan av redan existerande reglering. För värdepappersbolag innebär det att lagen (2007:528) om värdepappersmarknaden, nedan Värdepappersmarknadslagen, därför kommer att kompletteras med krav på att information ska vara tillgänglig också för personer med funktionsnedsättning. Värdepappersmarknadslagen reglerar bland annat att värdepappersbolag ska förse sina kunder med lämplig och lättförståelig information i god tid innan institutet tillhandahåller en investeringstjänst eller en sidotjänst. Informationen ska ge kunderna rimliga möjligheter att förstå arten av de investeringstjänster och finansiella instrument som institutet erbjuder och vilka risker som är förknippade med dem. I Värdepappersmarknadslagen saknas bestämmelser som reglerar hur information ska tillhandahållas personer med funktionsnedsättning. Genom den nya regleringen kommer därför tillgänglighetskraven att gälla parallellt med Värdepappersmarknadslagens redan befintliga krav. 2.2 Undantag från tillgänglighetskraven Regelverket medger undantag från tillgänglighetskraven under vissa förutsättningar. Ett tillgänglighetskrav får frångås om det kan påvisas att kravet skulle medföra en väsentlig förändring av tjänstens grundläggande karaktär, eller att kravet skulle innebära en oproportionerlig ekonomisk och administrativ börda för den berörda ekonomiska aktören. Om en aktör bedömer att ett visst tillgänglighetskrav inte är tillämpligt ska detta dokumenteras på ett ändamålsenligt sätt. Dokumentationen ska innehålla en motiverad redogörelse för ställningstagandet och bevaras för eventuell granskning. Aktören är därutöver skyldig att informera den ansvariga myndigheten Post- och telestyrelsen om att undantaget tillämpas. 2.3 Krav för de banktjänster och finansiella tjänster som omfattas av regleringen Tillgänglighetsdirektivet uppställer krav på att tjänster tillhandahålls på ett sätt som möjliggör likvärdig och förutsebar användning för personer med funktionsnedsättning. Dessutom ska tydlig information tillhandahållas om hur tjänsten fungerar. 2 (3) En grundläggande princip är att information om användningen av tjänsten ska kunna uppfattas med mer än ett sinne. Det kan exempelvis innebära att tillhandahålla elektroniska dokument som är kompatibla med skärmläsare, så att personer med synnedsättning kan ta del av innehållet. Informationen ska vidare presenteras på ett begripligt sätt, på ett sätt som användare kan uppfatta. Dessutom ska informationen presenteras i ett lämpligt typsnitt, med lämplig storlek och form, med tillräcklig kontrast och med justerbart avstånd mellan bokstäver, rader och stycken. Härtill ska informationsinnehållet göras tillgängligt i ett format som möjliggör framställning av alternativa presentationsformer, exempelvis ljud eller punktskrift. För tjänster ställs också krav på digital tillgänglighet. Webbplatser, tillhörande nätapplikationer, samt tjänster för mobila enheter, inklusive appar, ska göras tillgängliga på ett enhetligt och ändamålsenligt sätt genom att de ska göras uppfattningsbara, hanterbara, begripliga och robusta. I det fall stödtjänster erbjuds måste även dessa, via tillgängliga kommunikationssätt, tillhandahålla information om tjänstens tillgänglighet och kompabilitet med tekniska hjälpmedel. Att även stödtjänster omfattas följer av faktumet att det är den som tillhandahåller en tjänst som bär det fulla ansvaret för att tjänsten är tillgänglighetsanpassad. 3 Wesslau Söderqvist Advokatbyrås rekommendationer Tillgänglighetsdirektivet som börjar tillämpas den 28 juni 2025 syftar till att göra elektroniska tjänster tillgängliga för alla, för att skapa ett mer inkluderande samhälle och öka allas möjlighet till ett självständigt liv. Tillgänglighetsregleringen omfattar vissa finansiella aktörer som tillhandahåller bank- och betaltjänster. Wesslau Söderqvist Advokatbyrå rekommenderar att företag inledningsvis analyserar om deras tjänster omfattas av direktivets tillämpningsområde. I förekommande fall bör det även utredas om företaget kvalificerar sig för undantaget avseende oproportionerlig börda. För företag som omfattas av Tillgänglighetsdirektivet rekommenderas att en tillgänglighetsanalys genomförs i syfte att säkerställa att tjänsterna är utformade för förutsebar och likvärdig användning även för personer med funktionsnedsättning. Härvid måste företaget också säkerställa att dessa personer ges tillgång till information om hur tjänsten fungerar. Slutligen rekommenderas att interna rutiner och processer ses över för att säkerställa att nytt material och utvecklingen framåt sker i enlighet med tillgänglighetskraven. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Tillstånd för valutaväxling och betaltjänster 27 maj 2025 1 Bakgrund Lagen (2025:250) om valutaväxling och lagen om ändring i lagen (2010:751) om betaltjänster träder i kraft den 1 juli 2025. Det innebär att tillstånd kommer att krävas för valutaväxling och för samtliga typer av betaltjänster med undantag för kontoinformationstjänster. Följande förändringar medför att valutaväxlare och registrerade betaltjänstleverantörer kommer att avregistreras om de inte ansöker om tillstånd hos Finansinspektionen, nedan FI. FI får besluta om sanktionsavgift för den som bedriver valutaväxling eller verksamhet som omfattas av lagen (2010:751) om betaltjänster utan att vara berättigad till det. 2 Information om lagändringarna Enligt lagen (2025:250) om valutaväxling är det endast betalningsinstitut, institut för elektroniska pengar och kreditinstitut samt filialer till motsvarande utländska företag som får bedriva valutaväxling. Lagändringarna har resulterat i att alla betaltjänster förutom kontoinformationstjänster omfattas av tillståndsplikt. Däremot får de företag som enbart tillhandahåller kontoinformationstjänster fortsätta som registrerade betaltjänstleverantörer. Det återfinns även ett starkt konsumentskydd i regelverket. Den som bedriver valutaväxling ska bl.a. tydligt informera om tillämpade växelkurser och avgifter. Lagändringarna medför även att lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorisms, nedan penningtvättslagen, tillämpningsområde utvidgas. Registrerad betaltjänstleverantör som endast erbjuder kontoinformationstjänster kommer således att omfattas av penningtvättslagen. Det framkommer av lagen (2025:250) om valutaväxling att betalningsinstitut, institut för elektroniska pengar och kreditinstitut ska medverka till att förhindra penningtvätt och finansiering av terrorism. Av de kommande lagändringarna följer även att FI får besluta om sanktionsavgift för den som bedriver valutaväxling eller verksamhet som omfattas av lagen (2010:751) om betaltjänster utan tillstånd. De företag som har registrerats som valutaväxlare eller beviljats undantag från tillståndsplikt att tillhanda betaltjänster före den 1 juli 2025 får fortsätta med verksamheten till och med den 31 december 2025. Det finns även möjlighet för företag att fortsätta med Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se verksamheten efter den 31 december 2025 till dess att FI prövat ansökan slutligt. Det förutsätter däremot att valutaväxlaren eller den registrerade betaltjänstleverantören skickar in en ansökan om tillstånd till FI före den 1 januari 2026. 3 Wesslau Söderqvist Advokatbyrås rekommendationer Wesslau Söderqvist Advokatbyrå rekommenderar finansiella aktörer att identifiera om verksamheten omfattas av tillståndsplikten enligt lagen (2025:250) om valutaväxling. De som före den 1 juli 2025 har registrerats som valutaväxlare eller beviljats undantag från tillståndsplikt att tillhandahålla betaltjänster får fortsätta med verksamheten till och med den 31 december 2025. FI får besluta om sanktionsavgift vid otillåten verksamhet. Det är därför av yttersta vikt att er verksamhet antingen ansöker om tillstånd i tid eller upphör med tillståndspliktig verksamhet innan övergångsperioden löper ut. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 2 (2) Nyhetsbrev Ang. Riktlinjer för hantering av ESG-risker 12 juni 2025 1 Bakgrund EBA har den 9 januari 2025 publicerat riktlinjer för hantering av risker avseende miljö, samhällsansvar och bolagsstyrning, nedan ESG-risker. Riktlinjerna för hantering av ESG-risker belyser nya krav om ESG-risker som har införlivats genom EU:s nya bankpaket CRD6 och CRR3. Finansinspektionen har meddelat EBA att de avser att följa riktlinjerna med reservation för att genomförandeprocessen i Sverige beträffande de bakomliggande direktivbestämmelserna ännu inte är avslutad. Riktlinjerna gäller för auktoriserade kreditinstitut som omfattas av regulatoriska krav inom ramen för EBA:s tillsynsmandat. Därutöver omfattas vissa värdepappersföretag som behöver ansöka om auktorisation enligt CRD. Riktlinjerna ska tillämpas senast från och med den 11 januari 2026, med undantag för små och icke-komplexa institut som kan avvakta med tillämpning av riktlinjerna fram till den 11 januari 2027. Ansökan om att klassificeras som ett litet och icke-komplext institut kan ges in till Finansinspektionen, under förutsättning att kraven i artikel 4.1.145 i förordning (EU) nr 575/2013 (tillsynsförordningen) är uppfyllda. 2 Riktlinjer för hantering av ESG-risker 2.1 Introduktion EBA har publicerat en slutrapport om riktlinjer för hantering av ESG-risker.1 Riktlinjerna beskriver institutens processer för hantering av ESG-risker som en del av deras bredare ram för riskhantering. Riktlinjerna föreskriver om interna styrformer, processer och planer. Kreditinstitut ska införliva interna styrformer och processer för att identifiera, mäta, hantera och övervaka ESG-risker. Kreditinstitut ska även utarbeta planer i form av tidslinjer och mål. Kreditinstitut ska således visa hur de kommer att övervaka och hantera ESG-risker. 