Regeringskansliet

Faktapromemoria 2008/09:FPM120

Skydd av kritisk informationsinfrastruktur

Näringsdepartementet

2009-05-26

Dokumentbeteckning

KOM (2009) 149

Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén om skydd av kritisk informationsinfrastruktur "Skydd mot storskaliga it-attacker och avbrott: förbättrad beredskap, säkerhet och motståndskraft i Europa"

Sammanfattning

Syftet med meddelandet är att föreslå en handlingsplan för hur det europeiska skyddet av kritisk informationsinfrastruktur ska stärkas. I meddelandet identifieras förslag till åtgärder som kommissionen tror kommer leda till en högre säkerhetsnivå på den europeiska informationsinfrastrukturen. Meddelandet innehåller förslag på förstärkningar av befintliga organisationer och ramverk samt skapandet av nya organ. Regeringen välkomnar kommissionens meddelande. Det finns dock anledning att närmare studera kommissionens förslag för att bättre kunna definiera problemområdet och förslagens inriktning

1Förslaget

1.1Ärendets bakgrund

Kommissionens meddelande syftar till återuppväcka den europeiska debatten kring skyddet av informationsinfrastruktur. Förslagets bakgrund står att finna i kommissionens strategi för ett säkert informationssamhälle KOM(2006) 251 som initierades året innan i KOM(2005) 576, samt i inrättandet av den Europeiska byrån för nät- och informationssäkerhet.

Frågan om skydd av informationsinfrastruktur var ursprungligen en del av kommissionens förslag till inrättandet av det europeiska programmet för skydd av kritisk infrastruktur (EPCIP) men bröts ut ur detsamma.

Flera av de aktiviteter som föreslås i meddelandet bygger också på det arbete som genomförs inom ramen för EPCIP.

Kommissionens meddelande publicerades den 30 mars 2009. Meddelandet diskuterades vid en ministerkonferens i Tallinn den 27-28 april 2009 där infrastrukturminister Åsa Torstensson närvarade.

1.2Förslagets innehåll

Meddelandet fokuserar på en handlingsplan inom fem områden: beredskap och insatser, upptäckt och insatser, begränsningar av verkningar och återställning, internationellt samarbete samt utarbetandet av kriterier för europeisk kritisk informationsinfrastruktur.

Kommissionens förslag fokuserar i stor utsträckning på att öka informationsdelningen mellan medlemsstaterna och skapa förutsättningar för att gemensamma övningar på området hålls. Bland annat föreslås att minimikriterier fastslås för den kapacitet och de tjänster som nationella incidentcentrum (CERT) ska kunna tillhandahålla samt att det tillses att sådana incidentcentrum etableras i samtliga medlemsländer. Kommissionen vill också tillse att ett Europeiskt privat-offentligt partnerskap för motståndskraft och ett Europeiskt forum för informationsutbyte mellan medlemsstaterna inrättas.

Det finns även ett förslag på inrättandet av ett EU-system för informationsutbyte och varning inrättas (EISAS) som ska samla information från nationella incidentcentrum och tillgängliggöra den för individer och små och medelstora företag. Medlemsstaterna uppmanas också att utarbeta nationella beredskapsplaner och regelbundet anordna övningar för incidenthantering som ska kunna utvecklas till EU-gemensamma övningar.

1.3Gällande svenska regler och förslagets effekt på dessa

Meddelandet innehåller inte några förslag som medför direkta konsekvenser för svensk lagstiftning.

1.4Budgetära konsekvenser / Konsekvensanalys

Meddelandet innehåller inte några förslag som medför direkta konsekvenser för den svenska statsbudgeten.

2Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen välkomnar en diskussion om informationssäkerhetsfrågorna. Vi vill dock gärna se att diskussionen i högre utsträckning får en bredare ansats och att större vikt läggs vid policy, förebyggande arbete och vardagssäkerhet för individer och företag, samtidigt som integritetsaspekter beaktas.

Kommissionens meddelande innehåller förslag på inrättandet av nya organ. Regeringen anser att det är bättre att vidareutveckla de forum för samarbete som redan finns istället för att inrätta nya och kanske överlappande samarbetsorgan.

Viktigast i detta skede är det att enas om vilka de centrala problemen är och var EU:s respektive medlemsstaternas ansvar ligger. Då nästan all IT-infrastruktur är privatägd och all programvara utvecklas av företag styr marknadskrafterna utvecklingen i mycket stor utsträckning.

Regeringen ser positivt på övningsverksamhet men sådana internationella övningar måste dock samordnas och planeras i mycket god tid för att kunna genomföras på ett effektivt sätt.

2.2Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter är inte kända.

2.3Institutionernas ståndpunkter

Institutionernas ståndpunkter är inte kända.

2.4Remissinstansernas ståndpunkter

Meddelandet har inte remitteras, men Post- och telestyrelsen (PTS) och Myndigheten för samhällsskydd och beredskap (MSB) har underhand inkommit med synpunkter. PTS önskar bland annat se en tydligare mål- och problemformulering. De anser också att meddelandet i alltför hög utsträckning beaktar hot med relativt låg sannolikhet och mindre den grundläggande vardagssäkerheten. Vidare pekar myndigheten på att befintliga samarbetsformer bör stärka istället för att nya skapas. Kommissionens ambitiösa måldatum för övningsverksamheten riskerar att övningar genomförs med alltför för låg ambition och/eller kvalitet. PTS pekar också på att privat-offentliga partnerskap bäst växer fram stegvis och inte genom centraliserade beslut.

3Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Meddelandet beskriver en inriktning av arbetet och är i det här skedet ej grund för konkreta beslut.

3.2Subsidiaritets- och proportionalitetsprincipen

-

4Övrigt

4.1Fortsatt behandling av ärendet

En medlemsstat har aviserat att de vill diskutera meddelandet vid TTE-rådet den 12 juni 2009. Regeringen avser att följa upp meddelandet under ordförandeskapet med målet att landa i rådsslutsatser/-resolution.

4.2Fackuttryck/termer

-