1 Guidelines on the management of ESG risks (EBA GL 2025 01)_SV_COR.docx Wesslau Söderqvist Advokatbyrå i Stockholm KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, Tel +46 (0)8-407 88 00 Org.nr 969692-4969, info@wsa.se, www.wsa.se 2.2 Referensmetoder för identifiering och mätning av ESG-risker Referensmetoder för identifiering och mätning av ESG-risker ska ingå i institutens strategier och interna förfaranden. Instituten ska även genomföra regelbundna väsentlighetsbedömningar av ESG-risker. Väsentlighetsbedömningar av ESG-risker avser att tillhandahålla institut en bild av ESG-riskernas finansiella väsentlighet för dess affärsmodell och riskprofil. EBA anför att en sådan bedömning bör genomföras minst en gång om året. Små och icke-komplexa institut behöver endast genomföra en sådan bedömning vartannat år. Instituten bör även vid identifiering och mätning av ESG-risker inkludera hjälpmedel och metoder för att bedöma ESG-riskfaktorer och deras överföringskanaler i de olika kategorier av tillsynsrisk och finansiella riskmått som påverkar institutets exponeringar. Instituten ska beakta de potentiella effekterna av dessa risker på kort, medellång och lång sikt. Instituten ska säkerställa säkra system för informationshantering. 2.3 Minimistandarder och referensmetoder för hantering och övervakning av ESG- risker Instituten ska ta hänsyn till ESG-riskernas roll som potentiella drivkrafter bakom alla traditionella kategorier av finansiella risker. Finansiella risker utgör kredit-, marknads- och likviditetsrisker, operativa risker, anseenderisker, risker som rör affärsmodellen och koncentrationsrisker. ESG-risker ska även beaktas i institutens affärs- och riskstrategier. ESG-risker som ingår i institutens riskinventering ska tydligt definieras och hanteras i deras riskaptit. 3 Wesslau Söderqvist Advokatbyrås rekommendationer Wesslau Söderqvist Advokatbyrå rekommenderar finansiella aktörer som omfattas av riktlinjerna att anpassa interna styrformer och processer för att kunna identifiera, mäta, hantera och övervaka ESG-risker. Syftet är att integrera arbetet med ESG-risker på bolagsnivå, inbegripet i hanteringen av kapitaltäckningsfrågor. Riktlinjerna börjar tillämpas den 11 januari 2026 och Finansinspektionen har meddelat EBA att de avser att följa riktlinjerna med reservation för att genomförandeprocessen i Sverige beträffande de bakomliggande direktivbestämmelserna ännu inte är avslutad. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 2 (2) Nyhetsbrev Ang. Finansinspektionen ingriper mot Magnasense AB (tidigare AegirBio AB) 27 juni 2025 1 Sammanfattning Finansinspektionen har granskat om Magnasense AB (tidigare AegirBio AB), nedan Bolaget, brutit mot artikel 17.1 i EU:s marknadsmissbruksförordning (MAR), som avser skyldigheten att offentliggöra insiderinformation på ett korrekt sätt och i rätt tid. Granskningen omfattar perioden från maj 2021 till februari 2022. Utredningen visar att Bolaget vid upprepade tillfällen, mellan den 4 maj och den 27 oktober 2021, inte uppfyllde kraven i artikel 17.1. Bolaget har underlåtit att offentliggöra insiderinformation på ett sådant sätt att allmänheten utan dröjsmål får tillgång till informationen och ges möjlighet att i rätt tid göra en fullständig och korrekt bedömning. Att ett börsnoterat bolag sköter sin informationsgivning korrekt är avgörande för att aktiemarknaden ska fungera. Investerarnas förtroende för både Bolaget och marknaden bygger på att informationen som lämnas är tydlig och tillförlitlig. I förevarande fall har Bolagets missvisande och ofullständiga kommunikation lett till att marknaden fått en felaktig bild av Bolagets verksamhet och framtida intäkter, vilket i sin tur har orsakat skada för investerare. Finansinspektionen bedömer att överträdelserna är allvarliga och beslutar därför att tilldela Bolaget en sanktionsavgift om 12 miljoner kronor. 2 Bakgrund Bolaget är ett svenskt diagnostikföretag vars aktier är noterade på Nasdaq First North Growth Market sedan den 26 juni 2020. Bolaget bytte namn från AegirBio AB till Magnasense AB den 8 juli 2024. Bolaget utvecklar tester för att övervaka och optimera dosering av biologiska läkemedel. Under covid-19-pandemin breddades verksamheten till att även omfatta salivbaserade snabbtester för viruset. Enligt årsredovisningen för 2024 saknade Bolaget nettoomsättning det året. Trots detta uppgick dock omsättningstillgångarna till cirka 36,1 miljoner kronor och det egna kapitalet till cirka 8,7 miljoner kronor. Org.nr , , www.wsa.se Under våren 2025 genomförde Bolaget en företrädesemission som tillförde cirka 15,4 miljoner kronor före avdrag för kostnader och kvittningar. 3 Identifierade överträdelser Bolaget har under perioden 2021-2022 gjort sig skyldigt till flera överträdelser som rör felaktig information, bristande transparens och missvisande kommunikation gentemot marknaden. 3.1 Felaktig och vilseledande information om order och leveranser Bolaget offentliggjorde under 2021 stora order från den asiatiska marknaden, vilket gav intrycket av omfattande försäljning och stor efterfrågan. I verkligheten hade dessa ordrar varken fullgjorts eller betalats enligt avtal. Flera av de ordrar som kommunicerades utgjorde dessutom ersättningar eller justeringar av tidigare beställningar. Leveranser från Bolaget till NowMed skedde ofta utan full betalning från beställaren och påverkades av tullproblem, där en del av godset återtogs från Thailand till Sverige. Den indiske beställarens exklusiva distributionsavtal och stora ordervolym omfattades inte heller av upphörandeavtalet, vilket bidrog till en missvisande bild av Bolagets försäljningssituation. 3.2 Bristande upplysningar om produktgodkännande och regulatoriska beslut Under våren 2021 kommunicerade Bolaget att man var nära att erhålla dispens från kraven på CE-märkning för hemmabrukstester från Läkemedelsverket. Detta visade sig vara felaktigt då Läkemedelsverket den 29 juni 2021 avslog ansökan på grund av bristande dokumentation. Bolaget valde att inte offentliggöra detta negativa beslut och fortsatte i stället att ge en positiv bild av produktens godkännandestatus. Bolagets överklagande av beslutet avslogs även det utan att marknaden informerades, vilket kan ha påverkat investerare och andra marknadsaktörer i fel riktning. 3.3 Finansiella brister och hantering av lånefinansiering Bolaget hade under 2021 stora likviditetsproblem, vilket resulterade i att den verkställande direktören lånade ut 5 miljoner kronor via sitt eget bolag. Trots att detta lån godkändes av styrelsen, offentliggjordes det inte, vilket utgör en brist i transparensen gentemot aktiemarknaden. Dessutom hade Bolaget svårigheter att erhålla förskottsbetalningar från NowMed, vilket ytterligare påverkade produktionen och orderflödet negativt. 2 (4) 3.4 Otillräcklig information om faktiskt produktion och försäljning Bolaget kommunicerade under 2021 stora ordervolymer och producerade totalt 1,55 miljoner tester, medan antalet sålda tester uppgick till omkring 176 000 såldes samma år. En större beställning om 1,5 miljoner tester avbröts dessutom på grund av krav på förskottsbetalning, något som inte kommunicerades öppet. Den faktiska produktionen och försäljningen stod därmed i tydlig kontrast till de uppgifter som kommunicerades offentligt, vilket gav en missvisande bild av bolagets verksamhet. 4 Finansinspektionens ingripande 4.1 Finansinspektionens bedömning av bolagets agerande Finansinspektionen har granskat Bolaget och funnit att de vid upprepade tillfällen under 2021 lämnade insiderinformation som var ofullständig, missvisande eller felaktig. Exempelvis dolde Bolaget viktiga villkor i distributionsavtalet som var avgörande för bedömningen av Bolagets framtidsutsikter. Dessutom gav Bolaget oriktiga uppgifter om större beställningar och överdrivet positiva besked om myndighetsbeslut, vilket skapade en förvrängd bild av företagets verkliga situation. Därtill var informationen kring produktionskapacitet och leveranstider bristfällig och felaktig, vilket ytterligare ökade investerarnas osäkerhet. 4.2 Konsekvenser och beslut om sanktionsavgift Finansinspektionen anser att dessa brister och felaktigheter är allvarliga och har påverkat marknadens förtroende negativt. Trots att Bolaget har samarbetat under utredningen och tidigare ålagts ett vite för liknande förseelser, bedöms överträdelserna vara tillräckligt allvarliga för att motivera en sanktionsavgift. Myndigheten har därför beslutat att utdöma en sanktionsavgift om 12 miljoner kronor, vilket bedöms vara en proportionerlig påföljd med hänsyn till överträdelsens omfattning och allvar. 5 Wesslau Söderqvist Advokatbyrås rekommendationer Beslutet belyser skyldigheten för börsnoterade bolag att offentliggöra insiderinformation på ett sätt som säkerställer att allmänheten omedelbart får tillgång till korrekt och fullständig information, och således ges möjlighet att bilda sig en välgrundad och korrekt uppfattning om bolagets situation. 3 (4) Wesslau Söderqvist Advokatbyrå bedömer att beslutet även kan ha viss relevans för bolag inom den finansiella sektorn som inte är börsnoterade, men som på olika sätt har affärsförbindelser med noterade bolag. Beslutet understryker vikten av att genomföra en grundlig due diligence inför investeringsbeslut och att företags offentliga rapporter inte nödvändigtvis speglar den faktiska verksamheten. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå. 4 (4) Nyhetsbrev Ang. Guide avseende tillsyn av tredjepartsleverantörer enligt DORA 25 september 2025 1. Bakgrund I juni 2025 har Europeiska värdepappers- och marknadsmyndigheten publicerat principer för tillsyn av tredjepartsrisker, inklusive risker relaterade till informations- och kommunikationsteknologi (IKT), som regleras särskilt i DORA-förordningen.1 Kort därefter, den 15 juli 2025, har de tre europeiska tillsynsmyndigheterna Europeiska värdepappers- och marknadsmyndigheten (ESMA), Europeiska bankmyndigheten (EBA) och Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA) (Esorna) publicerat en guide avseende tillsyn av kritiska tredjepartsleverantörer enligt DORA. Guidens syfte är att ur ett praktiskt perspektiv förklara hur Esornas tillsyn av kritiska tredjepartsleverantörer organiseras och genomförs. Den riktar sig till kritiska tredjepartsleverantörer, finansiella aktörer samt behöriga myndigheter. I detta nyhetsbrev sammanfattas centrala moment i tillsynsprocessen enligt DORA, baserat på guiden: • Klassificering av kritiska tredjepartsleverantörer, • riskbedömning och planering, • granskning, samt • rekommendationer och uppföljning. Guiden är icke-bindande men fungerar som ett praktiskt stöd för att förstå DORA:s tillsynsramverk. 2. Klassificering av kritiska tredjepartsleverantörer Esorna ska årligen offentliggöra en förteckning över kritiska tredjepartsleverantörer. Klassificeringen grundas på uppgifter som återfinns i registren över finansiella aktörers avtalsförhållanden med 1 Se nyhetsbrevet ang. ESMA:s principer för myndigheters tillsyn av tredjepartsrisker skickat den 4 juli 2025 HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ tredjepartsleverantörer av IKT-tjänster samt på annan tillgänglig information. Artikel 31 i DORA och kommissionens delegerade förordning2 anger kriterierna för klassificeringen, som är följande: • Systempåverkan på stabiliteten, kontinuiteten eller kvaliteten på tillhandahållandet av finansiella tjänster om tredjepartsleverantören skulle drabbas av ett omfattande driftsavbrott i tillhandahållandet av tjänster, • påverkan på, eller betydelsen för, de finansiella aktörer som är beroende av tredjepartsleverantören av IKT-tjänster, • finansiella aktörers beroende av tredjepartsleverantören av IKT-tjänster för kritiska eller viktiga funktioner, direkt eller indirekt via underleverantörer, samt • graden av utbytbarhet av tredjepartsleverantörens IKT-tjänster. Inom ramen för Esornas bedömning av vilka tredjepartsleverantörer som ska klassificeras som kritiska, utifrån de fyra kriterierna i artikel 31 i DORA, tillämpas elva delkriterier i en tvåstegsprocess. Först granskas informationsregistren från finansiella aktörer via behöriga myndigheter mot sex kvantitativa kriterier och därefter utvärderas leverantörerna mot fem kvalitativa kriterier för att avgöra om de ska klassificeras som kritiska enligt DORA.3 Tredjepartsleverantörer som initialt klassificeras som kritiska får sex veckor på sig att lämna återkoppling och annan relevant information till Esorna. När klassificeringen är fastställd åläggs kritiska tredjepartsleverantörer att betala tillsynsavgifter till de behöriga myndigheterna. Tredjepartsleverantörer som inte klassificerats som kritiska kan ansöka om omprövning av sin klassificering. 3. Riskbedömning och planering Varje år ska den aktuella tillsynsmyndigheten kartlägga riskprofilen för varje kritisk tredjepartsleverantör och bedöma de risker som leverantören står inför samt vilka åtgärder som har vidtagits för att hantera dessa risker. Bedömningen tar hänsyn till både interna och externa risker kopplade till de IKT-tjänster som leverantören tillhandahåller finansiella aktörer. Resultatet används för att prioritera tillsynsinsatser och ligger till grund för både leverantörers individuella tillsynsplan och den årliga strategiska planen som omfattar samtliga kritiska tredjepartsleverantörer. 4. Granskning Tillsynen utförs av den gemensamma undersökningsgruppen (Joint Examination Team) bestående av medarbetare från Esorna, behöriga myndigheter för finansiella aktörer och de myndigheter som 2 Digital Operational Resilience Regulation - European Commission 3 Delkriterierna framgår av figur 5 i guiden, se”Figure 5: Criticality assessment criteria” 2 (4) ’ enligt NIS-regleringen4 utövar tillsyn över kritiska tredjepartsleverantörer. Tillsynen omfattar både kontinuerlig översyn av kritiska tredjepartsleverantörer och granskningar enligt den årliga tillsynsplanen, genom generella utredningar eller platsinspektioner. Vid oförutsedda händelser, såsom incidenter eller nya hot, kan myndigheterna begära ytterligare information för att avgöra om en inspektion eller annan utredande åtgärd är nödvändig. Guiden beskriver dessa tillsynsaktiviteter i detalj, se avsnitt 5.3.1–5.3.5. Om den aktuella tillsynsmyndigheten inte kan uppnå tillsynsmålen genom kontakt med en tredjepartsleverantörs dotterbolag i EU eller enbart genom tillsynsverksamhet i lokaler inom unionen, får myndigheten utöva sina befogenheter i lokaler belägna i ett tredjeland. Lokalerna måste ägas eller användas av en kritisk tredjepartsleverantör som tillhandahåller tjänster till finansiella aktörer inom EU. Ytterligare krav framgår i guiden. 5. Rekommendationer och uppföljning Efter granskningar ska den aktuella tillsynsmyndigheten utfärda rekommendationer till kritiska tredjepartsleverantörer och följa upp att rekommendationerna efterlevs. Varje rekommendation kopplas till en specifik observation från granskningen, vilket tydliggör vilka områden som behöver åtgärdas för att uppfylla DORA-kraven. Tillsynsramverket föreskriver en särskild roll för behöriga myndigheter i uppföljningen. Eftersom de utövar tillsyn över finansiella aktörer säkerställer de att identifierade risker följs upp korrekt för aktörer som använder tjänster från kritiska tredjepartsleverantörer. Som en del av uppföljningen kan de aktuella tillsynsmyndigheterna även begära att behöriga myndigheter rapporterar sin bedömning av vilken effekt som rekommendationerna har på de finansiella aktörerna. Om en kritisk tredjepartsleverantör inte följer rekommendationerna kan leverantörens identitet offentliggöras, tillsammans med information om typ och omfattning av bristen på efterlevnaden av DORA. Den aktuella tillsynsmyndigheten kan dessutom ge vägledande yttranden till behöriga myndigheter och som sista åtgärd kan den behöriga myndigheten kräva att en finansiell aktör upphör med att använda leverantörens tjänst. 6. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att finansiella aktörer fortsätter att integrera tredjepartsrisker i sin löpande riskhantering. Tillsynsramverket för kritiska tredjepartsleverantörer 4 Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS) och Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2- direktivet). 3 (4) ’ ställer höga krav på leverantörerna, vilket i sin tur medför ansvar för finansiella aktörer som har avtal med sådana leverantörer. Det är därför av stor vikt att noggrant granska leverantörer innan avtal ingås, ändras eller förnyas. För avtal som redan finns med kritiska tredjepartsleverantörer bör löpande övervakning ske, med särskild uppmärksamhet på om behöriga myndigheter uppmärksammar leverantörers bristande efterlevnad av DORA. Vid sådana situationer bör den finansiella aktören utvärdera relationen med leverantören och vid behov vidta åtgärder, såsom att tillfälligt eller permanent avsluta avtalet. Mot bakgrund av detta kan det även vara relevant att planera för alternativa lösningar och underleverantörer för att minska sårbarheten. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 4 (4) Nyhetsbrev 4 juli 2025 Ang. ESMA:s principer för myndigheters tillsyn av tredjepartsrisker _______________________________________________________________________ 1. Bakgrund Europeiska värdepappers- och marknadsmyndigheten, nedan ESMA, har under juni 2025 publicerat principer för tillsyn av tredjepartsrisker. Majoriteten av finansiella aktörer inom Europeiska unionens, nedan EU, värdepappersmarknadssektorer är beroende av tredjepartsleverantörer för att kunna tillhandahålla specifika tjänster. Traditionellt sett har dessa tjänster tillhandahållits genom utkontraktering. Digitaliseringen har däremot ökat detta beroende och kräver således ett utvidgat tillsynsperspektiv. Användning av tredjepartstjänster kan bidra till förbättrad service, expertis och kostnadsbesparingar. Däremot tillkommer även risker såsom förlust av kontroll, bristande efterlevnad, minskad operativ motståndskraft och koncentrationsrisker. Principerna har införlivats för att hantera de risker som har observerats när finansiella aktörer använder sig av outsourcing, delegering eller andra former av tredjepartstjänster. Principerna erbjuder en gemensam tillsynsbas för nationella behöriga myndigheter och ESMA, ökar tillsynsramarnas robusthet och hjälper de finansiella aktörerna att förstå och hantera tredjepartsrisker. Principerna avser att stödja en gemensam och effektiv tillsyn inom EU. Principerna riktar sig till både tillsynsmyndigheter som ansvarar för att övervaka och reglera aktörer på EU:s finansmarknader, samt finansiella aktörer som står under dessa myndigheters tillsyn. Finansinspektionen är behörig tillsynsmyndighet i Sverige och har ännu inte uttalat sig om detta. ESMA:s principer är icke-bindande och gäller för alla finansiella aktörer inom EU:s värdepappersmarknader som faller inom ESMA:s tillsynsmandat. Det bör noteras att ESMA:s principer för tillsyn av tredjepartsrisker inte omfattar IKT-relaterade tredjepartsrisker, eftersom dessa regleras särskilt i DORA-förordningen. 2. Principer 2.1. Princip om tillsynsöversikt Finansiella aktörer ansvarar för användning av tredjepartsleverantörers tjänster. Även om ansvaret för användning av tredjepartsleverantörer ligger hos den finansiella aktör som står under tillsyn, bör tillsynsmyndigheterna effektivt övervaka finansiella aktörers exponering för tredjepartsrisker. Tillsynsmyndigheterna har i uppdrag att säkerställa att ansvaret inte påverkar tillsynens kvalitet. Tillsynsmyndigheterna ska främja lämpliga styrnings- och riskramverk hos finansiella aktörer. Bedömning av tredjepartsrisker bör utföras genom auktorisation eller notifiering av nya eller HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ändrade arrangemang. Tillsynsmyndigheterna ska inkludera risker i sina metoder för tillsyn, inklusive platsbesök och skrivbordgranskning. Tillsynsmyndigheterna bär även ett ansvar att vidta åtgärder vid eventuell oro avseende finansiella aktörers användning av tredjepartleverantörers tjänster och ska hantera samt identifiera eventuella koncentrationsrisker. 2.2. Principer för finansiella aktörer Finansiella aktörer ska implementera effektiv styrning för att hantera tredjepartsrisker. Tredjepartsanvändning får inte äventyra självständigt beslutsfattande eller styrning. Styrelse och ledning får inte delegera tillsyns-, styrnings- eller beslutsansvar. Delegering av nyckelfunktioner såsom ansvarsområden inom förvaltning anses oförenligt med god styrning. Ledningsorgan är ansvariga för övervakningen av tredjepartsrisker och ska besitta lämpliga kompetenser för att förstå och övervaka de risker som är kopplade till den verksamhet som tillhandahålls av tredjepartsleverantörer. ESMA anför att ledningsorgan bör utse en ansvarig person inom ledningsorganet, exempelvis en styrelseledamot, vid användning av tredje part för kritiska aktiviteter och/eller i betydande omfattning. Finansiella aktörer ska även ha tillräcklig personal och teknisk kapacitet inom dess verksamhet. Finansiella aktörer ska integrera ett ramverk för tredjepartsrisker i det övergripande riskhanteringssystemet. Ramverket ska innehålla rutiner för tillsyn, riskbedömning, kontrakt, övervakning, beslut och rapportering. Vid omfattande användning av tredjepartsleverantörers tjänster bör en strategi dokumenteras, regelbundet granskas och vara i linje med affärsstrategin. Innan avtal ingås med tredjepartsleverantörer ska finansiella aktörer dokumentera en risk-, kostnads- och nyttoanalys. 2.3. Principer om relationen med tredjepartsleverantörer Företag ska genomföra en noggrann granskning av tredjepartsleverantörer före ingående, ändring eller förnyelse av avtal. Detta gäller även för underleverantörer och ska dokumenteras och uppdateras vid behov. Företag ska även ha personal med kompetens att övervaka tredjepartsleverantörer, där resursfördelning ska stå i proportion till tjänstens kritikalitet. Tillsynsmyndigheter bör kontrollera att rapporter om tredjepartsövervakning granskas av ledningen och att fysiska inspektioner genomförs vid behov. 2.4. Principer om särskilda risker och frågor Tredjepartsleverantörers geografiska placering är av betydelse. Om leverantörer befinner sig i tredje länder kan detta medföra särskilda risker, exempelvis rättsliga risker, tillsynsaspekter eller operativa begränsningar. Riskerna ska beaktas i riskbedömningen, avtalen och övervakningen. Ledningen ansvarar för att interna kontrollfunktioner avseende tredjepartsleverantörer är oberoende. Sådan användning ska vara motiverad och stå i proportion till verksamhetens 2 (3) omfattning och risknivå. Det ska även finnas exitstrategier, kontroller och rutiner för att säkerställa att kontrollfunktioner fungerar effektivt vid tredjepartsanvändning. Finansiella aktörer ska även säkerställa att tredjepartsarrangemang inte hindrar tillsyn, åtkomst eller revision av verksamhet, data, system, lokaler, personal och underleverantörer. 3. Sammanfattning ESMA:s principer belyser finansiella aktörers ansvar vid användning av tredjepartsleverantörer. Finansiella aktörer ska upprätthålla effektiv styrning och riskhantering. Tillsynsmyndigheter ska övervaka tredjepartsrisker, säkerställa att tillsynens kvalitet inte påverkas och hantera koncentrations- och geografiska risker. Styrelse och ledning får inte delegera ansvar för styrning eller andra nyckelfunktioner inom verksamheten och ska även besitta relevant kompetens för att övervaka tredjepartsrelationer. Avtal med tredjepartsleverantörer ska föregås av en noggrann riskbedömning och uppföljning, med rutiner för kontroll, rapportering och exitstrategier. 4. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar finansiella aktörer att integrera tredjepartsrisker i verksamhetens riskhantering. Det är av betydelse att utföra noggranna granskningar av leverantörer innan avtal ingås, ändras eller förnyas. Eventuella underleverantörer bör även granskas och löpande kontrolleras, där uppföljningen styrs av var företaget har bedömt att riskerna är som störst. Resurser för kontroll och uppföljning bör stå i proportion till tredjepartstjänstens betydelse för verksamheten. Vid användning av kritiska eller omfattande tredjepartstjänster bör en ansvarig person utses inom ledningsorganet. Finansiella aktörer bör även beakta geografiska risker genom att identifiera och hantera rättsliga, operativa och tillsynsmässiga risker vid användning av leverantörer utanför EU. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Central åtkomstpunkt om finans och hållbarhet i EU 21 oktober 2025 1. Bakgrund Genom en ny EU-förordning1 ska en europeisk gemensam åtkomstpunkt (European Single Access Point), nedan Esap, inrättas som ger centraliserad tillgång till allmänt tillgänglig information som är relevant för finansiella tjänster, kapitalmarknader och hållbarhet. ESMA har ansvaret för inrättandet och driften av åtkomstpunkten, som ska vara i drift senast den 10 juli 2027. Esap-förordningen berör främst finansiella företag, såsom kreditinstitut, fondbolag, värdepappersbolag och försäkringsföretag men även andra större företag och andra företag av allmänt intresse. Finansdepartementet har i promemorian En europeisk gemensam åtkomstpunkt för finansiell och hållbarhetsrelaterad information (Fi2025/01311) lämnat förslag till lagändringar med anledning av att anpassa svensk rätt till Esap-förordningen. Därtill har Finansinspektionen i sitt remissvar (FI dnr 25- 17224) i huvudsak tillstyrkt förslagen. Inrättandet av Esap och tillgången till information i åtkomstpunkten kommer att ske i tre olika faser under perioden 2026–2030. Lagändringarna kommer att träda i kraft den 10 juli 2026, den 10 januari 2028 respektive den 10 januari 2030. 2. Finansdepartementets förslag till genomförande av Esap-förordningen Syftet med Esap-förordningen är att skapa en gemensam åtkomstpunkt som ger enkel och strukturerad tillgång till information av relevans för bland annat investerare, myndigheter och forskning. Esap ska tillgängliggöra information som offentliggörs enligt de rättsakter som anges i bilagan till Esap-förordningen, t.ex. MAR, MiFIR och PRIIP-förordningen. Plattformen kan också komma att omfatta ytterligare rättsakter som föreskriver centraliserad elektronisk tillgång till information i Esap. 1 Europaparlamentets och rådets förordning (EU) 2023/2859 av den 13 december 2023 om inrättande av en europeisk gemensam åtkomstpunkt som ger centraliserad tillgång till allmänt tillgänglig information som är relevant för finansiella tjänster, kapitalmarknader och hållbarhet. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ Under den första fasen den 10 juli 2026 ska information enligt specifika artiklar i blankningsförordningen2, prospektförordningen3 och öppenhetsdirektivet4 göras tillgänglig för Esap. Exempelvis ska blankningsförordningens artikel 11a.1, som gäller betydande korta nettopositioner i aktier enligt artikel 6.1, tillgängliggöras. Utöver information som måste offentliggöras (obligatorisk information) kan även frivilligt tillhandahållen information göras tillgänglig i Esap. De europeiska tillsynsmyndigheterna på det finansiella området och myndigheter på nationell nivå fungerar som så kallade ”insamlingsorgan” med ansvar för att samla in och tillgängliggöra informationen i Esap. Av förslaget framgår att Bolagsverket utses till insamlingsorgan för information enligt redovisningsdirektivet och för årsbokslut och förvaltningsberättelser enligt andra tjänstepensionsdirektivet. Finansinspektionen utses till insamlingsorgan för övrig information som ska lämnas av aktörer som omfattas av Esap-förordningen. ESMA kommer att ansvara för att informationen som insamlingsorganen tillhandahåller offentliggörs i Esap. Informationen kommer att publiceras via en webbportal på alla unionens officiella språk och ska vara sökbar på dessa språk. 3. Effekter för företagen och Finansinspektionens remissvar Enligt de nya reglerna ska information som lämnas till ett insamlingsorgan uppfylla särskilda formatkrav och kompletteras med viss tilläggsinformation, så kallad metadata. Detta innebär vissa administrativa kostnader för företagen, vilka av Europeiska kommissionen uppskattas till cirka 800 euro per år. Förslaget innebär inga nya informationskrav, det rör sig om redan offentlig information som även blir tillgänglig via Esap. Att information om företag blir tillgänglig via Esap kan förväntas bredda basen av potentiella investerare, både för företag som omfattas av krav på offentliggörande och för de som lämnar information på frivillig basis. Finansinspektionen har i sitt remissvar i huvudsak tillstyrkt förslaget, men framfört vissa lagtekniska synpunkter och invändningar mot kostnadsanalysen. I och med Esap kommer företagen att behöva lämna in större mängd data till Finansinspektionen än i dag och anpassa sina system för att uppfylla de tekniska krav som följer av regleringen. Finansinspektionen delar inte Finansdepartementets slutsats att detta endast innebär begränsade kostnader för företagen, utan bedömer att kostnaderna snarare kommer att öka. Finansinspektionen framhåller också att myndighetens egna kostnader för införandet av Esap blir betydande och inte ryms inom nuvarande ekonomiska ramar. En bidragande 2 Europaparlamentets och rådets förordning (EU) nr 236/2012 av den 14 mars 2012 om blankning och vissa aspekter av kreditswappar. 3 Europaparlamentets och rådets förordning (EU) 2017/1129 av den 14 juni 2017 om prospekt som ska offentliggöras när värdepapper erbjuds till allmänheten eller tas upp till handel på en reglerad marknad, och om upphävande av direktiv 2003/71/EG. 4 Europaparlamentets och rådets direktiv 2004/109/EG av den 15 december 2004 om harmonisering av insynskraven angående upplysningar om emittenter vars värdepapper är upptagna till handel på en reglerad marknad och om ändring av direktiv 2001/34/EG. 2 (3) ’ orsak är att Finansinspektionen utses till insamlingsorgan för ett mycket stort antal datapunkter av olika slag, varav många i dagsläget inte samlas in. Fondbolagens förening har även lämnat synpunkter och konstaterar, liksom Finansinspektionen, att förslaget medför höga kostnader och lyfter dessutom att nyttan för svenska fondbolag är begränsad. Nya rapporteringskrav kräver omfattande investeringar i IT-system, löpande anpassningar till tekniska standarder och stora interna resursinsatser. Förslaget medför också dubbelrapportering, eftersom mycket information redan lämnas till Finansinspektionen och offentliggörs på fondbolagens webbplatser. Eftersom svenska fonder främst marknadsförs nationellt, bedömer Fondbolagens förening att kostnaderna inte står i proportion till nyttan och i slutändan kan belasta fondspararna. 4. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar aktörer att följa utvecklingen kring genomförandet av Esap-förordningen, eftersom lagstiftningsprocessen ännu befinner sig i ett tidigt skede. Det är av särskilt stor vikt att identifiera vilken information som kan komma att rapporteras till insamlingsorganet samt i vilket format. Advokatbyrån vill, mot bakgrund av lärdomar från DORA- rapporteringen, slutligen lämna en rekommendation om att vara ute i god tid samt säkerställa att det finns resurser med rätt kompetens för att genomföra rapporteringen. Advokatbyrån avser att bevaka lagstiftningsförfarandet och återkomma med mer information. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Finansinspektionen ger Avida Finans AB en anmärkning och sanktionsavgift 11 november 2025 1. Sammanfattning Följande nyhetsbrev belyser Avida Finans AB:s, nedan Avida, efterlevnad av konsumentkreditlagen med särskild fokus på de krav Avida omfattas av vid kreditprövningar vid beviljande av lån till konsumenter. FI har undersökt hur Avida har följt konsumentkreditlagens krav på kreditprövningar när bolaget har beviljat konsumtionslån till konsumenter. Undersökningen omfattar lån som Avida beviljade under fyra veckor år 2024. Undersökningen visar att Avida överlag har en gedigen kreditprövningsprocess. På grund av bristande samordning mellan bolagets ansökningsformulär och dess kreditprövningsprocess har emellertid bolaget beviljat och betalat ut krediter till åtminstone 34 konsumenter som vid ansökningstillfället – och med utgångspunkt i bolagets egen beräkningsmodell – saknade ekonomiska förutsättningar för att kunna fullgöra sitt åtagande enligt kreditavtalet. FI anser att överträdelserna är sådana att det finns skäl att ingripa mot Avida. Överträdelserna är inte så allvarliga att det finns anledning att överväga att återkalla bolagets tillstånd eller meddela bolaget en varning. FI ger därför bolaget en anmärkning, som för att vara tillräckligt ingripande ska förenas med en sanktionsavgift på 20 miljoner kronor. 2. Finansinspektionens ingripande FI:s undersökning visar att Avida i flera fall har beviljat och betalat ut krediter till konsumenter som vid ansökningstillfället saknade ekonomiska förutsättningar att fullgöra sina åtaganden enligt kreditavtalet. Även om FI bedömer att Avida överlag har en gedigen kreditprövningsprocess, är de aktuella överträdelserna till sin karaktär sådana att de inte kan bedömas som ringa eller ursäktliga. Detta gäller särskilt mot bakgrund av att ett av de huvudsakliga syftena med konsumentkreditlagen är att motverka problem med överskuldsättning. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ Att det sett till Avidas totala utlåning endast är en mindre andel konsumenter som har drabbats ändrar inte den bedömningen. Även om FI välkomnar att Avida vidtagit åtgärder för att rätta till den bristande samordningen mellan ansökningsformulären och kreditprövningsprocessen är detta, med hänsyn till överträdelsernas karaktär, inte tillräckligt för att FI ska avstå från att ingripa. Sammanfattningsvis har Avida överträtt en central bestämmelse i konsumentkreditlagen. Det som bolaget anför, och vad som i övrigt har kommit fram i ärendet, är inte skäl för att avstå från ett ingripande. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 2 (2) Nyhetsbrev Ang. EIOPA:s uttalande om användning av AI inom försäkring 13 november 2025 1. Sammanfattning Den 6 augusti 2025 har den Europeiska försäkrings- och tjänstepensionsmyndigheten, nedan EIOPA, publicerat ett yttrande om styrning och riskhantering vid användning av artificiell intelligens, nedan AI, i försäkringssektorn. Syftet är att klargöra hur befintlig lagstiftning, såsom Solvens II-direktivet och Försäkringsdistributionsdirektivet (IDD), ska tillämpas på AI-system. Yttrandet har upprättats till följd av att AI-förordningen trätt i kraft sommaren 2024. Förordningen reglerar användningen av AI inom hela EU och klassificerar system utifrån risknivå. Inom försäkring betraktas AI som används för riskbedömning och prissättning i liv-och sjukförsäkring som hög risk, och dessa omfattas redan av särskilda krav enligt förordningen. EIOPA:s yttrande fokuserar därför på AI-system som inte klassas som hög risk eller förbjudna, men som ändå används inom försäkringsverksamhet. Syftet är att skapa en gemensam europeisk tolkning och säkerställa ansvarsfull och rättvis användning av AI. Det handlar inte om nya regler, utan om förtydliganden av befintliga krav avseende styrning, intern kontroll och riskhantering i digital kontext. 2. Ett riskbaserat och proportionerligt förhållningssätt EIOPA betonar vikten av ett riskbaserat och proportionerligt tillvägagångssätt vid användning av AI. Företag ska först bedöma risknivån i varje AI-system som företagen använder och sedan anpassa styrnings- och kontrollåtgärderna därefter. AI-system som har begränsad påverkan på kunder eller verksamheten kan omfattas av enklare rutiner, medan system med större potentiell inverkan, t.ex. de som påverkar kundbeslut, prissättning eller skadehantering, ska omfattas av mer avancerad kontroll, dokumentation och mänsklig övervakning. Vid riskbedömningen ska företagen bland annat väga in hur mycket samt vilken typ av data som behandlas, antalet kunder som påverkas, graden av autonomi i systemet samt konsekvenser för kundernas rättigheter. Detta riskbaserade synsätt ska genomsyra hela organisationen, från strategisk ledning till operativ användning av AI. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ 3. Centrala principer för styrning och riskhantering 3.1. Rättvisa och etik AI ska alltid användas med kundens bästa i fokus. Företagen förväntas säkerställa att AI- baserade beslut inte skapar orättvisor eller diskriminering i policyer, rutiner och utbildningar. AI- systemens resultat ska följas upp och granskas med hjälp av rättviseindikatorer, och mekanismer för kundklagomål ska vara på plats om en kund påverkas negativt av ett AI-beslut. 3.2. Datastyrning Datakvaliteten är central. Enligt EIOPA ska den data som används för att träna, testa och använda AI-system vara fullständig, korrekt och lämplig. Företagen bör aktivt arbeta för att identifiera och ta bort data som kan vara partisk, särskilt sådant som kan leda till indirekt diskriminering. Samma krav gäller även när data hämtas från tredje part. Brister i datan ska dokumenteras och hanteras och det ska finnas rutiner för kontinuerlig uppföljning och förbättring. 3.3. Dokumentation och spårbarhet EIOPA framhåller vidare vikten av dokumentation genom hela AI-systemets livscykel. Företag ska kunna visa hur ett system har utvecklats, tränats och testats, vilka algoritmer som används och vilka beslut som fattas. Detta ökar både transparens, ansvar och möjlighet till revision. För mer komplexa eller högrisknära tillämpningar ska detaljerade register föras över modellval, datakällor, testresultat och uppdateringar. 3.4. Transparens och förklarbarhet AI-beslut ska vara begripliga och förklarbara. Företag ska kunna förklara hur en slutsats eller rekommendation har uppstått, både för interna kontrollfunktioner och för kunder. Om ett AI- system är så komplext att det inte är helt begripligt, ska detta kompletteras genom stärkt mänsklig insyn och tydligare kontrollramar. Kunder ska också informeras när de interagerar med ett AI-system och vid förfrågan få en klar och icke-teknisk förklaring till hur beslutet påverkats av AI. 3.5. Mänsklig tillsyn och ansvar Företagsledningen bär det yttersta ansvaret för all användning av AI. EIOPA betonar att roller och ansvar ska vara tydligt definierade, från ledning till kontrollfunktioner. Mänsklig övervakning är central för att kunna upptäcka och korrigera partiskhet, tekniska fel och oönskade beteenden. 2 (3) ’ Företagen ska säkerställa att personalen har rätt utbildning och kompetens för att förstå och övervaka de AI-system som används. 3.6. Noggrannhet, robusthet och cybersäkerhet AI-system ska vara tillförlitliga, robusta och motståndskraftiga mot manipulation och tekniska fel. EIOPA uppmanar företag att införa kontinuerlig övervakning av modellernas prestanda för att upptäcka så kallad ”model drift” och att ha beredskapsplaner vid systemavbrott. Cybersäkerheten ska omfatta både data, algoritmer och IT-infrastruktur, oavsett om systemen utvecklas internt eller levereras av externa leverantörer. 4. EIOPA:s fortsatta arbete EIOPA kommer inom två år utvärdera hur nationella tillsynsmyndigheter tillämpar de nya riktlinjerna och hur väl företagen anpassat sina rutiner. Myndigheten planerar också att utveckla fördjupad vägledning för specifika AI-tillämpningar och kommer att fortsätta följa utvecklingen i nära samarbete med branschaktörer och tillsynsmyndigheter. 5. HSA Söderqvist Advokatbyrås rekommendationer Utifrån EIOPA:s yttrande bör företag systematiskt kartlägga samtliga AI-system inom verksamheten och genomföra riskbedömningar med utgångspunkt i påverkan på verksamhet, kund och dataexponering. AI-styrning bör integreras i det befintliga ramverket för intern kontroll och riskhantering samt kompletteras med tydliga datastyrningspolicyer för att säkerställa datakvalitet, rättvisa, transparens och regelefterlevnad. Vidare rekommenderas att medarbetare utbildas för att öka förståelsen för AI-relaterade risker, etiska överväganden och kundpåverkan. Företagen bör etablera rutiner för förklarbarhet särskilt i processer som direkt påverkar kunder samt stärka cybersäkerhet och kontinuitetsplanerning kopplad till AI. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 3 (3) Nyhetsbrev Ang. Kritiska IKT-tredjepartsleverantörer enligt DORA 21 november 2025 1. Bakgrund Den 18 november 2025 har de europeiska tillsynsmyndigheterna (EBA, EIOPA och ESMA) publicerat listan över kritiska IKT-tredjepartsleverantörer enligt DORA-förordningen. Listan visar vilka IKT-tredjepartsleverantörer som ska klassificeras som kritiska i enlighet med de krav som ställs i förordningen. För att identifiera IKT-tredjepartsleverantörer som är kritiska har de europeiska tillsynsmyndigheterna utgått från de informationsregister som har rapporterats in från finansiella företag runt om i Europa. Underlaget innefattar även de informationsregister som svenska finansiella företag har rapporterat in till Finansinspektionen under året. Bedömningen har även baserats på DORA:s kriterier och fokuserat på leverantörernas systemviktighet samt deras betydelse för kritiska eller viktiga funktioner för finansiella företag. De IKT-tredjepartsleverantörer som bedömts som kritiska har blivit formellt underrättade och givits möjlighet att yttra sig innan slutligt beslut fattats. De utpekade tredjepartsleverantörerna tillhandahåller en rad olika IKT-tjänster, såsom affärs- och datatjänster, till finansiella aktörer av alla typer och storlekar inom EU. Från och med år 2026 kommer Finansinspektionen och andra nationella behöriga tillsynsmyndigheter att bistå de europeiska myndigheterna i tillsynen av dessa leverantörer. 2. Kritiska IKT-tredjepartsleverantörer Nedan är listan över kritiska tredjepartsleverantörer av IKT-tjänster: • Accenture plc • Amazon web Services EMEA Sarl • Bloomberg L.P. • Capgemini SE • Colt Technology Services • Deutsche Telekom AG HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ • Equinix (EMEA) B.V. • Fidelity National Information Services, Inc. • Google Cloud EMEA Limited • International Business Machine Corporation • InterXion HeadQuarters B.V. • Kyndryl Inc. • LSEG Data and Risk Limited • Microsoft Ireland Operations Limited • NTT DATA Inc. • Oracle Nederland B.V. • Orange SA • SAP SE • Tata Consultancy Services Limited 3. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att företagen identifierar om de har avtal med någon av de kritiska IKT-tredjepartsleverantörerna och säkerställer att avtalen innehåller relevanta krav enligt DORA. Det är viktigt att integrera förordningens krav i både avtal och uppföljningsrutiner samt att ha alternativa lösningar för kritiska IKT-tjänster för att säkra kontinuitet vid eventuella störningar. Företagen ansvarar själva för att kraven i DORA efterlevs, även om kritiska IKT-tredjepartsleverantörer står under tillsyn, och bör därför aktivt följa upp riskhantering och säkerhet hos sina leverantörer. Det bör även uppmärksammas att DORA påverkar IKT-tredjepartsleverantörer som inte klassificeras som kritiska. Mot bakgrund av förordningen ställer finansiella företag i allt högre grad mer omfattande och detaljerade krav på säkerhet och outsourcingarrangemang. För IKT- tredjepartsleverantörer som önskar samarbeta med finansiella företag blir det därmed alltmer tydligt att hög IKT-säkerhet utgör en grundläggande förutsättning. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 2 (2) Nyhetsbrev Ang. Finansinspektionen ger Svea Bank en anmärkning och sanktionsavgift 17 december 2025 1. Sammanfattning Finansinspektionen, nedan FI, har undersökt hur Svea Bank AB, nedan Svea, har följt penningtvättsreglerna under perioden 30 april 2022–1 maj 2023. Granskningen har omfattat hur Svea har levt upp till kraven på allmän riskbedömning, riskbedömning av kunder och åtgärder för att uppnå kundkännedom. Undersökningen visar att Svea har överträtt penningtvättsreglerna på flera sätt. Svea har bland annat haft brister i sina allmänna riskbedömningar. Detta har inneburit att de allmänna riskbedömningarna inte har kunnat ligga till grund för bankens arbete för att motverka penningtvätt och finansiering av terrorism. Vidare har banken inte riskbedömt sina kunder i enlighet med gällande krav och inte vidtagit de åtgärder som hade krävts för att uppnå tillräcklig kundkännedom. FI har beslutat att ge Svea en anmärkning och en sanktionsavgift på 170 miljoner kronor. 2. Bakgrund Bolaget har tillstånd att driva bankrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF). Svea tillhandhåller bland annat företagslån, kontokrediter, fakturaservice och factoring till företag, samt lån och sparande till privatpersoner. Svea ingår i en koncern där Svea är det yttersta moderbolaget. Koncernen har sin huvudsakliga verksamhet i Sverige och bedriver även verksamhet i ett tiotal andra länder, främst i Norden, Baltikum och Östeuropa. Den 3 januari 2022 fusionerades Svea Ekonomi AB, som tidigare var Sveas moderbolag, med Svea, varpå all verksamhet därefter bedrivs av Svea. 3. Finansinspektionens ingripande 3.1. Allmän riskbedömning Banksektorn tillhör en av de sekter som bedöms utgöra störst risk för finansiering av terrorism. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ Mot bakgrund av att Svea verkar inom banksektorn, och att banken genom sina produkter är exponerad mot juridiska personer, bedömer FI med hänsyn till penningtvättsregelverkets krav på ett riskbaserat förhållningssätt att Svea är skyldig att vidta kraftfulla åtgärder för att kunna hantera riskerna i verksamheten. FI har granskat Sveas allmänna riskbedömning under undersökningsperioden. Riskbedömningen ska beskriva hur bankens produkter fungerar och vilka riskreducerande åtgärder som vidtas. Granskningen visar att 2021 års riskbedömning saknade beskrivningar av hur fyra av bankens finansiella produkter kan utnyttjas för finansiering av terrorism. I 2022 års riskbedömning saknades motsvarande beskrivningar för tolv produkter, varav sex produkter dessutom saknade beskrivningar av hur de kan utnyttjas för penningtvätt. Det framgår inte heller hur banken har fastställt de aktuella risknivåerna för produkterna. Svea har uppgett att den allmänna riskbedömningen i vissa delar har hänvisat till separata dokument från riskworkshoppar i stället för att redovisa identifierade typologier direkt i riskbedömningen. FI konstaterar att resultaten från dessa workshoppar varken har redovisats i den allmänna riskbedömningen, bilagts denna eller hänvisats till specifik dokumentation. Resultaten kan därför inte anses ha utgjort en del av den allmänna riskbedömningen. FI konstaterar att det är ett krav att genomföra riskbedömningar av hur produkter kan utnyttjas för finansiering av terrorism och penningtvätt. I avsaknad av sådana bedömningar är det inte möjligt hur stora riskerna är för att produkterna utnyttjas för sådana syften. Svea Ekonomi AB fusionerades med Svea den 3 januari 2022. Efter fusionen tillkom produkter som tidigare inte tillhandahölls av banken. Fram till december 2022, när 2022 års allmänna riskbedömning trädde i kraft för den fusionerade verksamheten, tillhandahöll Svea således produkter som inte omfattades av den då gällande riskbedömningen. Även om Svea Ekonomi AB tidigare hade riskbedömt dessa produkter, kvarstår Sveas skyldighet att själv bedöma samtliga produkter i verksamheten. Den sammantagna risknivån för den fusionerade verksamheten blev högre än den som tidigare gällde för Svea Ekonomi AB. FI konstaterar att Svea har underlåtit att göra bedömningar av hur ett betydande antal produkter kan utnyttjas för penningtvätt eller finansiering av terrorism. 3.2. Riskbedömning av kunder Svea använder en riskklassificeringsmodell för att bedöma kunders risk för penningtvätt och finansiering av terrorism. Granskningen visar att Sveas modell inte fullt ut beaktar högriskfaktorer som identifierats i den allmänna riskbedömningen. De högriskfaktorer som inte beaktas som högriskfaktorer är att kunden bedriver verksamhet inom vissa branscher, 2 (5) ’ däribland kontantintensiva verksamheter som restaurang-, spel-, frisör- eller städverksamhet. De högriskfaktorer som inte alls beaktas i modellen är när kunden är en juridisk person med nominella aktieägare eller en juridisk person med ovanliga eller komplicerade ägarstrukturer. FI konstaterar att Sveas modell för riskklassificering av kunder inte tar hänsyn till ett antal högriskfaktorer som uppmärksammas i de allmänna riskbedömningarna, och att modellen, när det gäller vissa andra högriskfaktorer, inte betecknar dem som just högriskfaktorer. Kundernas riskprofil har därmed inte bestämts med utgångspunkt i de allmänna riskbedömningarna och med beaktande av alla de omständigheter som banken varit skyldig att beakta. Detta innebär att Svea inte har uppfyllt sina skyldigheter enligt 2 kap. 3 § penningtvättslagen. 3.3. Brister i bankens åtgärder för kundkännedom FI har granskat 70 kundakter som avser juridiska personer som Svea har affärsförbindelser med. Granskningen visar att Svea, för 38 av dessa kunder, har vidtagit vissa åtgärder för att förstå kundernas ägarförhållanden och kontrollstruktur. Det framgår dock inte att banken har gjort någon sökning i Bolagsverkets register över verkliga huvudmän. Svea har fört fram att banken har vidtagit åtgärder, men att de inte har dokumenterats. För två kunder har Svea helt underlåtit att utreda ägarförhållandena för större andelar av aktierna. FI konstaterar därför att Svea inte utrett om kunderna har verkliga huvudmän på det sätt som krävs enligt penningtvättslagen. Vidare visar granskningen att Svea, för 27 av 70 kunder, endast har hämtat in få uppgifter om hur och i vilken utsträckning de avsåg att nyttja bankens tjänster. FI konstaterar att en grundläggande åtgärd för kundkännedom är att hämta in uppgifter om affärsförbindelsens syfte och art. Ett exempel på ett sådant fall är när Svea etablerade en affärsförbindelse med ett nystartat konsultföretag som uppgav att det skulle bedriva verksamhet inom företagsorganisation. Banken saknade uppgifter om den förväntade omsättningen och noterade en skillnad mellan bolagets registrerade säte och en c/o-adress i bankens interna system. Trots att Polismyndigheten tidigare har uppgett att c/o-adresser kan indikera risk för utnyttjande av identitet, inhämtade banken ingen ytterligare information innan affärsförbindelsen etablerades. Efter att kunden flaggats i bankens övervakningssystem och inte besvarat frågor, rapporterades ärendet till Polismyndigheten. Den information som Svea har hämtat in har varit alltför knapphändig och generell för att banken ska kunna bedöma vilka aktiviteter och transaktioner som kunden kan förväntas utföra. Informationen har inte heller varit tillräcklig för att kunna ligga till grund för en fullgod bedömning av kundens riskprofil. 3 (5) ’ Granskningen av skärpta kundkännedomsåtgärder visar att Svea, för två av elva kunder med hög risk, inte vidtagit några skärpta kundkännedomåtgärder, och för ytterligare sju kunder endast vissa skärpta kundkännedomsåtgärder. Svea har dock inte gjort några särskilda utredningar av kundernas ekonomiska situation eller hämtat in några uppgifter om varifrån kundernas ekonomiska medel kommer. FI konstaterar att detta är åtgärder som normalt måste vidtas för att få tillräcklig kunskap om kunden och motverka den höga risken för penningtvätt. FI har genomfört en granskning av hur Svea Bank hanterar bevarandet av handlingar och uppgifter rörande kundkännedom, både i elektronisk och pappersbaserad form. Företaget ska se till att handlingarna och uppgifterna är enkla att ta fram och identifiera. Granskningen visar att många uppgifter saknar datering och är spridda över flera system, vilket försvårar åtkomst och identifiering. Mot denna bakgrund bedömer FI att Svea inte uppfyller kraven i 5 kap. 1 § penningtvättsföreskrifterna på att handlingar och uppgifter om kundkännedom ska vara lätta att ta fram och identifiera. HSA Söderqvist Advokatbyrås rekommendationer Mot bakgrund av beslutet rekommenderar HSA Söderqvist Advokatbyrå att aktörer som omfattas av reglerna om penningtvätt och finansiering av terrorism, särskilt tar hänsyn till följande: - Riskbedömningar måste genomföras för samtliga produkter för att bedöma hur de kan utnyttjas för penningtvätt och finansiering av terrorism. Riskbedömningen är fundamental i arbetet mot penningtvätt och finansiering mot terrorism. Utan adekvat riskbedömning är det inte möjligt att besluta om vilka åtgärder som måste vidtas. Bedömningen ska göra det möjligt att avgöra hur stora riskerna är för att produkterna utnyttjas för dessa syften. Vid fusioner, som varit fallet i Svea, går det inte att förlita sig på tidigare riskbedömningar för produkter som inte tidigare funnits i bolaget. Nya riskbedömningar av dessa produkter måste då genomföras. - Kundernas riskprofil ska fastställas med utgångspunkt i de allmänna riskbedömningarna och med hänsyn till samtliga omständigheter som bolaget är skyldigt att beakta. Det är viktigt att dessa riskbedömningar återspeglas i bolagets interna modell för kundriskklassificering. - Utredning av verklig huvudman måste genomföras i enlighet med penningtvättslagens krav. Det innebär att sökning i relevanta register ska genomföras och dokumenteras på ett sätt som gör det möjligt att visa att åtgärden har genomförts. Det är viktigt att bolag inte underlåter att utreda ägarförhållanden. Om en kund inte har en verklig huvudman, ska en alternativ verklig huvudman anges. 4 (5) ’ - Det är viktigt att inhämta tillräcklig information om affärsförbindelsens syfte och art innan affärsförbindelsen etableras, så att bolaget kan göra en fullgod bedömning av kundens riskprofil. - För kunder med hög risk ska bolag alltid vidta skärpta kundkännedomåtgärder, inklusive utredning av kundens ekonomiska situation och inhämta uppgifter om varifrån kundens medel kommer. - Bolag ska säkerställa att handlingar och uppgifter om kundkännedom är enkla att ta fram och identifiera. Dokumenten ska vara daterade och systematiskt organiserade för att underlätta åtkomst och identifiering. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 5 (5) Nyhetsbrev Ang. Finansinspektionen ger Garantum Fondkommission Aktiebolag och Garantum Wealth Managemnet PB AB anmärkningar och sanktionsavgifter 17 december 2025 1. Sammanfattning och bakgrund Följande nyhetsbrev belyser Garantum Fondkommission Aktiebolag, nedan Garantum FK, och Garantum Wealth Managemnet PB AB, nedan Garantum PB, bristande efterlevnad av relevanta kundskyddsregler vid rådgivning till konsumenter om komplexa produkter. I den första undersökningen har Finansinspektionen, nedan FI, granskat hur Garantum FK har följt lagen om värdepappersmarknaden i samband med att Garantum FK:s anknutna ombud gett konsumenter råd om investeringar i så kallade warranter och autocalls. Warranter och autocalls är komplexa produkter där möjligheten till avkastning är knuten till utvecklingen i underliggande tillgångar. FI:s undersökning har avsett perioden 1 januari 2021–31 december 2022. I den andra undersökningen har FI granskat hur Garantum PB har följt reglerna om försäkringsdistribution i samband med att Garantum PB har gett konsumenter råd om placeringar i försäkringsbaserade investeringsprodukter eller pensionsförsäkringar. Det handlar om komplexa instrument, där möjligheten till avkastning helt eller delvis varit knuten till utvecklingen i underliggande tillgångar. FI:s undersökning har avsett perioden 1 januari–30 november 2023. FI:s undersökning visar att Garantum FK har överträtt centrala regler för den som bedriver investeringsrådgivning. Garantum FK har inte dokumenterat investeringsrådgivningen när det gäller lämplighetsbedömningen och byte av finansiellt instrument på det sätt som reglerna kräver. De förklaringar som företaget enligt reglerna ska lämna om varför produkterna varit lämpliga för den enskilde konsumenten har också varit bristfälliga. Det har också funnits brister i den information till kunderna om de kostnader och avgifter som investeringen har varit förknippad med. Garantum FK har därmed överträtt centrala delar av lagen om värdepappersmarknaden, som företag som bedriver investeringsrådgivning ska följa för att säkerställa ett högt konsumentskydd. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ FI:s undersökning av Garantum PB visar att bolaget i flera fall har överträtt centrala kundskyddsbestämmelser, som företag som bedriver försäkringsdistribution ska följa. Garantum PB har inte dokumenterat rådgivning avseende byte av underliggande investeringstillgångar på det sätt som reglerna kräver, och förklaringarna om varför produkterna har varit lämpliga för den enskilde konsumenten har varit bristfälliga. Det har också funnits brister i den information om kostnader och avgifter som försäkringsdistributionen har varit förknippad med. Garantum PB har därmed inte levt upp till de krav som reglerna om försäkringsdistribution ställer på hur försäkringsförmedlare ska tillvarata konsumenters intressen vid rådgivning om investeringar. FI anser att överträdelserna är sådana att det finns skäl att ingripa, men inte så allvarliga att det finns anledning att överväga att återkalla bolagens tillstånd. FI ger därför bolagen anmärkningar och sanktionsavgifter. Garantum FK får en sanktionsavgift om 15 miljoner kronor och Garantum PB en sanktionsavgift om en miljon kronor. 2. Finansinspektionens ingripande 2.1. Garantum FK FI:s undersökning visar att Garantum FK åsidosatt flertalet centrala bestämmelser, i synnerhet rörande lämplighetsförklaring och dokumentationsskyldigheter vid rådgivning. Garantum FK har överträtt bestämmelserna om vad lämplighetsförklaringen till kunden ska innehålla och om redovisningen av kostnader och avgifter för kunden. Dessa bestämmelser är av central betydelse för att skydda kunder, inte minst när bolaget rekommenderar icke- professionella kunder att investera i komplexa och riskfyllda finansiella instrument. Garantum FK har inte heller dokumenterat rådgivningen på det sätt som regelverket kräver när det gäller skyldigheten att säkerställa att kunderna har rätt kunskaper och erfarenheter för de investeringar de rekommenderas att göra. Detsamma gäller dokumentationen avseende bolagets skyldighet att göra en analys av, och informera kunderna om, nyttan och kostnaderna som är förenade med ett byte av finansiella instrument. Finanstilsynet i Norge behandlade under år 2019–2020 ett tillsynsärende om ett anknutet ombud till Garantum FK som var verksamt i Norge. I det ärendet undersökte Finanstilsynet bland annat det anknutna ombudets efterlevnad av reglerna om kostnader och avgifter i den verksamhet som ombudet bedrev i Norge. Ärendet utmynnade i en tillsynsrapport som publicerades den 22 december 2020. 2 (4) ’ Finanstilsynet riktade i rapporten kritik bland annat mot att Garantum FK:s anknutna ombud inte hade informerat kunderna om samtliga kostnader på så sätt att emittentavgiften inte hade redovisats fullt ut. Kunderna ansågs därmed inte ha fått relevanta upplysningar om kostnader och avgifter eller korrekt, tydlig och icke-vilseledande information. Som bolaget har påpekat föranledde kritiken från Finanstilsynet att ett möte ägde rum mellan FI och bolaget om rapporten. Vid mötet ombads bolaget redogöra för sin syn på rapporten samt vilka åtgärder och kontroller som bolaget avsåg att vidta med anledning av de brister som påtalats av Finanstilsynet. Garantum FK har hänvisat till att FI inte framförde någon invändning mot bolagets redovisning av kostnaderna under mötet. Att Garantum FK vid ett möte med inspektionen har redogjort för sin redovisning av emittentavgifter föranleder inte någon annan bedömning. Det har varken framkommit att inspektionen fattat något beslut i kostnadsredovisningsfrågan eller att det i övrigt förelegat omständigheter som gett bolaget anledning att utgå från att inspektionen lämnat sitt godkännande. De överträdelser som har konstaterats i detta beslut i fråga om redovisningen av emittentavgiften är inte med anledning av det möte som ägt rum ursäktliga. Inte heller är omständigheterna i övrigt sådana att överträdelserna är ursäktliga. Mot bakgrund av överträdelsernas karaktär, när det gäller lämplighetsförklaringarna och redovisningen av kostnader och avgifter, är inte heller det som Garantum FK anför om åtgärder som Garantum FK har vidtagit skäl för att avstå från ett ingripande. 2.2. Garantum PB Garantum PB har överträtt centrala bestämmelser i lagen om försäkringsdistribution, nedan LFD, om den information som kunder ska få vid rådgivning för att kunna fatta välgrundade investerings-beslut. Garantum PB har i flera fall inte heller dokumenterat rådgivningen på det sätt som regelverket kräver när kunderna har rekommenderats att byta investeringstillgångar. Det har funnits brister i de flesta av de 49 rådgivningsdokumentationer som FI har granskat i undersökningen. FI har inte kunnat konstatera att det har uppstått några skador till följd av överträdelserna. Enligt FI:s uppfattning har Garantum PB:s samarbete inte varit mer aktivt än vad som kan förväntas av ett företag under tillsyn. Garantum PB har inte självmant fört fram viktig information som FI inte har förfogat över, utan har lämnat de uppgifter som FI har begärt in. Detta är något som måste förväntas av ett företag under tillsyn. Bolaget har alltså inte samarbetat med FI och underlättat utredningen på ett sådant sätt som gör att FI ska beakta det i förmildrande riktning. När det gäller graden av ansvar har det inte framkommit något som pekar i vare sig försvårande eller förmildrande riktning. 3 (4) ’ 3. HSA Söderqvist Advokatbyrås rekommendationer FI:s beslut mot Garantumbolagen visar tydligt på vikten av att löpande fastställa och se över interna rutiner inom ramen för sin rådgivning, oaktat om det rör försäkringsdistribution eller finansiell rådgivning. Vidare framgår det tydligt av besluten hur stor vikt tillsynsmyndigheten lägger vid att investeringsbeslut dokumenteras på ett fullständigt sätt och löpande uppdateras. Därtill visar båda besluten på vikten av att rekommendera produkter för kunder som är lämpliga och anpassade utifrån kundens möjlighet att ta risk, snarare än ett företags möjlighet att få god avkastning. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 4 (4) Nyhetsbrev Ang. Digital Omnibus 19 december 2025 1. Inledning och bakgrund Den 19 november 2025 har EU-kommissionen presenterat ett sjunde förenklingspaket, så kallat Digital Omnibus, med förslag på ändringar i flera regelverk som reglerar dataskydd och informationssäkerhet, bl.a. GDPR. Syftet är att modernisera vissa delar av regelverket, minska den administrativa bördan och skapa bättre förutsättningar för innovation samtidigt som skyddsnivån för enskilda bibehålls. I detta nyhetsbrev belyser vi endast de delar av kommissionens förslag till det Digitala Omnibuspaketet som vi bedömer skulle få störst betydelse för företag som behandlar personuppgifter under GDPR. Kommissionens förslag har skickats till Europaparlamentet och rådet för behandling och kommer att genomgå förhandlingar innan beslut fattas. Förslaget ger dock en indikation om hur GDPR kan komma att tillämpas i framtiden. En realistisk tidsplan är att förslaget kan bli slutgiltigt omkring år 2027. 2. Viktigaste ändringsförslagen i GDPR 2.1. Förtydligad definition av personuppgifter (Artikel 4.1) Definitionen av personuppgifter förtydligas. En uppgift räknas endast som personuppgift om den personuppgiftsansvarige själv kan identifiera den fysiska personen som uppgifterna tillhör. Om den personuppgiftsansvarige inte kan identifiera personen med hjälp av de medel som denne rimligen kan använda för det syftet, utgör uppgifterna inte personuppgifter och personuppgiftsansvarige omfattas då inte av GDPR. Således begränsas tillämpningsområdet för vad som räknas som personuppgifter. Vissa uppgifter som idag omfattas av GDPR kan i framtiden falla utanför förordningens tillämpning. Det är dock fortsatt nödvändigt att noggrant fastställa för vem och under vilka omständigheter som informationen faktiskt utgör personuppgifter. HSA Söderqvist Advokatbyrå KB Kungsgatan 36, Box 7836, 103 98 Stockholm, Sweden, +46 (0)8-407 88 00 Org.nr 969692-4969, info@hsa.se, www.hsa.se ’ 2.2. Undantag från förbudet mot behandling av särskilda kategorier av personuppgifter (Artikel 9) Ett undantag införs i artikel 9.2 (k) för behandling av känsliga personuppgifter i samband med utveckling och drift av AI-system och modeller, under särskilda organisatoriska och tekniska säkerhetsåtgärder. Om känsliga uppgifter trots dessa åtgärder finns kvar i AI-system ska de tas bort, eller skyddas på ett sätt som förhindrar användning, delning eller åtkomst av tredje part om borttagning är oproportionerlig. Behandling av biometriska uppgifter för identitetsverifiering tillåts när uppgifterna eller de medel som behövs är under den registrerades kontroll. AI-behandling kan dessutom baseras på berättigat intresse enligt artikel 6.1(f), förutsatt att den registrerades rättigheter och friheter respekteras. 2.3. Begränsning i rätten till tillgång (Artikel 12) Förslaget innebär att personuppgiftsansvariga får ta ut en rimlig avgift eller vägra tillmötesgå registrerades begäran om tillgång enligt artikel 12.5 om den registrerade missbrukar sin rättighet för andra syften än dataskydd. Den personuppgiftsansvarige har bevisbördan för att visa att begäran är uppenbart obefogad eller att det finns rimlig grund att anta att den är överdriven. 2.4. Lättnader i informationsplikt (Artikel 13) Ett undantag föreslås i artikel 13.4 för personuppgiftsansvarige från informationsplikt angående syften, rättslig grund avseende situationer då personuppgifterna insamlats för lågriskbehandlingar, inom ramen för ett tydligt förhållande mellan den ansvarige och den registrerade. 2.5. Automatiserat beslutsfattande (Artikel 22) Förslaget innebär att företag bereds möjlighet att enligt artikel 22.2.a fatta automatiserade beslut om det är nödvändigt för att ingå eller fullgöra ett avtal, när det tillåts enligt lag med skydd för den registrerades rättigheter eller när den registrerade gett sitt uttryckliga samtycke. 2 (4) ’ 2.6. Lättnader i anmälan om personuppgiftsincident (Artikel 33) Enligt förslaget ska anmälan till tillsynsmyndigheten enligt artikel 33.1 göras endast när en personuppgiftsincident ”sannolikt medför hög risk” för registrerades rättigheter och friheter, vilket höjer tröskeln. En lista över omständigheter som gör att behandling sannolikt innebär hög risk ska beslutas på EU-nivå. Anmälningsfristen förlängs från 72 till max 96 timmar från det att den personuppgiftsansvarige fått kännedom om incidenten. Anmälan ska göras i EU:s single-entry form som är en EU-gemensam rapporteringsportal. 2.7. Konsekvensbedömningar (Artikel 35) En lista över vilka typer av behandlingar som kräver och som inte kräver konsekvensbedömning avseende dataskydd ska beslutas på EU-nivå. Det blir således en vägledning för när ett företag ska genomföra en konsekvensbedömning. 2.8. Klargöranden om pseudonymisering (Ny artikel 41a) Kommissionen bemyndigas att anta rättsakter som fastställer vilka medel och villkor som ska tillämpas för att avgöra om pseudonymiserade uppgifter fortfarande utgör personuppgifter. Syftet är att ge företag tydligare vägledning kring när pseudonymisering medför att uppgifter inte längre omfattas av GDPR. 2.9. Samtycke vid användning av cookies (Ny artikel 88a) Reglerna om lagring eller åtkomst till personuppgifter i persons terminalutrustning (t.ex. datorer och mobiler) flyttas från e-Privacy-direktivet till GDPR genom en ny artikel 88a. Lagring och åtkomst kräver samtycke från den registrerade, med vissa undantag (t.ex. för vissa kommunikationstjänster eller uttryckligen begärda tjänster). Vidare ska kommissionen ta fram en standard för hur insamlingen av sådant samtycke kan se ut. 3. IMY:s kommentar I ett pressmeddelande från den 19 november 2025 kommenterar Integritetsskyddsmyndigheten (IMY) de föreslagna ändringarna i GDPR. IMY:s generaldirektör konstaterar att det rör sig om substantiella förändringar av GDPR, och att ändringarna är större än vad IMY hade förväntat sig. IMY framhåller att regelverket behöver bli tydligare, mer proportionerligt och ha en mer riskbaserad ansats. Samtidigt understryker IMY att GDPR är ett centralt regelverk som skyddar grundläggande integritetsvärden och att det därför är viktigt att förändringar inte urholkar detta skydd. IMY betonar att det är 3 (4) ’ avgörande att analysera förslagen noggrant för att bedöma om de leder till en konstruktiv modernisering utan att integritetsskyddet försämras. IMY välkomnar ambitionen att modernisera och förenkla regelverket, men intar en restriktiv hållning med krav på att skyddsnivån för individers personuppgifter måste upprätthållas. 4. HSA Söderqvist Advokatbyrås rekommendationer HSA Söderqvist Advokatbyrå rekommenderar att personuppgiftsansvariga börjar se över sina interna processer och rutiner för personuppgiftsbehandling med utgångspunkt i EU- kommissionens förslag till Digital Omnibus. Detta kan innebära att man granskar rutiner för incidenthantering, användning av data i AI och automatiserade processer samt säkerställer intern kompetens och styrning. Även om förslaget ännu inte är slutligt ger det en fingervisning om hur GDPR kan komma att tillämpas i framtiden. HSA Söderqvist Advokatbyrå följer noggrant utvecklingen av Digital Omnibus och avser att återkomma med ytterligare information. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå. 4 (4)